我已经看到了有关这样做的其他问题和文件,但有些东西仍然让我感到困惑。 这里是我见过的文件和问题: 淘汰死的Windows 2003域控制器 从Petri 抓住FSMO的angular色 使用NTDSUtil.exe将FSMOangular色转移或获取到域控制器 – Microsoft知识库 Active Directory域控制器上的FSMO布局和优化 – Microsoft知识库 在域控制器降级失败后,如何删除Active Directory中的数据 该环境包含两个Windows服务器和众多的客户端。 域控制器是与Windows 2000本机AD一起运行的Windows 2003 SP2。 另一台服务器(根本不是DC)是Windows 2000 SP4(它正在托pipe一个病毒检查工具)。 netdom query fsmo结果netdom query fsmo : Schema owner missing.office.local Domain role owner myself.office.local PDC role missing.office.local RID pool manager missing.office.local Infrastructure owner missing.office.local The command completed successfully. 来自dcdiag结果: Domain Controller Diagnosis Performing […]
每当我运行 “ 组策略结果”向导并select“域控制器”作为目标计算机时,摘要将在“计算机configuration”下显示“应用组策略时的安全组成员身份”列表中的BUILTIN\Administrators ,如下所示: (域名,用户和计算机名称被遗漏) 由于域控制器不是pipe理员的成员(至less不是我能在ADUC中看到的),我的问题只是为什么? 域控制器实际上是pipe理员组的成员,还是GPResults错误(以及为什么)?
我们的客户之一是一级PCI公司,他们的审计师就我们的系统pipe理员和我们的访问权限提出了build议。 我们pipe理他们完全基于Windows的大约700个台式机/ 80个服务器/ 10个域控制器的基础设施。 他们build议我们进入一个有三个独立账户的系统: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC WS是只login到工作站的帐户,是工作站上的本地pipe理员 其中SRV是仅login到非DC服务器的帐户,是服务器上的本地pipe理员 其中DC是仅login到域控制器的帐户,实际上是域pipe理员帐户 然后,策略将阻止从错误的帐户login到错误的系统types(包括删除非直stream机器上域pipe理员帐户的交互式login) 这是为了防止受感染的工作站可能公开域pipe理员login标记并将其重新用于域控制器的情况。 这似乎不仅对我们的日常操作是非常干扰性的政策,而且还有相当多的工作要解决什么是相对不太可能的攻击/利用(这是我的理解,也许我误解了这种利用的可行性) 。 我有兴趣听到其他pipe理员的意见,尤其是那些参与PCI注册公司的人员,并且有类似的build议。 你有什么关于pipe理员login的政策。 为了logging,我们目前有一个我们通常使用的域用户帐户,当我们需要额外的权限时,我们也会提升域pipe理员帐户。 诚实地说,我们都有些懒惰,通常只是使用域pipe理帐户进行日常操作,尽pipe这在技术上违背了我们公司的政策(我相信你明白了!)。
Windows Server 2012 R2 w / GUI,Hyper-V主机,VM DC 我正在安装我的第一个第二个域控制器(DC)(听起来很奇怪,但这真的是我在做什么)。 我认为这个链接是一个很好的过程。 我想知道是否有一个区议会被认为是“主”,或者是我看到的另一个术语,即“主要区域控制器”。 但是如果我了解现在的数据中心的工作方式,他们都互相沟通和更新,如果失败了,他们应该接pipe,所以似乎不再有主域控制器这样的概念了。 但是我一直看到最近的post中使用的术语。 如果有人能够澄清为什么这个概念还在讨论中,这将有助于我理解。 如果有这样的关系我需要build立,我不知道该怎么做。 当DC不再同步时,我也看到了各种各样的人在遇到问题。 主要原因是什么?如何知道这件事发生了? 谢谢。
我知道它已经永远得不到正式的支持,但是我已经看到或听说过许多同时运行AD DS和Exchange的单一主机的小型企业安装。 对于一个资源匮乏的小企业来说,节省是令人信服的。 所以假设我们知道用户需求不会超过25个用户,比如10个用户, 现在在同一台计算机上运行Exchange和AD DS的真正“坏”现象是什么(没有任何types的虚拟化) ? 有什么特别坏的呢? (除了“微软这么说”之外,还要记住前两个最重要的原因) 如果有的话,可以采取什么措施来缓解“坏”的问题? 您可以假设有问题的业务是: 有一个合理的商业ISP或一个单一的物理现场服务器 有一个已经挖掘出来的虚拟资源池,他们不想花费更多。 我想到的情况是第二种情况,只有一个虚拟机可能成为添加Exchange的候选者,因为它是唯一的Windows虚拟机,并具有足够的超额内存来实现。 无论如何,这个推理可能并不是那么的合理,但是让我们说这些是你必须要处理的限制。
场景: 当我的DC正在运行时,我login到任意一台机器。 我停止了DC 我注销任意机器。 让我们也反弹一下吧。 当机器恢复时,即使DCclosures,我仍然可以使用我的域名凭证login 为什么和如何? 在“任意”机器上是否有某种本地凭据caching? 我的密码在某些情况下被散列并存储在案例中,DC爆炸或停机? 如果我试图login到一个我以前从未login过的DC,同一过程是否会工作?
我们有一个在不同networking中具有3个DC的域,我们想要分解其中的一个。 但是,由于networkingconfiguration错误,我怀疑剩下的两个DC不能相互复制。 所以我想确保在我关掉陈旧的DC之后,剩下的两个将会彼此完美地复制。 我可以在两个DC之间没有任何问题,但我怀疑复制可能是一个不同的故事。 当我发出repadmin /showrepl dc1 ,它只会显示以前的复制与我想要删除的DC的状态。 安全 DC未列出。
Windows Server 2008引入了只读域控制器,它接收域数据库的完整副本,但不能修改它,就像一个很好的旧的Windows NT BDC。 我知道所有关于如何运行这些半决赛的技术细节(我刚刚通过了70-646和70-647),但是我仍然没有清楚地回答所有最重要的问题: 你为什么要使用它们 ? TheCleaner的这个评论真的可以为我总结: @Massimo – 是的,你是对的。 U正在寻找一个令人信服的RODC理由,而且没有一个。 它还有一些额外的安全function,可以帮助减轻分支机构的安全性,如果您没有DC,那么只需要在那里部署安全function,并对其安全性进行分析。 我也是这么想的,安全性稍微提高了一点,当然可以,但绝对不值得这么麻烦。
假设域中至less有两个域控制器,那么在域控制器崩溃后需要采取哪些步骤才能使Active Directory健康运行?
我们有两个Windows Server 2008 SP2(不幸的是不是2008 R2)域控制器在一个小型的150个客户端域中展示了非常“高峰”的CPU使用率。 域控制器都performance出相同的行为,并托pipe在vSphere 5.5.0,1331820上。每两到三秒钟CPU使用率跳至80-100%,然后迅速下降,保持低一两秒,然后跳转再次。 查看虚拟机的历史性能数据表明,这种情况已经持续了至less一年,但从三月份以来频率已经增加。 有问题的过程是SVChost.exe包装DHCP客户端(dhcpcsvc.dll),EventLog(wevtsvc.dll)和LMHOSTS(lmhsvc.dll)服务。 我当然不是Windows内部专家,但是在使用Process Explorer查看进程时,似乎找不到任何特别的错误,除了EventLog正在触发大量的RpcBindingUnbind调用。 在这一点上,我没有咖啡和想法。 我应该如何继续解决这个问题?