标签: domain-controller

如果我在远程办公室（及其自己的 AD 站点）中有一个 Windows 2008 或 2003 域控制器被盗，我应该对我的主网络或域（如果有的话）做什么样的事情作为响应？

VPN 与网络的 IP 地址无关，因此没有任何东西可以让他们远程访问主网络。我假设，至少，我希望每个人都更改他们的密码，但还有什么？

我需要为我们拥有的域创建一个工作测试环境。我需要在测试环境中拥有来自生产环境的所有数据。这样做的最佳方法是什么？

以下是我的一些想法，但我不确定是否有更好/推荐的方法来做到这一点。

1. 使用 Vmware 转换器创建生产 DC 之一的 VM
2. 创建一个虚拟机并在真实域上推广它，然后将虚拟机移动到我的测试环境中。
3. 使用某种备份实用程序来备份域信息并将其恢复到我创建的虚拟机。

在此先感谢您的帮助！

我在 Unix 主机上，正在寻找一种编程方式来确定最近的 DC。Microsoft 有一篇出色的文章解释了如何执行 DNS 查找，我可以像这样轻松找到可用 DC 的列表：

dig -t SRV _ldap._tcp.dc._msdcs.example.com

但关于找到最接近的，它解释说：

客户端找到域控制器后，它通过使用 LDAP 建立通信以获取对 Active Directory 的访问权限。作为该协商的一部分，域控制器根据该客户端的 IP 子网识别该客户端所在的站点。如果客户端正在与不在最近（最佳）站点中的域控制器通信，域控制器将返回客户端站点的名称。

到目前为止，我还没有找到在 LDAP 查询期间“返回客户端站点的名称”的位置。是否有我应该执行的特定查询来获取此信息，或者可以在未加入域的 Unix 主机上执行的其他一些技术？

编辑：感谢 Sim 的指针，一旦我知道我的网站（在本例中，“mysite”作为 example.com 的一部分），我已经学会了如何找到正确的 DC：

dig -t SRV _ldap._tcp.mysite._sites.dc._msdcs.example.com

但这留下了如何确定我的网站的问题。文档反复表明我连接到的任何 DC 都会为我解决这个问题，但我找不到说明它如何向我返回信息的文档。我什至尝试直接向 DC 发送 DNS 查询，以查看他们是否会将我的站点放在顶部的 SRV 结果进行排序，但他们没有。

我最近有人向我咨询有关为他们的小型企业使用 5 台 Windows Vista PC 设置 Samba PDC 的建议。店主不是很技术，只是想要一些“一劳永逸”的东西。在使用 Ubuntu Hardy 进行试运行并遇到一个又一个障碍后，我建议他们改用 Windows Server 2008。现在我在怀疑自己，所以我想问社区：

您会向小企业主推荐 Samba 吗？

有几个因素影响了我的决定。我对解决这些问题的任何解决方法感兴趣。

• Windows 7 支持不是很好。降级安全设置、加入域时出现 DNS 错误以及 3.4.0 中的机器信任失败。不是我想在生产中看到的。
• 开箱即用，Samba 不支持 ACL。对于使用 Windows 和 NTFS 可以“免费”获得的东西，似乎有很多额外的配置。
• Windows DNS 服务器自动解析在 DHCP 中注册的名称。但是在我的 BIND9 配置中，所有内容都必须手动和静态输入。那看起来很可怕。
• Samba 域仅适用于 NT4 功能级别。如果客户想要升级以利用新技术，我不确定他们是否会有合理的升级路径。
• Active Directory 允许授权，尤其是对用户帐户的授权。我不相信在 Samba 中有这样的东西。
• 组策略将有助于保持环境锁定，因为某些计算机将位于可公开访问的区域。

由于 Samba 4 仍然遥遥无期，似乎很难证明使用已有近十年历史且基本没有升级路径的技术进行新部署的合理性。

单个 CPU 服务器可以吗？RAM 和网络连接单 100MBit/S 或更好的双 10GBit/S 怎么样？决定的参数是什么？域中的用户数或服务器类型，如 web 服务器或数据库服务器，如 sql server 2008R2？

