在一个小型办公室设置（5-6 名员工）中，我们有七个 Windows XP 和 Windows Vista 客户端，以及几个 linux 服务器。

是否可以设置一台 linux 机器作为域控制器来为网络提供单点登录和类似 AD 的功能？

我正在尝试确定是否可以在同一个网络上运行两个 Active Directory 域控制器，在同一个子网中，有两个单独的域。我不希望这两个域控制器以任何方式链接（帐户等），除非通过我连接它们的交换机。

我目前关注的是 DNS —— 就我而言，这是主要问题。由于我有一个单独的 DHCP 服务器来处理整个网络，我希望将一组 DNS 服务器 IP 地址分发给所有客户端。但是，DomainA 的 DNS 服务器将无法回答对 DomainB 的查询，依此类推。

我想这可以通过转发器解决——IE，我可以在我的 DHCP 配置中设置两个 DNS 服务器的 IP 地址，然后告诉 DomainA 将 *.DomainB 的请求转发到 DomainB 的 DNS，反之亦然。我还可以使用单个聚合将请求正确转发到各个服务器。

但是，我不知道这是否可行，或者是否有更好的选择。如果这是一个商业网络，我会继续设置 VLAN、多个 DHCP 服务器等。但是，我正在寻找简单性（尽可能简单地使用您家中的域控制器......）

在同一网络上运行两个域控制器的原因是什么？我在家里运行了一个实验室，现在我已经说服和我住在一起的人运行他们自己的域控制器。但是，出于安全原因，我想将所有内容隔离开来。

任何帮助表示赞赏。

为什么降级的域控制器仍在对用户进行身份验证？

每当用户使用域帐户登录工作站时，此降级 DC 都会对其进行身份验证。它的安全日志显示他们的登录、注销和特殊登录。我们的新 DC 的安全日志显示了一些机器登录和注销，但与域用户无关。

背景

1. server1 (Windows Server 2008)：最近降级的 DC，文件服务器
2. server3 (Windows Server 2008 R2)：新 DC
3. server4 (Windows Server 2008 R2)：新 DC

日志

安全日志事件：http : //imgur.com/a/6cklL。

来自server1 的两个示例事件：

Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

New Logon:
    Security ID:        MYDOMAIN\auser
    Account Name:       auser
    Account Domain:     MYDOMAIN
    Logon ID:       0x8b792ce
    Logon GUID:     {54063226-E9B7-D357-AD58-546793C9CA59}

Process Information:
    Process …

有没有办法可以在我的 DMZ 中设置 OWA 服务器以与本地站点中的 DC 通信？

DMZ 与具有 DC 的 LAN 位于同一（物理）站点。（DMZ 中没有 DC。）

我可以强制它在这个（本地）子网上使用 DC，因为它在世界的另一端随机选择一个！

We have several servers running as Domain Controllers, "DC01", "DC02", and "DC03". For some reasons, we need to reboot them.

Is there a specific procedure to follow?

