我正在build立一些新的Windows 2012服务器,以取代目前在2003年的旧服务器。我担心的一个问题是,如果我们发生重大故障,请尝试并制定适当的灾难恢复计划以使其恢复正常运行。 我计划有以下几点: 服务器1:域控制器,文件/打印服务器,SQL Server,Web服务器 服务器2:Exchange(2013)服务器 服务器3:“备份”域控制器 如果发生故障,我还会使用备用服务器硬件(相同)。 我的主要问题是围绕服务器1的备份。首先,最多只有100个用户,文件/打印和SQL可能只能使用大约25个。我知道在一个完全理想的情况下,DC会是这样,没有别的,但这是一个相对较小的设置,所以我没有看到一个盒子上的所有这些服务的问题。 在理想的情况下,我想运行光盘克隆,然后在服务器出现故障的情况下恢复(然后应用数据库备份,用户文件等)。 但据我了解,你永远不应该恢复一个域控制器的克隆,因为那么所有的编号是不同步的,复制将失败等。 我想在准备服务器之前先做一个克隆,然后再把它提升到DC。 不过,阅读SQL Server上的注释(我将使用Express 2012),它表示,虽然它将在域控制器上运行,但在安装时无法升级(或降级)服务器。 即我不能安装SQL,然后提升服务器。 所以目前我的DR计划似乎要恢复一个Win2012的克隆,然后重新join到域名,推广它,重新安装SQL等,即相当多的步骤。 一个想法是,如果我违背了规则并克隆了整个系统,那么在发生故障的情况下,我可以进行完全恢复,但是立即从域中删除“备份”域控制器(并稍后重新引入)让复制编号重新同步)? 那我会认为自从上次备份以来,已经失去了AD的改变,但考虑到我们组织的规模,他们很可能是最小的。 任何其他的想法欢迎。
我一直在玩MSAD_ReplNeighbor wmi类来监视AD复制。 我有一个集线器和辐条,单个域拓扑结构,其中三个数据中心在辐射站点中。 一个担任所有主angular色,另外两个DC不担任主angular色。 我在三个集线器DC的每一个上都运行了MSAD_ReplNeighbor类的查询,我很好奇我用SyncOnStartup属性看到了什么: 在DC1上(其中包含所有主angular色),将为所有站点间邻居的域和configuration分区设置SyncOnStartup位。 对于所有站点间邻居的DomainDnsZones和ForestDnsZones,将closuresSyncOnStartup 在DC2上(不包含主angular色),将为所有站点间邻居的ForestDnsZones分区设置SyncOnStartup位,对于所有其他分区 在DC3上(不存在主angular色),为所有站点间邻居设置DomainDnsZones分区的SyncOnStartup位,并closures所有其他分区 当然,SyncOnStartup位是为每个DC的站内邻居的所有NC设置的 所以我的问题是,AD如何决定如何平衡负载(这是我所假设的)。 如果我将第四个DC引入中心站点,会怎么做? 我只想更好地理解这一点。 另外,这个问题并不是关于AD如何决定如何在启动时启用分区复制的wmi类。 我很好奇我在哪里看到SyncOnStartup启用了站点间的邻居。
我在一个域中有两个2008R2域控制器。 用户属性“首字母缩写”只能包含6个字符。 我需要它是12.使用adsiedit扩大这个属性超过6个字符的影响是什么? 我必须在每个DC上执行此操作,还是将架构编辑自动复制?
我有几个GPO在我们的域中工作,在一个GPO中,我通过“受限制的组”function将组设置为“本地pipe理员”。 但是,当该组中的一个用户login到域中的一台计算机时,他们无法进行pipe理更改,如安装和删除程序。 我再次检查GPO,一切似乎设置正确。 GPO已链接并设置为执行策略。 更新:当我在客户端计算机上login并运行gpresult / z我得到这个: 以下GPO未被应用,因为它们被过滤掉了 Technology Department Configuration Filtering: Not Applied (Empty) Local Group Policy Filtering: Not Applied (Empty) 为什么说它是空的? 我忘了什么吗? 我正在查看我们域中所有的GPO,共有5个,仅适用于特定的组。 这些用户位于技术部门组中,仅与单个GPO相关联。 我不明白哪里可能有冲突? 该组唯一的filter是它们被添加到远程桌面用户组,本地允许login,允许通过terminal服务login,并通过受限制的组设置为本地pipe理员。
我遇到networking驱动器的问题。 突然间一些计算机和用户没有从login脚本获取映射的networking驱动器。 我不是域pipe理员,我没有权限login到域控制器。 而且我对Active Directory知之甚less。 这个问题似乎是随机的,今天有些用户,明天不同的用户。 有些电脑运行良好,有些不会映射,不pipe是谁login。它们是混合操作系统的XP(SP3),Vista和7.我在Windows资源pipe理器中查看域,我发现了batch file将驱动器映射到多个位置,我怎么知道哪一个实际上正在运行? .bat文件位于 \ DOMAIN \ NETLOGON \ script.bat和 \ DOMAIN \ SYSVOL \ DOMAIN \ scripts \ script.bat和 \ DOMAIN \ SYSVOL \ DOMAIN \ policies \ GUID(对吗?这是一个疯狂的string)\ User \ Scripts \ Logon \ script.bat 那么,我怎么才能找出哪一个实际上是每台计算机或用户运行? 因为他们都有一点点不同,其中一个地图不正确。 NETLOGON中的所有文件都得到了运行吗? 因为那里有15个以上的文件。 还是在组策略中指定哪一个运行? 编辑:我能够访问一个名为Active Directory用户和计算机的程序,但任何用户的属性选项卡是login脚本的空白。
