您好我正在与一个非常基本的Active Directory设置,不幸的是名称mydomain.local这意味着我无法获得SSL证书。 我买了一个外部域名mydomain.click。 我基本上在AD DNS中为mydomain.click创build了一个DNS区域,并将其指向相关的IP。 在我的testing环境中,这个工作。 但是这样做有没有意想不到的问题呢? 或更好的解决scheme
我有一个烂摊子。 正在向由2000服务器运行的域上推送2008 R2服务器到DC的过程中。 我相信大部分的复制工作已经完成 – 用户和计算机在2008服务器上显示/列出。2000服务器硬盘崩溃,完全丢失了RAIDarrays。 认为2008年的服务器是好的,只是发现它一定是在某个地方,现在似乎正在失地。 在2008服务器上,我们不能再看AD用户和计算机,它说该域名不存在或无法联系。 相同的网站和服务。 我抓住了FSMO的angular色,但似乎没有帮助。 例如,我的电脑仍然看到崩溃的DC作为login服务器。 另外,在尝试使用nltest / dsgetdc和/ dclistvalidation连接的DC时,我收到一个错误,指出不存在这样的域。 抓取操作后,我还没有重新启动服务器。 我还没有执行任何元数据清理活动。 DNS是好的,似乎正在工作。 正向和反向查找值是域的,列出了域。 此前,我开始试图查找为什么用户login脚本不起作用。 看起来SYSVOL和NETLOGON共享没有设置,因为当您从networking上查看服务器时,您无法看到它们。 SYSVOL文件夹就在那里,它看起来像是在旧的服务器崩溃时同步该文件夹结构的中间 – 但它没有得到用户脚本。 我不担心实际的脚本 – 我们可以很容易地重新创build它们。 运行一个dcdiag / test:netlogons看起来像域,服务器等一切正确,但是在净使用或LSAPolicy操作失败的情况下失败 – 错误67。 旧的DC只是一个authentication服务器。 没有文件共享,只有login脚本。 没有打印或应用程序服务/份额。 非常简单直接。 我担心的是,这个领域现在如此腐败,我们需要重新开始。 我看到一篇文章只是简单地将SysvolReady的设置翻转过来,用户/计算机的数据可以再次访问,但是我很犹豫。 我应该从试图清理旧服务器的元数据开始,还是将擦除我有什么有效的数据? 我还在挖掘甚至是日志等,看看我能find其他的东西…
我们已经有一段时间了,各种用户,各种工作站,以及接近Netwrix报告我可以告诉,用户甚至没有被locking。 从字面上看,每分钟有成千上万的错误 03/02/2017 02:34:19 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4771 EventType=0 Type=Information ComputerName=dc.domain.org TaskCategory=Kerberos Authentication Service OpCode=Info RecordNumber=13185523462 Keywords=Audit Failure Message=Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-1926054757-256335463-398547282-36898 Account Name: redacted Service Information: Service Name: krbtgt/DOMAIN.ORG Network Information: Client Address: ::ffff:10.101.28.31 Client Port: 50728 Additional Information: Ticket Options: 0x40810010 Failure Code: 0x18 Pre-Authentication Type: […]
默认域策略configuration为允许系统还原。 策略中的registry设置也被设置为更新计算机registryhex值以恢复到00000000.这适用于大约50%的时间。 另外50%的时间忽略了这一点,并将hex值设置为00000001,这将禁用用户创build还原点的能力。 对于OU没有另外的策略,它应该应用默认的域策略。 设置 GPO
我正在观察我们的networking(30多个Windows客户端)晚点刷新组策略。 有时会持续1到2天,以使GP的更改生效。 正如我是我们大学的pipe理员,我看到我们的pipe理员强制客户机在启动过程中使用gpupdate / force执行.bat。 我想听听你的意见 ,采纳这个蝙蝠,因为微软有一些想法,不要让DC成员让GPO每次刷新启动。
