有一个简单的方法来做一个活动目录实例的备份,修改和还原吗? 更具体地说,我正在寻找做一个备份,然后更改DC=foo,DC=com所有引用到DC=foo,DC=dev以便我可以设置一个开发AD。 我一直在试图使用ldifde没有成功。 我希望有人有一个简单的脚本,可以帮助完成这一点,我的谷歌迄今为止失败了我。
我正在实施的服务将运行在域控制器上 ,所以我希望它拥有最小的权限。 理想情况下,它只是作为本地服务运行。 但是,它需要能够: 监视性能计数器(是性能监视器用户的成员) pipe理性能计数器,日志和警报(是Performance Log Users的成员) 读取事件日志(是事件日志读取器的成员) 为这些组添加本地服务显然不是一个好方法。 将服务作为为其生成的虚拟服务帐户运行将允许其以计算机的身份访问networking,这也是不理想的。 所以我想运行它作为本地服务与非零SIDtypes ,从而传递给予VSA的特权。 我无法将服务的VSA添加到上述组中。 我怀疑这是因为VSA是本地的(只存在于域控制器内),而这些组是域组。 可能吗? 组pipe理服务帐户可能被certificate是有用的(replaceVSA),无论是需要手动创build。 什么是正确的方法来设置一个服务只运行指定的权限,而部署没有先决条件(没有创buildGMSA)? 特定组的特定答案也是受欢迎的。
我无法将新的Server 2012 R2服务器升级到现有域上的域控制器。 DC服务器是2008年,新服务器是服务器2012年,以促进服务器的机器显示先决条件检查失败。 validationActive Directory准备的先决条件失败。 无法validation架构主机是否在上次重新启动后完成了复制周期。 Exception: Unavailable Critical Extension. Server extended error: 8366. Server extended message: 000020AE: SvcErr: DSID-03210384, problem 5010 (UNAVAIL_EXTENSION), data 8610 . Adprep failed to verify whether schema master has completed a replication cycle after last reboot. [Status/Consequence] The schema is not upgraded. [User Action] Check the log file ADPrep.log […]
我正在尝试添加一个AD托pipe服务帐户,我的第一次尝试如下所示: New-ADServiceAccount -DNSHostName VM-Backup-Service -Name "VM Backup" -samAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local" 这个命令基本上是挂起的,我想是因为我把DNSHostName指向了一个不存在的东西,因为我没有做足够的阅读。 然后我尝试纠正它,并使用它的FQDN将它指向主DC。 New-ADServiceAccount -DNSHostName AUDC.company.local -Name "VM Backup" -SamAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local" 我现在面临的问题是AD说这个账号已经存在了: New-ADServiceAccount : The specified account already exists 如果我真的能够find所说的帐户,以便在正确地重新添加之前将其删除,那将不是什么大问题。 我已经尝试跟踪它: Get-ADServiceAccount -filter 'samAccountName -like "*VM_Backup*"' Get-ADUser -filter 'samAccountName -like "*VM_Backup*"' 以下内容不会返回任何内容,这意味着域中没有服务帐户? Get-ADServiceAccount -filter * 如果任何人有任何方法来追踪它的build议,将不胜感激。 我唯一的提示是我知道我在上面的命令中指定了samAccountName,并且在它说明帐户已经存在时返回的CN = VM Backup的片段: New-ADServiceAccount : The […]
在我的主域控制器上,每个GPO策略的AD和Syslog版本似乎都是正确匹配的: 但是,当我运行组策略结果报告时,它说它们是“AD / SYSLOG版本不匹配”: 根据repadmin / showrepl,我的复制启动并正常工作: 这里发生了什么?
