最近我已经读了很多关于这方面的内容,必须说这是我的头脑。 现在我所做的是6个月前,我们对基础设施进行了升级。 我们现在有一台2008 R2服务器用于域控制器,现在我将其转移到运行2012年的两台物理主机中的一台新系统,并作为DC和DNS服务器(意图是1个主要的次要广告备份) 所以每件事似乎都运行良好我做了FSMOangular色转移到我们将称为DC1,然后认为我们已经完成,我们closures了旧的2008 R2服务器,我们走了我们的快乐的方式。 每一件事情似乎都在正常工作,公元复制了集团政策,每件事情看起来都在起作用。 我做了一个服务器的AD更改,并在另一台服务器上更改。 每一件事情都很好,直到上个月,我去做一些组政策的变化,并注意到他们没有复制到DC2 …. 这个原因让我追了上去,导致我的SYSVOL没有在服务器之间被复制。 经过一番search,我发现这个快乐的TechNet KB http://support.microsoft.com/kb/2218556 我跟着这封信,遗憾地没有任何改变… 现在跟一个IT人士交谈,他提出了一个相当讨厌的陈述。 他觉得这一切都可能是由于我没有在旧的主要DC上进行直stream降级,而我错过了一些我需要转移的重要angular色。 现在最后一次这个DC服务器在线是6个月前… 现在我处于困难的境地 我挂钩旧的DC,试图降级它,还是有什么我可以做的。 如果我把它挂钩考虑多大dmg会对我目前的广告做些什么。 我希望这个解释你们能够确认我的恐惧是否有效,或者我可能只是幸运地做一个简单的修复(就像一个IT修复可以是所有的大声笑一样简单) 目前这两个服务器都有错误事件ID 4612
希望有人能帮助我提到的主题错误。 我目前的设置是,我有物理的Win2k8R2 Box和具有相同configuration的虚拟服务器。 最近我有事件ID 1864和警告事件ID 2092复制错误。当我做“repadmin / showrepl”时,我得到以下错误。 Repadmin:针对完整的DC本地主机运行命令/ showrepl 默认的第一个站点的名称\ MIRACLEDC02 DSA选项:IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL 网站选项:(无) DSA对象GUID:fbd8fb1d-1020-465c-8528-3b55af490202 DSA invocationID:5b746b00-424e-4243-82bc-a35fd38ec672 ==== INBOUND NEIGHBORS ====================================== DC =奇迹-冒险,DC = com的 Default-First-Site-Name\MIRACLEDC03 via RPC DSA object GUID: 0c073222-6d5a-4389-bc07-32b3f4069ac4 Last attempt @ 2014-08-04 11:48:51 failed, result 8457 (0x2109): The destination server is currently rejecting replication requests. 125 consecutive failure(s). Last […]
我在实验室环境中练习和学习恢复我的主域控制器,如果我的数据中心都没有了,并且我有一个完整的服务器备份来实现灾难恢复 在生产中,我有2个域DC1和DC2,DC1是所有angular色的FSMO持有者,也承载着DHCP服务器。 DC2angular色包括ADDS和DNS都是GC服务器 我在隔离networking上创build了一个具有与DC1类似的匹配硬件的虚拟机,然后从完整的服务器备份中完成恢复计算机的过程,完成并引导计算机。 我抓住了FSMO(他们已经分配了备份,但似乎打起来,所以我经历了抢夺过程),然后进行DC2的元数据清理(因为它不在这个testing领域) 开始所需的服务DNS等,一切似乎进展顺利。 当我运行DCDIAG时,我得到了通过testing的一切吧Netlogons和一些错误在SystemLog有关组策略 我的错误是常见的,但我已经尝试过的解决scheme没有为我工作(设置SysVolReady标志为0,然后为1) 错误是“无法连接到Netlogon共享!<\ DC1 \ netlogon> [DC1]净使用LSAPollicy操作失败,错误67无法findnetworking名称。 我对域控制器的情况还是比较陌生的,任何人都可以给我一些关于这是什么和可能的替代解决scheme的信息? 现在我有一个恢复的DC1托pipeADDS,DNS,DHCP和所有5个FSMOangular色
让我先解释一下我们的设置! Cyberoam CR50ING防火墙有2个站点位置,2个子网间IPSec。 Cyberoam防火墙具有AD身份validation,并将其软件链接到设备,以检测实时和注销用户。 站点A正在工作#1。 网站B位于不同的域名下。 活用户正在工作。 我们将它们全部迁移到与站点A相同的域。它们共享相同的GPO,防火墙closures。 主要的问题是:从那以后,所有WMI对DC和域计算机的请求都是“访问被拒绝”0x80070005。 文件服务器正在工作(唯一的服务器获取WMI请求)。 我不能让活着的用户工作,因为它正在向DC发送WMI请求来获取事件查看器中的信息(安全选项卡,用于login/注销用户)。 我去了dcomcnfg,确保它安装得很好,但这仍然是一个问题。 任何想法是赞赏:) 谢谢 基督!
