今天,我(再次…)对一个遭受了可怕的USN回滚的域控制器进行了窥视。 这个问题的标准解决scheme是将其降级然后再次提升它,但是主要的问题是降级不起作用,因为USN回滚条件阻止任何复制发生,因此不允许DC降级执行最终的复制并优雅地死去。 通常,您最终closures服务器,从Active Directory中删除对它的任何引用,然后从头重新安装Windows。 但是,您可能在该服务器上有其他软件或数据; 或者,如果降级可能就足够了,你可能不想完全重build它。 所以,我的问题是:我怎样才能成功降级遭受USN回滚的域控制器? 我试过的: 我从networking中隔离了服务器,启动了降级过程,当被问及时,告诉它这是域中的最后一个DC; 但它仍然抱怨这是不正确的。 所以我从Active Directory副本中删除了所有其他的DC,然后按照上面的方法进行操作。 但是即使这样也失败了,因为无法复制一个目录分区的错误(对谁来说 ,应该是唯一的DC!)。
我们有几个服务器运行域控制器,“DC01”,“DC02”和“DC03”。 由于某些原因,我们需要重新启动它们。 是否有一个特定的程序要遵循? 其他信息:“DC01”当前拥有所有FSMOangular色。 在重新启动之前,我应该将angular色转移到另一个DC吗? 更多信息:DC01是Windows 2008 Enterprise。 DC02和DC03是Windows 2008 R2企业版。
我正在尝试执行AD的PowerShellsearch,以查找在过去30天内已经login的计算机(而不是服务器或其他)。 我写了大部分的脚本,除了限制30天的部分。 任何帮助将不胜感激。 Get-ADComputer -Filter * -Properties * | FT名称,OperatingSystem,LastLogonDate -Autosize | Out-File C:\ Temp \ ComputerLastLogonDate.csv
我们有一个新的域控制器,它拥有所有的FSMOangular色。 我们还有两台旧硬件服务器,每台服务器大约有4-5年历史,设置为二级域控制器(或更好地描述为域控制器,这些域控制器也不具有任何FSMOangular色,但全局编录服务器位于同一站点)。 我的问题是,如果由于旧硬件的驱动器故障,在其中一个辅助域控制器上运行,将会在Active Directory中发生损坏风险。 我真的试图说服客户为我们的第二个域控制器购买一个新的基于硬件的服务器,但预算紧张。 谢谢。
在Windows 2003域控制器上的“安全”事件日志中,我看到事件540的几个条目 – “成功的networkinglogin”在整个一天中相隔数分钟。 对特定用户来说,在特定的日子里,第一个这样的用户是否必须login到他们的机器? 如果没有(或者即使如此)有另一种(更好的)方法来告诉用户什么时候在早上login?
我想在我的本地机器上做一些testing,这要求我把这个date提前一年。 所以我可以在SQL Server中testing一些东西(我发现它不可能覆盖SQL Server的时间)。 然而,因为我连接到一个域,我相信这是导致时间重置为正常后,我试图覆盖它的一些时刻。 我知道这对于本地和域名时间来说可能很重要,但是是否可以暂时阻止时钟重置? 断开networking连接不是一种select,因为我需要互联网连接。 如果有一个手动的方法来阻止时间重置,可能的reprocutions是什么? 我不想在networking上搞砸任何事情:-)
阅读[1]: “域pipe理员 这个组的成员完全控制域。 默认情况下,该组是所有域控制器,所有域工作站和所有域成员服务器在join域时的pipe理员组的成员。 默认情况下,pipe理员帐户是该组的成员。 由于该网域对该网域拥有完全的控制权,请谨慎添加用户。“ “pipe理员 该组的成员完全控制域中的所有域控制器。 默认情况下,域pipe理员和企业pipe理员组是Administrators组的成员。 pipe理员帐户也是默认成员。 因为这个群组在这个域中有完全的控制权,请谨慎添加用户。“ 并且pipe理员和域pipe理员在他们的“默认用户权限”中具有完全相同的描述 : “从networking访问此计算机;调整进程的内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创build页面文件;debugging程序;使计算机和用户帐户可信任委派;强制从远程系统closures;增加调度优先级;加载和卸载设备驱动程序;允许本地login;pipe理审计和安全日志;修改固件环境值;configuration文件单个进程;configuration文件系统性能;从坞站移除计算机;还原文件和目录;closures系统;取得文件或其他对象的所有权。“ 我无法理解: 1) 他们之间有什么区别? 2) 什么时候使用默认的化身? 3) 如何专注于他们的订婚? 4) 如果域pipe理员是pipe理员的成员,是不是让他们总是平等的? —更新1 : “默认本地组”[2]告诉: “pipe理员 该组的成员完全可以控制服务器,并根据需要为用户分配用户权限和访问控制权限。 pipe理员帐户也是默认成员。 当此服务器join到域中时,域pipe理员组将自动添加到该组中…“ — Update2: 这个问题是子问题,在其父问题的上下文中(可以看出,没有/之前的Update2,在链接部分): ADjoin的机器的本地用户的上下文? 它是域计算机帐户还是本地计算机帐户? [1] 默认组 http://technet.microsoft.com/en-us/library/cc756898(WS.10).aspx [2] 默认本地组 http://technet.microsoft.com/en-us/library/cc785098(WS.10).aspx
