我的公司有一个防火墙。 我的公司没有任何域控制器和Windows服务器设备。 我的老板计划configuration防火墙,让用户在访问公司资源之前用他们的公司证书(AD)进行authentication。 他想构build一个充当域控制器(DC)的Windows服务器(可能是最新版本的操作系统)。 防火墙将通过Kerberos / LDAP / RADIUS协议对DC进行身份validation。 我的老板计划把服务器托pipe在云服务提供商那里。 特区不会放在我的公司。 我可以使用DC的IP地址configuration防火墙吗? 这两个设备是否需要在同一个networking才能工作? 如果不是,我需要VPN连接吗?
我们有一个虚拟机只是一个域控制器。 这个想法是使用活动目录来控制用户名,他们的权限,并控制我们的其他Windows虚拟机在补丁星期二后重新启动。 我们有24个虚拟机。 这13个是Windows操作系统的。 其中有8个正在生产,不应该有任何人,但也许我自己或我的老板在罕见的情况下login。 所以这会留下4个虚拟机和域控制器,也许还有5到6个人可能需要login。 我觉得有一个专门的广告虚拟机,或经历了join我们的Linux机器到AD的麻烦是一个成本/时间吸。 虽然不是自动化的,但我可以简单地login到每个盒子,并在每个Windows VM上下载/安装更新。 我已经在补丁周二之后的周末,以确保每个虚拟机回来,我们的平台正在工作。 通常情况下,虚拟机不会重新join域控制器,因为它之前已经重新启动,所以我不得不重新启动它。 所以我的问题是这样的。 1.)除了能够在所有虚拟机上使用相同的用户名和密码之外,还有什么好处,Active Directory是否添加到Linux VM? 2.)在每个用户需要访问的每个盒子上login每个用户的login信息,而不是一个单一的用户名/密码,如果这个用户名/密码被入侵,会让某些人能够访问多台机器? 3.)如果没有活动目录策略,什么是最好的自动化,只是工作,确保我的Windows虚拟机的最新补丁的方法?
我们有一个服务器,作为DNS,域控制器和Active Directory服务器。 (Windows Server 2012) 问题是,join到域的计算机失去连接,所以他们无法login或无法find活动目录。 我们发现完全限定域名(FQDN)IP地址最终消失(取<Unknown>值)。 请看图片: 此外,我们发现问题已经解决(只是暂时的),通过服务器机器IP地址更改FQDN IP地址,并且清除join到域(ipconfig / flushdns)的所有计算机上的DNS。 但是这个解决scheme只能工作几分钟,因为FQDN的IP地址会再次丢失。 (这可能是一个很好的解决scheme吗?) 什么可能是这种情况的问题? 和, 什么可能是解决scheme? 谢谢。 编辑1 **Server IP Address** 169.250.0.1 DNS Server 169.250.0.1 dcdiag / q输出 An error event occurred. EventID: 0xC004000B Time Generated: 12/02/2015 10:09:20 Event String: The driver detected a controller error on \Device\Harddisk2\DR5. An error event occurred. EventID: 0xC004000B […]
Windowslogin时如何查找/发现域控制器? 我已经将一个新的DC添加到我的域中作为备份,但是我不确定计算机将如何知道要查找它,因为我不太了解Windows域login如何从协议点视图。
我们现在正在研究DR的主题,如果我们的PDC以某种方式发展,我希望您的专家帮助您制定DR计划! 信息:我们的PDC拥有所有FSMOangular色我们有3个二级DC围绕我们的环境 如果我们无法访问PDC,是否有方法将FSMOangular色转移到另一个DC? 问候
由于IP地址是公共的,我们在公共networking上有几台虚拟机。 今天我们收到了以下电子邮件: 我们已收到以下投诉xxx.xxx.xxx.xxx。 请调查,采取任何必要的措施,并在24小时内回复此电子邮件,提供完整的解决scheme详细信息,以避免TOS违规行为中止和/或终止。 为了确保所有的沟通都被收到,请不要打开支持票。 只需回复此电子邮件,我们将与您联系。 只有在需要技术人员暂停服务器时才打开支持服务单。 | ————————————————- ————— | | 在这行下面是我们收到的投诉的一个例子:| | ————————————————- ————— | 主题:用于攻击的开放recursionparsing器:xxx.xxx.xxx.xxx正文:您似乎正在运行一个开放的recursionparsing器,IP地址为xxx.xxx.xxx.xxx,它参与了我们客户的攻击,生成对欺骗性查询的大量UDP响应,这些响应由于其大小而变得碎片化。 