标签: active-directory

（重写此问题的大部分内容，因为根据新信息，我的许多原始测试都无关紧要）

我在使用 Server 2012R2 DNS 服务器时遇到问题。这些问题的最大副作用是 Exchange 电子邮件无法通过。在尝试 A 记录之前交换 AAAA 记录的查询。当它看到 AAAA 记录的 SERVFAIL 时，它甚至不尝试 A 记录，它只是放弃。

对于某些域，当查询我的活动目录 DNS 服务器时，我得到 SERVFAIL 而不是 NOERROR 并且没有结果。

我已经从几个不同的运行 DNS 的 Server 2012R2 域控制器尝试了这个。其中之一是一个完全独立的域，位于不同防火墙和互联网连接后面的不同网络上。

我知道导致此问题的两个地址是smtpgw1.gov.on.ca和mxmta.owm.bell.net

我一直dig在 linux 机器上使用来测试这个（192.168.5.5 是我的域控制器）：

grant@linuxbox:~$ dig @192.168.5.5 smtpgw1.gov.on.ca -t AAAA

; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @192.168.5.5 smtpgw1.gov.on.ca -t AAAA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56328
;; flags: qr rd ra; …

我们有一个域，在不同的网络中有 3 个 DC，我们想停用其中一个。

但是，我怀疑由于某些网络配置错误，剩余的两个 DC 将无法在彼此之间正确复制。所以我想确保，在我关闭过时的 DC 后，剩下的两个 DC 将在彼此之间完美复制。

我可以在两个 DC 之间 ping 没有任何问题，但我怀疑复制可能是另一回事。

当我发出时repadmin /showrepl dc1，它只会显示我想删除的 DC以前复制的状态。该安全没有列出DC。

就像我想很多人一样，我们有一个 Windows/Active Directory 环境和许多需要 Java 的内部业务线应用程序。我们的经验是，Java 在这样的企业网络环境中表现不佳。初始安装没问题（至少现在有一个 MSI），但保持一切正常可能是一个很大的挑战。

我们遇到的具体问题包括：

• Java 有它自己的更新程序，因此它不会绑定到我们的内部补丁管理系统中。
• 缺乏通过 GPO 管理 Java 设置的任何工具。
• 要求用户手动配置某些设置。
• 每台机器上有多个 Java 运行时（Oracle Jinitiator 是这里的罪魁祸首）。
• 存储在 Program Files 文件夹下的关键设置文件。

对我们来说，它主要是一批登录脚本和骇人听闻的解决方法，但我很想听听其他人如何处理这些项目，以及是否还有其他需要注意的事情。

有可以使用的命令行程序吗？

这是为一家没有实施任何集中用户数据库的小公司（12 名开发人员）准备的——他们已经有机地成长，只是根据需要在计算机上创建帐户。

从管理的角度来看，这是一场噩梦 - 10 台计算机都具有不同的用户帐户。如果用户被添加到一台计算机，他们需要手动添加到所有其他计算机（他们需要访问）。这远非理想。随着更多计算机/用户的添加/雇用，向前发展并发展业务将意味着更多的工作。

我知道，有些类型的集中用户管理的迫切需要。但是，我在 Active Directory 和 OpenLDAP 之间争论不休。当前的两台服务器用作简单的备份和文件共享服务器，都运行 Ubuntu 8.04LTS。这些计算机混合了 Windows XP 和 Ubuntu 9.04。

我没有使用 Active Directory（或真正的 OpenLDAP，但我对 Linux 感到满意）的经验，但是如果一个解决方案比另一个解决方案更重要，那么我有理由了解这一点。

前期成本不是真正的问题，TCO 才是。如果 Windows（我假设是 SBS？）能为我节省足够的时间来弥补增加的前期成本，那么我认为我应该采用该解决方案。

根据我的需要，我应该考虑实施什么解决方案？

编辑：电子邮件是异地托管的，因此不需要 Exchange。

Windows Server 提供证书颁发机构服务。但是，从其文档中不清楚根证书如何（或是否）分发给客户端。

• 域成员计算机是否自动信任根证书？
  • 如果是这样，他们如何以及何时获得证书？
• 安装或信任根证书是否需要任何用户交互？
• 客户端是否轮询 Active Directory？它在 AD DNS 中吗？
• 它只会在登录时得到它吗？
• 如果域成员远程 VPN 进入 LAN 怎么办？
• 对于不同版本的 Windows 客户端是否有任何警告？

我丢失了域控制器计算机，然后添加了新域控制器但使用了新域。如何使用命令行从旧域中删除网络机器并添加到新域？使用 Windows Server 2008 Core 的机器（仅限命令行）

net computer \\name del

仅适用于域控制器。

sconfig

当我尝试从旧域退出时，控制台会请求退出的用户名和密码。我输入它，然后收到错误“无法连接到域”（旧域控制器不存在）

该怎么办？

我example.org在我的公司使用我的域名。我可以www.example.org用来查看我的网站。如果我http://example.org从我公司的外部尝试没有问题，但是如果我从内部尝试，我的 Windows DNS 服务器会提供域控制器的 IP。

我该如何解决这个问题？我是否可以阻止我的 DCexample.org在我的 DNS 中注册，这对我的环境是否会造成问题？

我最近所处的环境在全球 100 多个站点中有 120 个域控制器。该域始于 Windows 2000 时代，并随着时间的推移不断升级，因此从未将严格的复制一致性设置为新 DC 的默认设置，也从未在任何 DC 上启用。目录中有残留的对象，因此您经常会看到相当数量的冲突对象。

使用repadmin /removelingeringobjects需要知道两件事：

1. 哪些 DC 有数据库中的延迟对象

2. 一个 DC，上面没有拖延的物体可用作参考 DC。

显然，在未来，这个环境应该设置为所有新的 DC 都强制执行严格的复制一致性，并且repadmin /options * +strict应该运行以使所有当前的 DC 使用严格的复制一致性，但这会破坏现在的复制而不清理对象。

所以，我的问题是：在如此庞大的环境中，我不知道哪些 DC 有滞留对象，哪些没有，我如何确定一个好的参考 DC 以repadmin /removelingeringobjects供使用，以及我如何确保所有 120+在强制执行严格的复制一致性和中断复制之前，DC 是否清除了延迟对象？或者，是否更容易打开严格模式并repadmin /replsum查看中断并处理它？

设想：

• 当我的 DC 运行时，我登录到任意一台机器。
• 我停止DC
• 我注销了任意机器。让我们也把它弹起来。
• 当机器重新启动时，即使 DC 关闭，我仍然可以使用我的域凭据登录

为什么以及如何？

在“任意”机器上是否有某种本地凭证缓存在起作用？我的密码以某种方式被散列并存储以备将来 DC 爆炸或关闭的情况下使用？

如果我在 DC 关闭时尝试登录我以前从未登录过的盒子，同样的过程会起作用吗？