标签: domain-controller
AD 域控制器的 DNS 服务器的顺序应该是什么?为什么?
这是一个关于 Active Directory DNS 设置的规范问题。
有关的:
假设有多个域控制器的环境(假设它们都运行 DNS):
- DNS 服务器在每个域控制器的网络适配器中应该以什么顺序列出?
- 是否应该将 127.0.0.1 用作每个域控制器的主 DNS 服务器?
- 它有什么不同吗,如果有,哪些版本会受到影响以及如何影响?
domain-name-system windows active-directory domain-controller
推荐指数
解决办法
查看次数
域控制器认为它在公共网络上
我们有一个 Server 2008 R2主域控制器,在确定它所在的网络类型时,它似乎健忘。(唯一的)网络连接在启动时被标识为“公共网络”。
然而,如果我禁用然后重新启用连接,它会很高兴地发现它实际上是域网络的一部分。
这是因为最初确定网络位置时没有启动 AD 域服务吗?
这个问题导致了 Windows 防火墙规则的一些头痛(我非常清楚可以通过其他方式解决)所以我主要只是想看看是否有人知道为什么会发生这种情况。
推荐指数
解决办法
查看次数
为域管理员单独登录域是最佳做法吗?
我通常喜欢为自己设置单独的登录,一个具有常规用户权限,另一个用于管理任务。例如,如果域是 XXXX,我会设置一个 XXXX\bpeikes 和一个 XXXX\adminbp 帐户。我一直这样做是因为坦率地说,我不相信自己以管理员身份登录,但在我工作过的每个地方,系统管理员似乎只是将他们常用的帐户添加到域管理员组中。
有没有最佳实践?我看过 MS 的一篇文章,它似乎说你应该使用运行方式,而不是以管理员身份登录,但他们没有给出一个实现的例子,我从来没有见过其他人这样做。
推荐指数
解决办法
查看次数
是什么导致工作站与域控制器失去信任?
我在 Windows 7 工作站和笔记本电脑上多次收到此错误,因为它与域控制器失去信任,我知道如何修复它,但为什么会这样?
推荐指数
解决办法
查看次数
域控制器上的“峰值”CPU 使用率
我们有两个 Windows Server 2008 SP2(遗憾的是不是 2008 R2)域控制器在一个 150 的小型客户端域中,它们表现出非常“峰值”的 CPU 使用率。域控制器都表现出相同的行为,并托管在 vSphere 5.5.0, 1331820 上。 CPU 使用率每两到三秒跃升至 80-100%,然后迅速下降,保持低位一两秒,然后跃升再次。
查看虚拟机的历史性能数据表明,这种情况已经持续了至少一年,但自 3 月以来频率有所增加。
有问题的进程是 SVChost.exe,它包装了 DHCP 客户端 (dhcpcsvc.dll)、EventLog (wevtsvc.dll) 和 LMHOSTS (lmhsvc.dll) 服务。我当然不是 Windows 内部专家,但在使用 Process Explorer 查看进程时,除了 EventLog 似乎触发了大量RpcBindingUnbind调用之外,我似乎找不到任何特别不妥的地方。
在这一点上,我没有咖啡和想法。我应该如何继续解决此问题?
windows-server-2008 central-processing-unit domain-controller cpu-usage
推荐指数
解决办法
查看次数
域控制器崩溃后需要做什么?
假设域中至少存在两个域控制器,那么在域控制器崩溃后需要采取哪些步骤来使 Active Directory 正常运行?
推荐指数
解决办法
查看次数
Windows AD DC 中的域管理员与管理员
在 Microsoft Docs 文章默认组中阅读了这两个组的描述:
域管理员
该组的成员可以完全控制域。默认情况下,该组在所有域控制器、所有域工作站和所有域成员服务器加入域时都是管理员组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
管理员
该组的成员可以完全控制域中的所有域控制器。默认情况下,域管理员和企业管理员组是管理员组的成员。管理员帐户也是默认成员。由于该组在域中具有完全控制权,因此请谨慎添加用户。”
并且同一篇文章指出两个组对其默认用户权限的描述完全相同:
从网络访问这台计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建一个页面文件;调试程序;使计算机和用户帐户受信任以进行委派;从远程系统强制关闭;增加调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审计和安全日志;修改固件环境值;型材单一工艺;型材系统性能;从扩展坞中取出计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
此外,Microsoft Docs 文章默认本地组包括对管理员组的以下描述:
该组的成员可以完全控制服务器,并可以根据需要为用户分配用户权限和访问控制权限。管理员帐户也是默认成员。当此服务器加入域时,Domain Admins 组会自动添加到该组中...”
[强调我的]
鉴于以上,我不明白:
- 它们之间有什么区别?
- 什么时候使用它们的默认化身?
- 如何专业化他们的参与?
- 如果域管理员是管理员的成员,这不是使他们始终平等吗?
此问题是问题的子问题,并在问题的上下文中提出:加入 AD 的机器的本地用户的上下文是域机器帐户还是本地机器帐户?
推荐指数
解决办法
查看次数
只读域控制器的实际用途是什么?
Windows Server 2008 引入了只读域控制器,它接收域数据库的完整副本但不能修改它,就像旧的 Windows NT BDC 一样。
我知道如何运行这些半 DC 的所有技术细节(我刚刚通过了 70-646 和 70-647),但对于最重要的问题我仍然没有明确的答案:你为什么要使用它们?
TheCleaner 的这条评论真的为我总结了:
@Massimo - 是的,你是对的。你正在为 RODC 寻找一个令人信服的理由,但没有一个。它有一些额外的安全功能来帮助减轻分支机构的安全性,并且只有在您没有 DC 并且对其安全性很了解的情况下才需要在那里部署。
这和我想的一样……安全性有所提高,是的,当然,但绝对不值得麻烦。
推荐指数
解决办法
查看次数
将主域控制器移动到新服务器
我刚刚购买了一台新服务器,它将成为新的主域控制器。我想知道是否有人知道有关如何进行此更改的任何文章或教程?我想它只是简单地设置角色并从旧域控制器导入 Active Directory 的备份。我只是想确保我不会错过任何介于两者之间的关键任务。
推荐指数
解决办法
查看次数
什么是域控制器,何时需要,以及如何设置?
我想知道域控制器是什么意思,我们如何使系统成为域控制器,何时必须将系统设为 DC?
推荐指数
解决办法
查看次数