请考虑用以下一种或多种方式重新configurationparsing器: 为了只为客户提供服务并且不响应外部IP地址(在BIND中,这是通过在“allow-query”中定义一组有限的主机来完成的;对于Windows DNS服务器,您将需要使用防火墙规则来阻止外部访问到UDP端口53) 为了只提供权威的域(在BIND中,这是通过在整个服务器的“allow-query”中定义一组有限的主机,但是为每个区域设置“allow-query”为“any”来完成的) 要限制对单个源IP地址的响应(例如使用DNS响应速率限制或iptables规则) 有关此类攻击的更多信息以及各方可以采取哪些措施来缓解攻击,请访问: http : //www.us-cert.gov/ncas/alerts/TA13-088A 如果您是ISP,请查看您的networkingconfiguration,并确保不允许欺骗性stream量(假装来自外部IP地址)离开networking。 允许欺骗性stream量的主机使得这种攻击成为可能。 在这次攻击中,来自parsing器的DNS响应示例如下:= 20date/时间戳(最左边)是UTC。 …删除隐藏IP地址 (在上面的输出中,我们客户的IP地址的最后八位字节被屏蔽,因为当包含多个IP地址时,一些自动分析器变得混乱,该八位字节的值是“185”。) 我跟着这个链接: https://www.us-cert.gov/ncas/alerts/TA13-088A 从它告诉我的情况来看,那些邪恶的人正在使用我们的服务器来引起拒绝服务攻击,至less这是我从链路上收集到的。 这表明我们做了以下改变: 我的问题是,这将导致与networking上的其他虚拟机的问题,这将解决这个问题? 是否有任何影响做出这一改变? 任何有处理这个问题的build议? 我们有3个域控制器,我们可能需要调整以防止这种情况。 先谢谢了! 编辑#1 如果我们将防火墙规则设置为只包含我们在52端口上的IP地址,那么能解决我们的问题吗? 只是一个想法。
我inheritance了这个networking,我试图找出我缺less的东西。 我在芝加哥创build了一个新的站点,我想添加一个域控制器,但是当我去configuration新的域控制器的时候没有列出新的站点。 新的网站被称为芝加哥网站。 我以为我已经正确添加了它。 我已经分配了相应的IP地址。 但是,当我去configuration域控制器,新的网站没有列出: 我需要检查什么或缺less什么?
我似乎被卡住了。 我主要来自POSIX的背景,在这一个背景下深入研究,所以我一直在学习 – 所以不知道是否没有解决scheme,或者如果是我自己的Dunning-Kruger在玩。 build立: (试图保留尽可能多的后端FLOSS,非FLOSS只能在那里无法逃脱) 运行一个CentOS(7)服务器 Samba(4)Active Directory域(Sernet repo) – 复制群集 W764-64和W10p-64testing虚拟机 W10p-64pipe理员虚拟机 N个Windows桌面在几个“部门” 到目前为止,这一切都看起来不错:根据文档得到基本的,稳定的设置,推出了一些基本的GPO到networking(例如创build%TEMP%,或类似的文件),所以可以确认基本的GPO创build和权限是好的。 gpupudate等人都很好。 我现在需要做的是更好地在部署整个组织之前,针对更小的桌面子集testingGPO的影响。 我可以收集什么(这是我的w32-知识的局限性集中在哪里),这是通过创build和应用WMIfilter来实现的。 从我所收集的信息看来,它似乎是一种非常漂亮的SQL或类似SQL的语法,创build这种语句的build议方式是使用WMI Explorer来浏览命名空间并构build所述定位查询。 (相当不错) 很明显,这个工具可以轮询localhost命名空间,但是当我尝试将它连接到DC时,我失败了,因为在Linux / POSIX框上没有WMI或RPC可言(这似乎很明显,但是尽量不要太多的假设)。 这使我处于一个不稳定的位置 – 我需要做一些看起来很正常的系统pipe理员工作,但是桑巴似乎并不支持WMI(而且维基似乎承担了这一点)哪个Windows似乎严重依赖和广泛使用的。 但是我仍然需要find一个好的/稳定的方法来采取更有针对性的细微方法来将控制部署到大量的主机上,并且假定/build议的资源远远不能达到这个标准。
我有5个运行Windows Server 2012的RDP服务器。 由于交换机坏,我们的域控制器暂时被从networking中断开5分钟。 即使已经恢复在线状态,login用户也会收到以下消息: The specified domain either does not exist or could not be contacted. 我知道的唯一解决scheme是重新启动每个RDP服务器。 我真的不想这样做,但必须立即解决这个问题。 是否有一个不涉及重新启动的备用解决scheme?
我们有一个远程基地,我们想连接到我们的主要办公室。 我们买了一个VPNfunction的路由器,认为这将拨打VPN,我们的远程PC将无缝连接。 不幸的是,当路由器拨打VPN时,会给出IP地址192.168.1.50。 域控制器的地址是192.168.1.2,所以远程PC不能find域控制器。 我可以在远程PC上手动设置一个networking驱动器,使其指向192.168.1.50地址,这使得我们可以浏览服务器上的文件,但是像组策略之类的东西却无法find域控制器。 更新:我们有一台运行Windows Server 2012的服务器,它是一个域控制器和VPN服务器。 我们在VPN路由器拨号的服务器上有一个静态IP地址。 是的路由器安装在远程位置。 在远程位置的路由器被分配IP地址192.168.1.50。 任何人都可以解决这个问题