简短版本:如何防止Active Directory 2012 R2域控制器在特定的界面上通告域? 我希望networking不被标记为域networking,并且不应该提供域服务。 环境:用于pipe理小型Hyper-V群集和相关虚拟机的独立AD。 DC还运行VMM服务器,并有权访问生产networking,因为需要访问VMM控制台。 长远目标/潜在的解决scheme:我想绝对没有非VMMstream量到达生产networking。 我已经考虑阻止所有非vmm传出连接与Windows防火墙,但我不知道如何强制在一个接口上的特定configuration文件。 谢谢!
只是我想了解一些AD概念,当看到find我的AD数据库文件时,我看不到任何名为“Ntds”在C:\ Windows中的文件夹。 相反,我可以在C:\ Windows \ System32中find文件“Ntds.DIT”。 我有一个在2个环境中检查,发现相同。 谷歌search和发现这个职位,但我知道默认情况下,这个数据库文件被创build在C:\ Windows \ Ntds \文件夹。 那么如果它没有创build这样的文件,那么AD如何在这些环境中正常工作呢? 或者是我缺less一些与此有关的信息? 仅供参考,已检查Windows 2003 R2 AD服务器。
我正试图接pipe一个旧的基础架构并进行清理,但是我遇到了一些决定新架构的问题。 我们在一个机架上有一套十二台或两台testing/生产服务器,其间有两个并行networking。 每个服务器有两个网卡,并连接到两个networking。 其中一个networking是外部networking,具有公共互联网IP和互联网接入。 另一个是本地networking,具有内部IP,用作快速通道内部通信networking,用于传输备份并连接到数据库,而不会影响/影响外部networking的带宽。 我想在networking中build立一个域控制器,我最初的计划是在内部networking中设置它,所以所有的AD通信都是通过内部局域网发送的,但是如果我想要AD有互联网访问的话更新等),它也必须连接到外部networking,这将使其多宿主。 另外,我可以将它连接到外部networking,但这意味着AD通信也会通过外部networking,并且提供给服务器的DNS名称将指向外部IP,这实际上并不是我想要的。 此外,在这种情况下,所有的服务器将外部networking适配器标记为域适配器(理想情况下,我想外部适配器是一个“公共”networking,内部一个“私人”/“域”networking) 将DC设置为多宿主服务器是唯一合乎逻辑的解决scheme吗? 我觉得我错过了很简单的事情 注意:我不需要通过互联网访问数据中心,由数据中心创build的DNS名称不应该是公开的,他们只能用于内部地址。 PPS我的计划是在DC上设置两个NIC(两个networking上的静态IP),通过外部networking适配器阻止到服务器的任何传入连接(仅用于Internet访问),并将本地DNS服务器绑定到内部IP。 networking中的每个服务器都将通过内部IP访问DC,以避免解决问题。 这听起来不错吗?
我试图通过Powershell添加一个新的邮箱,我得到以下错误: #New-ADUser -Name AreallyTest -SamAccountName AreallyTest -AccountPassword (ConvertTo-SecureString Password1234 -AsPlainText -Force) -Enabled:$true -Company land -HomeDrive Z: -ChangePasswordAtLogon:$true -Path 'cn=DC01,DC=internal,DC=land,DC=edu'| Enable-Mailbox -Identity Novell\AreallyTest -Alias Novell\AreallyTest New-ADUser : Directory object not found At line:1 char:1 + New-ADUser -Name AreallyTest -SamAccountName AreallyTest -AccountPassword(Conve …+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ + CategoryInfo : ObjectNotFound: (CN=AreallyTest,…=land,DC=edu:String) [New-ADUser], ADIdentityNotFoundException + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,Microsoft.ActiveDirectory.Management.Commands.NewADUser 如果我试图通过它自己添加邮箱,我得到这个错误(它正在寻找。内部) […]
也许这是一个简单的问题,但似乎我的头顶,我不知道如何做到这一点。 我如何获得我的域的组数量? 在森林里的所有领域? 什么是最简单的方法呢? 我明白,写一些脚本是一种select,但只是检查是否有更简单的方法来做到这一点,而不是重新发明轮子…
我试图通过使用LDAPsearchtestingLDAP for Moodle身份validation。 当我跑步 $ ldapsearch -H ldaps://totally.legit.hostname "(uid=jldugger)" -b dc=example,dc=org memberOf 我回头: ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: TLS error -5950:File not found` 我不清楚TLS错误是什么意思,而我的谷歌正在失败。 我明白AD服务器通常作为一个CA来使用,而且这个是不签名的,那是什么意思? 如果是这样,任何提示克服TLSvalidation,所以我可以继续找出正确的baseDN,OU和其他设置? 编辑1 :我可以用netcat打开一个端口到AD服务器,所以AD至less听取端口。
我正在AD服务器上设置LDAPS,以使用内部CA证书encryption域和Web服务器之间的LDAPauthentication。 AD服务器和Web服务器位于防火墙的一侧,但CA不是。 我们有两个AD服务器用于冗余。 我是否必须将两个AD服务器的证书安装到Web服务器上,以便从端到端encryptionLDAPS?
