标签: domain-controller

对于小型 Active Directory 管理的网络（比如 30-50 个 DHCP 客户端），我应该有一个域控制器（然后以某种方式作为故障转移）通过 DHCP 分发 IP，还是应该让我的路由器来做？

只是一个更新，仅供参考：我们有两台全新的机器作为 AD、DNS 等服务器运行，所以我们在那里有一个很好的设置。只是想知道检查其中一个或两个上的“DHCP”框是否有意义，然后在我们的路由器中将其关闭。

我们与一家公司合并，我将接管那里的 IT 职责。

他们有一个 2000 的域升级到 2003。

问题是有人应用了 W2k 安全策略模板来“强化”DC，但在升级后它似乎根本无法正常工作。

这意味着 DEFAULT DOMAIN CONTROLLER POLICY 被抬高了，并且有大量的安全设置弄乱了升级后的域控制器。

我将建立 2 个新的域控制器并在它们之间复制 AD/DNS/DHCP，然后降级现有的 DC。

我的问题：

• 我想为了做我想做的事，我需要彻底清除并重新创建真正的默认默认域控制器策略。然后将新的 DC 添加到域并复制 AD/DNS，然后将旧的域控制器降级并删除它们。

这听起来合乎逻辑吗？其他人必须处理这样的混乱吗？

有一篇 Microsoft KB 文章讨论了在 VM 上运行 DC 的最佳实践。其中一个注意事项是“不要在运行域控制器的虚拟机上使用导出功能”。要导出 VM，需要关闭 VM。如果您关闭 DC VM，将其导出，将其导入另一台服务器，然后重新打开 VM，只要原始（导出的）VM 从未重新打开电源，就不会有风险。有人可以向我解释为什么不支持吗？在谷歌上进行了一些搜索后，我发现的网站只是从知识库文章中反驳了这一行，但没有提供任何关于为什么不支持的解释。

我对此感到非常沮丧，因为我在任何地方都没有得到正确的答案。让我再说一遍同样的场景。

1. 我有一个名为 DC-1 的 DC 和另一个名为 DC-2 的 DC。DC-1 和 DC-2 都是名称服务器。
2. DC-1 担任所有 5 个角色。
3. DC-1 由于硬件故障（假设）而停机，并且不再可用。我什至无法启动它。
4. 现在我的问题是如何将 ADC（DC-2）作为活动 DC 启动，因为我的所有角色都属于 DC-1。
5. 如果它与抓住并将角色从 DC-1 转移到 DC-2 相关，是的，我试过了。让我分享结果。

i) 我在 DC-2 上访问 DSRM 并尝试了这样的 ntdsutil 命令：ntdsutil>roles>connections>connect to server：

ii) 当我尝试连接到服务器时，我无法连接任何 DC-1 或 DC-2。我也尝试过“设置信用”，但我没有工作。

iii) 尝试连接域没有运气:(

iv) 由于这是一个测试环境，我将 DC-1 带回并再次尝试了 DC-2 的步骤，结果成功。我能够连接到服务器。但我们不想要这个。当 DC-1 完全处于死机状态时，我们希望这样做。

好的。我希望你们都理解我的危机.. 任何人都可以在这里提供帮助。我是不是在做错误的步骤或任何其他方法来在没有 DC-1 的情况下启动所有角色的 DC-2。请分享您宝贵的知识和专业知识！

我要么无法理解 DNS 的工作原理，要么无法正确配置我的 DNS（两者都不好）。我目前正在使用一个域，我将其称为webdomain.com，我需要允许我们所有的内部用户像世界其他地方一样访问 dotster 以获取我们的公共 DNS 条目。然后，最重要的是，我希望能够提供一些覆盖 DNS 条目，用于测试未公开提供的服务器和设备。举个例子：

• public.webdomain.com - 应该从 dotster 获取

• external.webdomain.com - 也应该从 dotster 获取

• testing.webdomain.com - 应该从我的内部 dns 控制器获取

我似乎处处遇到的问题是，如果我有一个包含 webdomain.com 区域的内部 DNS 控制器，那么我可以获取指定的内部条目，但永远不会从公共 DNS 服务器获取任何内容。无论我使用什么类型的 DNS 服务器，这都是正确的——我已经尝试了 Linux Bind9 和 Windows 2008 域控制器。

我想我的大问题是：我认为系统应该能够检查我指定的内部 DNS 并且在请求的条目不存在的情况下它应该故障转移到指定的公共 dns 服务器是不合理的 - 或者 -这难道不是 DNS 的工作方式，而我迷失在酱汁中吗？

看起来它应该像告诉我的内部 DNS 服务器将它无法满足的任何请求转发给 dotster 一样简单，但这似乎不起作用。这可能是防火墙问题吗？

提前致谢

扩展

好的，所以我做了大量的研究，并且已经为此做了几个小时。我的named.conf中有这个，我仍然看到相同的结果。内部调用被馈送，但任何外部（在区域控制域中）都被转储。任何帮助都会很棒！此外，这是我正在使用的 Ubuntu 9.04 操作系统。

Code removed because it was wrong.

正确的方法——在问题结束后添加

好吧，多亏了 serverfault 上的人，我现在可以在我的服务器上以更简洁的方式完美地运行它。这是你如何做到的。从 bind9 的基本安装编辑您的 named.conf.local …

我们有一台运行我们的域的 Windows Server 2008R2 服务器。

我们有大约 40 个用户和大约 30 台计算机。大多数用户都有自己的专用工作站，但是每天早上大约有 5 台计算机由一个人登录，然后每个人只在需要检查某些内容的短暂时间内使用他们的配置文件（通常一次大约 2 分钟）。

我想知道是否有可能将这 5 台计算机放在域上自己的 OU 中，然后以某种方式让它们自动登录到没有任何常用驱动器映射等的通用用户帐户。

有人可以在早上打开机器电源，然后他们直接启动到锁定版本的通常用户配置文件。

这可能吗？

我们继承了一位客户，在审核他们的站点后发现他们曾经在端点拥有一个站点到站点 VPN 和另一个 DC（这是森林中唯一的 GC）。以前的 IT 公司对此进行了降级，清理了 AD，但从未将他们现在的主要 DC 设为 GC。

我们想用 2008R2 盒子替换他们当前的 DC（2003），最好先将当前 DC 设为 GC，然后再 dcpromo 新 DC，还是无所谓？请记住，新的 DC 将成为 GC。

我正在尝试按照此页面中的说明进行操作，但似乎找不到Server Manager -> Configuration -> Local Users and Groups。这是我得到的：

我在那里缺少什么？

我想知道如何在 Windows Server 2008 R2 上正确设置 DNS 转发器。我有三个域控制器。每个 DC 都有以下内容：

1. 广告角色
2. DNS 角色
3. DHCP 角色
4. 静态 IP 地址
5. Windows Server 2008 R2 SP1
6. 64位

我注意到在 DNS 转发器下，每个 DC 只列出了一个其他 DC，而不是两个 DC。这是一张图片：

只列出一个 DC 是否正确，还是应该列出另一个 DC？

我已经浏览了 AD 文档，但我找不到这个问题的任何结论性答案。这很简单，但很难回答。

AD的DDNS在幕后是如何运作的？我知道 AD 使用 DNS 服务器中的简单 IP 地址验证来更新 DNS，但问题来了：当客户端加入域时，Active Directory 使用客户端主机名更新客户端的 DNS 记录。但是谁来做这个更新？客户端本身还是域控制器？

如果它只是域控制器，我可以相信如果非 Windows 机器成功加入域，它将通过 DC 请求在 DNS 服务器上更新它的 DNS 名称。

谢谢，