我有一个奇怪的问题。 我正在正确设置“站点和子网”,以便我的AD客户端连接到适当的DC(而不是全球的另一端)。 要做到这一点,我开始在DC上过滤日志“NO_CLIENT_SITE”的错误 – 而且,虽然我可以很容易地find大多数的客户端地址,但有一些是不可能的。 我在组织中只使用私有IP地址,有些人可以使用VPN(也可以使用私有IP进行隧道接口)。 但在日志中,有一些客户端会报告公有IP地址或APIPA地址,例如: 05/24 16:28:45 APAC:NO_CLIENT_SITE:CN070E141 169.254.87.93 坦率地说,这是不可能的 – 我100%肯定使用APIPA的客户端将无法连接到任何地方。 同样,使用公共IP地址的客户端将无法达到DC。 我想到的唯一解释是客户端上有多个接口,其中一个接口工作正常,并且便于与DC通信,另一个接口具有APIPA或公共IP,并将该地址报告给DC。 这就引出了一个主要问题:如何确保提供给DC的地址始终是用于通信的接口的地址? 或者也许有人可以提供替代解释?
我知道有几个关于以下问题的post,但是他们没有为我解决这个问题。 让我解释一下情况: 我们有一个客户希望从旧数据中心迁移到我们的客户。 所以我们创build了一个站点到站点之间的连接,我试图在我们身边的一台服务器上。 域function级别是Windows Server 2012,而域控制器是旧的Windows Server 2012数据中心服务器。 我们这边的服务器是Windows Server 2012 R2服务器。 所以我预制了dcpromo,没有任何问题,一切(DNS,用户和计算机等)被复制到新的域控制器。 现在我尝试join我们的新服务器之一(也是Windows 2012 R2),但是我收到以下错误: 已成功查询用于为域“domain.X”定位域控制器的服务位置(SRV)资源logging的DNS: 查询是针对_ldap._tcp.dc._msdcs.domain.X的SRVlogging 以下域控制器由查询标识:ad.domain.X dc01.domain.X dc02.domain.X 但是,不能联系域控制器。 这个错误的常见原因包括: 主机(A)或(AAAA)logging将映射域控制器的名称到其IP地址的logging丢失或包含不正确的地址。 在DNS中注册的域控制器没有连接到networking或没有运行。 ad.domain.X是旧数据中心中的域控制器,dc01和dc02是新数据中心中的新域。 在需要join域的服务器上的netSetup日志文件中,当我尝试域join时,发现以下错误。 NetpValidateName: checking to see if 'domain.X' is valid as type 3 name NetpCheckDomainNameIsValid for domain.X returned 0x54b, last error is 0x0 NetpCheckDomainNameIsValid [ Exists ] for 'domain.X' […]
在工作中,我们目前有一个域控制器POLLY。 这个DC是RID主。 不过,曾经有两个区议会,PAULA和PETTY。 这些都是离线(并且已经走了),但它们出现在POLLY的configuration中。 奇怪的是,POLLY与PETTY具有相同的IP。 当我尝试使用Active Directory用户和计算机添加新用户时,我不断收到以下错误消息: Windows无法创build对象,因为目录服务无法分配相对标识符。 这很奇怪,因为POLLY(我们唯一的DC)是RID的主人。 这是dcdiag的输出: 域控制器诊断 执行初始设置: 完成收集初始信息。 做初步的必要的testing testing服务器:Standardname-des-ersten-Standorts \ POLLY 开始testing:连接 ……………………. POLLY通过testing连接 做初步testing testing服务器:Standardname-des-ersten-Standorts \ POLLY 开始testing:复制 REPLICATION-RECEIVED LATENCY WARNING POLLY:当前时间是2012-01-11 09:18:28。 DC = ForestDnsZones,DC =欧洲学院,DC = com的 最后复制从PETTY收到2004-08-12 17:48:21。 警告:这个潜伏期超过了60天的墓碑寿命! DC = DomainDnsZones,DC =欧洲学院,DC = com的 2004-08-13 10:50:52从PETTY收到最后的复制。 警告:这个延迟超过了60天的墓碑寿命! CN =架构,CN =configuration,DC =欧洲学院,DC = com的 2004-08-12 […]
在这个特定的背景下,我们有一个小型企业(10个用户办公室),希望build立一个域设置。 已经有一台机器运行Server Foundation 2008.如果该机器被选为域控制器,我们可以购买另一个正在运行的Foundation 2012作为备份,还是必须是Foundation 2008?
在运行ADPrep时通过了所有先决条件,但在最后阶段失败,出现以下错误: ADPrep执行失败 – > System.ComponentModel.Win32Exception(0x80004005):连接到系统的设备无法运行。 ADPrep日志说: Adprep需要从架构主机访问现有的林内信息才能完成此操作。 我正在使用企业pipe理员(架构pipe理员)的凭据无法find为什么它仍然会抛出访问被拒绝的错误。
我正在使用FRSDIAG室(来自tech-net)对FRS复制进行诊断。 问题在于它要检查不存在的DC。 错误是“缺less服务器XXXX的服务器引用”。 它从哪里得到这些服务器? 它们不在AD中作为对象存在。 请让我知道是否需要额外的信息。
我正在尝试在我们的域控制器上完成一个很好的组织策略对象清理工作,这个工作是从Windows 2000(小型企业,我认为)升级到Windows Server 2008R2。 在我公司的域中,我们有一个已经链接到整个域的Default Domain Controllers Policy 。 此GPO主要包含Local Policies/User Rights Assignment策略,我想尽可能地将其设置为默认值 。 当我从整个域中取消GPO链接并让它只应用到域控制器OU时,工作站/服务器会发生什么? 用户权利分配 ? 工作站是否恢复到默认行为,还是需要使GPO将工作站/服务器分配为默认设置? 奖金问题:是否有一个明确的资源,规则或组策略设置的列表,可以有效地重置为计算机上的Undefined行为,或者是每个设置都是唯一的,并且必须在个人基础上进行研究。
我有两个域控制器,都是DNS服务器,我已经为两者设置了转发器(按照下面的打印屏幕) 但我没有禁用在两个服务器上recursion(请参阅下面的打印屏幕) 有一个build议禁用DNSrecursion。 我认为,如果我禁用DNSrecursion,它会影响性能,但我也想有最好的安全放置。 请让我知道我该怎么办? 我应该禁用DNSrecursion?
在使用dsquery执行一些查询( dsquery computer domainroot -stalepwd )之后,我被告知这个命令连接到了可用的DC,因此结果可能是不真实的,因为DC没有复制计算机帐户的密码。 经过一番调查,我无法理解这个真实与否,意思是:当我使用命令“ dsquery computer domainroot -stalepwd ”时,结果会考虑到所有DC的信息或我连接的信息默认? 提前致谢! JFA
默认情况下,所有活动目录GPO均在组策略pipe理中的“组策略对象”文件夹内创build。 我想知道是否有办法使组策略对象内的子文件夹通过IE设置,Outlook设置,ETC分组。