我们有我们组织的主域(带有 AD)example.com。过去,以前的管理员创建了几个其他区域 - 例如 dmn.com、lab.example.com、dmn-geo.com 等 - 以及子域和代表,所有这些都属于不同的工程组。我们现在的 DNS 有点乱。当然,当 example.com 中的工作站上的某人需要连接到任何其他区域/子域中的系统时,这会导致问题,反之亦然(部分原因是区域传输和委派没有为大多数人正确配置) .
我们的生产 DNS 与 Active Directory 集成,但工程系统应与 AD 隔离。
我们正在讨论重组 DNS 和合并所有这些不同条目的方法。我认为我们可以采取三种不同的途径:
我喜欢创建一个委托子域,让工程师可以完全控制该子域内的自己的 DNS 结构。优点是,如果他们的 DNS 不起作用,那很可能不是我的错;)。然而,当某些事情不起作用时,责任仍然有些模糊,需要与工程部门协调来设置、配置和管理。
如果我们不委托子域,这意味着生产 IT 需要做更多的工作来处理非生产 DNS(我们基本上已经做了很多工作)。优点是我们可以完全控制所有 DNS,当出现问题时,毫无疑问谁负责修复它。我们还可以添加委托,例如 geo.eng.example.com,以便在需要时为工程提供更大的灵活性和控制力。
我真的不确定创建新区域 dmn.eng 的必要性或好处。
那么对于这种情况,行业最佳实践和建议是什么?什么解决方案最容易实现并在工程和生产之间提供无缝名称解析?我可能会遗漏的每个解决方案有哪些潜在的好处或缺陷?
补充一点信息,我们是一家相当大的制造公司。这些工程师从事研发、开发和质量保证工作。实验室通常有自己的子网或整个网络、DHCP 等。就组织和技术而言,它们有点像自己的小世界。
我们希望为工程实验室和网络保持一定程度的网络隔离,以保护我们的生产环境(参考之前关于工程师添加工程 DHCP 服务器作为权威 AD DHCP 服务器的问题 - 这不应该发生)。但是,实验室工作站上的用户需要访问我们生产网络中的资源,或者我们生产网络上工作站上的用户需要连接到实验室系统,这种情况发生的频率足以证明排序是合理的- 统一的 DNS。
现有的代表已经有工程师管理的DNS服务器,但是这些服务器所在的不同实验室的工程师之间没有通信,因此最常见的问题是子域之间的名称解析失败。由于工程师拥有这些委托服务器,我无法更正 NS 条目以使它们相互通信 - 因此具有 IT 完全拥有的非委托 DNS 的优势。但是为生产和工程管理 DNS是一件令人头疼的事,尤其是因为工程每天都会更改 DNS。但是正如 BigHomie …
我们有一个包含大约 15 个服务器和大约 30 个工作站的域。服务器多为2008r2,工作站多为Windows 7,两台DC为2012r2。每隔几周,我们的一个管理员帐户就会被锁定。我试图缩小原因,但我已经走到了死胡同。
这就是我所拥有的。
PDC 上的事件日志显示事件 4776 - 审核成功:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
所有这些都是相同的用户名,并且每秒重复多次。
根据事件 ID,这些是 NTLM 登录而不是 Kerberos。尽管使用的身份验证类型比剪切量更让我担心。这种情况每秒会发生几次,并且每隔几秒钟就会无限重复,无论白天黑夜还是周末。
事件日志还显示此用户名的审核成功事件 ID 4624(登录)和 4634(注销),但与上面的事件一样,“工作站”字段为空。
我启用了详细的 netlogon 日志记录并且 netlogon.log 显示
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username …active-directory windows-server-2008-r2 windows-server-2012-r2
如果我需要在 Exchange 公用文件夹上执行一个过程,例如更改权限,但我没有公用文件夹的完整路径(大多数公用文件夹命令的 -identity 参数中都需要),我该怎么做得到那个完整的路径?
