概观 我目前有一台CentOS 7服务器,设置为使用KVM的虚拟机主机。 它有一个4TB(2x2TB镜像)ZFSarrays,将用于虚拟机和文件存储。 这是在Server 2012 R2之上从头开始重buildAD域的过程的一部分(旧IT人员留下的当前2008 R2域有些混乱,并且运行在旧的Core 2时代台式机)。 我们需要Server 2012 R2来实现组策略。 有7 / 8.1 / 10机器的混合,但一切都将在几个月内运行Windows 10。 用户在安装到他们的机器上的服务器上有一个共享Z: ,他们还访问服务器上的共享各部门使用的文件。 我们也将实施一个新的备份系统(Crashplan / Carbonite / Mozy是目前最有可能的select)。 规模 该networking由总部约55台计算机以及办公室外的其他计算机组成,以后将通过OpenVPN连接。 总的来说,我在看大约150台电脑。 至less还有很多用户。 另外,新的域名将会有大约一到二十个安全组。 选项 我试图决定如何最好地处理文件存储和networking共享。 具体而言,我是否应该打扰Samba,如果不是,我应该将文件存储在磁盘映像中,还是在ZFSarrays上创build一个数据卷,然后将其作为原始块存储设备传递给Server 2012 VM 。 将文件存储在磁盘映像中以供虚拟机使用对我来说似乎总是一个糟糕的解决scheme。 这很简单,并会工作,但我不特别喜欢它。 如果我需要将这些文件传输到Windows服务器,则必须安装映像或启动虚拟机。 将所有文件都放在一个图像中便于传输,但如果传输中断,则是一个问题。 这可以通过使用像rsync这样的东西解决,但这意味着我只能转移到另一个Linux机器。 使用磁盘映像的另一个问题是,我受限于在虚拟机内部运行备份软件(否则我将失去文件级访问权限)。 虽然我想我可以在主机上以只读方式挂载映像,或者将映像添加到另一个虚拟机,只读访问专用于备份软件。 我知道ZFS允许您创build数据卷,作为块级设备,然后可以作为物理驱动器传递给VM。 这基本上意味着在ZFSarrays中有一个NTFS分区。 我可以将这个卷的只读权限授予另一个可以处理备份软件的虚拟机,也可以在裸机上以只读方式挂载卷,并且可能在Docker容器中运行备份软件。 我也可以通过ZFS快照将文件传输到另一台Linux主机。 转移到Windows主机仍然意味着挂载卷或启动虚拟机。 最后的select是将所有文件直接存储在ZFSarrays中,并运行Samba通过networking共享它们。 虽然我期望有一个相当复杂的权限层次结构,但我担心通过Samba来pipe理它(我只在家庭服务器环境中使用过Samba)。 另一方面,我知道我可以有效地pipe理Server 2012 R2中的层次结构,尤其是使用Powershell。 另外要考虑的是,我可以直接在VM主机上,VM内部或Docker容器内运行Samba,所以它非常灵活。 题 […]
我已成功为我pipe理的其中一个Active Directory林设置Google Apps Directory Sync(GADS)。 这个森林是用2012R2的function级别创build的。 现在我正在为第二个森林build立GADS。 这个森林曾经是在2003年的function层面,但后来被提升到了2008年的function层面。 在GADS中,我使用了一对“用户帐户”search规则,用于暂停AD中已禁用的Google Apps用户,并取消暂停AD中已启用的用户。 这个安排在我build立的第一座森林里完美无瑕。 但在我的新森林中,它返回不完整的数据。 以下是我正在使用的查询: 不要挂起(&(objectCategory = person)(!(userAccountControl:1.2.840.113556.1.4.803:= 2))) 挂起(&(objectCategory = person)(userAccountControl:1.2.840.113556.1.4.803:= 2)) 问题是:如果我在该暂停查询的GADS接口中运行“testingLDAP查询”,它只返回两个用户。 但是总共有36位用户应该被退回。 由于该查询未find已禁用用户的完整列表,因此当我在AD中禁用某人并执行同步时,GADS不会在Google Apps中禁用该用户。 当我在非GADS LDAP查询工具(VTLDAPQuery)中运行相同的查询时,它将返回完整列表。 在testing查询时,GADS返回的两个用户在2003年期间被重新创build。 其他34个, 我相信是在function级别提升之后创build的。
我正在与约70个用户的AD域。 有一个文件夹redirect每个人都有相同的桌面。 但是,一个特定的用户需要在她的桌面上有一个没有人应该访问的文件夹(她是办公室经理)。 有办法将文件夹放在她的桌面上,没有人看到它? 我的意思是,我可以在该文件夹上设置特定的权限,但似乎超级迂回。 最终,如果他们想把多个项目放在桌面上,效率将会非常低下。
我有一个使用他们的目录服务在AWS中设置的小型简单Active Directory域。 现在一年来一直运行良好。 但是,今天早上,某些通过域名运行的DNS查询会神秘地失败。 C:\>nslookup merrimack.com Server: AWS-68AE5FCF56.xxx.yyy.com Address: 10.50.11.113 DNS request timed out. timeout was 2 seconds. *** Request to AWS-68AE5FCF56.xxx.yyy.com timed-out 但是,如果我问Google,立即给出正确答案: C:\>nslookup merrimack.com 8.8.8.8 Server: google-public-dns-a.google.com Address: 8.8.8.8 Non-authoritative answer: Name: merrimack.com Address: 166.78.30.154 这在昨天正常工作,正如我所提到的,一年前。 join到这个AD域的所有服务器都有相同的结果,除此之外的其他查询似乎没有问题。 C:\>nslookup pfizer.com Server: AWS-68AE5FCF56.xxx.yyy.com Address: 10.50.11.113 Non-authoritative answer: Name: pfizer.com Address: 184.73.156.141 我不是一个非常有经验的域名运营商。 我该如何诊断或解决这个错误? 小编辑:AWS控制台不显示任何错误的域,所有其他服务(身份validation等)似乎工作正常。
有时,谚语的排泄物碰到风扇,我需要重新安装在笔记本电脑上的操作系统什么的。 这不是一个问题。 通常,我遵循以下过程: 从AD删除电脑 重新安装操作系统 设置主机名称以匹配旧的设置 重新join域 我想知道…如果我跳过了第一步,只是用相同的主机名重新join域,会发生什么(如果有的话)?
