在我们的主站点,我们运行的是2012R2(林/域)function级别,我们目前已经使用ADFS和目录同步的交换混合configuration将我们的邮箱迁移到Office 365。 实际上,我们正计划在运行2008R2的服务器上部署远程站点的RODC。 这迫使我们将ADfunction级别回滚到2008R2。 您是否认为如果这样做会导致Office365 / ADFS / DirSync出现问题,而在ADFS中丢失Workplace Join?
我们使用远程桌面服务运行Windows Server 2012 R2计算机。 这个想法是,每个人都可以login并运行需要大量configuration的公司软件,这样我们只需configuration一次,然后将设置委托给该PC上的每个人。 我们还部署了RemoteApps,它适用于大多数程序。 但是,有一个特定的计划,路创RadioRA,拒绝在这种types的环境中工作。 如果计算机上的任何人打开它,而另一个用户尝试在自己的RDP会话中打开它,则会抱怨程序已经运行,无法启动。 我的第一个想法是尝试Sandboxie,因为我知道这是它的目的。 它根本没有工作… .NET立即崩溃,我得到吨的“文件太大,沙箱”的错误和其他各种崩溃,直到我强制closuresSandboxie。 我的下一个想法是尝试“runas”,因为它内置在Windows中。 我用一个简单的密码创build了一个名为runastest的用户,并尝试启动指向程序的EXE文件的runas。 input密码,并按预期启动。 切换到另一个用户,做同样的事情使用相同的runestst用户…已经运行相同的错误。 我不确定还有什么可以尝试的。 我们需要一种方法来启动程序,而不必检查计算机上正在运行的其他程序,本质上 – 我无法想象为什么一次打开多个副本实际上会有问题。 无论如何,一切都存储在活动用户的会话,AppData和什么。
我们的内部Windows域是ad.company.co.uk。 当我们尝试访问mail.company.co.uk(以OWA或Outlook Anywhere为例)时,它将parsing为路由器的外部IP地址,并由于路由器无法configuration自反NAT而导致卡住。 我读到,拆分DNS是允许通过外部IP地址访问内部资源的最佳途径。 将另一个区域添加到名为company.co.uk的内部DNS服务器并设置重复邮件,www,autodiscover等是安全的吗?logging,而不会干扰已经用于内部Windows域的现有子域? 如果没有意识到任何潜在的不利影响,不想在生产环境中尝试它,如果有的话。 希望这是有道理的。
我有一个启用了Hyper-V的Windows 2012 Server和一些虚拟机。 我当前的configuration在域策略中的“作为服务login”列表中有几个帐户,有时这会阻止我的虚拟机启动,出现此错误: 错误0x80070569('VM_NAME'启动工作进程失败:login失败:用户在这台计算机上没有被授予请求的logintypes。 正如在这个知识库中所描述的,我想添加NT虚拟机\虚拟机到我的“作为服务login”列表来解决我的问题。 我的问题是,当我尝试将该用户添加到我的域策略时,我收到一条错误消息: 以下帐户无法validation 我的域控制器显然不知道该用户,因为它不是一个启用了Hyper-V的服务器。 如何将该帐户添加到我的域策略?
我正在尝试通过PowerShell更改AD中的网站。 到目前为止,我没有名称或描述的问题,但在尝试更改网站的位置时不断出现错误。 不断给出错误的代码: Get-ADObject -SearchBase (Get-ADRootDSE).ConfigurationNamingContext -filter "objectclass -eq 'site'" | Set-ADObject -Properties location.location Get-ADObject -SearchBase (Get-ADRootDSE).ConfigurationNamingContext -filter "objectclass -eq 'site'" | Set-ADObject -Location "SiteLocation"
我昨天修正了一个2008 R2机器不想和DC通信的问题。 我在事件日志中发现了与kerberos缓冲区有关的警告,于是我增加了registry的大小,并重新启动了服务器,问题解决了。 问题是,我无法从2008 R2机器(不是DC)打开ADUC,并获得拒绝访问的消息。 但是,现在我正在考虑未来。 我知道2012年的缓冲区大小增加到了48K,但是对于用户可以join的最大群体来说,这是怎么翻译的呢? 我想提前计划,而不是再次发生这个问题,所以这就是为什么我问。 在我的公元,我有很多团体,还有很多团体的嵌套。 我已经阅读了关于使用LDAP的一些东西,所以你不会用巨大的查询来杀死你的AD。 有人可以详细说明这一点吗?
