所以我不习惯在多个子网/位置设置DC,我希望能得到一些指导。 我只是在和虚拟服务器搞混了。 DC1 =阿波罗 DC2 = Cronos AD前configuration 防火墙: 绿色 – > 192.168.0.15 紫色 – > 192.168.3.15 DC1(初始设置): IP: 192.168.0.1 SN: 255.255.255.0 GW: 192.168.0.15 DNS: 192.168.0.15 (这将改变,只用于初始设置) DC2(初始设置): IP: 192.168.3.1 SN: 255.255.255.0 GW: 192.168.3.15 DNS: 192.168.0.1 (注意这是DC1的IP地址) DC1 因此,我首先安装ADDSangular色,并将DC1提升为dev.local的新根域 我安装DNS,GC(不是真正的第一个服务器的选项是什么?)。 不创buildDNS委派区域,NetBIOS名称是DEV ,保留path为默认值。 安装并重新启动DC1后,它将首选的DNS设置为127.0.0.1但将其更改为实际的IP 192.168.0.1 DC2 我安装ADDS,并将其提升到现有域中的域控制器。 我认为它可以检测dev.local因为我的DNS点通过。 这里是我不确定的地方,我应该为这个第二个站点安装DNS和GC吗? 因为理想情况下,这将在一个单独的物理位置,这将是理想的,对吗? path,附加选项都是默认值。 发布configuration 防火墙: 绿色 – > […]
我们即将实施一项新的密码政策,要求用户每六个月更换一次密码。 我们还需要每个用户在本周更改密码。 我宁愿不创build一年两次的密码更改狂热,并宁愿随机或错开密码到期date。 尝试修改ADSI编辑中的pwdLastSet属性时收到错误。 看来该属性可能是只读的。 如果我可以写信给它,我不确定是否直接修改pwdLastSet属性将有任何不良影响。 我考虑实施多个密码策略,但是从我读到的内容来看,DFL 2003不支持多个密码策略,这需要升级(尽pipe它可能会导致最终升级的一半体面的借口)。 当所有用户立即需要密码更改时,如何避免每半年发生一周的公司范围密码更改?
看了如何configurationWindows计算机以允许与DNS别名文件共享我试图了解是否有一种方法,你可以直接别名的方式,而不仅仅是服务器 我们目前有1台服务器托pipe了多个股份,我们最终将分配给不同的服务器,我们的股票只是更新,但希望不是需要input共享名称。 因为目前如果用户转到\ PHYSICALSERVER \,他们仍然可以看到所有可用的其他共享,因为它们实际上只是另一个服务器的别名。 \\PHYSICALSERVER\Share1 \Share2 \\AliasNameShare1\ – 通过DNS中的CNAMElogging将其别名为\\PHYSICALSERVER\Share1 。 这可能吗?
首先,我想指出这个问题纯粹是理论上的。 我要求它能更好地理解Active Directory中不同组的性质。 所以,我创build了两个单独的Active Directory森林,比如说森林A和森林B.另外,我手动在它们之间创build了一个双向传递森林信任。 现在,我想尝试一件事情:允许林A中的任何企业pipe理员在林B中执行任何pipe理任务 为此,我想将forest A的“Enterprise Admins”组添加到林B的“Enterprise Admins”组中。这是不可能的,因为“Enterprise Admins”组只能在同一个林中有成员。 接下来,我试图给森林B添加一个中间组。这个想法是: B的“企业pipe理员”==>中间组==>“企业pipe理员” 但是,唯一可以担任其他森林成员的团体是“本地团体”,不能成为任何其他types团体的成员。 所以,我被困在这里。 有可能完成这个任务吗?
