在一个林中,我有一个Windows 2003 AD集成DNS作为我的主要DC。 然后我在同一个森林中configuration了一个额外的DC,它也是AD集成DNS。 我的想法是,在我的客户机(XP / 7)上,在tcp / ip的DNS设置中,configuration的主要DNS指向主要DC的IP地址,次要DNS指向次要DC的IP地址。 由于两个DC都是AD和DNS,这是否意味着如果主要DC出现故障,客户端机器仍应能够login到域,因为我有一个具有AD集成DNS的辅助DC,它还将validation所有用户在域上,对不对? 高度赞赏大家的build议。
我们有一个活动目录服务器作为全局目录和DC,这个有运行主机运行。 我们有第二个ADDC全球目录和交换服务器。 我开始在主要的ADDC上得到下面的消息 日志名称:DFS复制源:DFSRdate: 2/1/2014 12:43:22 AM事件ID:4012任务类别:无级别: 错误关键字:经典用户:N / A计算机: 说明:DFS复制服务停止具有以下本地path的文件夹上的复制:C:\ Windows \ SYSVOL \ domain。 此服务器已与其他伙伴断开连接126天,这比MaxOfflineTimeInDays参数(60)所允许的时间长。 DFS复制认为此文件夹中的数据是陈旧的,并且此服务器将不会复制该文件夹,直到更正此错误。 要恢复此文件夹的复制,请使用DFSpipe理单元将此服务器从复制组中删除,然后将其添加回组中。 这会导致服务器执行初始同步任务,该任务将使用来自复制组的其他成员的新数据replace过时数据。 在交换服务器,我得到这个错误 DFS复制服务停止卷C:上的复制。 当DFSR JET数据库没有完全closures并且禁用“自动恢复”时,会发生这种情况。 要解决此问题,请备份受影响的复制文件夹中的文件,然后使用ResumeReplication WMI方法恢复复制。 附加信息:卷:C:GUID:F18E11A2-980C-11E2-93E8-806E6F6E6963恢复步骤1.备份卷上所有复制文件夹中的文件。 否则,在复制文件夹的恢复过程中可能会由于意外的冲突解决而导致数据丢失。 2.要恢复此卷的复制,请使用DfsrVolumeConfig类的WMI方法ResumeReplication。 例如,从提升的命令提示符键入以下命令:wmic / namespace:\ root \ microsoftdfspathdfsrVolumeConfig其中volumeGuid =“F18E11A2-980C-11E2-93E8-806E6F6E6963”调用ResumeReplication 我试图在这里跟随这个人,但我似乎无法在ADSI中find这个编辑: CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain>
我有一个RODC和一个RWDC.i在RODCcaching数据库上预先填充一些密码。 我已经阅读了这篇文章用户身份validation如何在RODC站点中工作? 我想限制用户在多个RODC中的访问(例如user1不能login到不同的RODC中的操作系统)。 所以我想知道是否有一种方法来限制用户login只是从其RODCcaching数据库而不是RWDC活动目录? 原始通信: 我可以这样做吗?
我有几个独立的LDAP服务器,由不同的实体控制,允许匿名访问。 我想AD要告诉LDAP查询使用不同的服务器…像recursionDNS。 这可能在LDAP或特别是AD?
