我正在为一位即将将 samba4 部署到 1400 个远程站点的客户设置测试环境,但我遇到了一个问题。毕竟,我的工作是遇到问题然后解决它们。
我已经配置了密码复制策略以允许将某些帐户缓存在 RODC 上,然后将这些帐户填充到 RODC:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' …我的组织已在多个海上平台上部署了 2008 个 RODC。我们的想法是将我们的岸基域扩展到我们的船上,以更好地控制安全策略。选择 RODC 时假设它们会消耗更少的带宽。还有安全问题,但这些都是次要的。
海上互联网连接由非常昂贵的卫星链路提供。速度范围从缓慢到不存在。管理用户、计算机、组和权限更改以及 GPO 更新非常缓慢。
我开始相信我们已经开发了关于 RODC 的隧道愿景,并且拥有可写域控制器可能是更好的选择。我在考虑每艘船一个 RWDC 和一个 RODC 以实现冗余。它的用户群很小,但拥有冗余至关重要。
这还有很多,但我不能简单地总结一下。我很好奇是否有人测试过 RODC 和 RWDC 之间的带宽消耗差异?用 RWDC 替换其中一个 RODC 会显着增加带宽消耗吗?我将重定向 RODC 以从 RWDC 复制。这意味着一台域控制器连接回岸。
就目前情况而言,通常需要几分钟才能完成的事情可能需要数小时才能完成。船上的管理员在 RWDC 上工作将使生活变得更好。担心是 RWDC 喋喋不休会填满管道。
那么,有人测试过差异吗?
我有一个双站点域(称为本地和远程)。Site Local 拥有我们的主要 IT 基础架构,包括两个 Active Directory 域控制器 (2008R2)。我们正在尝试在站点 Remote 上设置 RODC,它在大多数情况下都可以正常工作。一切都被复制,密码复制遵循策略,远程 DC 回答查询 - 一切都很好。除了站点 Local 中的机器,在查询 AD 时,将引用站点 Remote。如果我执行 tcpdump,我会看到 LDAP 查询命中两个本地 DC,然后转到远程 RODC。
我已经确保两端的所有子网都在站点和服务管理单元中配置,并且 DC 都在它们各自的站点中。根据我的研究,这应该是客户端查询最近 DC 所需的全部内容。我错过了一步吗?
我的客户在世界各地拥有多个站点。他们在主要位置有 2 个域控制器,每个其他位置都通过 vpn 隧道连接到主站点。目前网络或多或少是灾难,所以我正在尝试修复它。辅助站点的一个共同点是,它们在网络设置中的路由器具有 ISP 本地 DNS 服务器,因此它们基于 DHCP 的计算机会获得“错误”的 DNS 服务器。多年来一直如此,他们使用 IP 地址连接到服务器。
所以我想用适当的 DNS 服务器等来修复它。所以我计划在位于该位置的唯一服务器上使用 RODC 和 DNS 服务器(带有终端服务和人们用来工作的几个程序,如 Visual Studio) . 另一种选择是从主要位置进入 DNS 服务器,但如果隧道中断,员工将感到困惑并且无法访问互联网(因为他们需要更改路由器设置),因此这似乎不是可靠的解决方案。
我的问题如下:
我需要支持需要访问 LDAP 服务器以定位 SMIME 密钥的 Mac 客户端。
由于密钥已经在 AD 中,而且我很容易在其中创建 RODC 或只读森林,将证书推送到其中,将未经身份验证的 LDAP 和 LDAP 公开到互联网是否可以接受?
我能想到的一个问题是目录收集攻击的 LDAP 形式,垃圾邮件发送者可以确定哪些地址有效,哪些无效。
我记得在 Windows NT 的旧时代,您可以创建“空白”计算机帐户,以便任何人都可以将具有该名称的计算机加入域。
我想用 Active Directory 做同样的事情。具体来说:
在我试图解决的问题是我有1400台samba4服务器上,我需要加入到域的RODC。我真的,真的,真的不想输入密码 1400 次。我希望它能够正确自动化(木偶/厨师/任何东西)。
也许我可以使用 kssh 和 Kerberos 票证转发来解决这个问题?对想法持开放态度。
我们需要将 RODC 部署到许多小型卫星办公室,在那里我们可能还需要额外的轻量级基础设施(文件、打印、dhcp)
是否有任何包含 RODC 功能的网络设备,以便用户可以使用本地凭据登录?
更新:我正在寻找与此Cisco WAAS Device类似的其他选项,在 WAAS 上使用Windows (WoW)
如果我更进一步,是否有包含轻量级文件和打印功能的设备?
通过在同一站点中实施 RODC 来增强安全性是否有用,还存在哪些 RWDC?将站点用户指向 RODC 而不是 RWDC。
谢谢。
复活节后返回的快速简便的一种;)
几个月前,我将客户端域从 2003DC 升级到 2008R2 域。一切顺利,一路上我们解决了一些问题,但现在一切都很好。在升级过程中,我完成了必要的 adprep /domainprep 和 /forestprep 命令,并且从不打扰 /RODC 命令,因为客户端不需要这个......所以你猜怎么着?是的,几个月后,他们开设了一个新的小办公室,并希望在那里安装服务器。
所以,我的问题是,现在可以在新的 2008R2 DC 上运行 adprep /rodc 命令以确保 RODC 服务器部署成功吗?唯一的2003DC前段时间成功退役,永远消失了。
像往常一样非常感谢任何帮助;)
我有一个 Windows Server 2012 域控制器。我已将另一台 Server 2012 机器配置为只读域控制器。当我在 RODC 上使用域管理员凭据登录时,我可以创建对象,但我不应该这样做。
为什么我没有被阻止在 RODC 上创建对象?
我已经成功地在 Stick 上设置了一个路由器,并且有两个子网:
我的路由器的子接口分别设置为 10.0.0.1 和 10.1.0.1。
我运行 Windows Server 2008 的主域控制器位于 10.0.0.3。我的只读域控制器(也运行 Win 2008)位于 10.1.0.3。
此外,我在这个实验室网络上有 3 个工作站 (Windows XP)。1 个工作站在 10.0/16 网络上,其中两个在 10.1/16 网络上。
我在此 Active Directory 林中也有两个站点,并且该站点与子网和域控制器配对。我为每个站点设置了一个组,并将不同的用户添加到不同的组中,并确保分配给 10.1/16 网络密码的组被 RODC“允许”缓存。
我的目标:将 10.1/16 站点的用户(以及最终的文件夹、文件等)复制到 10.1.0.3 上的只读 DC,以便 RODC 在主 DC 不可用时处理用户身份验证。
我目前可以毫无问题地向主域控制器验证所有工作站。我还验证了我的 10.1/16 用户帐户已缓存在 RODC 的 10.1.0.3 上。
但是,当我从网络上拔下主域控制器,然后尝试以从未通过该特定 PC(但其帐户缓存在 RODC 上)的用户身份登录 10.1 网络上的工作站时,登录失败因为域不可用。
显然我没有达到我的目标,我正在努力找出原因。任何线索或建议?