首先,这不是DNS Conditional forwarder的副本, 而是返回NETBIOS而不是FQDN (听起来非常相似)。 我们有两个独立的域名,互相做有条件的转发。 这些域中的每一个都分布在相同的三个位置,并且主机的命名约定指示系统位于哪个站点。 例如: dc11.a.com:站点1上域A的DC 1 dc12.a.com:站点1上域A的DC 2 dc21.a.com:站点2上域A的DC 1 dc31.a.com:站点3上域A的DC 1 dc11.b.com:站点1上域B的DC 1 等等。 每个站点的数据中心都有相应站点的其他域的所有数据中心,以及所有站点的第一个数据中心的条件转发,因此: dc11.a.com将请求转发给 dc11.b.com dc12.b.com dc21.b.com dc31.b.com 所有的转发似乎正常工作,例如,如果我在dc11.a.com我可以成功地查找dc11.b.com。 然而 ,最近我们遇到了一些奇怪的行为(用户报告查找失败,我没有能够重现自己,但我收到错误的截图),这使我仔细检查转发规则,我已经注意到一些奇怪的事情:有几个实例转发主机的FQDN显示为简称,而不是FQDN。 所以例如在b.com的转发属性dc11.a.com我看到这个: 10.1.200.11 dc11.b.com 10.1.200.12 dc12.b.com 10.2.200.11 dc21 10.3.200.11 dc31.b.com 另外有趣的是,当我打开属性窗口时,任何具有短名称而不是FQDN的行总是需要一两秒钟才能解决。 我已经validation了所有主机都在DNS中注册了他们的后缀,我试过ipconfig / flushdns和/ registerdns,并尝试重新添加转发。 我已经双重检查了所有主机的DNS条目向前和向后,他们都到处都是一样的。 如果我在dc11.a.com上对任何B主机执行nslookup 10.2.200.11,我将返回FQDN dc21.b.com。 然而,无论我做什么,在转发属性这些有问题的主机总是显示短名称。 任何build议将不胜感激!
在我们公司,我们在本地数据中心(我们托pipe公共Web服务器的地方)以及在协同办公室和办公室之间build立的站点到站点VPN上有一个共同点。 我们希望将数据中心的服务器连接到我们的Active Directory。 如果我理解正确,域join很大程度上依赖于DNS。 我不想让数据中心的服务器通过隧道将DNS查询parsing到我们的内部DNS服务器,因为这会降低DNS查询性能(并且在隧道已closures的情况下)。 服务器是否有可能使用公共DNS服务器(Google,ISP等)parsing所有DNS查询,除了公司内部的服务器? 相反,这些将通过隧道转发到我们的内部DNS服务器? 我需要在协议中托pipe一个DNS服务器来实现这个function吗? 还是有一个更简单的方法来做到这一点? 毕竟,这是我应该如何将我们的colocnetworkingjoin我们的Active Directory的正确解决scheme?
我们的一些计算机有一个随机的“本地组策略”被设置,迫使他们检查一个不存在的内部网服务器的Windows更新,而不是在互联网上使用WU,因为他们应该。 这只发生在某些随机的,不相关的电脑上。 简单地在本地修复设置不能解决问题,因为即使这是本地策略而不是域名,计算机重新启动时,该值也会重置。 所有受影响的计算机都运行Windows 7 Enterprise,这是32位和64位的组合。 解决方法是删除C:\Windows\System32\GroupPolicy\gpt.ini ,然后手动设置值; 这工作。 我想编写一个快速脚本来自动执行此操作,但是相应的registry项位于以下registry位置: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{EXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}Machine\Software\Policies\Microsoft\Windows\WindowsUpdate 中间的标识符在每台计算机上都是不同的,我还没有弄清楚它是什么。 这不是用户或计算机的AD GUID,我不知道还要检查什么。 如何以编程方式(PowerShell)确定标识符是什么,以便可以在脚本中使用自动编辑registry项?
我通过与DC同步时间并运行域realm join –[email protected] mydomain.local将CentOS 7系统joinWindows域。 这使我可以使用我的Active Directory帐户来validation我的login到CentOS系统。 但是,初始连接后添加的任何AD帐户或组成员资格都不被CentOS系统识别。 我必须运行realm leave并重新join域以便这些帐户/设置被识别。 如何每次使用最新的ADconfiguration强制CentOS对DC进行身份validation?