我们是小型商业情报公司,我们有一个总部和一个分公司。 我在总部的Windows 2012 R2上运行活动目录,在brnach办公室的Windows 2012上运行另一个活动目录。 两个办事处都通过站点到站点VPN连接。 当两个办公室之间存在连接问题或PDCclosures时,二级AD服务器也closures。 它没有configuration为RODC。 当我尝试检查域和信任下的域设置,我得到错误 您无法修改域或信任信息,因为无法联系主域控制器(PDC)仿真程序。 请validation当前域和networking的PDC模拟器是否联机并正常工作。 用户无法进行身份validation,当我尝试访问用户和计算机时,出现以下错误。 命名信息无法find,因为:指定的doamin不存在或无法联系。 请联系您的系统pipe理员,确认您的doamin已正确configuration并且当前处于联机状态。 我看到两个域控制器被设置为GC服务器。 我不是活动目录的专家。 我希望这是一个小问题,有人应该能够帮助我解决这个问题。
这个问题已经在其他论坛上多次提出过,但是我发现的大部分答案都是针对Windows 7,Windows Vista的,或者根本不适用于我的情况。 我的问题是,当我到Active Directory中的任何对象的Properties部分,我只得到5个选项卡,如下所示: 最常见的解决scheme似乎是安装远程服务器pipe理工具。 我已经做了,这是最新的版本。 之后,最常见的问题似乎是您必须启用“程序和function”中的AD服务,这些服务已完成,如下所示: 我也已经启用了高级function。 其中添加标签,但不是丢失的标签。 只是额外的,我不需要。 经过这一步,我已经看到很多Windows 7和Vista的答案(它也可能适用于10,我不知道),他们从他们的服务器复制文件名tsuserex.dll和tsuserex.dll.mui到他们的本地电脑。 我还没有这样做,因为它对我来说似乎很奇怪。 我是一个IT世界中的初级/中级人物,但是移动dll以获得一些制表符似乎对我来说很奇怪。 如果这真的是下一步我会做的,但有人可以向我解释为什么我需要这样做,如果是这样的话? 我很乐意尝试其他任何事情。 额外的信息。 AD服务器是Windows Server 2012 Standard 我也经历了这里显示的步骤。 基本上只是确保远程桌面服务 – 扩展选中了正确的checkbox。 这一切都是应该的。 为了彻底,我下载的RSAT是KB2693643 我也卸载并重新安装了服务器工具。
老服务器:服务器新服务器:AUTHSRV我正在玩我的实验室,我似乎还没有正确删除我的旧AD DS服务器,当我添加我的新的,所以现在我不能添加新的计算机到AD DS。 这是我得到的错误: 我应该弄清楚是什么原因导致了这个问题呢? 我最终删除了从Active Directory站点和服务下的旧服务器,我不知道如果这是正确的。 编辑: PS C:\Users\administrator.INTERNAL> ntdsutil C:\Windows\system32\ntdsutil.exe: metadata cleanup metadata cleanup: remove selected server SERVER Binding to localhost … Connected to localhost using credentials of locally logged on user. LDAP error 0x22(34 (Invalid DN Syntax). Ldap extended error message is 0000208F: NameErr: DSID-03100225, problem 2006 (BAD_NAME), data 8350, best match […]
试图利用集团pipe理的服务帐户(gMSA)的好处,但有一个混合的环境。 我的指南是这个博客文章: https : //blogs.technet.microsoft.com/askpfeplat/2012/12/16/windows-server-2012-group-managed-service-accounts/ 我已经在指南中实现了,在Server 2012+机器上进行了testing。 但是现在我想在Windows 7机器上使用相同的gMSA帐户来运行与上面相同的服务。 运行这个Win7框的步骤: 安装ADServiceAccount gMSA帐户名称 导致无法find标识为“gMSA-account-name”的对象。 如果我通过GUID,SID或完整的专有名称path识别这个帐户,这仍然是真实的。 如果我可以在早于Server 2012的操作系统(例如Windows 7)上使用这样的帐户,那么searchWWW并不会回答。我想象如果这样的事情是可能的,以某种方式扩展AD架构,使Win7可以理解这种新型帐户将需要(通过ADMX文件?) 感谢您的期待!