所以,我刚刚接触的一个环境,有一些问题,我正在努力纠正。 旧configuration:单个SBS2011服务器,第二个2008 R2 DC在某些时候被添加。 SBS失败,angular色被查获,SBS从未重新上线。 当前configuration:原始的第二个2008 R2 DC仍然存在,以及3(!)个附加DC,介于2008 R2和2012 R2之间。 为了将DC数量减less到2个,我开始试图降级2008R2中只有DC和DNSangular色的一个。 紧接在dcpromo进程开始后,我得到这个: 所有的工作正在对FSMOangular色持有者,2012R2机器进行。 NTDSUtil显示当前的DC作为所有angular色的持有者。 好吧,到ADSIEdit上。 查看CN=Infrastructure,DC=DomainDNSZones,DC=Domain,DC=Local它显示fSMORoleOwner属性中当前正确的DC。 查看CN=Infrastructure,DC=ForestDNSZones,DC=Domain,DC=Local将旧的SBS服务器显示为fSMORoleOwner。 我知道0ADEL:值是指缺失或孤立的值。 我无法改变价值到新的DC。 看来该目录无法联系SBS服务器(当然,它早已消失),并不会允许我改变的价值。 我已经检查过SBS服务器的所有旧元数据已经清理完毕,AD网站和服务,DNS或ADUC中都没有。
我们有2个分支机构,本地文件服务器通过DFS-R同步到我们的中心办公室和文件服务器。 大多数情况下,数据从中央文件服务器复制到两个分支机构,但同步是两种方式,因为偶尔也会在分支机构中生成数据,并且必须在中央以及其他分支机构中出现。 我们的中心服务器和一个分支机构是Win2003R2 std,另一个分支机构是Win2008R2 std 昨天晚上我们通过意外删除或者一些stream氓脚本(仍在调查中)丢失了大量的数据(800GB)。 我们只有中央备份,目前正在中央服务器上恢复。 但是由于带宽有限,让DFS-R将所有东西都备份到我们的分支机构不是一个可行的select。 所以一旦我们的中央服务器再次恢复,我想准备2个USB磁盘,把所有中央数据镜像到我们的分支机构,然后再把它们放到本地。 问题是,如何以支持的方式来做到这一点,不会打破DFS-R。 我不希望DFS-R将远程数据视为“新”数据,并开始复制所有内容,或者更糟糕的是删除所有内容或其他内容。 前一段时间我们不得不在一个分公司重新安装文件服务器,当我使用'robocopy / MIR / SEC / SECFIX'时(为了确保数据尽可能接近1:1,以防止DFSRforms出现差异并重新同步)将中央数据复制到USB磁盘上,并使用相同的命令将其从USB磁盘复制回本地服务器。 之后,我将服务器(已重新安装,因此不再是复制组的成员)添加到复制组,这工作得很好。 但是从现在起,服务器仍然是已知的并且是复制组的成员,我不知道同样的方法是否可行。 我有两种可能的scheme,我认为可能会有效,但是也许会有一些确认(甚至更好的方法):这两个scheme都会使用通过使用'robocopy / mir / sec / secfix' 第一个选项(尽力而为):在使用robocopy在本地重新同步分支机构服务器之后,暂时禁用中央服务器和分支机构服务器之间的连接,再次启用连接并希望获得最佳 第二个选项:完全从复制组中删除分支机构服务器,并在他们已经在本地重新同步后,将它们添加回(我认为)做一个初始复制。 这和我在重新安装的服务器上所做的基本相同,所以我相当确信这将起作用。
我有一个Windows 2008R2服务器报告以下错误: 磁盘上的文件系统结构已损坏且无法使用。 请在卷\ Device \ HarddiskVolume2上运行chkdsk实用程序。 使用Powershell和WMI如何在查询Win32_Volume时识别这是哪个卷。 例如,如果我这样做: Get-WmiObject Win32_Volume 我得到了服务器上所有卷的列表,但是没有一个Win32_Volume类属性使用(显示为)这个“友好的”名称 – \Device\HarddiskVolume2 。 我可以看到有一个DeviceID属性返回一个像这样的值: DeviceID : \\?\Volume{4bc3df2a-65c7-11e0-9c33-806e6f6e6963}\ 还有一个Name属性,但这只是分配给该卷的驱动器号。 没有其他属性的值与事件日志中报告的内容类似。 我知道我可以parsing来自fltmc volumes或DISKPART的输出以获取此信息,但是必须有一种方法可以在PowerShell脚本中使用WMI获取此信息。 我还查看了Win32_DiskDrive , Win32_DiskPartition和Win32_LogicalDisk类,但没有提及类似\Device\HarddiskVolume2的属性值。
在Windows Server 2008 R2上,当我locking机器时,当我返回时,login屏幕屏幕不记得我的用户名: 我肯定还有一个会话,因为当我重新login时,它会记住所有事情的状态。 这是不同的,在大多数其他服务器的用户名被预填充的方式处理锁的方式,就像2012年的这个例子: 我可以去哪里改变这个设置?