我今天早上刚刚尝试将一个旧的ASP.NET网站的应用程序池切换到一个使用AD帐户进行SQL访问的应用程序池,因此,大多数网站上的静态内容不可用(即某些图像和CSS文件)好的500。 激活失败的请求跟踪后,错误竟然是: Either a required impersonation level was not provided, or the provided impersonation level is invalid. (0x80070542) 一些谷歌search(主要是这个问题 ),瞧瞧,我的AD帐户需要一个特定的策略:身份validation后模拟客户端 现在一般情况下,我不会有任何的牺牲实习生,并诵读ADpipe理员的帮助,但现在我想明白为什么这不是一个问题之前。 我使用这个特定的应用程序池用于其他应用程序(一个ASP .NET MVC 4之一),并没有引起任何问题,每个内容都得到了正确的服务。 所以我的问题很简单: 缺less的政策是错误的可能原因吗? (我不能自己testing,我需要一个成年人的pipe理和请求需要一些时间) 为什么我在第一次应用程序之前没有遇到错误? 据我所知,在webforms和MVC之间提供静态内容没有任何区别。
生产环境: 4个DC(Windows Server 2003)和近150个工作站。 意图:迁移到Samba4 首先,我添加了第5个DC(CentOS 6.5,Samba 4.1.11-9.el6.x86_64从SerNet存储库)。 尽pipe存在一些缺陷,它仍然有效。 主要担心: sysvol复制。 我已经GOOGLE了,发现这个function还没有实现。 我做了什么: 已安装的PDC共享和手动复制的sysvol内容; 执行samba-tool ntacl sysvolreset 。 得到: open: error=2 (No such file or directory) ERROR(runtime): uncaught exception – (-1073741823, 'Undetermined error') File "/usr/lib64/python2.6/site-packages/samba/netcmd/__init__.py", line 175, in _run return self.run(*args, **kwargs) File "/usr/lib64/python2.6/site-packages/samba/netcmd/ntacl.py", line 218, in run lp, use_ntvfs=use_ntvfs) File "/usr/lib64/python2.6/site-packages/samba/provision/__init__.py", line 1612, in […]
我们使用两个2008域控制器和一个2012 DC 在gpo中,我们为每个用户设置了IE-11的代理。 例如:X使用代理,服务器:代理服务器,端口:3131这个GPO是不是强制性的,所以用户可以更改代理。 最近我们的代理更改为端口:8080 我遇到一个虚假的行为…一些用户得到旧的设置,一些没有,一些新的设置…似乎旧的设置不断重新出现后,手动更改为新的。 我看到了AD复制中的问题,现在已经解决了。 但我的主要问题是:如果用户可以更改设置,并已更改设置 – 我的新设置(在GPO)将覆盖用户更改设置? 例如:用户已经把端口设置为1234,后来我把应用到他(testing)的gpo设置为8080 ..但是当他login时它们仍然不适用。 手动执行gpupdate的作品。 我应该写login脚本来执行gpudate吗? (我们有1100个用户)
我们曾经有一个与活动目录集成在一起的前提交换服务器(PDC和Exchange Server都是相同的Windows 2008小型企业服务器)。 我们将Exchange迁移到Office 365,一切正常,但是,对于那些机器是域成员的用户来说,只要他们想要添加一个新的configuration文件,它们就会自动连接到本地的本地交换机而不是Office365。 我们的本地自动发现configuration,以便它指向Office 365的自动发现(autodiscover.outlook.com),并仍然连接到本地服务器。 尽pipe如何解散我们的MS Exchange从Active Directory,至less对于一些用户?
我有一个关于configuration“用户不能更改密码”属性的问题。 默认的“Account Operators”域组是否有能力改变这个属性? 如果不是,可以通过AD委托授权吗? 那么有人可以详细解释如何做到这一点。 由于这不是实际的AD帐户属性,因此它似乎很难委派,但是在通过GUI更改此设置时正在更改为显式允许或拒绝的用户对象ACL中,将“SELF”的ACE“更改密码” 。 据我了解编辑用户的授权ACL给用户负载的可能性,并可能对环境不安全。
我有一个拥有60多个用户帐户的Windows 2008 R2域控制器。 每次这些用户之一尝试连接到DCauthentication“退后”到NTLM。 Kerberos身份validation失败,因为用户的SPN丢失。 我想为所有用户帐户设置此属性。 我必须手动为每个用户手动设置SPN属性吗? 还是有更好的解决scheme?