我最近inheritance了一个与我正在合作的小型创业公司的基础设施职责。 我的传统angular色是发展,所以忍受着我… 我希望能从右脚开始,并在Active Azure中运行Active Directory。 我已经按照微软的TechNet上关于在Azure VPN中安装AD林的指南,我有以下结构 Azure VPNconfiguration为使用本地networking的站点到站点VPN,它显示为已正确连接。 子网:192.168.5.0/24 HQNET 子网:192.169.1.0/24站点到站点VPN网关 子网:192.169.2.0/24validation 子网:192.169.3.0/24应用程序 子网:192.169.4.0/24数据 子网:192.169.6.0/24中 我在Auth子网中的一台A1标准虚拟机上安装了Server 2012 R2,IP地址为192.169.2.4。 公元安装进行得很好,开始了一个新的森林,一切似乎运作良好。 此虚拟机是使用用户名1 /密码1创build的,安装AD时会自动添加为域pipe理员/企业pipe理员。 我在同一个Auth Subnet-IP 192.169.2.5中启动了第二台Server 2012 R2 A1标准虚拟机进行复制,然后用Username2 / Password2创build这个虚拟机。 然后我join这个VM到第一个DC创build的域。 join域后,我试图将此虚拟机作为副本DC进行升级。 它要求凭据来执行此操作,并提供DOMAIN \ Username1:Password1作为凭据。 在升级过程中,AD到达在父AD VM上“创buildNTDS设置对象”的步骤,安装在此步骤停止。 根据这篇文章: Active Directory安装停止在“创buildNTDS设置对象” ,这是由于域凭证是相同的本地凭据? 或者我错误地将域凭据提供给安装。 我已经删除并重新创build了多次VM,试图执行安装。 我尝试以域pipe理员身份login到VM2,并执行升级。 在升级期间,我也尝试了提供域凭证的一切方法(用户名1 @域:密码1,域名\用户名1:密码1,域名\用户名1:密码1),无论安装挂起什么。 每次我仔细按照文章中的步骤从VM1上的森林中删除VM2之后再尝试再次升级。 我相信我错过了一个步骤,或者没有看到我缺less的一小块,但我的经验不足闪耀。 将DC2升级到副本DC时缺less什么?
我有一个运行在戴尔物理服务器上的Windows Server 2008 R2域控制器,型号为PowerEdge R510。 这里有一些电气问题,不幸的是,这是一个很常见的事情, 有UPS,但是它们并不像应该那样可靠,有时服务器会经历不干净的closures。 出于某种原因,我真的无法理解,有时候这个特定的DC会在不干净的关机之后出现,遇到USN的倒退,迫使我们降级并将其提升。 这完全没有意义,因为服务器是物理服务器,并且没有任何快照,克隆和/或恢复已经在其上执行; 也没有安装额外的软件,它只执行直stream任务; 具体而言,不克隆/恢复/任何软件存在。 一个文件系统的损坏至less是有道理的,但USN的回滚实际上并不是这样,因为服务器无法恢复到以前的状态。 不过这两个月至less发生过三次,绝对不是一次疯狂的事件, 但我完全无法提出解释。 这个问题可能是什么原因?
我有两个域控制器(Windows 2003)在我所支持的大多数部门所在的站点中。 我的部门也有另一个build筑(另一个地方),但是他们没有DC。 这可能是一个经典的问题,当一个公司分布在多个站点时是否安装额外的DC。 我们遇到过各种问题,例如login脚本没有映射驱动器,用户在进入之前无法login(即使他们正在input正确的密码)。 我在客户端上收到不同的错误。 其中一些是: Netlogon,5719 ,由于以下原因,此计算机无法与域domain.com中的域控制器build立安全会话:当前没有可用于login请求的login服务器。 这可能会导致身份validation问题。 确保这台电脑连接到networking。 如果问题仍然存在,请联系您的域pipe理员。 GroupPolicy,1055,组策略的处理失败。 Windows无法parsing计算机名称。 这可能是由以下其中一种情况导致的:a)当前域控制器上的名称parsing失败。 b)Active Directory复制延迟(在另一个域控制器上创build的帐户尚未复制到当前域控制器)。 在服务器上,我不断收到这些错误: Netlogon,5722,从计算机SOMEPCNAME的会话设置无法进行身份validation。 安全数据库中引用的帐户的名称是SOMEPCNAME $。 发生以下错误:访问被拒绝。 *(上面的错误不断重复同一台计算机。可能只需要重新添加到域。)* NTDS复制,1864,这是本地域控制器上以下目录分区的复制状态。 目录分区:CN =架构,CN =configuration,DC =域,DC = com 这最后一个看起来好像是一个没有完全删除的DC。 当我运行dcdiag时,它表明我们正试图复制一个不存在的服务器。 我不认为这会导致我们有这些login问题。 我想知道如果我们应该安装另一个DC或尝试别的东西。 我们的客户主要运行Windows 7,但也有一些XP和Vista客户端。 不同站点上的PC之间的带宽看起来是37.4 Mbs(只需通过此实用程序进行validation)。 任何帮助表示赞赏。