我们inheritance了一个客户,在审计完他们的网站之后,他们曾经在端点上有一个站点到站点的VPN和另一个DC(这是森林中唯一的GC)。 之前的IT公司降级了这个,清理了AD,但从未把他们现在的主DC当成了GC。 我们想用2008R2盒子来replace现有的DC(2003),最好先将当前的DC换成GC,然后换上新的DC,还是不要紧? 考虑到新的DC将会成为GC。
我对vSphere和大型安装熟悉,而且完全不熟悉免费产品。 拓扑和configuration 我们有一些使用ESXi的分支机构,并且有一个DC驻留在其上的虚拟主机。 这是他们可以访问的唯一的本地DC。 为了使事情更复杂,这些远程办公室是集线器和辐条configuration中的“辐条”。 没有发言可以与另一个发言谈话(通过缺乏路由),每个发言都有一个RODC。 题 为了使pipe理更容易,我正在考虑将这些主机添加到我们的域,但不确定是否会失去“本地pipe理”function,或者当DC不可用时会发生什么情况。 这就是说,我看到一个条目来configuration一个AD域。 目前还不清楚如何select区议会,或如何容错工作,如果在所有的西西。 我正在寻找比我更聪明的人来帮助我思考在以下情况下将esxi连接到AD的含义: ESXI正在托pipe一个虚拟机,它是一个DC,并被挂起(1/100 DC失败) ESXI无法访问集线器中的服务器(99/100 DC失败) 正常访问,辐条无法访问(80/100无法访问,可能看起来失败) 我认为这些场景很有趣,因为ESXI可能会得到ADDomain.com的每个NS的列表,这等于每个托pipeLDAP的域控制器。 *脚注:我假设ESXI正在使用LDAP ..但我不确定 底线 我应该将esxi连接到该configuration中的域吗? 如果没有DC,我会失去本地访问吗?
我们有一台运行我们的域的Windows Server 2008 R2服务器。 我们有大约40个用户和大约30台电脑。 大多数用户都有自己的专用工作站,然而每天早上大约有5台计算机会被一个人login,然后每个人只需要使用自己的个人资料来检查一些东西(通常每次大约2分钟)。 我想知道是否有可能有这5台电脑在他们自己的OU的域名,然后以某种方式使他们自动login到通用的用户帐户,没有任何通常的驱动器映射等 有人可以在早上启动机器,直接进入通常用户configuration文件的locking版本。 这可能吗?
是一个单一的CPU服务器好吗? 内存和networking连接单100MBit / S或更好的双10GBit / S呢? 什么是参数决定? 计数的用户或类似服务器的域名,如networking服务器或数据库服务器,如SQL Server 2008R2?
我们的Windows域有3个DC。 其中一个DC正在复制对其他DC进行的更改,但不复制对其自身进行的任何更改。 我们不知道哪个具有最新的AD,所以我们想要比较其他2与不工作的1。 是否可以导出每个对象(OU,CN,用户,组等)的属性,以便我可以比较它们? 也许到一个XML文件? 也许有一个PowerShell或VBScript将做到这一点?
对于一个小的活动目录pipe理networking(比如说30-50个DHCP客户端),我应该有一个域控制器(然后以某种方式另一个作为故障转移)通过DHCP发布IP,还是让我的路由器去做? 只是一个更新,fyi:我们有两台全新的机器作为AD,DNS等服务器运行,所以我们有一个很好的设置去那里。 只是想知道检查一个或两个“DHCP”框是否有意义,并在我们的路由器closures它。
我要么无法理解DNS的工作原理,要么无法正确configurationDNS(任何一个都不好)。 我目前正在使用一个域名,我将其称为webdomain.com ,并且我需要允许我们所有的内部用户到世界各地去获取我们公开的DNS条目。 然后,最重要的是,我希望能够提供一些覆盖DNS项目,用于testing公共不可用的服务器和设备。 举个例子: public.webdomain.com – 应该从怪物得到这个 outside.webdomain.com – 也应该从怪物那里得到这个 testing.webdomain.com – 应该从我的内部DNS控制器得到这个 我似乎遇到的问题是,如果我有一个内部DNS控制器,其中包含一个区域为webdomain.com然后我可以得到我指定的内部条目,但从来没有从公共DNS服务器获取任何东西。 无论我使用的DNS服务器的types如何,这也适用 – 我已经尝试了Linux Bind9和Windows 2008域控制器。 我想我的一个大问题是:我是不合理的认为一个系统应该能够检查我指定的内部DNS,并在所请求的条目不存在的情况下,它应该故障转移到指定的公共DNS服务器 – 或 – 这是不是DNS的工作方式,我失去了酱? 这似乎应该像告诉我的内部DNS服务器转发它不能满足的任何请求一样简单,但似乎并不奏效。 这可能是一个防火墙问题? 提前致谢 EXTENDED 好的,所以我做了大量的研究,并在这个几个小时里堵塞了。 我在我的named.conf中有这个,我仍然看到相同的结果。 内部呼叫被馈送,但是任何外部的(在区域控制域中)只是被倾倒。 任何援助将是伟大的! 另外,这是一个我正在使用的Ubuntu 9.04操作系统。 Code removed because it was wrong. 正确的方式 – 在问题closures后增加 那么,感谢这里的服务器故障,我现在已经完美地在我的服务器上以更简洁的方式工作了。 这是你如何做到的。 从bind9的基本安装中编辑你的named.conf.local文件,并添加一个你想要redirect的EACH子域的区域: /etc/bind/named.conf // WEBDOMAIN.COM ENTRIES zone "test.webdomain.com" { type […]
