Questions tagged «domain-controller»

我试图确定是否有可能在同一子网内的同一网络中的两个单独的域上运行两个Active Directory域控制器。我不希望这两个域控制器以任何方式链接（帐户等），除非我已经连接了它们。 我目前对DNS的关注-就我而言，这是主要问题。由于我只有一个DHCP服务器处理整个网络，因此我希望将一组DNS服务器IP地址分发给所有客户端。但是，DomainA的DNS服务器将无法回答对DomainB的查询，依此类推。 我想这可以通过转发器解决-IE，我可以在DHCP配置中设置两个DNS服务器的IP地址，然后告诉DomainA将对* .DomainB的请求转发到DomainB的DNS，反之亦然。我还可以使用单个聚合将请求正确转发到各个服务器。 但是，我不知道这是否行得通，或者是否有更好的选择。如果这是一个商业网络，我将继续设置VLAN，多个DHCP服务器等。但是，我正在寻找简单性（与您在家中使用域控制器可以实现的简单性一样多...） 在同一网络上运行两个域控制器的原因？我在家里经营一个实验室，现在我说服了与我在一起的人来经营他们自己的域控制器。但是，出于安全考虑，我想将所有内容隔离开。 任何帮助表示赞赏。

10 windows-server-2008  active-directory  domain-controller  internal-dns 

我受客户的委托，为具有以下要求的方案提出了可行的Active Directory设计（简化后，它们实际上要糟糕得多）： 客户端系统有一个子网。 服务器系统有一个子网。 这两个网络未连接。 每个服务器应具有两个网卡，一个在服务器的网络上，另一个在客户机的网络上。 客户端和服务器之间的流量应仅在客户端网络上流动。 服务器之间的流量只能在服务器的网络上流动。 这也应适用于域控制器。 不用说，这与Active Directory使用DNS定位域控制器的方式并不太好。任何可能的方法都会导致以下情况之一： DC在域DNS中注册其“客户端” IP地址；客户端将使用该地址与他们交谈，但服务器和AD复制流量也将与其交谈。 DC在域DNS中注册其“服务器端” IP地址。服务器将使用该地址与它们通信，并且复制流量将在该网络上流动，但是客户端将无法访问它们。 DC将在域名DNS中注册这两个 IP地址。有人猜测任何系统都将如何达到目标。 当然，这些要求是完全疯狂的，并且不能同时满足所有这些要求，除非使用疯狂的解决方案，例如在两个网络上拆分DNS服务并手工（argh）填充其SRV记录或让服务器定位使用DNS的DC和客户端使用WINS（双精度）定位DC。 我想出的解决方案是在“服务器”网络上有两个DC，在“客户端”上有两个DC，定义了两个AD站点，并且仅使用DC复制流量跨越了两个网络之间的边界。这仍然需要进行一些DNS修改，因为每个服务器仍将具有两个网卡（除了两个服务器端DC和纯后端服务器之外），但是它至少有一定的工作机会。 有什么建议，除了尽快逃跑？

10 networking  domain-name-system  active-directory  domain-controller 

我一直在为我工作的公司的最关键要素设置异地备份。这些关键要素之一就是直流电。 现在，该公司规模很小，因此只有一个林，并且在单独的物理计算机上有两个DC服务器（但是，这是虚拟化的）。也就是说，服务器机房中的严重故障可能会破坏这两台计算机。 因此，我正在尝试为关键情况创建DC备份。我一直在线阅读备份系统状态就足够了，但是我觉得这仅在您希望能够在进行备份的同一台服务器上还原DC时才有效。我尝试过进行系统状态备份，然后将其还原到隔离的VM（相同的服务器，相同的更新）上，但是……进展得并不顺利。恢复工作正常，但是即使我确保VM具有与以前相同的IP（当然仍然是隔离的），我仍然无法联系本地DC。与DC相关的管理控制台均无效。甚至在还原过程中警告说，不建议从另一台计算机还原系统状态。 因此，我认为这是错误的方法。那么...如果我想在异地备份我们的DC以覆盖严重故障，正确的方法是什么？对C：驱动器+系统状态的完整备份，或者我可以为该虚拟化DC备份整个驱动器，但是我正在尝试使备份尽可能小... 编辑：我正在尝试使备份尽可能小，不要跳过成本，而是要上载时间。 PS。我正在使用Azure备份应用程序，但我认为它没有那么重要。我们所有的DC目前都在运行Windows Server 2016。

9 backup  domain-controller 

我的主域控制器在周末过世，明天将更换其主板。 有人告诉我，一旦安装了新主板，服务器的mac地址可能会更改。 将其重新插入网络之前，应该关注哪些问题？广告会同步吗？ DHCP呢？它在死之前是dhcp服务器，但是我不得不将其安装在网络上的其他位置。重新开机后，dhcp服务器将发生冲突。

