我已经build立了一个简单的Azure虚拟networking(VN),由单个域控制器和一些客户端组成。 现在我需要知道如何configurationVN的DNS服务器列表 。 以下是我尝试的两个选项: 使DC成为DNS服务器列表中唯一的IP。 最初这似乎是configurationVN的最明显的方式,但它似乎阻止出站DNS,使得互联网基本上无法访问。 从VN中的任何虚拟机的命令行,nslookup都可以对付DC,但是无法与其他任何DNS服务器(包括Azure的内置DNS)进行通信。 对于所有意图和目的,传出的DNS似乎在此configuration中被阻止。 首先在列表中设置DC的IP,然后再设置Azure的内置DNS。 这种方法允许从VN中的任何虚拟机向Azure的内置DNS发送DNS,但是使用两台DNS服务器(其中之一是我的DC,其中一台是我的networking外部的)来设置我的客户端感觉很奇怪。 这是一个域应该configuration的方式吗? 理想情况下,我希望VN中的所有虚拟机都使用我的DC作为DNS,并让DC将未知域转发到Azure的内置DNS服务器,但似乎无法find解决方法。
我有一个RO域控制器,与另一个站点上的可写DC复制。 另外一周,由于在该地点进行维护,可写入的DC出了大约2天。 在此之后,RODC不再复制可写DC。 我得到的错误是1722,RPC服务器不可用。 我确认RPC服务在两个DC上运行。 我怀疑问题是由DNS引起的 – DNS事件日志包含以下内容: DNS服务器遇到来自Active Directory的严重错误。 检查Active Directory是否正常工作。 扩展的错误debugging信息(可能为空)是“000006BA:SvcErr:DSID-03210BEB,问题5012(DIR_ERROR),数据0”。 事件数据包含错误。 我也收到以下错误: 知识一致性检查器(KCC)无法形成完整的生成树networking拓扑。 因此,以下列表的站点无法从本地站点到达。 以下站点中的所有目录服务器都可以通过此传输复制目录分区,目前不可用。 没有足够的站点连接信息为KCC创build生成树复制拓扑。 或者,具有此目录分区的一个或多个目录服务器无法复制目录分区信息。 这可能是由于无法访问的目录服务器。 知识一致性检查器find本地只读目录服务的复制连接,但源服务器不响应或不复制。 目前的复制合作伙伴没有find一个新的合适的源服务器。 这个操作将被重试。 所以也许当可写DC被重新启动时,某种设置或configuration已经丢失 – 导致RODC无法复制。 DC可以很好地ping通对方。 任何帮助将非常感激! 谢谢!
我们目前在corp.domain.com有1个域名(没有子女)。 我们有一个备用的UPN,以便用户可以将他们的UPN作为[email protected] (no corp )。 我们之前的许多用户都拥有旧式的[email protected] UPN。 对于所有这些用户改变UPN从UPN中删除corp的影响,我找不到任何好的答案。 我知道,因为用户的SID没有变化,域名仍然是一样的,证券仍然是一样的,但是我不知道还有什么其他的惊喜可以等着我。
尝试将另一个(第二个)域控制器添加到现有的域。 在“Active Directory域服务configuration向导”的第二步中得到以下错误: 从目标环境获取网站列表时出错:指定了无效的dn语法。 由于上述错误,“网站名称”下拉列表为空。 这是截图 。 PS:主要的域控制器(当前的)和我试图添加的那个都在Windows Server 2012上运行.AC和域控制的操作级别也是Windows Server 2012。 哪里不对?
我拥有在Windows 2012 R2服务器上运行的本地Exchange 2013(最小安装和所有angular色都在一台服务器上)(Windows和Exchange均已修补且最新)。 基本上这个系统可以作为我们的办公室里面的混合物和办公室的SMTP。 这个服务器是一个虚拟机。 我们的AD是在2008 R2级别,我们有几个DC(全部是GC)。 我试图从networking中删除DC,但是当我closuresDC时,我的Exchange服务器出现问题。 当我从DC上卸下GC并closuresDC服务器时,我重新启动了Exchange 2013 VM,但无法使用RDP。 幸运的是它是一个虚拟机,我可以使用虚拟机工具login到它。 当DC断电时,我查看Exchange服务器上的networking,发现Windows中没有可用的networking(位置感知问题可能?)。 如果我将DC备份电源再次置于GC,Exchange服务器工作正常(networking上还有其他GC,并且在AD中与此站点关联)。 我认为Exchange 2013应该检测到DC是脱机的,它应该select另一个GC,但不是。 所以我试图排除我想在Exchange中closures的DC(通过使用带有StaticExcludedDomainControllers参数的Set-ExchangeServer cmdlet),并且完全破坏了服务器。 一旦我这样做,并试图重新启动Exchange服务器(无论DC / GC是否运行),我无法再让Exchange工作。 现在,在Windows 2012 R2服务器端的networking连接上没有任何可用(我想这就是Exchange服务失败的原因)。 但是,我可以ping服务器,我可以从服务器浏览networking文件共享和其他networking的东西,所有从Windows 2012 R2服务器,我只是不能到服务器的RDP,我不能让Windows识别networking从服务器。 而现在因为没有networking连接,我甚至无法打开Exchange命令行pipe理程序来撤销我所做的事情(因为EMS无法在没有networking连接的情况下使WinRM工作),因此EMS无法与Exchange服务器进行通信,因此它失败。 当EMS工作时,Get-ExchangeServer cmdlet也将DC显示为始发服务器。 我现在正在执行从昨晚的备份恢复,希望工程。 我不明白为什么closuresDC / GC会导致Windows 2012 R2丢失networking连接和/或导致Exchange 2013无法正常工作? 为什么Set-ExchangeServer会导致同样的问题? 是否有任何已知的原因发生? 从Exchange 2013环境中删除DC / GC的正确方法是什么? 谢谢
