作为一家小商店(约10台PC),我们只有一台物理服务器机器。 该物理服务器机器运行以下两个虚拟机: 一个AD域控制器和 一个“生产服务器”(文件服务器,数据库服务器等)。 现在,所有的最佳实践指南告诉我,强烈build议拥有第二个AD域控制器(“备份DC”)。 把它放在与主DC相同的物理机器上似乎毫无意义,所以我想把它作为虚拟机放在一个通常24-7的强大工作站之一上。 由于它只是一个备份DC,所以我只给它很less的CPU / RAM资源,所以它不应该太多地影响用户。 这听起来像是一个好的计划,还是我应该注意到的任何陷阱?
我已经更新了一个W2K3设置根据这里显示的步骤: http://support.microsoft.com/kb/816042#LetMeFixItMyselfAlways2 我使用的同伴列表是: 0.asia.pool.ntp.org,0x1 1.asia.pool.ntp.org,0x1 2.asia.pool.ntp.org,0x1 3.asia.pool.ntp.org,0x1 我做了一个 net stop w32time && net start w32time 重新启动服务。 我如何检查设置? 我如何知道它的工作? 当我尝试以下: w32tm /monitor 我得到的响应看起来像时间同步到本地计算机(DC) C:\Documents and Settings\Administrator>w32tm /monitor OptiDC.opti *** PDC *** [192.168.0.2]: ICMP: 0ms delay. NTP: +0.0000000s offset from OptiDC.opti RefID: 'LOCL' [76.79.67.76] 那应该是什么答案? 我不应该看到从对等列表中的某个NTP服务器?
几个小时前,我们的一些成员服务器变得无法对他们应该使用的两个域控制器进行身份validation。 成员服务器和DC位于同一个数据中心,位于AD的单独“站点”。 运行DCDiag显示没有问题,我们已经确认服务器和数据中心之间具有networking连接。 在成员服务器上运行nslookup会在每种情况下显示列出的名称服务器。 LDAP身份validation似乎正在工作,但Kerberos身份validation已停止工作。 基本上,所有关键的内部服务已经停止。 以下是关于成员服务器所遇到的一些问题的具体情况: Exchange – 拓扑服务找不到任何域控制器。 因此,Exchange信息存储无法启动。 SharePoint – 身份validation在IIS级别和IIS与SQL之间失败(此服务器场已连续多年)。 其他疑难解答 NLTEST / DCLIST:域名 – 没有DC可以findDC列表 NLTEST /服务器:Servername – 两个DC完成成功。 NLTEST / DSGetDC:域 – 命令成功完成。 NLTEST / dsgetsite – 成功完成。 GPUpdate – 用户无法find。 没有域名存在 交换服务器上的nslookup -type=SRV _kerberos._tcp.dc._msdcs.subdomain.mydomain.com输出: Server: colo-dc-001.subdomain.mydomain.com Address: 10.11.2.20 _kerberos._tcp.dc._msdcs.subdomain.mydomain.com SRV service location: priority = 0 weight = 100 […]
我目前正试图find最有效的方法将单个域分成两个截然不同的function齐全的域。 我们有两个地点,还有几个区议会。 站点A,站点B通过VPN隧道连接。 站点A包含3个DC,包括拥有所有FSMOangular色的DC。 网站B只包含一个单一的DC,以及一些客户端工作站。 Exchange未安装在此域中,因为这两个站点都使用基于云的电子邮件服务。 由于企业内部的组织变化,现在这两个网站将成为完全独立的实体 – 由不同方控制和pipe理。 因此,我们需要find一种方法来在AD中实现这种变化。 显然,做到这一点的一种方法是简单地在站点B创build一个新域,然后使用ADMT或某些第三方工具将所需的数据从站点A迁移到站点B. 