我想咨询服务器基础设施方面的建议。我们将升级我们的网络基础设施(建立在 MS 生态系统上),到目前为止我们有两台服务器(不包括 ISA 服务器):一台机器提供应用服务,如 Exchange、IIS、SQL 等,另一台机器提供网络服务(域控制器,DNS、DHCP、cert 等网络服务,它也是一个文件服务器。两台服务器都在本地子网 192.168.xx
应用服务器可以通过特定服务(例如,Exchange 服务器)的 ISA 服务器通过服务器发布规则从外部进行部分访问。此设置适用于中小型组织,因此性能不是问题。
现在我们将升级旧硬件,最好检查一下我们当前的服务器基础设施。我们需要的是:
您是否建议保留当前的两台服务器基础架构(一台机器用于本地网络上的应用程序服务器,并提供一些已发布的服务)和一台机器作为 DC、网络和文件服务器,或者一台服务器上的所有内容(但一台机器上的 Exchange 和 DC 不是?到目前为止我知道很好),或者完全不同的东西,或者将应用程序服务器保留在 DMZ 中,等等。顺便说一句,你认为在一台机器上安装 DC 和文件服务器有什么问题吗?
在评论和 Nextraztus 和 Golmaal 的回答之后添加:
关于虚拟化,我绝对支持 Hyper-V - 我完全是 MS 人,我从 WfW 3.1 开始为 Windows 开发,过去十年我使用 ASP.NET 和 Windows 内核 IFS(是的,两个相当但很好的不同世界、C# 和纯 C)。
我们的标准设置是用于系统和关键数据的 RAID 10,用于“正常”数据的 RAID 5。
我几乎不敢大声承认这一点,但我在虚拟化方面有一些个人问题 - 如果你能帮助我克服这个问题,我将不胜感激:) 我日夜使用它进行开发,尤其是内核开发网络与 Windows 的检查构建,我将它用于我们在 Azure 上的工作(我们使用 Azure 提供的几乎所有服务、VM、网站、Web 角色、缓存等等),但在内部,我“感觉”我仍然希望拥有真正的物理服务器。
到目前为止,我明白,虚拟化给了我更多的自由,因为我可以拥有几乎任意数量的服务器,并且可以根据需要分离关注点,我可以备份整个图像。
如果没有虚拟化,我可以指定系统在 SSD 上运行,这些数据在 RAID 10 …
我们正在为我们的 2 个小型办公室实施一个新的 Windows Server 2012 R2 域控制器,我们希望在 Amazon EC2 上进行设置。我已经读到,通过这种类型的设置,您通常会使用 VPN。如何在不强制所有流量通过域控制器的情况下设置连接明智?我们不希望所有流量都首先通过域控制器,我们只想连接到控制器进行身份验证。我们正在使用 pfsense 企业路由器。
vpn active-directory domain-controller amazon-ec2 windows-server-2012-r2
是否可以在不将服务器连接到域的情况下运行 ADFS 2.0?我们使用 Shibboleth 作为声明提供程序,因此我们实际上不需要此处的活动目录。
我们设法设置了 ADFS(使用 AdfsSetup.exe /quiet)并且没有任何问题地配置它。但是,在启动时并非所有端点都已启动。特别net.tcp://localhost:1501/adfs/services/trusttcp/windows是缺少端点,这会导致在对 SharePoint 进行身份验证时出现以下错误:
Encountered error during federation passive request.
Additional Data
Exception details:
Microsoft.IdentityServer.Web.RequestFailedException:
MSIS7012: An error occurred while processing the request.
Contact your administrator for details.
---> Microsoft.IdentityServer.Protocols.WSTrust.StsConnectionException:
MSIS7004: An exception occurred while connecting to the federation service.
The service endpoint URL
'net.tcp://localhost:1501/adfs/services/trusttcp/windows' may be incorrect or the service is not running.
---> System.ServiceModel.EndpointNotFoundException: There was no endpoint listening at
net.tcp://localhost:1501/adfs/services/trusttcp/windows that could accept the
message. This is often …sharepoint active-directory domain-controller adfs shibboleth
我需要一个具有双向信任的客户(来源公司不希望我们拥有完全的管理员权限,所以我们有很多权限问题)。
我们实际上需要域管理员权限,但仅适用于单个 OU。
请善待你的回答,我不是专家。我只想知道将 Exchange 2013 也用作域控制器的 Server 2012 服务器是一个坏主意还是一个好主意。
我们目前有 3 台服务器配置为域控制器(其中一台是有问题的交换服务器)。有 2 个或 3 个域控制器更好吗?我们在域上有大约 90 个工作站。
我只是想知道是多还是少更好。您拥有的复制越多,需要进行的复制就越多,因此我认为让邮件服务器具有更多角色可能是一个坏主意。
想法?
刚刚加入我们公司的一家律师事务所的 MSP 正在使用 FQDN 作为内部 AD 域,并且显然已经这样做了一段时间。他们有这个问题,因为他们有一个在异地托管的相同 FQDN 的网站,所以当他们尝试浏览http://theirdomain.com 时,他们获得了他们 DC 的 IIS7 页面,而不是我们(在他们的网站之外)本地网络)见。 http://www.theirdomain.com内部工作正常,因为他们在 DC 上进行了前向查找,但是我已经要求他们对网站的无主机 A 记录执行相同的操作,MSP 表示需要先进行研究,并且可能必须按照以下方式处理一个项目,因为对本地域和 RDS 环境的影响。是这种情况吗?不是所有的 AD 域查找都是通过 UNC 和 IP 而不是 DNS 查找完成的吗?
domain-name-system tcpip active-directory domain-controller windows-server-2008-r2
我们目前正在细分我们的网络。我们将在另一个子网中移动服务器而不是客户端。当然,客户端仍然需要访问域控制器以对其进行身份验证。
我找到了关于需要在域控制器之间访问以允许复制的端口的各种文章,但没有关于对客户端很重要的端口的文章。例如,我很确定客户端不会直接访问 LDAP 数据库,我想尽可能地减少攻击面。
那么客户端需要哪些端口才能与域控制器一起工作呢?
我正在学习 Active Directory。
我知道当计算机想要加入域时,它需要将其 DNS 设置更改为域控制器 IP 地址的设置。然后只有它可以看到域控制器,并加入
我觉得这很奇怪,我无法理解这一点。
为什么 DC 连接不能像任何其他客户端 - 服务器应用程序一样工作?即客户端指定服务器的IP地址,点击连接,加入域。
这背后的逻辑是什么?
当想要使用不同的(主要和次要)DNS 服务器时会发生什么?
domain-name-system windows active-directory domain-controller
我们刚刚安装了 Windows Server 2008 和 SQL Server 2008。在一切正常运行后,我们在这台服务器上设置了 Active Directory 并将其设为域控制器。现在我们无法远程连接到 SQL Server。我们可以在本地连接,只是不能远程连接。
有任何想法吗?我的“允许远程连接”设置都没有改变。我无法弄清楚这一点。任何帮助是极大的赞赏!
只是想知道为什么域控制器有一个公共 IP 地址?
exchange ×2
adfs ×1
amazon-ec2 ×1
firewall ×1
ip-address ×1
networking ×1
port ×1
sharepoint ×1
shibboleth ×1
sql-server ×1
tcpip ×1
vpn ×1
windows ×1