我正在寻求帮助解决这个问题,我在我们的AD域控制器中有很多安全事件被logging,因为(先前的)域用户login失败并被删除。 我试图指出这些尝试的起源,但迄今为止不成功。 最大的挑战之一是,尝试的起源似乎来自域控制器本身,并由svchost.exe触发(这并没有真正的帮助)。 在某个时候,这个用户是一个pipe理员帐户,如果这是相关的问题。 我到目前为止所尝试的: 查询计划任务以查看是否有用户被该用户名称调用,但没有find与用户名或事件时间相关的任何信息: schtasks /query /v /fo csv > sched_tasks.csv 使用ProcMon试图找出ProcMonlogging的事件和进程的行为之间的任何共同性,但是这certificate是困难的和不成熟的。 在registry中search该用户名,但没有发现任何兴趣。 我不知道我有什么其他选项,试图find这些失败的login尝试的根。 看事件本身并没有给我什么特别的线索,时间对我也没有意义。 有时我连续尝试3次,每次间隔10秒或20秒,其他时间会持续30分钟,1小时,5小时等,而不logging任何来自这个特定用户名的信息。 我将分享这个用户触发的最常见事件中的4个,但是我会注意到与Kerberos身份validation服务相关的第4个事件并不常见。 通常我会得到前3(login,凭证validation,login)。 这些事件具有相同的日志logging时间,但是如果事件查看器是正确的,那么底部事件比它上面的更早(按顺序)。 Keywords: Audit Failure Date and Time: 19/07/2017 16:18:39 Event ID: 4768 Task Category: Kerberos Authentication Service A Kerberos authentication ticket (TGT) was requested. Account Information: Account Name: deleteduser Supplied Realm Name: CONTOSO User ID: […]
我需要join公共和国内防火墙configuration文件激活的个人电脑。 如果我closures目标主机中的两个防火墙configuration文件,以下命令正常工作。 Add-Computer -ComputerName $targetHost-DomainName domain.com -Credential $Global:credentialObject -LocalCredential $targetHost\localAdmin -Restart 但在生产场景中,我需要通过使用域策略来打开特定的端口。 这个脚本的想法是从域中删除PC,并添加其他原因 那么,我需要在$ targetHost防火墙中打开哪些端口? 谢谢
我有几个子网的几个网站。 每个站点都有一个运行DNS的域控制器。 我想让客户端计算机/设备从本地DNS服务器为该站点查询arecord.domain.local。 DNS服务器logging被复制到所有站点。 每个网站都有相同的logging。 设备位于不同的子网上,只能访问本地站点DC。 现在,我已经启用了循环和networking掩码sorting。 但是,由于设备与DC不在同一子网上,因此似乎不适用于这些设备。 当本地站点上的设备查询arecord.domain.local时,我希望返回本地站点的Alogging 对于Windows Server 2012 R2如何完成这个任务有什么想法吗? 域控制器: 子网:255.255.255.0 IP:192.168.10.1 IP:192.168.20.1 IP:192.168.30.1 设备: 子网:255.255.255.0 IP:192.168.12.1 IP:192.168.22.1 IP:192.168.32.1 DNS Alogging: arecord.domain.local> 192.168.10.1 arecord.domain.local> 192.168.20.1 arecord.domain.local> 192.168.30.1 谢谢
我即将把我们目前的Win2k服务器升级到运行Windows Server 2008 R2的新服务器。 目前,我们当前的服务器充当我们的DHCP服务器DC,并控制ActiveDirectory等等。 有没有一种简单(或不那么容易)的方式,我可以将当前的设置迁移到新的服务器,而不必从头开始设置一切?
从戴尔订购的一台新的SBS 2011服务器,我试图将一些Windows Vista Business和Windows 7 Professional客户端连接到这台服务器上,而且我一直在收到错误。 所以,我集中了所有的经验,试图排除一些原因。 检查时间。 服务器设置为MST时区,而所有客户端都在PST中。 移动服务器TZ,没有改变。 时间是在1分钟内的客户 我可以ping服务器吗? 当然,通过DNS名称和IP地址 服务器能ping回来吗? 对 DNS服务正在运行吗? 是。 只是一个简单的DNS服务器,一个Windows自动为您configuration(域名是公司。本地) 在此之后,我一直困惑…我然后重新尝试去http://连接 ,但我一直得到一个404错误。 通过networkingID向导时,它说它找不到我的计算机帐户。 所以,只要尝试一下,我就在Active Directory中创build计算机名称,并设置每个用户来pipe理他们自己的工作站。 它涉及到没有帐户的部分,所以我input一个pipe理员用户名/密码,甚至用户的服务器U / P。 现在,试图join时只是一个空白的错误: Error joining domain *domain*.local. The error message is as follows: 这是错误的结束。 没有错误号码或没有。 我尝试重新启动服务器和工作站,但这是我得到的最远。 所以我的基本问题是,我可以做什么其他的故障排除连接Windows Vista或7到SBS2011服务器? 更新客户端正在从ISP获得一个新的调制解调器,并将在星期二更新