我们在Active Directory中有两个域pipe理员帐户:“pipe理员”和“Robocopy”。 Robocopy是一个与计划任务相关联的服务帐户,该任务执行一个batch file – 运行Robocopy(在我们的SBS 2003文件服务器/域控制器上)。 这个帐户在几年前创build时是“域pipe理员”组的成员,原因是我无法在“计划任务”中分配非域pipe理员帐户来在服务器上运行batch file。 我现在想尽可能地限制“Robocopy”帐户,包括拒绝networking访问,以便它不能用于login到服务器以外的任何地方。 至less,我打算从“域pipe理员”组中删除“Robocopy”帐户。 什么是实现这一目标的最佳实践方法? 更新: 可以使用这些默认安全组中的任何一个来实现我想要的吗?
我有10个用户和10台电脑和5台打印机。 9台电脑是工作站,10台是我们的计费服务器。 每个用户都有一套独特的networking驱动器映射和打印机映射。 我使用打印pipe理 – >部署到组策略来部署打印机。 我使用GPO中的“用户首选项”部署networking驱动器。 我正在使用GPO部署,因为我想消除login脚本。 一切正常,直到用户通过terminal服务login到计费服务器。 在那里我想要一个基于计算机的GPO映射该服务器的特定networking驱动器和打印机。 我的问题是,当用户login到服务器时,找不到用户打印机GPO的方式。 对于networking驱动器,我可以使用定位这很好。 但我的打印机部署方法没有我能find的定位选项。 有没有办法允许该服务器的GPO只有当该用户通过terminal服务login到该服务器时才忽略我的用户驱动器和打印机GPO? 如果没有,除了编写login脚本之外,还有没有人有任何其他的想法? 谢谢 -Craig
我在SQL Server 2008R2上运行了一个非常奇怪的行为。 我有一个作为SQL Server客户端的第三方应用程序。 我有一个应该有权访问此应用程序的用户的子集。 我创build了一个Active Directory组,称其为“DOM \ appusers”,与几个testing用户。 我创build了一个相同名称的SQL Serverlogin名,创build了一个数据库,将其命名为“appdb”,在appdb数据库创build了一个用户,与login关联的“DOM \ appusers”,并为该用户分配了“db_owner”angular色。 大多数操作工作。 但是他们中的一些人会得到错误。 特别是,一个查询失败: SELECT x,y,z INTO tmpTable FROM (table1 INNER JOIN table 2 on table1.col1 = table2.col1) INNER JOIN table3 ON table1.col2 = table3.col2 GROUP BY x,y,a,b,c HAVING (((table2.col4)=0) AND ((table3.col5)=0)) AND ((table3.col6)=0) 这是从SQL事件探查器,在那里它标记查询的错误,但没有关于错误的更多细节,和应用程序是无益的,所以我不能告诉你究竟是什么错误抛出。 我不是SQL专家,所以我不知道这个查询有什么特别的地方,或者为什么它需要db_owner之外的权限,但是这不是一个关于SQL查询的问题。 对我来说真奇怪的是,如果我绕过这个组,我会得到不同的结果。 如果我删除上面详细说明的SQL Serverlogin名和用户名,则直接创build一个新的login名和用户引用Active Directory用户,并为其分配相同的db_ownerangular色,然后上面的查询工作。 事实上,所有查询都按预期工作。 这很奇怪,我认为这是我的错误。 […]
我需要将用户添加到域中所有计算机的本地pipe理员。 我阅读了有关受限制群体的信息,但是我不想replace所有成员,只是追加了一个新成员。 它可能吗?
在Windows Server 2008 R2上,我想知道哪些用户已远程(本地)login到此计算机。 例如,Windows服务器在子网192.169.34.xxx上,并且正在从我的PC(位于域:192.169.32.xxx)上访问服务器上的文件夹。 我可以通过Windows资源pipe理器访问服务器,如下所示: \\191.169.34.55\d$ 然后它询问我的用户名和密码:用户名我使用serverDomain \ admin,然后在服务器上的pipe理员用户帐户的密码。 所以我的问题:当我像这样访问服务器时,我怎么能从服务器上看到哪些用户正在远程访问服务器,就像我从本地PC从另一个子网(或从同一个子网,如果有的话) 谢谢