基本上它是一个很长的故事,但我设法发现自己负责跨多站点企业部署服务器,尽pipe主要处理路由和交换设备99%的时间,b)有很less使用Windows服务器,和c)我的老板完全意识到这一点,基本上说'更好地学习'! 显然不理想! 我以前使用服务器的唯一经验就是将Windows Server 2008 R2部署到具有单一物理位置的企业。 服务器将DNS,DHCP和AD DS都安装在一台服务器上 – 就像LAN一样简单。 我的问题是,我不知道如何将AD DS从一个物理位置扩展或部署到多个物理位置。 客户有以下要求(对于有经验的人可能是非常基本的): 每个物理位置的用户可以在本地进行pipe理。 来自企业的任何用户(来自企业的任何分支机构)都可以在任何其他分支机构(如果有权利的话)使用机器。 可能有人请告诉我如何去做这件事(也可能指向我在多个物理位置AD DS的一些良好的来源的方向 – 我已经searchTechNet,但我不能find一个通用的“从这里开始”文章)。 我需要一个DC用于整个forrest与其他连接的DC来控制每个域? 还是每个域都可以接受一个DC? 由于我是一个完全的新手,我对这个问题缺乏了解。 谢谢你的帮助。
在尝试以下操作时我不成功 – 也许我没有正确掌握AD用户和Exchange邮箱之间的连接,而且我经常看不到在PowerShell中操作的简单方法: 我在我的域中有几个Exchange服务器,并且需要在给定服务器上的所有邮箱(“Foo”),其中拥有的AD用户是AD组“Bar” 谢谢你的帮助
我有一个单一的w2k3 sp2 DC的小办公室(坏主意,但它是真实的),现在,我想做一个干净的安装该电脑,所以,我有另一个,安装w2k3 sp2 ,将其添加到域, dcpromo并将其设置为一个GC ,直到现在一切正常,然后尝试在primary DC dcpromo ,但它失败 The box indicating that this domain controller is the last controller for the domain mydomain.com is unchecked. However, no other Active Directory domain controllers for that domain can be contacted. Do you wish to proceed anyway? If you click Yes, any Active Directory changes that […]
我们已经build立了思科身份服务引擎来pipe理我们用户的WLAN访问。 应该授予来自特定Windows Active Directory组的用户的访问权限。 这适用于只有ASCII字母的用户名。 但是,例如具有变音符号的用户名称会失败。 实时身份validation日志显示错误“在适用身份存储中找不到22056主题”。 任何想法可能是错的? (不,重命名所有非ASCII用户不是一个选项)
我正在阅读这篇文章: http : //support.microsoft.com/kb/310845 如果您尝试在计算机上创build用户帐户并尝试使用该计算机名称作为用户帐户名称,则会收到以下错误消息: 用户名称可能与计算机名称计算机名称不同 出现此行为是为了防止用户使用与计算机名称相同的用户名创build用户名。 此检查旨在防止使用NetBIOS名称注册的程序出现问题,这些程序可能会错误地使用03 NetBIOS条目(本例中由用户注册),而不是代表工作站的服务器服务的NetBIOS条目。 这样的错误可能会阻止程序正常工作。 在我们的networking中,计算机是以其用户命名的,并且在活动目录中使用相同的用户名。 例如John的计算机名称是JOHN ,他的Active Directorylogin名是FABRICAM\John 。 这篇文章是否适用? 我们是否应该在networking活动期间期待“不良行为”?