这可能会成为另一个在Active Directory中经验不足的人的愚蠢问题,但我注意到Active Directory用户和计算机pipe理控制台中的计算机有一个方便的“描述”字段。 这是特别方便的,因为我们的计算机名称的政策基本上是“XY-12”,除非你记住了所有的PC号码(我很难记住我自己的两台电脑,与其他人一起) 。 由于某些软件许可的困难,我无法改变这个命名策略。 所以,我想我可以通过在AD用户和计算机的描述字段中input有用的描述来解决这个问题,比如“会议室”,“接待”,“Bob的2014笔记本电脑”等等。但是我找不到任何地方在常规Windows中查看此信息(当然,所有机器都join到域中)。 XP机器显示在与AD描述无关的系统控制面板(计算机名称选项卡,“计算机描述”字段)上键入的注释。 一切更新(无论如何,我检查了7 SP1和8.1)只给了我在networking中的“名称”,“类别”,“工作组”,“networking位置”,“发现方法”,“MAC地址”和“IP地址”浏览器。 那个旧的描述消失了。 FWIW我正在运行带有最大function级域的Server 2008 R2,而且我已经说过,工作站在XP和8.1之间有所不同。 从日常使用中摆脱XP系统在我的待办事项清单上,但是他们仍然需要不时地将其从旧的(可怕的)工程软件中拖出来。 我们能做些什么,或者我们只需要继续“呃,你又是哪一台电脑?” 我也发现Active Directorysearch工具在某处,但是打开它却相当笨拙,而且你不能仅仅默认显示所有的东西。 你必须打开它,告诉它你要search电脑,告诉它search每个人,打search,最大化的窗口,等等等等。 对于每个人来说,问这个问题的速度可能会更快,但是对于技术人员来说。
我通过作为域控制器运行的RRAS VPN连接到远程数据中心。 我连接的客户端位于本地域。 一旦我使用我的凭证连接到远程域,所有本地资源将变得不可用。 我可以联系他们并ping他们,但是如果我使用Windows身份validation,则无法进行身份validation。 无论如何,我可以VPN'd到远程域和本地和远程域进行身份validation吗?
所以,我已经在我的Win7电脑上安装了远程服务器pipe理工具 ,它运行的很好,但是有时候在我们的站点到站点的VPN上有点慢。 我有一个服务器2008 R2,我login到我需要迅速的任务,但我无法安装Server 2008 R2上的远程服务器pipe理工具 。 我的问题是这样的:我可以启用这些工具,而无需将此服务器升级到域控制器? 我意识到这些工具已经是服务器操作系统的一部分 ,我只是想用它们来pipe理我的域名,而不直接连接到我的域控制器。
我们有一个约15个服务器和约30个工作站的域名。 服务器大部分是2008r2,工作站大多是Windows 7.两个DC是2012r2。 每隔几个星期,我们的一个pipe理员帐户就被locking了。 我正在努力缩小事业的范围,而且我已经走到了尽头。 这是我的。 PDC上的事件日志显示事件4776 – 审核成功: Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: username Source Workstation: Error Code: 0x0 所有使用相同的用户名,每秒重复数次。 根据事件ID,这些是NTLMlogin而不是Kerberos。 虽然使用的authenticationtypes比剪切量更不令人担忧。 这种情况每秒发生几次,每隔几秒钟重复一次,无论白天还是晚上或周末。 事件日志还显示此用户名的审核成功事件ID 4624(login)和4634(注销),但是在“工作站”字段上方为空的情况下。 我启用了详细的netlogon日志logging和netlogon.log显示 02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered 02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via […]
注意:问题已经解决,父域的pipe理员pipe理删除DC对象。 我收集他使用ADSIEdit。 我正在与一个AD森林(在一个孤立的testing环境中,幸运的是,所有失败,我们可以吹走一切),并意外地尝试创build一个使用克隆机器作为新的域控制器的子域。 当然,这不起作用。 但是新的子域被创build了,尽pipeAD没有被成功安装在推定的DC上,现在我无法摆脱它。 我从这篇文章开始。 这是行不通的,因为还有孤立域DC的元数据。 所以我find了 不幸的是,这也不起作用。 我打开AD站点和服务,打开有问题的站点,打开服务器容器,select有问题的DC,右键单击NTDS设置并select删除。 点击“你确定”,select“这个域控制器是永久离线…”,证实我想这样做,即使DC不在我连接的域名,并确认我想尽pipe这是域中的最后一个DC,但要做到这一点。 然后它说:“Windows不能删除对象LDAP://因为:从服务器返回引荐。 任何人见过这个? 有任何想法吗?
通过“漫游configuration文件”,我的意思是“共享主目录”。 所以,我build立了一个AD对,并在\\ad-1\homes上共享一个文件夹。 然后将AD用户对象设置为挂载H:\ = \\ad-1\homes\%username% 。 这在Windows上正常工作(如你所期望的)。 我还在用户的OU上的GPO上configuration了文件夹redirect,将文档指向\\ad-1\homes\%username%\Documents等。 一切工作正如你在Windows上所期望的。 好极了。 然而。 Linux是一个不同的故事。 使用Winbind和Samba,我已经join了域名。 没问题。 # wbinfo -u PRODUCT\administrator PRODUCT\guest PRODUCT\krbtgt PRODUCT\aa PRODUCT\ab 我已经编辑了AD的uidNumber和gidNumber,以便我得到这个: # wbinfo -i PRODUCT\\aa PRODUCT\aa:*:10001:10000:aa:/home/PRODUCT/aa:/bin/bash 我天真地想,我可以将\\ad-1\homes安装到/home/$DOMAIN并且由于用户名相同,我可以将它们用作主目录。 除了因为cifs共享在启动时挂载,所以权限是dwrxr-xrx root root . 一直沿着目录树,所以用户不能写入它们。 我已经尝试了几乎所有的mount.cifs选项组合,包括有前途的“ multiuser ”,并使用sec=krb5ifind最好的结果。 我想要的是能够挂载\ ad-1 \ homes目录,在/ home / $ DOMAIN之上,并且看起来像 name owner aa/ DOMAIN\aa ab/ DOMAIN\ab administrator DOMAIN\administrator 等等。 有谁知道这是如何实现的? […]