标签: domain-controller

我看过其他关于这样做的问题和文件，但有些事情仍然让我感到困惑。以下是我看到的文件和问题：

• 淘汰失效的 Windows 2003 域控制器
• 从 Petri 中获取FSMO 角色
• 使用 NTDSUtil.exe 将 FSMO 角色转移或获取到域控制器- Microsoft Knowledgebase
• Active Directory 域控制器上的 FSMO 放置和优化- Microsoft Knowledgebase
• 如何在域控制器降级失败后删除 Active Directory 中的数据

该环境包含两台 Windows 服务器和众多客户端。域控制器是运行 Windows 2000 Native AD 的 Windows 2003 SP2。另一台服务器（根本不是 DC）是 Windows 2000 SP4（它托管病毒检查实用程序）。

结果来自netdom query fsmo：

Schema owner                missing.office.local

Domain role owner           myself.office.local

PDC role                    missing.office.local

RID pool manager            missing.office.local

Infrastructure owner        missing.office.local

The command completed successfully.

结果来自dcdiag：

Domain Controller Diagnosis

Performing initial setup: …

我有一台连接到 Windows 域控制器的 Windows 7 笔记本电脑。域控制器不再运行并已关闭。笔记本电脑，现在是独立的，工作正常，但我想知道保留我用作域帐户的帐户的影响，即使它永远不会重新加入该特定网络。

另外，我想知道如何将我的域帐户转换为本地帐户。我在这里阅读了一些条目，但它们似乎都与旧版本的操作系统有关。

最终，我不想重新配置我的所有应用程序；我已经根据自己的喜好和工作流程进行了微调。从头开始创建本地帐户意味着我必须重新配置我的所有应用程序，在某些情况下还需要重新安装。

请指教。

谢谢。

抱歉——我并不是真正的 Windows 系统管理员，只是试图通过 Java 中的一些 LDAP 交互进行猛烈抨击。

我在distinguishedName中找到了大量带有“DEL：”的对象。这些是等待垃圾收集的孤立项目吗？我如何删除它们？我真的无法通过 ADUC 找到它们，但我可以通过 Java LDAP 找到它们。

每个人都在谈论域控制器，他们应该安装证书，但归根结底它是可选的。安装后，实际上如何使用该证书？我的理解是它至少需要：

• 智能卡认证
• LDAPS

但是，我想知道域控制器使用证书的 DC 或 Active Directory 是否有特定的本机操作？

我知道这里的安全影响/良好做法:) 我只是对游戏中的机制感兴趣。

为什么不恢复 6 个月前备份的 DC？

在我学习 Active Directory 域服务时，我在其中一个博客中遇到了这个问题，但我找不到详细的答案。所以请任何人向我解释这个概念。

我有一个大约 70 台机器的网络，目前有两个 DC 都运行 Windows Server 2003（DC0 和 DC1）。DC0 是一款使用 5 年的 Poweredge 1850，最近变得越来越不稳定，在过去的两周内已经下降了两次。

我想更换这台机器，但我很谨慎，因为这种事情出错的可能性很大。我想象这样做的方法是构建一台新机器，然后执行 DCPROMO 并运行三个域控制器一个月左右，直到我很高兴在退役旧机器之前一切正常。

需要特别关注的领域是从当前控制器（例如 GP 设置）复制角色以及关闭迄今为止一直是“主要”机器的后果。

如果有令人信服的理由使用 Server 2008，我愿意这样做，但是我不知道这是否会导致我现有的 2003 机器出现问题。

任何关于最佳实践或以前经验的建议都是最受欢迎的。

MS 非常努力地从 GUI 工具中删除“本地用户和组”，即使您直接修改 lusrmgr.msc，它也会抱怨该管理单元无法在域控制器上运行。

问题是“为什么不呢？” 为什么 DC 拥有本地安全组没有意义？

客户要求我为具有以下要求的场景提出一个有效的 Active Directory 设计（简化，实际上它们要糟糕得多）：

• 客户端系统有一个子网。
• 服务器系统有一个子网。
• 两个网络没有连接。
• 每个服务器应该有两张网卡，一张在服务器的网络上，另一张在客户端的网络上。
• 客户端和服务器之间的流量应该只在客户端的网络上流动。
• 服务器之间的流量应该只在服务器的网络上流动。
• 这也应该适用于域控制器。

不用说，这与 Active Directory 使用 DNS 定位域控制器的方式不太相符。任何可能的方法都会导致以下情况之一：

• DC 在域 DNS 中注册其“客户端”IP 地址；客户端将使用该地址与他们交谈，但服务器和 AD 复制流量也是如此。
• DC 在域 DNS 中注册其“服务器端”IP 地址；服务器将使用该地址与它们通信，复制流量将在该网络上流动，但客户端将无法访问它们。
• DC 将在域 DNS 中注册两个IP 地址；任何系统都会做些什么来达到他们的目标，这是任何人的猜测。

当然，这些要求完全是疯狂的，不可能同时满足所有要求，除非使用疯狂的解决方案，例如在两个网络上拆分 DNS 服务并手动填充其 SRV 记录（argh）或让服务器定位DC 使用 DNS，客户端使用 WINS（双参数）定位 DC。

我想出的解决方案是在“服务器”网络上有两个 DC，在“客户端”网络上有两个 DC，定义两个 AD 站点并仅通过 DC 复制流量跨越两个网络之间的边界。这仍然需要一些 DNS 修改，因为每个服务器仍然有两个网卡（除了两个服务器端 DC 和纯粹的后端服务器），但它至少有一些工作机会。

除了尽快逃离之外，还有什么建议吗？

我有 2 个域，每个域有 2 个域控制器：

• 公司.本地
• ad.company.com.au

两个域都在同一个林中，并且具有双向信任设置。我们正在迁移到ad.company.com.au目前，但是在需要查询 LDAP 的系统方面存在一些问题。

在对任一域控制器进行 LDAP 搜索时，ad.company.com.au我们会得到一个不受company.com.auAD 控制的引用：

$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#

# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
    ref 1: 'company.
 com.au'

ref: ldap://company.com.au/DC=company,DC=com,DC=au

# …

在一个小型办公室设置（5-6 名员工）中，我们有七个 Windows XP 和 Windows Vista 客户端，以及几个 linux 服务器。

是否可以设置一台 linux 机器作为域控制器来为网络提供单点登录和类似 AD 的功能？