我们正在迁移Windows操作系统,并在AD中使未来的search更容易,我想在计算机名称对话框中的描述框中提供更多的细节。 例如 Blade03 |为BL465c | WIN2008R2 | 4GB | 2CPU | 75GB | 10.67.41.53 我在我的广告search了这个,没有出现,是否有一个更简单的方法来做到这一点,所以说明变得可search。
我将通过解释我的情况来开始我的问题。 我的公司一直面临着涉及大量(如果不是全部)账户的随机的,但是周期性的locking。 我的团队一直怀疑有某种恶意软件和/或黑客工具从AD域控制器中提取所有用户帐户,并试图对这些帐户进行暴力破解。 目前我们正在监控所有停工事件,试图缩小犯罪者的来源。 但是,直到我们真正发现并迫害犯罪者,有一些活动确实需要不间断的访问,而不受帐户locking的影响。 我们称这些帐户为overseers 。 我想要解决这个窘境的是: 创build一个临时域。 我们称这个d2.company.com (D-2),而原来的折磨域名为d1.domain.com (D-1) 有D-1 信任 D-2,但不是相反(即D-2不信任D-1) 在D-2中创build一些帐户,并以某种方式授予他们与D-1中overseers帐户相同的权限。 [1] 现在,我的问题是: A)这个策略会起作用吗? B)恶意程序/恶意软件能否暴力破解D-2帐户? C)我需要关心的任何catch / gotchas? TIA为您提供帮助。 [1]是的,我很可能必须创build“通用”组,并将其添加到所有相关的域本地组,但这是我完全愿意做的一个单调乏味的事情。
我需要从CentOS 6.5查询Active Directory DC的ldap部分。 ldapsearch允许我这样做,但是我在“ldapsearch”路上发现了两个颠簸: ldapsearch将长文本包装成几行。 不好。 ldapsearch将任何非ASCII字符转换为base64。 更糟。 我需要这两件事来自动化一个经常性的任务。 我已经search了一个解决scheme,但我还没有find一个。 有些页面告诉我CentOS 6.5的ldapsearch似乎没有实现的一些命令行开关。 有没有办法强迫centos 6.5的ldapsearch做我想做的事情,或者我必须去其他地方看看? 是否有任何其他替代ldapsearch,满足任何人都知道的需求?
是否有办法列出gMSA(组托pipe服务帐户)的PrincipalsAllowedToRetrieveManagedPassword属性中的所有组和/或主机的当前列表? 在“ 入门 ”页面上没有任何帮助,更多的 例子是返回错误,不是很清楚。
在我的Windowsnetworking中,运行Windows 2003的所有AD服务器(仍然),我遇到以下问题:“最大密码年龄”策略显然不适用。 即使有些用户确实被要求定期更换密码,显然很多人并没有被要求这样做。 对于使用passwordLastSet <=两年(!)前, lastlogonTimestamp >=三个星期前和userAccountControl=512 (此隐含条件特别意味着Password never expirescheckbox未选中)的用户的快速LDAPsearch给我一个关于70(!)个用户。 我可能会手动要求他们在下次login时更改他们的密码,但是我宁愿看到密码使用年限策略的作用(并且我没有更改它们就是为了得到有关策略的指示)。 我想我知道在哪里configuration这个:在最大密码年龄 ,期限下的默认域策略 。 我出于绝望而疯狂,根据文档应该没有帮助(但至less它不应该伤害,如果它?):由于“默认域名政策”的设置 – 显然 – 没有影响,我在“默认域控制器策略”,“[公司]域策略”,[公司]直stream策略,[公司]计算机策略](名字表明他们的范围相当好,我猜)但没有什么帮助。 概述:人们首先login到他们的个人电脑,这个个人电脑可以是任何版本的Windows,从8.1到甚至还在运行XP(在被转储的过程中)。 在这里他们要么在本地工作,要么主要login到RDP服务器,这些服务器都运行Windows 2008R2; 这后一个login名额外受到一个特定的“[公司] TS环回策略”,其中我还添加了maxpassword年龄设置 – 没有成功。 毕竟,已经login到本地PC应该已经过期了。 换句话说,我不知道这背后有什么问题,非常感谢。 与此同时,这已经使我陷入了几个月的困境,实际上现在它已经成为一个越来越大的脖子上的痛苦(见第一段中发现的实际密码年龄!!)。 虽然我们急于想要迁移AD版本,但这可能会将问题解决为一个副作用,如果在开始迁移之前能够解决这个问题(并且可能导入深层隐藏的问题),我们会更加高兴。
我想强制所有的域用户更改他们的密码,但是我希望在未来的某一天发生。 有没有一种方法可以使我自动化,无论是使用GPO还是PowerShell脚本,还是等到改变的那一天再做一些事情,比如在这个链接中提到什么? 如何强制域用户现在更改密码