但是,据我所知,我们需要一些额外的服务器硬件才能做到这一点,而ADMT迁移看起来并不像一个简单的过程。 我目前的计划是这样的:只需要终止站点A和站点B之间的VPN连接。将所有FSMOangular色都占用到站点B的DC上。清除域控制器上的任何剩余问题。 如果一切按计划进行,我们最终应该有两个完全相同的function领域,这两个网站都可以继续他们的生活。 在每个域中,我们只是删除其他DC的任何痕迹,就好像这些机器简直失败了一样。 我知道这是非常规的,但这是一个完全可怕的想法? 有没有什么警告,我应该知道哪些可以防止这种方式工作我期望的方式? 有没有人尝试过这样的事情? 更新:对于那些感兴趣的,我们实际上最终与这个计划。 几个星期以来,我们迄今没有任何问题。 显然有这样的风险,因为它没有得到微软的支持 – 所以我不会推荐这个解决scheme给任何人作为第一select。 但是,对于那些意识到风险和时间/资源短缺的人来说,知道在清理/angular色检测之后,可能在物理上拆分networking,并最终得到两个完全相同的工作域。 将AD完全迁移到大约一小时的工作后,我们对迄今为止的决定感到满意。 只有时间才能说明这是否是正确的select。
我正在安装供应商软件,要求我们的数据中心启用账户审计。 问题是审计政策没有被推动。 检查secpol.msc显示Windows设置 – >安全设置 – >本地策略 – >审核策略为“不审核”。 无论我做什么,我都无法解决这个问题。 我试过了: 在默认域控制器级别设置策略。 目前RSOP正在将此显示为正确设置了成功\失败的成功GPO。 但是,在secpol.msc显示“不审计”与灰色选项。 我们从默认域名和欺诈域名控制策略中删除了策略。 这使我们能够在secpol.msc中本地操作策略。 运行GPUPDATE时,这些策略会恢复为“无审计”。 我们尝试在默认域控制器策略,默认域策略以及这些策略的组合中进行设置。 我们尝试在各种地方的Windows设置 – >安全设置 – >本地策略 – >安全选项中禁用“强制审核策略”。 应该没有其他政策优先,如上所述,RSOP显示默认域控制器策略为胜利。 我通常是一个Linuxpipe理员,我对此感到不知所措。 任何帮助,将不胜感激
我们和一家公司合并,我正在接pipe那里的IT职责。 他们有2000个域名升级到2003年。 问题在于有人应用W2k安全策略模板来“加强”DC,升级后似乎根本没有正常工作。 这意味着,默认域控制器策略是顶起来,并有大量的安全设置搞乱升级的域控制器。 我将build立2个新的域控制器,并在它们之间复制AD / DNS / DHCP,然后降级现有的DC。 我的问题: 我想为了做我想做的事,我需要吹走并重新创build真正的默认默认域控制器策略。 然后将新的DC添加到域并复制AD / DNS,然后降级旧的域控制器并将其删除。 这听起来合乎逻辑吗? 任何人都不得不面对这样的混乱?
我很伤心,因为我没有得到正确的答案。 让我再次澄清相同的情况。 我有一个名为DC-1的DC和另一个名为DC-2的DC。 DC-1和DC-2都是名称服务器。 DC-1拥有所有5个angular色。 DC-1由于硬件故障(假设)而closures,不再可用。 我甚至不能启动它。 现在我的问题是我怎么能调出ADC(DC-2)作为一个活跃的DC,因为我所有的angular色都属于DC-1。 如果涉及到把angular色从DC-1抓到DC-2,是的我试了一下。 让我分享结果。 我)我去了DSRM DC-2,并尝试ntdsutil命令是这样的:ntdsutil> roles> connections>连接到服务器: ii)当我尝试连接到服务器时,我无法连接任何DC-1或DC-2。 我尝试了“Set creds”,但我没有工作。 iii)试图连接域名没有运气:( 四)因为这是一个testing环境,我把DC-1带回来,并且从DC-2再次尝试了这个步骤,这是成功的。 我能够连接到服务器。 但是我们不想要这个。 当DC-1完全处于死亡状态时,我们需要这个。 好。 我希望你们都了解我的危机..有人可以帮助这里。 我是否做了错误的步骤或任何其他方法来调出具有DC-1以上的所有angular色的DC-2。 请分享您宝贵的知识和专业知识!
