我最近接pipe了一个Windows Server 2003域环境中的新客户端。 唯一的问题,我看到的设置是,第二个域控制器的DNS条目可能是错误的,所以我在这里发布。 这是networking设置。 两个域控制器 域控制器是DC1和DC2 两个域控制器都是Active Directory集成的,并且也集成了他们的DNS AD。 DC1的DNS设置dns1:指向自己所以DC1,dns2:指向什么都没有,是空的? DC2 DNS设置dns1:指向具有fsmoangular色的主域控制器,因此DC1,dns2:指向自身,因此DC2 我总是将域控制器的DNS条目设置为自己的第一个DNS条目和其他域控制器的第二个条目。 如果是我这样做的客户端,我的设置看起来像这样 DC1 dns1指向DC1,dns2指向DC2 DC2 dns1指向自身,所以DC2,dns2指向DC1 我以为服务器2003解决了以前发生在Windows Server 2000环境中的域控制器的DNS岛问题?
当我刚开始研究这个问题的时候,唯一一个失败的testing就是现在没有广告作为时间服务器, Warning: LEX-DC01 is not advertising as a time server. ……………………. LEX-DC01 failed test Advertising Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have Replicating Directory Changes In Filtered Set access rights for the naming context: DC=ForestDnsZones,DC=ja,DC=com Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have Replicating Directory Changes In Filtered Set access rights for the naming context: DC=DomainDnsZones,DC=ja,DC=com […]
目前我们正在寻找平坦的AD结构,使事情变得更易于pipe理,但是我们仍然希望保持我们的安全态势尽可能接近现在的状态。 目前,我们有AD森林孤岛由防火墙隔离,没有一个森林彼此交谈,除了一些例外的非现场复制DR的目的。 我们希望转移到一个具有根域且不超过两个其他域的单一AD森林devise。 问题是,保护通过防火墙边界的DC到DCstream量的最佳方式是什么? 这是踢球。 我们目前的态度是,不允许较低安全区域向较高安全区域发起入站通信(不进入),因此DC之间的双向通信只有在较高安全区域中的DC想要与DC通信时才会发生较低的安全区域(仅出口发起的通信量)。 我知道,使用网站,我们可以控制复制,所以它只是一种方式启动,但我想确保这控制了两个DC之间的stream量所需的所有端口的stream量。 我也知道我们可以使用IPSEC隧道来限制需要在防火墙上打开的端口,并使隧道不encryption,这样IDS / IPS仍然可以分析stream量。 鉴于此,我想知道你们是否对如何做到最好。 我非常怀疑,我们是唯一支持这些要求的组织。
这是一个编辑 – 根据评论,我可能不被理解/ 事实: 我有一个Windows 2003域 PDC模拟器已启用,并在我的DC上正常工作 我有一个不能正常工作的GPO 我想我的客户端与我的DC(W2K3)上的PDC模拟器同步, 我想我的DC与外部NTP服务器同步 这是当前是NTP GPO的GPO Policy Setting Configure Windows NTP Client Enabled NtpServer 0.asia.pool.ntp.org,0x1 Type NT5DS CrossSiteSyncFlags 2 ResolvePeerBackoffMinutes 15 ResolvePeerBackoffMaxTimes 7 SpecialPollInterval 3600 EventLogFlags 0 Policy Setting Enable Windows NTP Client Disabled 问题1: 如果我只是禁用链接的NTP GPO – 我的客户端是否会恢复到默认设置(假设需要gpupdate / force) – 他们是否会返回 – 实际上他们会继续同步到同一台服务器/同一台服务器,但只是没有GPO。 – 这是正确的吗? 如果第一季度的答案是否定的,那么在域名上需要做些什么吗? 问题2 […]
我正在阅读这篇关于在虚拟机中运行DC的警告和最佳实践。 它指出,备份虚拟DC的唯一方法是在来宾上使用Windows Server Backup,这是由于与Active Directory,USN回滚以及yadda yadda的交互。 这是准确的吗? 我的组织使用DPM 2007进行备份,每天在每个虚拟DC上进行系统状态和完整磁盘备份(来自客户服务器,而不是来自主机的VHD)。 如果支持使用DPM, 备份和恢复虚拟数据中心的正确方法是什么?
我正在降级2003年DC。 我已经build立了一个2008r2服务器,将其设置为DC,并将所有angular色转移。 现在我准备降级旧的DC。 当我运行一个DCPROMO我得到错误 “操作失败,因为:Active Directory无法将目录分区CN =架构,CN =configuration,DC = [域],DC = com中剩余的数据传输到域控制器server2008.domain.com RPC服务器不可用“ 我需要一些见解。 根据AD,2008服务器是所有angular色的主要服务器。 我可以从这两个服务器确认这一点。
服务器操作系统:Windows Server 2008 R2标准(域控制器) 客户端操作系统 – Windows XP和Windows 7(台式机和笔记本电脑) 我已经在所有客户端上实现了一些组策略对象,包括组策略首选项。 如何validation组策略对象是否在所有客户端系统上更新? 一种方法是在命令提示符下手动访问每个客户端的gpresult命令,并检查其输出以确定是否应用了所需的组策略对象。 另一种方法是转到域控制器> Group Policy Management > Group Policy Results并检查是否已应用组策略对象。 (为了做到这一点,台式机和笔记本电脑必须在线)。 笔记本电脑可能连接到局域网,也可能不连接到局域网。 有没有其他办法可以自动获得笔记本电脑连接到局域网后应用的组策略对象的报告,或者有另一种方法可以为所有台式机和笔记本电脑获取此信息。
域控制器 – Windows Server 2008 R2 Standard 客户端操作系统 – Window Server 2003(terminal服务器) 我无法ping通我的Active Directory域名,即corp.abc.com。 (请参阅打印屏幕) 我成功地能够nslookup&ping我的DC服务器IP地址(请参阅打印屏幕) 我也附加IPconfiguration的打印屏幕。 你能告诉我为什么我无法ping通,但成function够通过nslookup命令解决,也能ping通DC服务器的IP地址
我有两个redudant Windows Server 2012 R2域控制器。 DNS是集成的活动目录。 两个域控制器应该具有哪个dns ip地址的顺序,为什么? 有没有微软的经验? 先谢谢你!
我们正在build立一个新的networking环境,将有两个域控制器,并遇到Windows不认识现有的域控制器(DC-01和DC-02)作为域控制器的问题。 这两台计算机在Active Directory GUI中都列为DC,并位于正确的组和文件夹中。 我们有几个运行下面代码的PowerShell脚本,它们在域控制器列表中返回一个空白集。 $DC = [System.DirectoryServices.ActiveDirectory.Domain]:: GetComputerDomain() $ DCvariables返回 Forest :MyDomain DomainControllers : DomainMode :Windows2008R2Domain Parent : PDCRoleOwner :DC-01.MyDomain RidRoleWoner :DC-01.MyDomain InfrastructureRoleOwner:DC-01.MyDomain Name :MyDomain 我们的许多脚本依赖于被填充的DomainControllersvariables。 在DomainControllers中应该有两个DC:DC-01-MyDomain和DC-02-MyDomain。 我们已经在其他类似的环境中运行脚本和设置,并且这些对象被正确地填充并且工作得很好。 我已经在我们的主要DC和次要DC上运行这个命令,并且它们返回相同的结果。 我们在这个问题上摸不着头脑。 任何帮助,将不胜感激。