我的域中的一个域控制器出现故障且无法恢复。我已经在幸存的 DC 上获取了 FSMO 角色，并执行了元数据清理。

现在，我正在安装替换 DC。我计划使用新名称，但我可以重新使用已故 DC 的 IP 地址吗？如果我这样做会有并发症吗？

PS：顺便说一下，我们使用的是 Windows Server 2008R2。

这个问题与我之前问过的关于备份域控制器和 RODC 的问题有关。基本上，我正在对网络中的 DC 进行一些更改。我希望在我的域中添加一个可写的 2008R2 DC 和一个 2008R2 RODC。

我创建了一个名为“DC-04”的可写 2008R2 DC，它已设置好并且似乎工作正常，但有一个例外。当我在这个新的域控制器上运行 dcdiag /v 时，我在 FRS 事件测试期间收到错误消息。此错误对应于我收到的事件 13508，它指出：

“文件复制服务无法使用 DNS 名称 dc-02.domain.com 为 c:\windows\sysvol\domain 启用从 DC-02 到 DC-04 的复制。FRS 将继续重试。”

一些可能有用的信息：

DC-02 运行 2003R2 x86，它还拥有所有 5 个 FSMO 角色

还有另一个名为 DC-03 的 DC 也运行 2003R2 x86，DC-04 上没有出现关于从该 DC 复制的错误

所有 DC 都是全局目录并具有 DNS

我可以从 dc-04 ping dc-02.domain.com，所以 DNS 似乎没问题

FRS 服务正在 DC-02 上运行

任何想法或要检查的事情将不胜感激。

谢谢！

我正在考虑在 Azure 虚拟网络中的 MS Azure 中设置 Windows 域控制器。目标是能够集中管理 GP 和用户。

这是否可行，因为客户端计算机在能够进行身份验证之前基本上需要在 VPN 上？

我想我可以建立一个到我们办公室的站点到站点 VPN 连接，但我们有一些游牧用户几乎总是移动。

我有一台在没有桌面 GUI 的 Windows 2008 服务器上运行的Hyper-V主机。

此服务器当前加入了一个不再存在的域，并且该旧域的域控制器仍在网络上。

使用本地管理员帐户，在 Windows 命令提示符下，我试图从不存在的域中退出。

我试过这个命令：

netdom remove /d:DomainThatNoLongerExist.COM HYPERVComputerName

我明白了：

The specified domain either does not exist or could not be contacted.

The command failed to complete successfully.

我没有尝试“先取消加入”，而是尝试加入新的现有域，但每次尝试时，它都说它已经加入，但实际上还没有加入；因为新域的名称是以前域的子域，它假设它已经加入，而这种错误的假设给我带来了很多麻烦。

那么，有人可以告诉我如何取消加入这个不再存在的域吗？

顺便说一句，这尤其重要，因为我无法通过 Hyper-V 管理器访问任何当前正在运行的虚拟机，因为它使用客户端的 windows-login-credentials 自动进行身份验证，这些凭据适用于 Hyper-v 主机不存在的域之外的另一个域. 我拥有的唯一访问权限是本地管理员帐户，我无法弄清楚如何从远程计算机在 Hyper-V 管理器中使用这些凭据（并且我不知道在以身份登录后无法在主机上启动 Hyper-V 管理器）本地管理员）。

我们正在将一些 VM 和云服务迁移到 Azure，但我们仍需要这些服务连接回我们合作伙伴的 AD。我是一名开发人员，而不是系统管理员，所以我不确定如何做到这一点，或者是否可能。

根据我的理解，我们需要做这样的事情：

1. 在 Azure 中设置虚拟网络
2. 在 Azure 和合作伙伴的数据中心之间设置站点到站点 VPN
3. 在 Azure 中设置云服务/VM（在 #1 的 VNet 内）
4. 在 Azure AD 中设置域，假设我们称之为“AzureDomain”
5. 在 Azure AD 域和我们合作伙伴的 AD 域（“PartnerDomain”）之间建立信任。
6. 在 Azure 云服务/VM 中设置 Windows 服务/IIS AppPools 以在我们 Azure AD 域中的帐户下运行，例如“AzureDomain\service_account”
7. 让合作伙伴授予“AzureDomain\service_account”权限以访问它需要的任何网络共享/数据库/等资源。

我错过了任何步骤吗？例如，是否需要某种 AD 同步，AzureDomain => 合作伙伴的 DC，或 PartnerDomain => Azure DC？

我不在乎 Azure 基础结构中的服务是在 Azure AD 中的帐户下运行，还是在合作伙伴的 AD 中运行。我只想要最简单的解决方案，它允许 Azure 中的服务访问合作伙伴数据中心中的资源。