附加信息：“DC01”目前拥有所有 FSMO 角色。我应该在重新启动之前将角色转移到另一个 DC 吗？

更多信息：DC01 是 Windows 2008 Enterprise。DC02 和 DC03 是 Windows 2008 R2 企业版。

如果我有加入域的 Windows PC 并且域控制器脱机，我可以在客户端上期望什么样的行为（假设没有第二个 DC？）

• 用户可以登录吗？或者也许是一个更好的问题，登录功能如何改变，如果有的话？

• 显然 DC 上的文件共享不起作用，但是客户端之间或它们与成员服务器之间的共享呢？

• DC 恢复后，客户端是否需要重新启动、注销/登录？与 DC 断开连接是否有任何长期后果？

最终，我感兴趣的是如果 DC 离线，我应该从用户那里收到什么投诉。请随意提及我未涵盖的任何其他重要信息。

我的主域控制器在周末死了，明天要更换它的主板。

有人告诉我，一旦安装了新主板，服务器的 mac 地址可能会改变。

在将其重新插入网络之前，我应该关注哪些问题？AD 会同步而没有任何问题吗？

DHCP 呢？它在死之前是一个 dhcp 服务器，但我不得不在我的网络上的其他地方安装它。一旦我重新打开电源，就会出现 dhcp 服务器的冲突。

我一直在为我工作的公司最关键的元素设置异地备份。这些关键要素之一是 DC。

现在，该公司相当小，因此只有一个森林和两个位于不同物理机器上的 DC 服务器（不过，其中一个是虚拟机）。也就是说，服务器机房中的严重故障可能会损坏这两台机器。

因此，我正在尝试为危急情况创建 DC 备份。我一直在网上读到备份系统状态就足够了，但我觉得这只有在您希望能够在进行备份的同一台服务器上恢复 DC 时才有效。我试过进行系统状态备份，然后在一个独立的虚拟机上恢复它（相同的服务器，相同的更新），这……不太顺利；恢复很顺利，但后来我无法联系本地 DC，即使我确保 VM 具有与以前相同的 IP（当然仍然是隔离的）。与 DC 相关的管理控制台也没有工作。在恢复过程中甚至出现警告，不建议从另一台机器恢复系统状态。

因此，我觉得这是错误的做法。那么......如果我想在异地备份我们的 DC 以应对严重故障，正确的方法是什么？C: 驱动器 + 系统状态的完整备份，或者我可以为那个虚拟化 DC 备份整个驱动器，但我试图使备份尽可能小......

编辑：我试图使备份尽可能小，而不是跳过成本，而是跳过上传时间。

附注。我正在使用 Azure 备份应用程序，但我认为它没有那么重要。我们所有的 DC 目前都运行 Windows Server 2016。

我希望在我的本地机器上进行一些测试，这需要我将日期提前一年。所以我可以在 SQL Server 中测试一些东西（我发现不可能覆盖 sql server 时间）。

但是，因为我已连接到域，所以我相信这会导致在我尝试覆盖它后几分钟将时间重置为正常。

我知道本地时间和域时间不同步可能很重要，但是是否可以暂时阻止时钟重置？

断开网络连接不是一种选择，因为我需要互联网连接。

如果有一种手动方法来阻止时间重置，可能会发生什么？我不想在网络上搞砸任何事情:-)

我在一个站点中有两个域控制器 (Windows 2003)，我支持的大部分部门都位于该站点。我的部门也有另一栋大楼（在另一个地点），但他们没有 DC。

这可能是当公司分布在多个站点时是否安装额外 DC 的经典问题。

我们一直在遇到各种问题，例如登录脚本未映射驱动器和用户在被允许之前多次登录失败（即使他们输入了正确的密码）。

我在客户端上收到不同的错误。他们之中有一些是 ：

Netlogon, 5719，由于以下原因，此计算机无法与域 domain.com 中的域控制器建立安全会话： 当前没有可用的登录服务器来为登录请求提供服务。这可能会导致身份验证问题。确保此计算机已连接到网络。如果问题仍然存在，请联系您的域管理员。

GroupPolicy, 1055,组策略处理失败。Windows 无法解析计算机名称。这可能是由以下多个原因之一引起的： a) 当前域控制器上的名称解析失败。b) Active Directory 复制延迟（在另一个域控制器上创建的帐户尚未复制到当前域控制器）。

在服务器上，我不断收到这些错误：

Netlogon, 5722, 来自计算机 SOMEPCNAME 的会话设置未能验证。安全数据库中引用的帐户名称是 SOMEPCNAME$。发生以下错误：访问被拒绝。

*（以上错误在同一台计算机上不断重复。可能只需要将其重新添加到域中。）*

NTDS 复制，1864，这是本地域控制器上以下目录分区的复制状态。目录分区：CN=Schema,CN=Configuration,DC=domain,DC=com

最后一个看起来与未完全移除的 DC 有关。当我运行 dcdiag 时，它显示我们正在尝试使用不再存在的服务器进行复制。我不认为这会导致我们遇到所有这些登录问题。

我想知道我们是否应该安装另一个 DC 或尝试其他的东西。我们的客户端主要运行 Windows 7，但也有一些 XP 和 Vista 客户端。

不同站点上的 PC 之间的带宽看起来为 37.4 Mbs（刚刚使用此实用程序 iperf 进行了验证）。

任何帮助表示赞赏。