9 windows-server-2008  dhcp  domain-controller 

如果我有连接到域的Windows PC，并且域控制器脱机，那么我可以在客户端上期望什么样的行为（假设没有第二个DC？） 用户可以登录吗？或者，也许是一个更好的问题，如果有的话，登录功能将如何改变？ 显然，DC上的文件共享不起作用，但是客户端之间或客户端与成员服务器之间的共享又如何呢？ DC恢复后，客户端是否需要重新启动，注销/登录？与DC断开会带来长期后果吗？ 最终，我对DC处于脱机状态时应该收到的用户投诉有兴趣。请随意提及我没有提到的其他重要信息。

9 active-directory  domain  domain-controller 

我们有多个服务器作为域控制器运行，分别为“ DC01”，“ DC02”和“ DC03”。由于某些原因，我们需要重新启动它们。 是否要遵循特定的程序？ 附加信息：“ DC01”当前担任所有FSMO角色。我应该在重新启动角色之前将角色转移到另一个DC吗？ 详细信息：DC01是Windows 2008 Enterprise。DC02和DC03是Windows 2008 R2 Enterprise。

9 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller 

在一个小型办公室设置（5-6名员工）中，我们有七个Windows XP和Windows Vista客户端，以及几个Linux服务器。 是否可以设置一个Linux机器作为域控制器来为网络提供单点登录和类似AD的功能？

9 linux  windows  samba  domain-controller  single-sign-on 

有什么方法可以在DMZ中设置OWA服务器与本地站点的DC进行通信？ DMZ与具有DC​​的LAN位于同一（物理）站点。（DMZ中没有DC。） 我可以强迫它在此（本地）子网上使用DC，因为它在世界的另一端随机选择DC！

9 windows  active-directory  domain-controller  outlook-web-app 

我最近继承了与我合作的一家小型初创公司的基础架构职责。我的传统角色是发展，所以请忍受... 我希望从右脚开始，并在Active Directory中启动并运行Active Directory。我已按照Microsoft TechNet上的指南在Azure VPN中安装AD林，并且具有以下结构 为我的本地网络配置为站点到站点VPN的Azure VPN，它显示为正确连接。 子网：192.168.5.0/24 HQNET 子网：192.169.1.0/24站点到站点VPN网关 子网：192.169.2.0/24 Auth 子网：192.169.3.0/24 Apps 子网：192.169.4.0/24数据 子网：192.169.6.0/24中 我在Auth子网IP 192.169.2.4的A1标准VM上具有Server 2012 R2。AD Install非常出色，启动了新的林，一切似乎都运行良好。该VM是使用Username1 / Password1创建的，在安装AD后会自动添加为Domain Admin / Enterprise Admin。 我在同一Auth子网-IP 192.169.2.5中启动了第二个Server 2012 R2 A1标准VM，以进行复制，并使用Username2 / Password2创建了该VM。然后，我将此虚拟机加入到使用第一个DC创建的域中。加入域后，我尝试将该虚拟机提升为副本DC。它要求提供凭据以执行此操作，我提供DOMAIN \ Username1：Password1作为凭据。 在升级过程中，AD到达父AD VM上的“正在创建NTDS设置对象”这一步骤，安装在此步骤停止。根据此处的文章：Active Directory安装停在“创建NTDS设置对象”上，这是由于域凭据与本地凭据相同吗？或者我没有将域凭据提供给安装。 我多次删除并重新创建了VM，尝试执行安装。我尝试以域管理员身份登录VM2，然后执行升级。我也尝试了在升级过程中提供域凭据的几乎所有方法（Username1 @ domain：Password1，DOMAIN \ Username1：Password1，domain.com \ Username1：Password1），无论安装挂起了什么。每次我都仔细按照文章中的步骤从VM1的林中删除VM2之前，都尝试再次升级。 我相信我错过了一步，或者没有看到我缺少的一小部分，但是我的经验不足。 将DC2提升为副本DC时我缺少什么？

8 active-directory  domain-controller  replication  azure 

我有一个最近配置的测试域。突然之间，只有具有缓存凭据的用户才能登录。该域包括两个域控制器，这两个域控制器都是相互复制的全局编录。 在调查了该问题之后，我发现所有_mcdcs域记录都在两个DNS服务器上完全消失了。由于无法解析诸如_ldap和_kerberos之类的SRV记录，因此无法定位域控制器。 我不太确定这是怎么发生的...清除DNS缓存或DNS清除会导致这种情况吗？ 此时，我需要以某种方式还原记录。我查看了另一个域的设置，看起来它们可以手动重新创建...但是我注意到某些DNS记录中似乎包含SID名称...而且我不知道需要使用什么标识符用于重新创建它们。 有没有一个更好的过程可以用来摆脱这种情况？

8 domain-name-system  active-directory  domain-controller  windows-server-2012-r2  srv-record 

我有在物理Dell服务器上运行的Windows Server 2008 R2域控制器，型号为PowerEdge R510。 这里周围存在一些电气问题，因此不幸的是，停电非常普遍。虽然有UPS，但是它们不如应有的可靠，有时服务器会关机。 出于某种原因，我确实无法理解，有时在不正常关机后会出现此特定的DC，并遇到USN回滚，这迫使我们降级并将其升级。 这根本没有任何意义，因为服务器是物理服务器，并且从未在其上执行快照，克隆和/或还原。另外，没有安装任何其他软件，它仅执行DC职责；具体来说，不存在克隆/恢复/任何软件。 文件系统损坏至少在某种意义上是有意义的，但是USN回滚实际上没有意义，因为无法将服务器恢复到先前的状态。但是，在过去的两个月中，这种情况至少发生了3次，因此绝对不是一次疯狂的事件。但我完全无法提出解释。 这个问题可能是什么原因？