我试图通过目标DNS名称( corp.example.com)尝试进行AD身份validation的Linux客户端有问题。 我有两个域控制器服务器DC1(10.0.0.3/24) , DC2(10.1.0.3/24)两个域控制器corp.example.com 。 在开始之前,每个Linux客户端都有两个AD服务器中的一个IP地址在其上明确定义。 我接着用IP地址replace了域名(corp.example.com),如下图所示。 testing它,它工作得很好。 但是,通过closures某个Dome Controller服务器来testing故障转移会导致某些Linux客户端无法进行身份validation和超时。 当我认为这是一个networking问题时,请参阅DC / DNS故障转移与全球/常见的DNS roundrobin为我原来的职位。 在Linux客户端上: /etc/openldap/ldap.conf中 uri ldap://DC1 ldap://DC2 base dc=corp,dc=example,dc=com 的/etc/krb5.conf [libdefaults] default_realm = corp.example.com clockskew = 300 dns_lookup_kdc # default_realm = EXAMPLE.COM [realms] corp.example.com= { kdc = corp.example.com default_domain = corp.example.com kpasswd_server = corp.example.com admin_server = corp.example.com } # EXAMPLE.COM = { […]
我无法将64位Windows 8.1 Pro客户端join我们的Windows 2003域。 一个64位的Windows 7客户端join罚款。 在安装Windows 8.1之后,在join域之前,如果我运行nltest / dsgetdc:,它会返回域控制器和其他信息。 一旦我join到域,我得到用户名/密码提示,之后,“欢迎来到域”提示。 之后,它挂了很长时间,然后最后我得到一个错误,说无法联系域控制器。 重新启动后,当我尝试以pipe理员身份将域用户添加到本地计算机时,域用户不显示。 相同的nltest命令现在返回ERROR_DOMAIN_NOT_FOUND。 计算机帐户已在Active Directory中创build。 我validation了在域控制器上。 join前后,我可以通过计算机名称来ping域控制器。 IPCONFIG将DNS正确显示为域控制器的IP。 Windows 8.1客户端设置为与域控制器上的时间相同,防火墙closures,为所有networkingconfiguration文件启用文件共享。 join64位Windows 7计算机工作正常。 我们重新安装了Windows 8.1三次。 每次都有相同的结果。 域控制器是Windows 2003框。 如果有人可以帮助我们,则可以上传日志或做其他事情。 罗埃尔
首先,这是一个Windows Server 2003到2012年的DC / DNS / AD迁移。 我们也有一个备用的2003 DC / DNS / AD服务器,但我不认为这是目前的问题,但可以根据需要使用。 我已经完成了一些繁重的工作,并且使用几个分步指南,包括以下内容,configuration了一个新的2012服务器,并将其设置为AD / DC / DNS主机(据我所知) 分步说明:将Windows Server 2012域控制器添加到现有的Windows Server 2003networking 我已经离线testing了客户端的服务器,似乎一切都按预期工作。 令人惊讶的是,这令人惊讶。 现在棘手的部分: 所有200多个客户端工作站都是静态寻址的 客户端分布在VPN连接背后的多个远程位置 客户约75%的XP和25%的Windows 7专业版 二零零三年的区议会已经落实了十年,他们实际上做了多less实际的想法 我和我的同事们正在吐唾沫的select,尽可能地让这个过程毫无痛苦,但是我们没有一个人像这样进行过移民。 以下是迄今为止最可行的。 选项1 转移FSMOangular色 掉电2003 DC 在2012年DC(下class时间)滚动IP和交叉手指,MS神不需要牺牲。 优点:听起来很容易 缺点:如果我们错过了在2003年运行的工作,将会来回分配。 可能加载客户端/域信任错误。 可能更多的问题,我不能预见。 选项2 使用脚本和组策略将使用netsh客户端主DNS更改为2012 DC 转移FSMOangular色 PROS:可能没有信任问题。 如果我们错过了工作,文件等,两台服务器都可以启动。 缺点:脚本很复杂,如果不是大多数客户,可能会错过一些。 我希望稍微接近最佳实践,风险稍小。 先进的感谢您提供任何额外的想法,我们如何能尽可能无痛地完成这个成就。