我已经安装了Windows Server 2012 R2核心版本,并希望将其推广到我的第一个域控制器。 我打算使用安装在客户端计算机上的服务器pipe理器来执行此操作。 我使用服务器pipe理器连接到服务器,并能够安装AD DSangular色和DNSangular色。 安装后,当我想部署域控制器,但是我得到一个错误: 尝试configurationAD DS时发生意外错误。 尝试获取域信息时遇到错误。 访问被拒绝 使用与安装angular色相同的用户时,会发生这种情况。 服务器IP已被设置为静态,DNS服务器指向自己,客户端和服务器是同一工作组的一部分。 我在Windows 8.1和Windows 10上都使用了RSAT工具。 作为一个停止差距,我把服务器pipe理器安装在服务器本身上,从那里我可以部署域控制器。 但是,我想了解为什么它不是从远程系统工作。 所有这些都是在虚拟机上完成的(不是真正的硬件),因此我可以在部署之前回到状态。
我们在两个位置有一个域(与vpn连接)。 在这两个地方我们都使用VMview池。 在这两个位置,我们都使用GPO将用户文件夹redirect到每个位置的文件服务器。 如果用户“留在”他们的位置一切都很好。 如果位置A的用户从位置B连接到VMview-pool(这是必要的,因为某些软件仅安装在此处),则文件夹redirect对于某些文件夹是“仅”工作的。 它正在为“文档” – 文件夹工作。 但设置“按照文档文件夹”的文件夹似乎得到重复。 在Windows资源pipe理器中有例如两个文件夹“我的图片”。 在文件系统上我可以看到原因:一个文件夹的名称是德文版“Meine Bilder”,一个文件夹的英文名称是“我的图片”。 所有服务器都是德语版本的Windows Server 2012 R2。 所有的“客户端”都是Windows 8.1 64位。
我有一个单一的域的networking。 PDC正在运行Server 2003 SP1并且无法升级。 PDC还为networking运行DNS和DHCP。 我有另一台服务器运行2003 SP2,这是我的BDC。 我有一个新的服务器,运行2012r2标准,我想迁移AD,DNS和DHCPfunction,然后停用两个2003年的框。 到目前为止,我已经提出了从2000年到2003年的域和森林function水平。我已经join到域的2012r2服务器,并添加了AD,DNS和DHCP卷。 当我尝试将2012r2服务器升级到域控制器时,问题就出现了。 在向导中,我select将域控制器添加到现有域,指定已经列出的域名,然后提供凭证。 当我点击下一步时,我得到一个错误,它无法使用指定的凭据login域,虽然我使用正确的pipe理员用户名和密码的域。 我唯一注意到的是域指定为domainName.priv,但是当我input凭据时,它显示用户名为DOMAINNAME \ Administrator。 我无法弄清楚为什么它不会接受凭据,因为它们与将2012r2服务器添加到域并提示时所用的相同。
我正在pipe理一个系统,由于我无法控制的原因,有一个不相交的DNS名称空间。 我不喜欢它,但事实就是如此,我无法改变这一点。 原因是服务器需要与预先存在的DNS基础设施共存。 Windows域被命名为ad.example.com,其名称为AD的NETBIOS。 但是,所有DNS服务器都将其主DNS后缀设置为“example.com”或“sub.example.com”,具体取决于它们在networking中的位置。 根据Technet上的“ 创buildDisjoint命名空间”文章,我已经在域中configuration了msDS-AllowedDNSSuffixes属性。 ad.example.com域的DNS在环境中的两个域控制器上运行,而example.com和sub.example.com的DNS在其他非Microsoft DNS服务器上运行。 在这种环境下,DNS是手动pipe理的,而不是依靠dynamicDNS注册和更新。 环境工作正常,除了在事件日志中出现的一些烦人的警告错误,看起来像这样: The system failed to register host (A or AAAA) resource records (RRs) for network adapter with settings: Adapter Name : <censored> Host Name : <censored> Primary Domain Suffix : sub.example.com DNS server list : <censored> (These are the domain controllers for ad.example.com) Sent update […]
题: 如何在不拒绝读取Windows文件共享权限的情况下拒绝更改? 细节: 我有一个Windows 2012 R2服务器。 我想创build一个文件共享,从networking(通过文件共享)进行访问时只读到一个组,但当组的成员通过远程桌面连接时可写。 我想我可以做到这一点,使文件夹的权限,但拒绝使用共享权限写入文件夹。 我无法在共享权限对话框中设置“拒绝更改”而不被强制为“拒绝读取”。 (我不想否认读…)
我们在过去的几天发现(当第一次出现时是未知的),当重新启动Windows 2012 R2服务器时,MYSQL和SQLAnywhere 16的服务需要20分钟才能启动。 这段时间之后,他们运行没有任何问题。 我们一直无法找出原因。 有什么想法,我们可以看看加快服务启动? 我们试图快速启动,看看哪些stream程启动时间过长,但其他一切似乎都能及时运行。 我们试图在服务器上运行Proc Mon,但是由于未知原因,我们仍然无法运行(我们仍然在这部分工作)。 我们已经禁用了各种组合的SQLAnywhere和MYSQL服务,以查看它们是否相互影响,但不是因为只有两个应用程序中的一个正在运行时问题仍然存在。 手动触发时,SQLAnywhere数据库将在几乎没有时间启动时与DBSRV16一起运行,但服务无法在没有长时间延迟的情况下启动。