8 active-directory  windows-server-2008-r2  replication  domain-controller  unexpected-shutdown 

我在两个不同的林中有两个Active Directory域。每个域都有两个DC（都为Windows Server 2008 R2）。这些域也位于不同的网络中，并通过防火墙连接它们。 我需要在两个域和林之间创建双向林信任。 如何配置防火墙以允许这样做？ 我找到了这篇文章，但是并没有很清楚地解释DC之间需要哪些流量，而一个域中的域计算机之间需要哪些流量（如果需要），而另一域中的DC需要所需的流量。 我可以允许DC之间的所有流量通过，但允许一个网络中的计算机访问另一个DC中的DC会有些困难。

8 windows-server-2008-r2  firewall  domain-controller  active-directory 

这是有关云服务替代Active Directory 的规范问题。 是否可以使用Google Apps或其他云服务来代替Windows域控制器（取代整个AD基础架构）？ 具体来说，我想消除对本地Windows Server的依赖；目前，它充当文件和打印服务的域控制器。我想用基于托管应用程序的服务器无缝替换该服务器。我不仅希望将服务器移至专用或并置的服务器。 我还没有弄清楚如何拼凑打印机/等共享。如果有人对此有任何见识，将不胜感激。目标是最终将我所有的服务器都移到云中，然后编写有关整个事件的案例研究。

8 active-directory  domain-controller  g-suite 

在我支持的大多数部门所在的一个站点中，我有两个域控制器（Windows 2003）。我的部门也住着另一座建筑物（位于另一个站点），但是它们没有DC。 这可能是一个经典问题，即当公司分布在多个站点时是否要安装额外的DC。 我们一直在遇到各种问题，例如登录脚本无法映射驱动器以及用户在被允许进入之前多次登录失败（即使他们输入了正确的密码）。 我在客户端上遇到了不同的错误。他们之中有一些是 ： Netlogon，5719，由于以下原因，该计算机无法与domain domain.com中的域控制器建立安全会话：当前没有可用于服务登录请求的登录服务器。这可能会导致身份验证问题。确保此计算机已连接到网络。如果问题仍然存在，请与您的域管理员联系。 GroupPolicy，1055，组策略的处理失败。Windows无法解析计算机名称。这可能是由于以下一种或多种原因引起的：a）当前域控制器上的名称解析失败。b）Active Directory复制延迟（在另一个域控制器上创建的帐户尚未复制到当前域控制器）。 在服务器上，我不断收到这些错误： Netlogon，5722，从计算机SOMEPCNAME进行的会话设置未能通过身份验证。安全数据库中引用的帐户的名称为SOMEPCNAME $。发生以下错误：访问被拒绝。 *（以上错误在同一台计算机上不断重复。可能只需要将其重新添加到域中即可。）* NTDS复制，1864，这是本地域控制器上以下目录分区的复制状态。目录分区：CN = Schema，CN = Configuration，DC = domain，DC = com 最后一个看起来与未完全删除的DC有关。当我运行dcdiag时，表明我们正在尝试使用不再存在的服务器进行复制。我认为这不会导致我们遇到所有这些登录问题。 我想知道我们是否应该安装另一个DC或尝试其他方法。我们的客户主要运行Windows 7，但也有一些XP和Vista客户。 在不同站点上的PC之间，带宽看起来为37.4 Mb（已使用此实用程序iperf进行了验证）。 任何帮助表示赞赏。

8 windows-server-2003  active-directory  domain-controller  windows 

我一直在研究一些Exchange培训文档（官方的MS电子学习包），并且所有设计方案都隐含了在每个站点中从目录林根域中至少放置一个DC。 我不确定这是否仅与Exchange有关，但是我可以想到我们可以在森林中解决的许多问题。例如，Microsoft支持工程师已声明，子域（即所有工作站和成员服务器）中的每个客户端都需要访问目录林根DC，以检查证书/模板权限，即使在下级CA上也是如此。 我试图找到Microsoft的文档或准则，但是却找不到任何东西。我找到了“域控制器放置指南”，但这只是一种形式-您可以使用它来记录将DC放置在何处，但是它没有提供有关将它们部署在何处的指导。 有谁知道在哪里，或者是否可以找到任何此类文档？ 编辑：为澄清起见，我想知道是否有任何文档（特别是Microsoft的文档）使任何人都知道，这表明在每个站点中都有一个林根域DC是有价值的，即使对于专门用于儿童的站点也是如此域。 与CA情况特别相关的是，我们处理过一个案例的MS工程师引用了此Technet博客文章，在其中描述了每个客户（包括工作站）需要访问林根域中DC的问题。但是我找不到的是MS提出的任何有关设计的建筑/建筑文档。

active-directory  domain-controller