这是一个关于 Active Directory 域服务 (AD DS)的规范问题。
Active Directory 的组织方式:林、子域、树、站点或 OU
我发现自己几乎每天都在解释一些我认为是常识的知识。希望这个问题可以作为大多数基本 Active Directory 问题的规范问答。如果你觉得你可以改进这个问题的答案,请编辑掉。
这是一个关于 Active Directory DNS 设置的规范问题。
有关的:
假设有多个域控制器的环境(假设它们都运行 DNS):
domain-name-system windows active-directory domain-controller
缓存的 Active Directory 域凭据如何存储在 Windows 客户端上?它们是否存储在本地 SAM 数据库中,从而使它们容易受到与本地用户帐户相同的彩虹表攻击,或者它们的存储方式不同?请注意,我确实意识到它们被加盐和散列,以便不以纯文本形式存储,但是它们是否以与本地帐户相同的方式散列并且它们存储在同一位置?
我意识到至少他们很容易受到蛮力攻击,但这比在机器被盗时容易受到彩虹表的攻击要好得多。
在工作中,过去 10 年里,我是唯一的 IT 人员(做这一切,现在就做打字员)。如果我被公共汽车撞到,他们会完全被搞砸。我已经多次向管理层/总裁类型的人提到过,但他们不理会我。对他们来说太糟糕了。
我能做些什么来减轻他们的痛苦?(或者我应该关心吗?)
(是的,这应该是一个社区维基,但是,我没有看到复选框......也许我没有足够的代表。)
可能重复:
Windows AD 域命名建议
那里有很多真正搞砸的配置,因为人们没有花一分钟时间坐下来考虑像他们的 Active Directory 林的名称这样简单的事情。我问这个问题是为了自我回答,以便更容易获得这些知识。如果您认为自己有更好的答案,请务必添加您的意见(但要准备好捍卫它!)
那么,我应该为我的新 Active Directory 命名什么?
请注意,我确实知道这个问题的答案,并在下面提供了一个答案。我看到很多新的系统管理员不理解我的答案的内容,所以我希望所有初学者 AD DNS 问题都将作为此副本的副本关闭。如果您有细微的改进,请随时编辑我的答案。如果您可以提供更全面的完整答案,请随时留下一个。
DNS 与 Active Directory 有何关联?我应该注意哪些常见配置?
当从内部接口上的计算机访问 ASA 或类似设备的外部接口上的 Web 服务器时,内部到内部 NAT 又名 NAT 环回解决了发夹式 NAT 问题。这可以防止 DNS 管理员必须维护一个重复的内部 DNS 区域,该区域具有相应的 RFC1918 地址,用于通过 NAT 转换为公共地址的服务器。我不是网络工程师,所以我可能会遗漏一些东西,但这似乎很容易配置和实施。非对称路由可能是一个问题,但很容易缓解。
根据我的经验,网络管理员/工程师更喜欢系统人员只运行 split-dns,而不是配置他们的防火墙来正确处理 NAT 发夹。为什么是这样?
我需要禁用与上网本服务器进入睡眠/休眠/关闭相关的所有内容。在不活动期间降低磁盘转速很好,但至关重要的是机器保持在通过 wi-fi(和整个互联网)保持连接的状态,以及保持 USB 子系统正常运行(我们是运行硬件调制解调器关闭)。
语境:
是否可以通过命令行进行操作而不会造成大量/任何停机时间?
windows ×5
group-policy ×1
hard-drive ×1
linux ×1
nat ×1
networking ×1
raid ×1
security ×1
storage ×1
ubuntu ×1
zfs ×1