我们使用单独的VMware ESX 5.5服务器作为testing环境,在这里我们复制生产机器。 它在物理上与生产networking分离的vSwitch上运行复制的VM。 上个月,我们使用Veeam将虚拟机复制到服务器并模拟生产,目的是将AD从2008R2升级到2012R2。 这工作得很好,所以我们用最小的麻烦升级了生产。 我应该说,上个月这个testing环境没有上网,所以testing不够完善,不过不pipe用。 这个月,我们在一个完全独立的电缆调制解调器线上引入了互联网连接到testingESX服务器上的模拟生产vLan,以便我们可以做更多的testing(对于使用IIS和SQL服务的应用程序的升级),但看到真正的连接来自通过互联网的客户。 所以我已经复制了处理DC,DNS,证书服务,IIS和SQL甚至networking策略的服务器,尽pipe我不认为这是在这里玩的。 互联网连接的工作,但现在我看到,从生产复制虚拟机大约一个小时左右后,networking位置从lss.local更改为公共。 此外,testingIIS服务器无法为网站提供服务,而且我发现域信任关系现在已经中断,重新创build失败。 networking位置感知设置公共位置,并手动(通过本地策略)将其设置为私人。 他们可以成功地查询DNS,而且我为什么引入一个互联网连接会打破所有的NLA和所有安全通道,而当互联网没有出现时就不这样做。 同时,生产中的服务器进行得很愉快,所以我不担心交叉污染。 简而言之,所有这些问题现在都来自在线新线路的出现或新升级的AD 2012R2域的复制。 我怀疑NLA在这里遇到了麻烦。 你会从哪里开始寻找networking位置变化的原因?
我正在研究触发我们监控软件的login失败问题。 研究这个问题,我能find的唯一的其他信息正是我所看到的,在这里: 事件4625审计失败NULL SID失败的networkinglogin 试图跟踪这个,我使用过程监视器,并设置2个filter: 进程是lsass.exe 结果不成功。 然后,我将结果与失败的审计尝试进行匹配,并且似乎与stream程监视器中的这两行相对应,因为他们每次都在审计失败的确切时间显示: 1:05:47.4932903 PM lsass.exe 896 RegOpenKey HKLM\Software\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots NAME NOT FOUND Desired Access: Read 1:05:47.4941867 PM lsass.exe 896 RegQueryValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceAutoLockOnLogon NAME NOT FOUND Length: 144 我不知道我是否正在寻找正确的位置来追踪这个问题,或者现在该怎么做。 有什么build议么? 我是新的serverfault,所以我不能评论或回答上面的链接的问题,但会好奇,如果他/她看到了与进程监视器相同的结果。 这是一个事件查看器事件: An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 […]
我正在使用Windows Server 2012 R2 DC,它是域的代理LDAP身份validation服务器。 从同一台机器上的ldp.exe和php5-ldap上一个单独的Ubuntu机箱上的php5-ldap ,我能够通过SSL端口636上的URI myserver.example.com绑定LDAP over SSL,但不能绑定URI ldaps://myserver.example.com (有或没有追加:636 )。 这对我在其他地方使用的PHPauthentication模块造成了问题,虽然我能够进入模块并手动对它进行攻击以使用工作的URI,但我更想知道为什么要添加URI前缀ldaps://似乎打破了一切 同样的DC也是networking的DNS提供商。 我已经手动添加了一个Alogging来指向myserver.example.com自己的IP地址。 我在想,也许我需要添加额外的(可能是SRV )logging来支持ldaps://myserver.example.com上的绑定,但是我不知道如何pipe理Windows Server上的DNS以知道将这些内容放在哪里如果真的我需要他们!) 所以总结一下: 为什么我可以在URI myserver.example.com上执行LDAP over SSL绑定,而不是在ldaps://myserver.example.com或ldaps://myserver.example.com:636 ,我该如何改变这种行为?
我在服务器2012 R2上设置了Windows防火墙,以便始终要求对所有连接安全规则进行IPSecencryption。 然后,我为特定端口和服务指定了入站规则,并将其configuration为“要求encryption连接”。 所有这些设置都是通过组策略完成的。 这适用于IPv4连接,但不适用于IPv6连接。 我已经尝试了ICMP6和TCP / UDP端口相同的结果。 有时我可以在防火墙日志中看到块(专门用于TCP端口,但不总是用于ICMP6)。 我开始怀疑Windows连接安全性实现中的IPSecencryption是否不支持IPv6? 我已经试过研究这个,但没有发现任何东西来支持这个,除了Windows Server 2003的旧文档。 我可以补充一点,在这种情况下的用例是Windows Clustering,它使用IPv6进行内部集群通信。 这可能被禁用,但这不是由MS支持,所以我宁愿不去那样的方式。 我并不需要encryption内部服务器通信,但是如果我不需要encryption所有连接安全规则(在全局防火墙设置中),那么需要encryption的单个规则似乎不起作用。 或者是否有可能不要求对所有规则进行encryption,而只是针对一些规则进行encryption,例如端口445上的所有通信? 我已经添加了一些图片来阐明我正在使用的设置。 全球防火墙设置: 样本入站规则中的操作设置: