我正在使用sysinternals AD Explorer来经常search和检查Active Directory,没有任何大问题。 但现在我想不仅要连接到一个单一的AD服务器。 相反,我喜欢检查全球目录。 如果我在AD Explorer连接对话框中input,则只有服务于全局编录的计算机(例如dns.to.domain.controller )的dns名称只能接收其负责的具体域,而不是整个林(这是我的正常行为和预期)。 如果我打算以dns.to.domain.controller的forms为全局编录添加默认的端口号(3268) :3268 AD Explorer将会在没有任何进一步消息的情况下崩溃。 全局编录本身按照预期的名字和端口号工作,使得我们的apache服务器正好使用这个地址和端口号来authentication一些用户。 那么,从AD Explorer中访问全局编录的任何提示或提示? 或者还有其他好的工具,比如AD Explorer,在访问全局编录时没有任何问题?
这个问题是关于Active Directory是否需要运行terminal服务的讨论。 但是一连串的回答和评论(主要是我)都提出了一个围绕域控制器的相关问题。 在AD环境中只有一个域控制器显然是不好的做法。 将每个域控制器放在单独的(物理或虚拟)单一function服务器上,这显然是最好的做法。 但是,并不是每个人都可以一直遵循最佳实践。 使用其他angular色作为域控制器的服务器可以吗? 在确定是否“双重目的”服务器时应该考虑哪些事情? 域控制器angular色是否会更改Windows操作文件系统或硬件的方式? Windows Server版本有区别吗?
我很难诊断域PC上间歇性的慢速login。 关于有这个问题的networking的一些信息: 我的域跨越了5个站点,全部使用VPN连接。 区议会是2003年,2008年和2012年的混合。区域function级别是2003年。 客户主要是Windows 7 x64。 我们使用组策略,包括使用WMI,组偏好项目级别定位和GPP打印机部署的组策略。 我们不使用漫游configuration文件。 对于大多数以前使用机器的人来说,login大部分工作正常。 第一次login到新电脑总是很慢,但这是预期的。 问题似乎主要是与笔记本电脑。 如果他们在家里使用非域名networking连接,或移动到不同的位置(仍然在一个域networking,但不同的AD网站,似乎并不重要有线或无线)login可能需要长达3从用户input密码开始,直到实际开始显示桌面的时间。 我们的terminal服务器也间歇性地经历了缓慢的login。 不幸的是,它是一个间歇性的问题,我还没有find任何可靠的方法来重现它。 我的怀疑是与团体的政策偏好有关,但我没有任何证据。 我见过一篇微软知识库文章,指责某些types的项目级别目标为慢速login,但没有提供任何指导来确定这是否是真正的原因。 我可以使用哪些日志和工具来确定造成缓慢login的原因? 如果可能,应该使用或避免哪些组策略设置来加速login?
我已经启用了以下政策, “禁止TCP / IP高级连接” “禁止访问局域网连接组件的属性” “为pipe理员启用Windows 2000networking连接设置” 做完所有这些之后,运行windows xp,2000和vista的所有机器都会按照预期禁用networking设置属性button。 然而,所有运行Windows 7的机器都没有任何影响,我相信还有更多的步骤,所有的Windows 7机器都在域上,我们希望通过域控制器的GPO来控制它。 请让我知道,我需要做的是让Windows 7禁用networking连接的属性,我不是networking专家,我读了几篇关于在Windows 7的GPO中添加了什么新的文章,但我是空白的。 在Windows XP,Vista,2003 Server上一切正常。 只有Windows 7是一个问题。
我们有一个稍微复杂的IDAM设置: 也就是说,最终用户的机器和浏览器与父AD位于同一个networking中,我们基于Jetty的应用程序和可以与之通话的AD(本地AD)位于另一个networking中。 两个AD之间有双向的信任。 父networking中的浏览器在受信任的站点中具有本地域。 Jetty服务器的设置如下: 它使用针对本地AD中的主体生成的密钥表文件 它在本地AD中定义的用户下作为Windows服务运行 域,领域映射和kdc是针对本地AD的域定义的 它使用spnego – isInitiator设置为false; doNotPrompt是真的; storeKey是真的 问题是: 作为testing,从本地networking内的浏览器访问服务器(即链接到本地AD)的工作原理 – Kerberosdebugging信息出现在日志中,我可以在HTTPstream量中看到正确的Kerberos协商,并且用户自动login。 辉煌。 然而 ,从父networking中的浏览器访问服务器(这是我们的用户将如何做)不起作用! 浏览器得到一个401非法的,但然后提示input凭据,当input一个空白的屏幕。 然后单击地址栏并按Enter键,执行以下两项操作之一,具体取决于凭据是用于远程还是本地AD: 本地AD证书然后login,在日志中从头开始使用Kerberos(GET请求,401非法响应,Kerberos头部请求等) 远程AD证书不login(GET请求,401非法响应,看起来像一个NTLM头: Authorization: Negotiate <60 or so random chars> ) 无论哪种方式,它的提示是错误的! 有这些症状的解释吗? 我们的设置能做我们想要的吗? 关于上述描述可能是错误的:关于Jetty服务器,我提到的任何configuration都应该是正确的,就像我做的那样。 我很高兴提供更多的细节。 任何有关AD或父networking浏览器的configuration都有可能被怀疑,因为它不在我的控制之下,而且我已经将configuration报告给我,而不是自己看到它。
Windows Server 2016支持DNS策略 ,它可以在其他场景中为裂脑DNS提供支持: 您可以configurationDNS策略来指定DNS服务器如何响应DNS查询。 DNS响应可以基于客户端IP地址(位置),一天的时间以及其他几个参数。 DNS策略支持位置感知DNS,stream量pipe理,负载平衡,裂脑DNS以及其他场景。 我已经阅读了“ DNS策略概述”页面,但似乎无法find关于AD集成区域如何工作的文档,但并非所有的DC都是Server 2016。 我无法想象它能够很好地工作,因为底层服务器不知道如何解释策略并采取相应的行动,但是由于信息是在AD中复制的,所以我可以预见到一种情况,旧的DC忽略新的属性,以某种“默认”的方式(不适用政策),而新的区议会则会根据政策作出反应。 我认为在某些情况下,你可以(或者已经)有客户端指向DC的一个子集,这样可以提供一种使用新特性而不一次升级所有DC的方法。 但是,我无法find任何有关我所描述的内容是实际上是如何工作的信息,或者是否在混合环境中根本不能使用这些新function,或者是否在两者之间使用这些新function。 警告 我最近发现,在DNS策略cmdlet上, -WhatIf , -Verbose和-ErrorAction参数被破坏; 投票在这里有固定的 。 并且要小心!
我知道Windows用户是否login到计算机,然后该计算机脱离networking,用户可以使用caching的凭据login到计算机。 有什么办法来缓和这些凭据? (无需在本地login每台机器?)我们在我们的制造工厂使用一些平板电脑,并使用无线网卡访问networking。 有时,新用户在无法连接到networking时需要使用平板电脑,并且不能,因为他们以前从未login过。 在这种情况发生之前,能够以一种自动化的方式把他们的信誉放在那里,这将是很好的。
因为最近我一直在使用AD策略来通过GPO在一个小的域上部署软件包。 这一直运行良好,但我不确定什么是升级包的正确程序。 假设我已经通过名为“ Install X ”的GPO最初部署了X版本a 。 一切运作良好,随着时间版本B被释放。 (假设新版本的.msi可以执行已安装版本的升级)我相信我有以下选项来执行升级: 在计算机configuration/软件设置/软件安装下,将分配点中的原始.msireplace为组策略编辑器(打开GPO“ 安装X ”),将任务分配给“重新部署应用程序” 使用组策略编辑器在新版本的“计算机configuration/软件设置/软件安装”中创build一个新软件包,并指定应该升级哪个旧软件包(在升级选项卡上select软件包中的版本a ;选项以卸载现有软件或执行升级) 使用组策略编辑器删除版本a的软件包(立即卸载选项),并为版本b添加新的软件包 问题: 第一个选项有什么缺点? 第二个选项是否是升级通过GPO分发的软件包的适当/推荐的方式? 是否还有其他一些细节,最佳实践或关于通过GPO升级软件包的一般build议? 编辑:另外,我只有正确testing3,所以如果我错过了1和2中的一些重要步骤,我会感激指针。 🙂
作为对我的问题的后续行为在AD中清除反向链接的删除用户我有另一个相关但不同的问题。 因为在答案中我得到通知,被删除对象的SID(组或用户,因此为组分配权限只会最小化问题,并且不会解决问题)将保留在已分配的ACE中,使其孤立。 Lotus Domino与后端引用有类似的问题,它有一个adminp进程来清除这些孤立的引用。 AD中是否有一个类似的stream程可以清理你的域名上的孤岛SID?
我们正在使用共享域帐户在我们公司运行多个服务。 不幸的是,这个帐户的凭证是广泛分布的,经常用于服务和非服务目的。 这导致了这种情况,由于这个共享帐户被locking,服务可能会暂时中断。 显然,这种情况需要改变。 计划是将服务更改为在新帐户下运行,但是我认为这不够好,因为该帐户受制于相同的locking策略。 我的问题是:我们是否应该build立与其他域帐户不同的服务账户?如果我们这样做,我们如何pipe理这些账户。 请记住,我们正在运行一个2003域,升级域控制器在短期内不是一个可行的解决scheme。