服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 只读域控制器用于独立/异地testing位置
Intereting Posts
如何运行VBoxManage.exe? 如何自动备份Quickbooks服务器? 显示具有自己的域的外部网站 IP的请求已经过时的文件 组策略GPO不在客户端“看到” 如果端口转发失败,如何使ssh失败 由一个AppPool创build的ASP.NET文件不能从另一个AppPool读取 安装Windows 2008 – 在展开文件时挂起 Nginx的try_files gotcha DRBD – 没有定义资源 开始联网 更改pg_hba.confnetworking范围可防止重新启动 是否有可能在默认的sendmail maillog中包含主题行? 为什么bugzilla只接受一个产品的bug? PHP5 OCI8 FreeBSD

只读域控制器用于独立/异地testing位置

有一点需要强调:客户端需要testing由SQL 2008 Server和Windows 2008 Standard Server(应用服务器)组成的支持Active Directory的CRM系统。 据我所知,Active Directory是最终用户身份validation和应用程序到SQL身份validation所必需的。

我们需要将这两台服务器从当前的域环境中提取出来,并安装在具有Internet连接但不在域( foo.local )或任何域上的testing工具上; 他们现在只是工作组中的一堆工作站。

我最初的想法是设置一个IPSec隧道到客户端的位置/从testing设施,但我想知道如果局域网子网重叠将是一个痛苦(pfSense防火墙这里)pipe理和/或如果更改IP地址两台服务器( FOOAPPFOOSQL )到一个不同的子网,以避免重叠会导致AD域的一些悲痛(即域控制器不会“知道”这些服务器是谁)。

我的另一个想法是设置一个只读域控制器,并把它带到现场的testing设施,但从我粗略阅读的technet文档,这听起来像它需要能够与客户端位置域控制器(s )。

最后,我知道你可以使用caching的凭据脱机validation工作站:会使用成员服务器吗? 我假设不是因为发生在FOOAPPFOOSQL之间的SQLauthentication可能根本就不使用caching,但是请赐教。

任何其他选项?

澄清

这些服务器目前尚未用于生产。 当他们join到客户的领域时,没有数据,也没有人使用它。 他们现在只是空闲的成员服务器。 SQL数据库将加载testing数据,然后用于培训,但是在用户验收/最终用户培训期结束后(移除testing数据),我们将把它们放回到客户的位置,从而投入生产。 。

我们不能在现场进行testing/培训,因为这对客户的办公室太具有破坏性,他们没有足够的会议室来容纳testing/培训小组。

编辑

我想这可以被解释为两个问题:

  1. (只读|可写)域控制器与其他域控制器隔离时会发生什么?

  2. 活动目录是否关心IP地址? 也许我可以暂时将这两台服务器放在不同的子网上,并build立一个IPSec隧道,以便testing机构中的这些服务器和工作站可以与客户办公室的域进行通信。

默认情况下Active Directory在多主复制模式下运行,其中每个域控制器对其pipe理的域是独立权威的。 因此,即使断开连接,testingDC仍然能够处理login并接收更新(密码更改等)。 两套区议会(现场和现场的)将会随着时间的推移而逐渐分化,但如果您打算在事后收敛,这只是一个问题。

这是我的build议来处理这种情况:

  1. 在重新部署每个testing域控制器之前,请对其进行完整的系统状态备份 。
  2. 重新安置testingDC并让他们安置(将工作站join域,创build用户等)。
  3. 运行你的testing。
  4. 当您准备将DC还原到生产服务时,请执行之前执行的系统状态备份的非授权还原 。 这将重置DC到他们以前的系统状态(当然)。
  5. 将testingDC返回到其原始networking并重新接通电源。 他们会认识到,他们的活动目录数据的副本是过时的(由于古老的USN ),并开始发送复制请求到在那里一直在那里的生产区。

因为这只是为了testing,您是否考虑过在其中一台机器上运行虚拟机,并将其设置为DC? 像Virtualbox这样的产品,虽然不是一个很好的产品使用select,但在这种情况下可以。

1)当一个标准的DC与域中的其他DC隔离时,它将继续执行其所有的function,因为每个AD DC都能够自己工作; 如果您需要访问某个FSMOangular色(例如执行架构扩展或用于新用户的RID),则只会遇到问题,但这只会发生在一些非常特殊的情况下,您不可能运行进入testing环境。 当然,如果你在两个部分之一上对AD进行任何修改(例如创build一个用户帐户,甚至改变密码),这将不会被复制到另一个部分…如果你打算重新连接他们,您很可能会遇到复制冲突。

这不适用于RODC:如果其中一个与networking的其余部分隔离,并且没有任何可写DC(即使通过WAN链接),则大多数ADfunction将不可用; 您将无法创build/修改任何内容 ,这当然包括将计算机join域,pipe理用户帐户等。

2)AD关心IP地址有两点:复制数据和查找“最近的”可用域控制器,以避免不必要的WANstream量; 这两个function都依赖于站点,子网和站点链接的定义。 如果要将广域网链接设置为与主LAN不同的IP寻址的位置并在其中放置DC,则需要在Active Directory站点和服务控制台中定义一个站点和一个子网; 这将允许ADpipe理主要位置中的DC和异地DC之间的复制,并且还将告知位于该位置的服务器和客户端与本地DC进行通信。

这是我会build议的:

在当前ESXi主机上设置隔离networking。 克隆testing所需的现有服务器,并将其置于隔离networking上。 如果需要的话,可以将FSMOangular色放在隔离的DC上,因为它与生产networking隔离,不会对生产networking造成任何影响。 join一个testing客户端到隔离域并执行testing。

这对我来说似乎是最简单的解决scheme。

在将DC转移到离线(就生产networking而言)时,您绝对必须考虑的一个问题是,如果生产networking的时间长于逻辑删除时间,则可能包含已从生产networking中删除的对象(被称为徘徊物体),当重新连接到生产networking时可能存在一致性问题。 我遇到过这样的问题,并不是很漂亮。

如果你只是在这个过程中处理几个问题,那么它不一定是有问题的。 如果域名最初是Windows 2000并升级到2003年,那么墓碑年龄是60天,如果它是作为Windows 2003域名开始的,则墓碑年龄为180天。 您可以更改逻辑删除时间,但是这需要使用ADSIedit或其他工具直接修改Active Directory的目录服务分区,我不知道您是否愿意。 (path是:CN =目录服务,CN = Windows NT,CN =服务,CN =configuration,DC = yourdomain,DC = yourdomainsuffix)这将使Active Directory占用您的DC更多的空间,因为他们将坚持所有在实际上完全删除它们之前删除对象更长。

在断开场外DC之前,您应该确保进行时间同步,以尽量减less场外的时间漂移​​。 重要的部分是重新连接时,应首先 重新引入 异地 DC (使用带有/ regkey开关的Repadm工具) 之前 在生产networkingDC上configuration严格的复制一致性,并确保将非现场DC设置为非授权还要重新连接之前进行恢复,以便尽快将新的SYSVOL复制到它。