我们正在使用PowerShell DSC自动部署一些小的自包含环境,在这些环境中,我们部署2个域控制器,并使用DSC来设置域等。这一切都工作正常,除了事实,一旦部署和运行,在某些时候,两个DC之间的sysvol复制停止工作(或从未开始工作)。 我们在日志中看到这个错误: DFS复制服务在本地pathF:\ SYSVOL \ domain上初始化SYSVOL,并且正在等待执行初始复制。 复制的文件夹将保持初始同步状态,直到与其伙伴进行复制。 如果服务器正在升级到域控制器的过程中,则在解决此问题之前,域控制器将不会作为域控制器进行通告和运行。 如果指定的合作伙伴也处于初始同步状态,或者在此服务器或同步伙伴上遇到共享冲突,则会发生这种情况。 如果在将SYSVOL从文件复制服务(FRS)迁移到DFS复制过程中发生此事件,则在解决此问题之前,更改不会被复制。 这可能会导致此服务器上的SYSVOL文件夹与其他域控制器不同步。 现在我知道如何解决这个使用ADSIEdit,这不是问题。 我们正在自动部署这些环境,因为我们需要部署这些环境并对它们进行相同的configuration,所以我不想在部署之后进入每个环境来解决这个问题。 我们在以这种方式部署的每个环境中都会看到这个问题,所以显然在configuration方面有些不妥之处。 所以我真正要问的是,如果有人有什么想法可能会导致这个问题,或者从哪里开始寻找并寻找根本原因。 AD部署非常简单,我们首先configurationDC1,添加一些DNS条目,一些组策略项目,一些用户,组和OU,然后添加到第二个DC中。 第二个DC确实获得了所有这些对象,所以域的初始副本确实可以工作,但在此之后,SYSVOL中的任何内容都不会被复制。 编辑 在部署时,我们还看到了一个单一的错误实例ID 1202,这是奇怪的,因为DC prom成功了,并且能够获得域的初始副本; DFS复制服务无法联系域控制器来访问configuration信息。 复制已停止。 该服务将在下一个configuration轮询周期中再次尝试,这将在60分钟内发生。 此事件可能由TCP / IP连接,防火墙,Active Directory域服务或DNS问题引起。 附加信息:错误:1355(指定的域不存在或无法联系。)
由于一些错误,我有很多机器似乎是从他们这边绑定到Active Directory(AD),而不是在AD的一边。 机器认为他们仍然在公元,但公元不同意。 尝试login时,会导致这个众所周知的“此工作站和主域之间的信任关系失败”错误。 我想远程/以编程方式重置ComputerMachinePassword或以远程/编程方式将它们从AD中取出,然后再次将它们join到AD中。 但是我甚至不能让他们以任何命令离开公元。 我尝试了很多方法,从WMIC的PowerShell到netdom,通常都会得到“权限被拒绝”的错误。 我已经尝试了域pipe理员和本地pipe理员(和组合),远程和机器本身。 但是,我可以通过GUI删除机器。 尽pipe如此,我宁愿不要用大约100台电脑来做这件事;) 问题似乎是,机器本身想要看到ADpipe理权限被删除,我不能得到(因为广告不会(再))。 在这种状态下,有没有办法通过命令行从AD中删除机器(或者不再使用AD)?
我试图build立一个Linux和Windows之间的接受所有环境。 这包括LDAP支持,因为我希望所有login凭据保持在服务器端。 我的目标是让用户为他的Windows 7笔记本电脑和他的Linux Mint桌面使用相同的用户名和密码。 到目前为止,我已经设置Samba作为Active Directory工作。 AD的工作正常,但似乎后端不是OpenLDAP,所以我不能直接将AD绑定到Linux机器上。 什么必须configuration,以便Linux和Windows机器共享相同的LDAP后端?
美好的一天, 我有一个CSR(证书签名请求)文件,它是在一些远程的非域名站上生成的。 我创build了一些AD用户帐户。 我已经为自己的帐户签署了注册代理证书。 问题是 :我可以以某种方式将此CSR提交给企业CA,代表此用户帐户进行签名吗? 最好从命令行(但不是必需的)? 我在这个主题上发现的不同页面只是演示了如何代表域用户(使用.inf文件)创build新的新CSR,然后将其提交给CA( 示例 )。 但是,我可以用现有的企业社会责任来做到这一点吗
我们(一个小型组织)正在部署Azure VM作为Active Directory域控制器。 现在我们要将客户端添加到这个活动目录并查看networking/连接解决方案。 有许多网站的用户,也有外部的网站。 已经看过直接访问,但它需要客户端上的Windows企业许可证。 已经看过Azure网站到现场的VPN,但是用户需要在大多数情况下并非如此。 已经看到用户站点VPN的天青点,但它只在用户login后才连接(即使使用任务调度器,我已经打破了azure色VPN客户端,但它没有连接之前login到Windows,因为它使用证书和Windows不允许login之前访问它)。 有没有解决scheme,通过互联网validation用户到活动目录像直接访问?