标签: domain-controller

如果我在远程办公室（及其自己的 AD 站点）中有一个 Windows 2008 或 2003 域控制器被盗，我应该对我的主网络或域（如果有的话）做什么样的事情作为响应？

VPN 与网络的 IP 地址无关，因此没有任何东西可以让他们远程访问主网络。我假设，至少，我希望每个人都更改他们的密码，但还有什么？

我需要为我们拥有的域创建一个工作测试环境。我需要在测试环境中拥有来自生产环境的所有数据。这样做的最佳方法是什么？

以下是我的一些想法，但我不确定是否有更好/推荐的方法来做到这一点。

1. 使用 Vmware 转换器创建生产 DC 之一的 VM
2. 创建一个虚拟机并在真实域上推广它，然后将虚拟机移动到我的测试环境中。
3. 使用某种备份实用程序来备份域信息并将其恢复到我创建的虚拟机。

在此先感谢您的帮助！

我在 Unix 主机上，正在寻找一种编程方式来确定最近的 DC。Microsoft 有一篇出色的文章解释了如何执行 DNS 查找，我可以像这样轻松找到可用 DC 的列表：

dig -t SRV _ldap._tcp.dc._msdcs.example.com

但关于找到最接近的，它解释说：

客户端找到域控制器后，它通过使用 LDAP 建立通信以获取对 Active Directory 的访问权限。作为该协商的一部分，域控制器根据该客户端的 IP 子网识别该客户端所在的站点。如果客户端正在与不在最近（最佳）站点中的域控制器通信，域控制器将返回客户端站点的名称。

到目前为止，我还没有找到在 LDAP 查询期间“返回客户端站点的名称”的位置。是否有我应该执行的特定查询来获取此信息，或者可以在未加入域的 Unix 主机上执行的其他一些技术？

编辑：感谢 Sim 的指针，一旦我知道我的网站（在本例中，“mysite”作为 example.com 的一部分），我已经学会了如何找到正确的 DC：

dig -t SRV _ldap._tcp.mysite._sites.dc._msdcs.example.com

但这留下了如何确定我的网站的问题。文档反复表明我连接到的任何 DC 都会为我解决这个问题，但我找不到说明它如何向我返回信息的文档。我什至尝试直接向 DC 发送 DNS 查询，以查看他们是否会将我的站点放在顶部的 SRV 结果进行排序，但他们没有。

我最近有人向我咨询有关为他们的小型企业使用 5 台 Windows Vista PC 设置 Samba PDC 的建议。店主不是很技术，只是想要一些“一劳永逸”的东西。在使用 Ubuntu Hardy 进行试运行并遇到一个又一个障碍后，我建议他们改用 Windows Server 2008。现在我在怀疑自己，所以我想问社区：

您会向小企业主推荐 Samba 吗？

有几个因素影响了我的决定。我对解决这些问题的任何解决方法感兴趣。

• Windows 7 支持不是很好。降级安全设置、加入域时出现 DNS 错误以及 3.4.0 中的机器信任失败。不是我想在生产中看到的。
• 开箱即用，Samba 不支持 ACL。对于使用 Windows 和 NTFS 可以“免费”获得的东西，似乎有很多额外的配置。
• Windows DNS 服务器自动解析在 DHCP 中注册的名称。但是在我的 BIND9 配置中，所有内容都必须手动和静态输入。那看起来很可怕。
• Samba 域仅适用于 NT4 功能级别。如果客户想要升级以利用新技术，我不确定他们是否会有合理的升级路径。
• Active Directory 允许授权，尤其是对用户帐户的授权。我不相信在 Samba 中有这样的东西。
• 组策略将有助于保持环境锁定，因为某些计算机将位于可公开访问的区域。

由于 Samba 4 仍然遥遥无期，似乎很难证明使用已有近十年历史且基本没有升级路径的技术进行新部署的合理性。

我需要解决 Windows 2008 域控制器上的一些 DNS 问题，但我发现不再提供或支持 NETDIAG。我可以从 Server 2003 DC 复制它，但看起来输出不可靠。我在网上看到的任何地方，人们很快就会说“不再支持它”而没有提供功能的替代品。