我有2个networking: 172.33.0.x:我的内部networking 192.168.1.x:我的DMZnetworking 我在我的域的内部networking中有一个DC,在同一个域中的DMZ中有一个RODC。 这两个networking之间存在防火墙,只允许我指定的端口/stream量。 当我在DMZ中添加一台计算机并尝试将其添加到域时,它仍会尝试访问内部networking上的DC,而不是DMZ中的RODC。 我已经完成了此处指定的更改( http://support.microsoft.com/kb/977510 ,即允许RODC可被发现)。 我允许我的RODC和DC之间的以下端口: 服务来源目的地 Ephemeral ports 49152:65535 49152:65535 FRsRPC 1:65535 53248 Kerberos 1:65535 88 LDAP 1:65535 389 SMB 1:65535 445 NTP 1:65535 123 RPCC端点1:65535 135 我有两个站点设置… DMZ和内部。 RODC是DMZ站点的一部分,DC是内部站点的一部分。 子网也设置,并分配到正确的网站。 如果我在DMZ中的计算机上运行nltest /dsgetdc:mydomain.local,则返回RODC。
我是一个完整的初学者在服务器pipe理,但是我处于一个情况来pipe理我们的公司服务器运行Windows 2003.之前的人完全搞砸吨这个服务器的东西(他的“修复”几乎所有的东西是编辑registry),所以在这台服务器上有各种奇怪的事情发生。 我最近添加了4台新电脑到我们的域名。 前两台电脑运行的是Windows 7,并且能够毫无障碍地进行连接。 第三台计算机是一台笔记本电脑,一直以无线方式工作,但从来不是域的一部分,它连接到域,但即使主pipe理员login没有授予pipe理权限。 经过两天左右的时间,这台电脑现在不能再login,说明错误“窗口无法连接到域,无论是因为域控制器closures或不可用,或者因为您的计算机帐户没有find“。 第四台电脑是一个全新的Windows XP专业版SP2安装在干净的格式化驱动器上。 login后,完全无法连接到域,说明找不到域控制器,并且DNS不存在。 我已经尝试了大部分在网上find的东西,包括手动设置计算机的DNS和IP,在服务器上设置DNSlogging,事先在服务器上的SBSusers下创build计算机和用户。 PC的问题不能通过IP或主机名来ping服务器。 我们networking上的其他所有电脑(大约20台)都能正常工作。
我试图locking安全性,包括删除UNIX插件创build的泄漏密码哈希。 我从预Windows 2000兼容访问组中删除了经过身份validation的用户。 但是,这样做后,一小部分用户不能login到Redmine,Subversion,VPN等各种非Windows事件。这些服务使用ldapbind用户帐户进行身份validation,然后使用SSL LDAP对AD进行身份validation并检查组成员身份。 我们还使用运行SSSD的Linux机器,通过Kerberos进行身份validation,并使用LDAP检查组成员身份。 我发现的问题是无法为less量的用户枚举组成员身份。 他们可以被authentication,但不被授权。 例如,如果我login到一个Linux机器上,做“id用户”,这些用户什么也找不到。 但是“id用户”会返回大部分用户的信息。 我想不出用户帐户和不用用户帐户之间的区别。 会发生什么事?
背景: 这家公司是一家软件开发公司。 总经理(MD)pipe理合同和项目资源 。 开发团队A在手机应用上工作。 开发团队B工作在另一个手机应用程序。 每个团队都有一个领导和一个50人的团队。 testing部门负责testing两个开发团队的应用程序。 该部门有一个领导和一个40人的团队。 我们已经达成一致: 一台运行Active Directory服务的Windows 2008 R2服务器 一台Windows 2008 R2服务器充当文件服务器,其中包含: 项目合同 项目资源 移动应用程序源代码以及开发团队正在开发的基本上所有的开发文件 testing用例,testing结果 简化的组织层次结构( http://i.stack.imgur.com/3OS6t.png ) – 我需要10名代表发布图片。 我对如何去做这件事感到有点困惑,因为文件服务器应该包含MD,团队和testing部门使用的信息。 我想知道什么是可以使用的合适的结构。 例如(我不知道这是否合理): company.local [域名] MD [OU] 用户[OU] 文件[OU] < – 这应该被视为一个OU? TeamA [OU] 用户[OU] 文件[OU] TeamB [OU] 用户[OU] 文件[OU] TestDept [OU] 用户[OU] 文件[OU] 这是一个好主意吗? 如果不是的话,那么AD OU结构将会是一个不错的select? 谢谢!
在为Windows Server授权用户CALS时,出现以下问题(或问题): 鉴于您的域中有30名员工。 其中5人是pipe理员。 每个pipe理员都有两个域帐户,一个用于工作,具有几乎正常的权限,一个帐户具有域pipe理权限,用于login到服务器和工作站。 这有助于区分谁负责软件安装,重启等 现在,我是否需要为这30名实体员工购买35个许可证,因为我有35个用户帐户,或者每个(物理)pipe理员购买一个用户CAL足够了吗? 同样的问题出现在备份脚本(=没有物理用户)用来将文件传输到我们的文件池的特殊备份用户。 我已经检查了Active Directory许可,但并不能完全覆盖我的问题。