我正在寻找重命名域控制器。 function级别和其他一切意味着我可以使用netdom来执行该过程。 看这个主题的technet文章 ,我可以看到第一步是将名称添加到域控制器: netdom computername <CurrentComputerName> /add:<NewComputerName> 第二步是把新的名字作为主要的: netdom computername <CurrentComputerName> /makeprimary:<NewComputerName> 在复制之后删除旧名称之前: netdom computername <NewComputerName> /remove:<OldComputerName> 为了平滑过渡,我想保留旧名称,以避免任何引用OldComputerName的系统在追踪时仍然连接。 通过省略删除旧名称的步骤,我会从根本上打破它devise的工作方式吗? 在我看来,它会为新名称创build一个新的SRVlogging,旧logging仍然存在。 但我不确定这是否会打破AD(Server 2008 DFL / FFL与2008和R2框)的复制。
我们的服务台已经用“用户必须在下次login时重置密码”重置用户密码多年。 最近重置了“最短密码年龄”从0天到5天的默认域策略。 现在,当帮助台重置用户密码与用户必须重置密码select最终用户收到一个拒绝的消息,因为密码重置不到5天。 search只显示如何委派权限重置已完成的密码。 出现帮助台更改密码标记密码重置,就像用户自己重置密码一样。 任何线索?
我有一种情况,我需要修改强制组策略对象,但是由于敏感性,我必须首先对一个testing用户testing我的结果。 为了做到这一点,我打算使用相同的设置创build新的策略对象,在那里应用正确的修改,然后只对特定的testing用户(您可以了解)进行testing。 因为主要的GPO被强制执行,我不得不以某种方式使testingGPO胜过主GPO? 如果我将testingGPO放在主GPO之上, 执行testingGPO并通过安全筛选将testingGPO仅应用于testing用户,testingGPO是否会胜过强制GPO?
让我解释一下情况: 我们有一个完全虚拟化的现场生产系统,在Microsoft故障转移群集中运行所有生产虚拟机。 这个问题有趣的虚拟机是主域控制器(SRV-DCA)和辅助域控制器(SRV-DCB)。 现在我们想将这两个虚拟机导出/复制到备份服务器上,以便我们可以在不在生产环境中的DC上运行一些testing。 我们尝试closures活动服务器上的SRV-DCA和SRV-DCB,并执行了正常的Hyper-V导出。 然后,当导出准备就绪时,我使用Hyper-V导入(Register In-place(使用现有的唯一ID))将导出的DC导入到备份服务器,并启动备份服务器上的两个虚拟机。打开活动目录用户和计算机,它是说,域控制器找不到,也试图做一个“netdom /查询fsmo”,它表示,无法find或联系域控制器。 现在我不明白在出口过程中可能会发生什么情况,因为虚拟机已closures。 还有什么其他方式可以导出/复制域控制器,以便我可以在备份服务器上运行testing而不会给我这样的问题?
我无法使LDAP查询到达在Cisco PIX 506E防火墙后面的Windows Server 2012 R2上运行的Active Directory。 我的目标是为云中托pipe的一些应用程序(Digital Ocean)创build一个SSO环境。 我完全控制了服务器的整个networkingpath,并且已经在PIX上打开了端口389(LDAP)和636(LDAPS),并添加了一条静态语句将LDAPstream量转发到AD服务器。 正如我将在下面显示的,每当我尝试build立连接时,我都会在防火墙访问列表中遇到一些问题,但是我不成功。 以下是我迄今为止所做的: 1.在防火墙上打开LDAP和LDAPS端口 fw1(config)# show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024) alert-interval 300 access-list inbound; 4 elements access-list inbound line 1 permit icmp any any (hitcnt=383) access-list inbound line 2 permit udp any interface outside eq 1194 (hitcnt=3) access-list […]
有没有办法将特定用户的请求限制在AD中,以便他只能询问用户名或电子邮件地址是否存在? 用户不应该能够从AD请求其他数据。
当运行一个查询如 Get-ADUser -Filter * | select DistinguishedName, Enabled 启用列有很多空值(我只是期待真或假)。 为什么是这样? 有更好的命令来获得用户帐户的启用/禁用状态吗? 这是在2008R2域名。
我试图通过Exchangepipe理控制台和ADSIEDIT删除全局地址列表,因为我在创build时犯了一个错字。 现在,当我尝试创build一个新的GAL时,出现以下错误 [PS] C:\ Windows \ system32> New-GlobalAddressList -Name“Tenant00001 -GAL”-ConditionalCustomAttribute1“Tenant00001”-Inc ludedRecipients MailboxUsers -RecipientContainer“******** dc.com/HostedExchange” 警告:Active Directory属性中缺less一个或多个全局地址列表。 这可能是由于使用传统的Exchangepipe理工具来创build全局地址列表所致。 *** MasterDC发生Active Directory约束违规错误******* dc.com。 附加信息:名称参考无效。 这可能是由Active Directory域控制器之间的复制延迟造成的。 Active Directory响应:000020B5:AtrErr:DSID-0315286E,#1:0:000020B5:DSID-0315286E,问题1005(CONSTRAINT_ATT_TYPE),数据0,Att 907ff(globalAddressList2)+ CategoryInfo:NotSpecified:(:) [New-GlobalAddressList] ,ADConstraintViolationException + FullyQualifiedErrorId:[Server = C ******** R01,RequestId = e066151b-e695-494e-b238-f1b0f141c708,TimeStamp = 15/12/20 14 17:21:56] [FailureCategory = Cmdlet- ADConstraintViolationException] 62CA54FF,Microsoft.Exchange.Management.System ConfigurationTasks.NewGlobalAddressList + PSComputerName:** asvr01。******* dc.com [PS] C:\ Windows […]
我在Active Directory服务器中有几个组织单位,如下所示: OU1: USER1 用户2 OU2: 用户3 USER4 我的目标是以两种现有单位的不同方式configuration帐户locking策略。 即第一单位应该有帐户locking的门槛,另一个不应该有。 我试过用所需的configuration为OU1单元创build额外的组策略对象 。 但不幸的是,它不工作。 我试图login很多时间,但账户没有被封锁。 有什么想法吗?
我在地址为192.168.10.0/24的局域网中有一个Windows Active Directorynetworking。 我有另一个网站的地址是192.168.11.0/24,其中所有AD服务器都在192.168.10.0/24网站(我知道,坏!)。 两个网关都使用Fortigate防火墙,并通过Fortinet IPsec隧道进行链接,以便双方的机器可以互相访问。 偶然地,一台机器configuration了一个静态IP为192.168.10.36的IP地址,并被发送到另一端,那里没有IT部门的工作人员。 现在,由于地址错误,我们无法访问机器,下面的解决scheme不起作用: 作为本地pipe理员login,因为它被禁用。 以ADpipe理员身份login,因为机器无法访问AD服务器。 改变路由表,因为如果我们将对方防火墙的地址改为192.168.10.X,我们将被淘汰。 我们还有什么其他的select? 我在寻找: 一种更改IP地址的方法。 有一个能够login的caching域用户,但它不是pipe理员。 要么, 一种方法来恢复连接,所以我们可以login和更改IP地址,或 任何其他解决scheme,恢复访问机器。 编辑:只是为了澄清:由于某些原因,运送东西到其他网站是不可能的,现在…