由于我无法使用 NETDIAG，我可以使用什么来执行相同类型的 DNS/网络诊断？

首先，这是从 Windows Server 2003 到 2012 DC/DNS/AD 的迁移。我们也有一个备份 2003 DC/DNS/AD 服务器，但我认为目前这不是问题，但可以在需要时使用。我已经完成了一些繁重的工作，并使用以下几个分步指南配置并设置了一个新的 2012 服务器作为 AD/DC/DNS 主机（据我所知）：

分步说明：将 Windows Server 2012 域控制器添加到现有的 Windows Server 2003 网络

我已经用离线客户端测试了服务器，似乎一切都按预期工作。令我惊讶的是，这非常有效。

现在棘手的部分：

• 所有 200 多个客户端工作站都是静态寻址的
• 客户端分布在 VPN 连接背后的多个远程位置
• 客户端大约 75% XP 和 25% Windows 7 Pro
• 2003 DCs 已经存在十年了，不知道他们实际做了多少

我和我的同事正在讨论各种选项，以使其尽可能无痛，但我们中没有人执行过这样的迁移。以下是迄今为止最可行的。

选项1

• 转移 FSMO 角色
• 关闭 2003 DC
• 在 2012 DC（下班时间）上滚动 IP 并交叉手指 MS 众神不需要牺牲。

优点：听起来很容易
缺点：如果我们缺少 2003 年运行的作业，则会有来回分配。可能存在大量客户端/域信任错误。可能还有更多我无法预见的问题。

选项 2

• 使用脚本和组策略将尽可能多的客户端主 DNS 更改为netsh2012 DC
• 转移 FSMO 角色

优点：可能没有信任问题。如果我们错过了作业、文件等，两个服务器都可以启动。
缺点：脚本很复杂，可能会错过一些（如果不是大多数）客户端。

我希望有一些更接近最佳实践并且风险更低的东西。 …

我的环境中有两个冗余的 Windows Server 2012R2 域控制器。

如何验证两个域控制器的成功复制？在域控制器上安装了诸如 AD DS、DNS 和 WINS 之类的角色。例如，是否有命令行列表或类似的东西？

先感谢您！

我在将 AD 从一个 DC 复制到另一个 DC 时遇到问题。两台服务器都是 Windows Server 2008 R2 SP1。我在站点和服务中使用了 GUI 选项来强制复制。我也试过 repadmin 和 ntsdutil。

我尝试过的 repadmin 命令：

repadmin /replicate mars zeus dc=CS,dc=local

当我尝试 repadmin 时出现错误：

由于以下错误，Repadmin 无法连接到“家庭服务器”。尝试使用 /homeserver:[dns name] 指定不同的主服务器

我已从 [此处] 下载了 Active Directory 复制状态工具：运行复制状态后收到以下错误。1

我创建了一个 youtube 视频，更好地解释了我的问题：这里的视频

我希望有人可以帮助我用 AD 复制我的两个 DC。我真的不知道接下来要做什么，或者还可以尝试什么。

我使用具有许多域控制器 (DC)的Windows 域。我希望删除其中的一些，但我知道有些应用程序是硬编码的，可以使用特定的域控制器进行身份验证。但是我不知道这些应用程序是什么。如何确定哪些应用程序可以设置为使用单个域控制器，以便在该 DC 脱机时防止中断？

我们的网络上有大约 15 台 PC。我可以对除一台之外的所有 PC 进行更改。我不断收到消息“请求的操作需要提升”。

当我尝试以管理员身份运行程序时，它会询问我的用户名和密码。按回车键后，我收到相同的消息：“请求的操作需要提升”

这真的很奇怪，因为我是域管理员。我进入了活动目录，我没有注意到这台 PC 和其他 PC 之间有什么不同。它检查了相同的安全选项，并且与其他选项位于同一组中。

我在这里工作了几年，但我上个月刚刚接任这个角色。我要接替的那个人也不知道。他告诉我，一直都是这样。因此，基本上，他永远无法添加或删除软件。我需要删除一些垃圾软件并为用户安装一些有用的程序。PC 正在运行 Windows 8，就像其他的一样。

我错过了什么？为什么这台 PC 没有将我识别为管理员？我该怎么办？