我正在帮助( devops )客户端将他们的技术堆栈(VMware,Windows AD,Ubuntu Linux)从旧的同位置设施移到新的环境中。 我没有直接移动硬件和系统,而是在新的数据中心build立了一个并行环境。 我需要在新网站中build立的一件事是Active Directory。 现有的AD在旧站点(2008 R2)包含单个域控制器。 虽然新的设施有思科ASA防火墙,但他们的旧站点却没有。 他们目前的系统暴露在网上,没有防火墙; 包括域控制器! 站点到站点的VPN隧道似乎不是一个选项。 我想在新的站点build立另一个域控制器; 基本上通过互联网join一个域名。 这对于VMware虚拟中心,DNS以及我需要继续使用新环境的一些其他事情是必需的。 我构build了一个新的Windows 2008 R2服务器,并采取了以下步骤: 成功将其join域(通过互联网,将新网站限制为旧网站的源地址)。 为新旧子网添加了一个新的AD站点(它们是不同的)。 validation了我能做的DNS。 安装了AD二进制文件。 在域pipe理员帐户下运行dcpromo 。 该dcpromo步骤失败了几分钟的进程与: 操作失败,因为: Active Directory域服务无法为此Active Directory域控制器创buildNTDS设置对象CN = NTDS设置,CN = DC2,CN =服务器,CN = ServerCentral,CN =站点,CN =configuration,DC =聘用 – 系统pipe理员, DC = com在远程AD DC PEDC.hire-a-sysadmin.com上。 确保提供的networking凭据具有足够的权限。 “RPC服务器不可用” 我注意到,我试图复制的旧域控制器是多宿主的。 由于客户端在旧的同位置站点没有防火墙,他们的服务器似乎都有公网IP和默认网关指向networking,第二个接口定义为10.10.10.0/24子网上的内部通信。 我可以看到这是一个问题,因为这似乎是一个不好的做法。 如何在这个新的域控制器上完成dcpromo进程? 编辑 […]
我创build了一个新的GPO来改变用户的IEcollections夹,以前我有6个不同的GPO来pipe理不同types的用户和用户在不同位置的不同的collections夹,但最近我的老板决定,我们应该巩固他们,而不是创build一个第七独特的情况。 我创build了一个新的GPO,对其进行了相应的configuration,并将其应用于所需的OU,并设置了新的GPO。 然后,我删除了旧的collections夹GPO的所有链接。 我们的networking有2003服务器,2008年,2008年r2,vista和win7。 我遇到的问题是,有些用户正在采取新的GPO设置,有些则不是。 我有在同一个OU中的用户获得不同的结果,他们的一些计算机将采取新的GPO,有些则不会。 在运行gpresult时,在我的configuration文件中,新的GPO列在应用组策略对象下,但设置不生效。 我运行gpupdate / force没有运气,重新启动了3次,已经4个小时了。 我能够login到terminal服务服务器,新的collections夹被应用到我的个人资料,但他们只是不会在我的正常工作站上生效。 我们的DC都是2008 R2,我们的terminal服务服务器是2003 x64,我的工作站是win 7 x64,我老板的工作站是win 7 x64,这个策略适用于他的电脑没有问题。
我有一个虚拟的HyperVnetworking,由一些虚拟开发和testing服务器以及一个全function域,DNS,DHCP服务器使用; 我想让许多虚拟服务器与我们的主要物理networking分开(广播风暴,良好的实践等),但是仍然允许他们访问通过物理networking上的网关可用的互联网。 物理networking使用子网192.168.7.1/24,该虚拟networking使用10.10.7.1/24。 我希望我可以给我的虚拟域控制器第二个“外部”的超vnetworking适配器,并以某种方式与networking的其余部分共享互联网连接(假装它是网关) – 我假设将NAT其他服务器的请求就像路由器一样。 我不知道如何做到这一点。 我试过ICS但没有运气。 任何人都可以build议我怎么能做到这一点? 能够从虚拟机访问物理networking上的服务器和文件共享的奖励点:)
在使用Active Directory的同时,我运行了许多msDS-somethingforms的项目msDS-something例如: msDS-PasswordSettings ms-DS-MachineAccountQuota msDS-LockoutThreshold msDS-LockoutObservationWindow 为什么这些都是从msDS开始的? 它代表什么? 有没有这个原因呢,还是仅仅是传统命名约定的结果呢?
我已阅读有关非权威性和权威性还原方法的信息,但我不了解有关何时使用它们的概念和实际情况。 任何人都可以解释吗?
是否有可能限制Active Directory用户的最大并发login会话? 我已经阅读了许多有关解决scheme的文章和讨论,但是他们似乎都没有工作。 许多人build议用户login脚本,在Windows Server 2008中不起作用。其他一些build议的CConnect不够好。 这也很复杂。 一些其他人已经引入了应该支付的UserLock。 它想知道Windows Server 2003是否具有该function(Wile作为第三方),但Windows Server 2008没有! 我读过的文章之一: http : //www.edugeek.net/forums/windows-server-2008-r2/61216-multiple-logins.html