我有三个远程专用Web服务器在不同的虚拟主机。 将它们添加到一个通用的域会使得很多pipe理任务变得更加容易。 由于其中两台服务器运行的是Windows 2008 R2 Standard,所以我想把它们提升到域控制器来设置Windows域。 在Serverfault中有另一个线程推荐这个。 与此同时,我在不同的网站上阅读过很多次,这不是一个好主意,因为域控制器应该总是在防火墙LAN之后。 但我不能设置这样的东西,因为我没有一个可以从互联网访问的静态IP的局域网。 事实上,我甚至没有在我的局域网中的Windows服务器。 我没有发现的是, 为什么把DC公开给互联网将是一个坏主意。 我能看到的唯一风险是,如果有人渗透我的一个networking服务器,那么渗透其他服务器应该也容易得多。 但据我所知,这是最坏的情况,因为我只是把我的networking服务器,而不是我的本地networking的任何计算机。 这是唯一的缺点,还是它更容易渗透我的networking服务器之一呢? 编辑:如果我将防火墙规则添加到DC,那么只有从其他两个Web服务器发起时,才能接受到AD服务器的传入连接? 我的意思是类似于http://support.microsoft.com/kb/555381/en-us上描述的设置,但使用额外的基于IP的规则来确保只有在域中的其他Web服务器才能访问DC相关港口。
我想添加一个额外的域控制器到我们现有的域名。 现在我们只有一个在Windows Server 2003上运行的域控制器。 我试图推广Windows Server 2012成为我们域的另一个域控制器。 不幸的是,先决条件检查失败,消息: validationActive Directory准备的先决条件失败。 以前的架构扩展已经定义了某些属性值,而不是此版本的Windows Server所需的架构扩展。 有没有可能检查,这里有什么问题,以及如何解决这个问题? 我发现日志文件,它抱怨了一些属性值: ================================================== =========================== Windows 2000架构和扩展架构中定义的对象的“attributeId”属性值不匹配。 [2013/01/14:10:50:39.622]以前的模式扩展为对象“CN = uidNumber,CN = Schema,CN = Configuration,DC”定义了属性值“1.2.840.113556.1.4.7000.187.70” = xxx,DC = de“不同于Windows Server 2008 R2所需的架构扩展。 [状态/结果] Adprep无法扩展现有的模式 [用户操作]请联系先前扩展架构以解决不一致的应用程序的供应商。 然后再次运行adprep。 [2013年1月14日:10:50:39.627] ================================================== ===========================在Windows 2000架构和扩展架构中定义的对象的“attributeId”属性值不匹配。 [2013/01/14:10:50:39.627]以前的模式扩展已经将对象“CN = gidNumber,CN = Schema,CN = Configuration,DC”的属性值定义为“1.2.840.113556.1.4.7000.187.71” = xxx,DC = de“不同于Windows Server 2008 R2所需的架构扩展。 [状态/结果] […]
我必须在Windows服务器上configurationSNMP-Service的安全设置。 但他们错过了! 这里是事实: 操作系统:Windows Server 2012 R2 我安装了SNMPfunction,我相信,我已经configuration了服务(但是我忘了在Security选项卡下添加另一个IP) 我知道安装该function后需要重新启动SNMP服务的问题才能看到“ Security选项卡(所以我已经做了一些重新启动)。 我的同事现在安装了DC服务器angular色。 现在我看不到“ Security选项卡了(我不知道是否必须对DCangular色的安装做些什么)。 我真的需要 SNMP来监视的原因。 (所以请不要build议使用WMI或其他东西) 我点击“SNMP服务” – >“属性”,使用我的域pipe理员 我能做些什么来再次看到Security选项卡? 还是有可能通过CMD或PowerShellconfigurationSNMP服务?