标签: domain-controller

我们已经建立了一个带有域控制器的小型 Windows Server 2008 R2 网络，该网络还充当网络的 DNS 服务器（我们在设置域时选择安装 DNS）。此网络未以任何方式连接到 Internet，因此所有计算机都已配置为使用域控制器的 IP 地址作为其主要 DNS，并且未配置辅助 DNS 服务器。

如果我们关闭或从域控制器上拔下网线，DNS 查找会变得非常缓慢，网络性能也会受到影响。例如，使用主机名运行 ping 命令需要大约 5-6 秒来解析名称。

我认为这是因为它正在寻找 DNS，然后由于 DNS 服务器现在已经消失，而退回到其他一些解析名称的方法。

所有机器都有静态 IP 地址，所以我们正在考虑将所有条目放在每台机器的 HOSTS 文件中。但是，如果有一天我们更改其中一台机器的 IP，拥有一个集中式 DNS 会很好。有没有更好的方法来加快速度？

我试图了解当前的 Win 7/8 机器在失去对域控制器的访问权限时的行为方式，以及如果域仅存在部分时间（例如，由于 wan 链接不良或只是没有），是否有可能让机器成为域的一部分访问服务器）。

作为一名独立管理员，我有一些小商店无法负担适当的 Windows 域解决方案，但我可以从管理员访问的单点登录中受益，也许还有一些额外的好处，让他们成为域的一部分。如果我在我的办公室托管 DC，让我们假设它可能可用也可能不可用，甚至可能会持续很长时间 - 办公室中没有 DC 的机器会怎样？（在我看来，这很像一台笔记本电脑，可以一次不在办公室工作数周，不是吗？）

这是否可以设置为这样的方式，即办公室将继续运作，无论他们是否有能力到达 DC，但是当 DC 可到达时，他们会交谈，可能会推送策略并（重新）确认一些用户凭据/登录使用权？

例如，有 4 台电脑的办公室 A 可以继续与他们的 2 台现场打印机、他们的 samba nas、互联网以及可能彼此通话，办公室 B 本身具有类似的功能，当我办公室的 vpn 在深夜上线时，每个人都会与 DC 交谈并获得他们需要的东西。可能的？

我有一个 Windows Server 2003 DC SP2，它的速度正好慢了 32 分钟。它是域中唯一的 DC。服务器设置为查询 tock.usno.navy.mil。

遗憾的是，我的谷歌 fu 失败了。

有什么建议？

更新：添加测试输出：

C:\WINDOWS>w32tm /query /peers
The command /query is unknown.

C:\WINDOWS>w32tm /query /status
The command /query is unknown.

C:\WINDOWS>w32tm /stripchart /computer:tock.usno.navy.mil
Tracking tock.usno.navy.mil [192.5.41.41].
The current time is 11/2/2014 9:27:04 AM (local time).
09:27:04 d:+00.1201609s o:+1856.8128875s  [                           |                          @]
09:27:06 d:+00.1401901s o:+1856.8143015s  [                           |                          @]
09:27:08 d:+00.1201612s o:+1856.8126128s  [                           |                          @]
09:27:10 d:+00.1201614s o:+1856.8096675s  [                           |                          @]
09:27:12 d:+00.1101425s o:+1856.8103257s  [                           |                          @]
09:27:14 d:+00.1101442s o:+1856.8155087s  [ …

我们目前有 2 个 Windows Server 2008 R2 域控制器，我想用 Server 2012 R2 DC 替换其中一个。我还想在降级旧 DC 后重新使用 IP 地址。

执行此操作的最佳方法是什么，重用旧 IP 会导致任何问题吗？

如果我打开 AD 然后删除一台计算机，那台计算机会发生什么？它会从域中物理删除吗？如果我在计算机被删除后尝试登录会发生什么？

我收到此错误：

注意：此信息供网络管理员使用。如果您不是网络管理员，请通知管理员您收到了此信息，该信息已记录在文件 C:\WINDOWS\debug\dcdiag.txt 中。

向 DNS 查询用于定位域“mydomain.com”的 Active Directory 域控制器 (AD DC) 的服务位置 (SRV) 资源记录时，出现以下错误：

错误是：“DNS 名称不存在。”
（错误代码 0x0000232B RCODE_NAME_ERROR）

查询是针对 _ldap._tcp.dc._msdcs.mydomain.com 的 SRV 记录

此错误的常见原因包括：

- 为域定位 AD DC 所需的 DNS SRV 记录未在 DNS 中注册。当 AD DC 添加到域时，这些记录会自动注册到 DNS 服务器。它们由 AD DC 以设定的时间间隔更新。此计算机配置为使用具有以下 IP 地址的 DNS 服务器：

192.168.1.1

- 以下一个或多个区域不包括对其子区域的委派：

mydomain.com
电脑
. （根区）

我在 Windows 2008 服务器（家庭设置 2 台计算机，上面提到的服务器和 Windows 10 桌面）上设置了活动目录，主机连接到域没有问题。客户端计算机可以访问服务器及其所有资源，但是无法登录域，这是我得到的错误。DNS 解析为正确的 IP，路由器设置将流量定向到该 IP。试过 DMZ，只是为了测试没有变化，编辑主机文件指向内部网络 IP 而不是 WAN IP 没有变化。

Web 服务、SFTP、文件共享都可以远程和本地工作，但是无法让我的本地计算机连接到域。大量研究互联网，没有一个解决方案有效。我有一种感觉，我错过了一些简单的东西......有人吗？

我计划使用 Windows Server 建立一个带有域控制器、DNS 和 DHCP 的小型环境。换句话说，我的问题不是针对一个庞大的全球企业网络解决方案（我相信这很重要）。

使用单个虚拟化主机，在同一主机上为这些服务器角色中的每一个配备一个虚拟机是不是一个坏主意？

或者就此而言，在同一主机上运行所有三个角色的 VM 和其他 VM 用于其他目的？

我们在这里有一个 Windows Server 2012 R2 设置 - 它使用 Active Directory 和 Exchange 进行设置，同时也是一个域控制器：

我们有 3 台机器也在这个域中，一台 Windows 7、8.1 和 10 机器，这些都按预期工作正常。

问题在于不在域中而是在工作组中的所有其他计算机。

工作组中的机器将网络显示为域：

[![域显示为已连接的网络][2]][2]

知道为什么这些 PC 的有线网络显示为域名而不是正常的网络名称吗？

我们正在考虑为客户端更换旧服务器，当我们安装此服务器时，它遵守我们的命名约定（即，SVR-DC因为它是网络上唯一的 DC）。

现在我们要迁移到新服务器（新硬件和新操作系统），在迁移时重命名两个 DC 是否可行/建议？理想情况下：

• 使用一些名称（例如 SVR-DC2）将新 DC 设置为辅助 DC
• 切换时，将旧 DC 重命名为 SVR-DC1
• 将新 DC 重命名为 SVR-DC
• Depromo 旧 DC，从域中删除，退役
• 根据需要修补 GPO、应用程序配置等

或者，可以选择将旧 DC（它运行 2012 r2）作为辅助，但它是一个使用良好的安装，需要进行一些清理。

1. 将工作从 pdc 分发到 bdc 以进行身份​​验证的正确方法是什么。
2. 如果 bdc 处理身份验证，当它增加错误密码计数时，如何将其中继到 pdc？pdc 是否复制了 bdc（或者 bdc 是只读的吗？）？

我们需要确定为什么 pdc 注册的错误密码计数比 bdc 多，所以我想首先弄清楚分发/复制应该如何工作，然后进行故障排除。