我有2个森林 – domainA.com和domainB.net。 双方都build立了双向信任。 当我尝试从domainA.com位于domainB.net上的search对象,它给我以下错误: 系统无法联系域控制器来处理authentication请求。 如果我尝试search反之亦然(在domainA.net从domainB.net)一切正常。 以下是我目前所做的一些testing: C:\Windows\system32>nltest /sc_verify:domainB.net Flags: b0 HAS_IP HAS_TIMESERV Trusted DC Name \\DCNAME.domainB.net Trusted DC Connection Status Status = 0 0x0 NERR_Success Trust Verification Status = 0 0x0 NERR_Success The command completed successfully PS C:\Windows\system32> Get-ADTrust -filter {name -eq "domainB.net"} Direction : BiDirectional DisallowTransivity : False DistinguishedName : CN=domainB.net,CN=System,DC=domainA,DC=com ForestTransitive […]
这是我用来从Active Directory中的用户查找LogOn属性的PowerShell脚本。 现在,而不是让所有的用户,我希望它只能在特定的OU进行search。 该域看起来像这样:域 – OU(用户和组) – OU(Users和OU中的用户,OU) $as = [adsisearcher]"(&(objectClass=person)(objectCategory=user))" $as.PropertiesToLoad.Add('cn') $as.PropertiesToLoad.Add('lastlogon') $as.PageSize = 200 $as.FindAll() | ForEach-Object { $props = @{ 'CN' = ($_.properties.item('cn') | Out-String).Trim() 'LastLogon' = ([datetime]::FromFiletime(($_.properties.item('lastlogon') | Out-String).Trim())) } New-Object psObject -Property $props } | Export-Csv 'Lastlogon.csv' -NoTypeInformation
我有一个用户在他们的域用户帐户上设置了一些服务,问题是他不记得他是如何设置帐户的。 无论如何看看他的账户与什么链接,而不只是禁用帐户,等待有人喊? 与他的帐户关联的服务很可能会导致多个用户的服务中断 谢谢
刚从这里开始 我尝试search最相关的结果,并没有完全find我在找什么。 首先,我正在使用我为私人游戏项目创build的Active Directory,并且将其用于比我一直将其集成到开发人员使用的工具系统中。 因此,我决定将我的DNS区域放在Active Directory中,以便pipe理和复制。 显然,我不希望将我的域控制器暴露给互联网,因为这是一个不好的做法。 不过,如果可能的话,我希望能够使用这项服务。 问题是,当我在我们的一些公共DNS区域上运行检查时,它们从我的其他两个服务器(AD集成DNS的辅助副本)中parsing出来。 但是,我的SOA和Nameserver检查失败,因为域控制器对公众是不可访问的,当然,因为它们是ADI,所以它们被列为名称服务器和这些区域的SOA。 我的问题基本上是这样的,有没有一种方法可以做我想做的事情,即在我的域控制器上托pipe这些区域,并具有可用的二级副本,并仍能以安全的方式满足公众的检查? 我试图弄清楚是否我唯一的select是将这些DNS区域从我的虚拟主机中随时公开访问的外部源重定位。
我是pipe理我们的AD基础架构的Windowspipe理员。 我们的Linux团队已经build立了一些CentOS 7虚拟机,并将它们configuration为使用SSSD来join域。 最初的configuration是在一个不同的站点(不是以前写的域)查询一个DC,所以我让他们使用带有SSSD的AD站点进行研究。 服务器现在返回来自DNS的3个_ldap DClogging。 第一个尝试是从一个不同的网站,所以它不能访问它。 第二个作品,它检索正确的网站名称。 一段时间(不知道究竟有多长时间),它会使用响应的DC,在这段时间过去之后,它将开始从DNS获取3个_ldaplogging。 这导致了我们被要求解决的login延迟。 如果我们在configuration中设置了站点名称,那么它一直都在运行,但是我们必须考虑将这些虚拟机从备份中还原到其他设置了站点名称的站点上。 我不知道CentOS中的很多configuration,但有没有一种方法可以正常工作,或者它已经在做什么?