下午好, 我们两个虚拟DC和一个本地物理只读DC。 当我们将数据中心迁移到热备份站点时,我们将数据中心迁移到DC,而DC1则是主模式。 在解决另一个问题时,我们发现主DC(DC1)存在问题。 当我试图修改组策略时,它给了我一个错误,无法find我们的域名。 当我检查操作主机是错误并列出(DC1)。 当我运行一个netdom querry fismo结果指向(DC2)。 在DC2上,操作主机是DC2。 当我在dc1上运行dcdiag时: 目录服务器诊断 执行初始设置: 试图find家庭服务器… 主服务器= AOBVADC001 *确定AD森林。 完成收集初始信息。 做初步的必要的testing testing服务器:Col-DC \ AOBVADC001 开始testing:连接 ……………………. AOBVADC001通过testing连通性 做初步testing testing服务器:Col-DC \ AOBVADC001 开始testing:广告 警告:AOBVADC001不作为时间服务器广告。 ……………………. AOBVADC001testing广告失败 开始testing:FrsEvent 在过去的24小时内有警告或错误事件 SYSVOL已被共享。 未能SYSVOL复制问题可能会导致 组策略问题。 在swaco.org上运行企业testing 开始testing:LocatorCheck 警告:DcGetDcName(PDC_REQUIRED)调用失败,错误1355年 主域控制器找不到。 保存PDCangular色的服务器已closures。 警告:DcGetDcName(TIME_SERVER)调用失败,错误1355 时间服务器无法find。 保存PDCangular色的服务器已closures。 警告:DcGetDcName(GOOD_TIME_SERVER_PREFERRED)调用失败,错误 1355 好时光服务器找不到。 ……………………. swaco.orgtesting失败LocatorCheck 开始testing:Intersite swaco.org通过testingIntersite 在第二个DC的dcdaig 目录服务器诊断 […]
由于login尝试失败,我的pipe理员用户偶尔会被实验室中的工作站locking。 (虽然这是一个应该解决的问题,因为这意味着技术人员的stream程出了问题,这个时候是一个小而不重要的问题) 我的主要问题是pipe理员可以从networking中的任何地方进行身份validation。 我试过使用GPO(“拒绝通过远程桌面服务login”),ADUC(“login到”列表)。 虽然他不能实际login,但首先执行身份validation,然后系统才会检查是否有GPO或ADUC块,从而允许pipe理员用户被locking。 当然,这个问题可以适用于任何用户。 我的域\ Forest级别是2008r2,我的局域网和我的DC之间没有防火墙。 所以,简而言之,我想只允许来自某台计算机的pipe理员进行身份validation。 有什么build议么?
在将客户端计算机添加到域控制器后,我遇到了一个麻烦,我跟随了我在这个网站上得到的答案,并使用我的服务器的IP地址作为客户端计算机上的首选DNS。 然后,我通过执行ping 192.168.0.140 ping服务器从客户端计算机,其中192168.0.140是服务器的IP地址,并且服务器正确响应。 然而,如果我通过执行ping zedvance.net从客户端ping zedvance.net服务器的域名,我得到一个错误,说ping request could not find host zedvance.net 。 我试图去添加客户端到domaing,但我一直打这个错误 An active directory domain controller could not be contacted. 一旦击中细节,我得到以下 DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "zedvance.net": The query was for the SRV record for _ldap._tcp.dc._msdcs.zedvance.net The […]