Server 2012 R2,具有AD DS的Hyper-V VM-PDC,DNS(单个DC仍然;第二个将很快创build) 事件ID 10154一般评论状态: The WinRM service failed to create the following SPNs: WSMAN/vsWBCdc01.wbc.local; WSMAN/vsWBCdc01. Additional Data The error received was 1355: %%1355. User Action The SPNs can be created by an administrator using setspn.exe utility. 我使用了setspn命令。 我可以看到“WSMAN / vsWBCdc01.wbc.local和WSMAN / vsWBCdc01”没有列出pipe理员或服务器。 我添加了“WSMAN / vsWBCdc01.wbc.local和WSMAN / vsWBCdc01”到服务器,但错误依然存在。 我对此没有多大的信心,但仍然尝试将它们添加到pipe理员帐户中。 在这两种情况下,10154 EventID都会保留。 我想我的问题是“我能解决这个错误吗? 和'我需要解决这个错误'。 […]
我最近在Windows Server 2012上添加了一个Active Directory域控制器到我们的networking。域名是software.eng.apl。 通过selectWindows的“开始”图标>系统>更改设置>更改,然后在域中inputsoftware.eng.apl,我可以将Windows 10计算机join到software.eng.apl域。 出现一个popup框,提示“欢迎使用到software.eng.apl域”。 在“Active Directory用户和计算机”中,客户端PC在“计算机”文件夹中列出,该文件夹validation客户端PC是否能够join域。 我在Active Directory用户和计算机中创build了一个用户帐户。 用户login名是[email protected],密码是Password01。 John Doe是域用户的成员。 在Windows 10login屏幕上,当我select“连接到Internet”时,它显示我已连接到software.eng.apl。 在Windows 10客户端PC上,如果我退出Windows,然后尝试使用[email protected] login,则用户configuration文件服务失败,login将显示。 我可以使用本地用户帐户login客户端PC。 NETLOGON服务正在Windows 10客户端PC和Windows Server 2012域控制器上运行。 我知道login请求到达域控制器,因为在事件查看器> Windows日志>安全性中存在来自[email protected]的Kerberos服务票据请求。 Windows 10客户端上还有一个事件ID为4624的事件,表示login成功。 值得注意的是,Windows 10客户端和域控制器在1:07:56 AM都有事件,这意味着两台机器都有时间同步。 客户端PC和域控制器连接到相同的交换机。 我们没有使用VPN。 两者都连接到相同的NTP服务器。 在客户端机器上,我已经完成以下操作,确保在login之前启动networking连接:启动gpedit.msc>计算机configuration>pipe理模板>系统>login,然后启用“在计算机启动和login时始终等待networking。 “ 我也做了以下操作:启动gpedit.msc>计算机configuration>pipe理模板>系统>组策略>,然后我将“启动策略处理等待时间”设置为120。 我不确定接下来要检查这个问题。
有一个简单的方法来做一个活动目录实例的备份,修改和还原吗? 更具体地说,我正在寻找做一个备份,然后更改DC=foo,DC=com所有引用到DC=foo,DC=dev以便我可以设置一个开发AD。 我一直在试图使用ldifde没有成功。 我希望有人有一个简单的脚本,可以帮助完成这一点,我的谷歌迄今为止失败了我。
我正在实施的服务将运行在域控制器上 ,所以我希望它拥有最小的权限。 理想情况下,它只是作为本地服务运行。 但是,它需要能够: 监视性能计数器(是性能监视器用户的成员) pipe理性能计数器,日志和警报(是Performance Log Users的成员) 读取事件日志(是事件日志读取器的成员) 为这些组添加本地服务显然不是一个好方法。 将服务作为为其生成的虚拟服务帐户运行将允许其以计算机的身份访问networking,这也是不理想的。 所以我想运行它作为本地服务与非零SIDtypes ,从而传递给予VSA的特权。 我无法将服务的VSA添加到上述组中。 我怀疑这是因为VSA是本地的(只存在于域控制器内),而这些组是域组。 可能吗? 组pipe理服务帐户可能被certificate是有用的(replaceVSA),无论是需要手动创build。 什么是正确的方法来设置一个服务只运行指定的权限,而部署没有先决条件(没有创buildGMSA)? 特定组的特定答案也是受欢迎的。
我有一对2008年的DC,我一直试图安装Active Directorypipe理网关服务。 (我只想要一个,但是当那个不行的时候,我尝试了另一个。) 两者都失败:“更新不适用于您的系统”。 他们都是Windows Server 2008域控制器,x64版本。 他们都安装了.NET 3.5 SP1。 一个安装了Service Pack 2,另一个安装了967574的修补程序。 在安装每个所需的更新之后,两台服务器都重新启动。 我已经尝试在两者上安装Windows6.0-KB968934-x64.msu并获取上面报告的错误。 根据文档 ,我的机器符合要求,所以必须从要求中漏掉一些东西。 或者这些区议会有些奇怪。 有没有人成功? 如果是这样,你是否必须安装/删除任何东西(其他)来安装它?