Windows Server 2008 引入了只读域控制器,它接收域数据库的完整副本但不能修改它,就像旧的 Windows NT BDC 一样。
我知道如何运行这些半 DC 的所有技术细节(我刚刚通过了 70-646 和 70-647),但对于最重要的问题我仍然没有明确的答案:你为什么要使用它们?
TheCleaner 的这条评论真的为我总结了:
@Massimo - 是的,你是对的。你正在为 RODC 寻找一个令人信服的理由,但没有一个。它有一些额外的安全功能来帮助减轻分支机构的安全性,并且只有在您没有 DC 并且对其安全性很了解的情况下才需要在那里部署。
这和我想的一样……安全性有所提高,是的,当然,但绝对不值得麻烦。
我刚刚购买了一台新服务器,它将成为新的主域控制器。我想知道是否有人知道有关如何进行此更改的任何文章或教程?我想它只是简单地设置角色并从旧域控制器导入 Active Directory 的备份。我只是想确保我不会错过任何介于两者之间的关键任务。
有没有办法ping和ldap服务器?我已经看过 ldapsearch 和 ldapwhoami 但会欣赏一些更像 ping 的东西。本质上,我们在选择的 LDAP 服务器前面有一个 bip 地址,并希望确认我们正在连接到哪个服务器。
在最近发生 Outlook 事件后,我想知道如何最有效地解决以下问题:
假设一个相当典型的中小型 AD 基础设施:多个 DC、多个内部服务器和 Windows 客户端、多个使用 AD 和 LDAP 从 DMZ(SMTP 中继、VPN、Citrix 等)内进行用户身份验证的服务和几个内部所有依赖 AD 进行身份验证的服务(Exchange、SQL 服务器、文件和打印服务器、终端服务服务器)。您可以完全访问所有系统,但它们数量太多(包括客户端在内)而无法单独检查。
现在假设,由于某种未知原因,每隔几分钟就有一个(或多个)用户帐户因密码锁定策略而被锁定。
我没有最强大的计算机安全背景,但昨天我公司的一台服务器被我们的主机关闭。
这是一个分配了公共 IP 的服务器,我在其中托管了多个 Web 服务应用程序,包括网站和 API。有人告诉我,我的服务器“正在运行一个开放的 dns 解析器,用于将拒绝服务攻击中继到外部实体。”
这是什么意思?这种攻击是如何工作的?我怎样才能保护我的系统免受这样的滥用?
在我的特定情况下,有问题的服务器在 Windows Server 2012 上,它为 Active Directory 域提供 DNS 服务。
security domain-name-system active-directory ddos windows-server-2012
管理员不小心删除了错误的 OU,并删除了多个帐户和计算机对象。未启用回收站可选功能。我们使用来自 sysinternals 的 adrestore 来取回帐户。
为确保下次我们希望启用回收站可选功能时,此过程更容易,该功能可根据指南和TechNet使用Enable-ADOptionalFeaturePowerShell轻松完成。
在 PowerShell 和上面的链接中都提到了以下内容。
在此版本的 Windows Server 2008 R2 中,启用 Active Directory 回收站的过程是不可逆的。在您的环境中启用 Active Directory 回收站后,将无法禁用它。
从理论上讲,我总是希望启用它,但我一直犹豫,直到我了解即将发生的事情的含义。如果重要的话,我有一个域林。
启用此功能的含义是什么?这必须与默认情况下未启用的原因有关。
在我们的网络中,网络域的名称也是组织网站的域(例如,example.com)。在外部,人们可以进入example.com访问我们的网站,但在内部,这指向几个域控制器之一,我们有 Active Directory,其中一些甚至不运行网络服务器。
因此,链接在http://example.com内部only www.example.com不起作用(在内部起作用)。
我们如何将 http 请求透明地指向 Web 服务器,这有什么副作用?
我需要为 Active Directory 安全组中的一组帐户获取最后一次密码更改,我觉得这是 PowerShell 应该擅长的。
现在,我已经被困在如何从我正在查看的 AD 帐户中读取 pwdLastSet 属性。甚至运行像这样简单的东西:
[adsi] "LDAP://cn=user1,ou=Staff,ou=User Accounts,dc=ramalamadingdong,dc=net" | Format-List *
给出 pwdLastSet 的结果,如下所示:
pwdLastSet : {System.__ComObject}
我觉得我走错了路,那么查询和格式化 pwdLastSet 属性的输出(该值基于 Windows Epoch 并且不是很容易阅读)的最佳方法是什么?
我想知道域控制器是什么意思,我们如何使系统成为域控制器,何时必须将系统设为 DC?
我最近发现了 Active Directory 的“adminSDHolder”功能。我需要一种快速的方法来识别将受到它影响的所有用户,即转储用户帐户的脚本。