我发现的一些资源建议使用 powershellget-publicfolder -recurse并过滤结果,但在拥有数千个公共文件夹的大型组织中,如果命令完成,则可能需要数小时。
我们在 Windows Server 2008r2 功能级别域上启用了 AD DS 安全审核。我们使用第三方工具来提醒我们管理组成员身份的变化。我们最近删除了几个属于 Domain Admins 安全组成员的服务帐户,但我们的第三方工具没有通知任何人。
我正在尝试确定我们的审核配置是否有问题、第三方工具是否有问题,或者当安全组中的用户被删除时,Windows 是否只是不记录安全组的“成员已删除”事件。
更具体地说,我们正在寻找“一个成员已从启用安全性的 [Universal|Global|Domain-Local] 组中删除”的安全日志事件。这是在我们的应用程序中启动警报的事件。在这种情况下,“成员”用户帐户被删除,而没有从安全组中明确删除。记录了“用户帐户已删除”的事件。
在这种情况下,我怀疑 Windows 不会记录“A member was removed from a security enabled ... group”事件,因为用户帐户被删除而没有从安全组中明确删除。我想证实这个假设。如果我的假设成立,那么我们需要调整我们的流程。如果我的假设是错误的,并且 Windows应该记录此事件,那么要么我们的审计失败或配置错误,要么应用程序失败。
审核“帐户管理”由 GPO 启用。Admin 安全组将“成功”审核事件添加到其安全属性中。我们域控制器上的安全日志大小为 128mb。我在 DC 上的安全事件日志中搜索了事件 4733、4729 和 4757,但没有找到,但是事件日志仅在几个小时后就回收了我们域上的所有活动。
这些警报过去一直适用于显式成员添加和成员删除事件,并且没有配置更改(我知道,我是 AD 系统管理员)。
也许作为 AD 系统管理员,我应该已经知道这个问题的答案.. 但没有人知道一切:)
我也在 TechNet 上问过这个问题,但没有得到有用的答复。
我将接替一位前任管理员,他在我们的 Active Directory 基础设施中创建了多个 DFS 命名空间。之前的管理员没有记录我们的 DFS 的任何结构,所以我什至不知道我的 DFS 命名空间服务器是什么。我能够通过逐个登录文件服务器找到一个,直到找到一台运行 DFS 命名空间服务的服务器 - 当我惊奇的时候,出现的只是 2 个命名空间,其中只有一个是域命名空间。
我的任务是记录我们的 DFS 基础设施,但如果我一开始就找不到我的命名空间服务器,那么这项任务似乎是不可能完成的。
我们在整个环境中相当一致地运行 Windows Server 2008r2。我们总共有 6 个域名称空间。
:编辑:
到目前为止,我已经费力地搜索了 DFS 管理 MMC 管理单元。我也尝试过使用 DFSUtil。我还进行了强制性的互联网搜索,但没有任何有用的结果。我应该注意到,直到 8 个月前开始这项工作之前,我以前从未使用过 DFS,并且在这次作业之前,我只做了一些小的维护 - 添加新的文件夹目标等。所以我可能错过了一些明显的东西。
背故事。
所以我们有一个开发工程师(他恰好可以访问域管理员帐户)在我们的域上设置了一些 DHCP 服务器。这引起了麻烦,因为新的 DHCP 服务器已在我们的域中获得授权并具有权威性。
这些服务器是临时的,正在移动到另一个第三方站点。我们已经解决了令人头疼的问题,并制定了一个时间表,在搬迁前取消授权。我的工作是在需要移动服务器并清理任何剩余物时取消对服务器的授权。
一台服务器已被拆除(角色已从域中移除并移除)。这意味着这必须是我的操作顺序(对于第一台服务器):
1. 从流氓服务器中删除 DHCP 服务角色。
2. 从我们的域中删除流氓服务器。
3. 在 DHCP mmc 中取消对流氓服务器的授权。
我更愿意在从中删除角色之前取消对服务器的授权。我可以使用稍后移动的其他 2 台服务器来执行此操作。继续...
另一位系统管理员在我之前工作,她表示担心 AD 会将 AD 信息/对象与 DHCP 服务器同步。我不知道 AD 将任何东西同步到DHCP 服务器,但是另一个系统管理员提到它让我(和我的经理)担心。我的经理希望完全确定在恶意服务器被停用和移出后,在这些服务器上没有 AD 数据,包括对运行 DHCP 服务的域帐户的任何引用。似乎重建服务器(在将它们移到异地后彻底消除任何安全问题)不是一种选择。我(还)不知道他们正在运行哪个版本的 Windows Server。
所以问题是:
操作顺序需要纠正或清理什么?
是否有任何AD 数据(包括日志,尽管它们的位置通常非常标准)需要从停用的 DHCP 服务器中清除?
是否有对运行 DHCP 服务的域帐户的任何引用,我在哪里可以找到那些来清理它们?