我用来validation活动目录上的用户凭据的方法是(简体): New DirectorySearcher(New DirectoryEntry(path, user, pass, AuthenticationTypes.Secure)).FindOne() 如果失败,则无法创buildLDAP对象,因此用户名,密码或path无效。 这适用于我当前的域,恰好与ldap连接string(上面的path)相对应。 这个authentication的范围是什么:它会在域或dmz之外工作吗?
我们的基础架构中有几个域,显然是由不同的子网分开的。 从我们的主域名(称为域A),我们有一个DNS向前查找区域域B(其中包括两个虚拟DC服务器,没有工作站)。 我们将它们称为DC1和DC2。 我的任务是在远程域中解散DC1。 我试图降级它,但它事先告诉我,这是域中的最后一个DNS服务器(它不是),所以在我降级之前,我删除了DNSangular色(2012 R2)。 然后让我把它降级,一切都好了。 今天,我了解到,主域中的DNS服务器无法parsing远程域,因为“DNS服务器没有加载区域”。 SOAlogging中的主服务器是DC1,因为它是灰色的,所以我无法更改它。 DC2仍然是一个活跃的DNS服务器,但它可能不是“主”DNS服务器,因为我如何去解决这个问题。 什么是解决这个正向查找区域的方法,以便我有DC2作为SOA中的主要服务器? 我想过删除域A侧的正向查找区域并重新安装它,但是我不确定域B的一切是否正确,以允许发生。
我的域是Server 2003(domainA),远程域是Server 2008R2(域function级别)(domainB)。 在最近的某个时候,我失去了查看domainB的能力(ADUC – >打开一个组 – >添加成员 – >单击位置button)。 当我现在按照这些步骤,我只看到我的本地域(domainA)。 我已经validation了以下内容: 双向信任 ADDT中的validationbutton不会报告任何问题 dcdiag显示所有通过,除了事件(这似乎无关) repadmin / replsummary显示0失败 我可以ping通域的FQDN(domain.local)并获取其他域中DC的IP 如果我点击domainB中的“位置”button,我可以看到两个域 我们最近对domainA做了两处更改。 首先,我们更新了即将进行的Exchange升级的模式。 其次,我们推出了我们的第一台Server 2012R2 DC(之前,我们已经达到了2008R2)。 由于我不知道domainB的可见性何时打破,我不知道是在这些变化之前还是之后发生的。 build议? 谢谢。
对活动目录中的根目录DNS的DNS查询正到达同一子网中的防火墙。 这个活动目录的默认路由是L3路由器,除非stream量来自代理,否则没有路由到防火墙。以前有没有人遇到过这个问题? 任何解决scheme
在我工作的公司,我们有大约75个电脑用户。 我们的服务器环境(MS Server 2012)中有Active Directory的Microsoft域控制器。 当用户需要安装软件时,会在Windows中提示用户inputpipe理用户名和密码。 这意味着他们需要打电话给我,我可以远程login到他们的计算机上(使用TeamViewer),然后input我的凭证以安装软件。 我不想继续控制用户可以安装的东西,为了简单起见,我希望在AD中有一个安全组,在那里我可以临时添加一个用户来给他们pipe理访问。 这个访问只需要在本地。 不允许RDP访问我们的服务器! 我在网上find了几个例子,解释了如何做到这一点,我按照指示。 (对不起,我没有这些网站的链接了)。 基本上,我所做的是: 我已经在Active Directory中创build了我的组,并添加了一个用于testing目的“Temp Login”的用户。 …我已经创build了一个GPO,并将我的组添加到“受限用户”中。 当提示成为会员时,我添加“pipe理员” 好的,所以这个方法几乎完全是我想要的。 我可以使用TLoginlogin笔记本电脑(先前添加的Temp Login帐户用于testing)。 我可以安装软件,不用担心。 但是,只有一个问题。 我仍然可以使用RDP访问服务器。 我怎样才能改变我的方法,只允许本地访问?
我们有一个多站点的域和几个网站在一个中心和辐条devise。 从集线器站点,我们通过VPN隧道build立了到另一个域的单向信任。 现在,当来自外部域的人尝试进行身份validation时,我们的域控制器将返回到其他域的引用。 但是,该通道仅对中心站点中的域控制器开放。 我们可以在这种情况下使用代理吗? 我一直在阅读关于这个主题的searchAD LDS,但是对于我来说这并不明显。 看来OpenLDAP也有一些代理function,但我宁愿不介绍它,除非它是唯一的select。 任何其他选项?