คำถามติดแท็ก domain-controller

ฉันพยายามตรวจสอบว่าเป็นไปได้หรือไม่ที่จะมีตัวควบคุมโดเมน Active Directory สองตัวที่ทำงานอยู่ในเครือข่ายเดียวกันภายในเครือข่ายย่อยเดียวกันโดยมีสองโดเมนแยกกัน ฉันไม่ต้องการให้ตัวควบคุมโดเมนทั้งสองเชื่อมโยงกัน (บัญชี ฯลฯ ) ยกเว้นสวิตช์ที่ฉันเชื่อมต่ออยู่ ข้อกังวลปัจจุบันของฉันเกี่ยวกับ DNS - เท่าที่ฉันกังวลนี่เป็นปัญหาหลัก เนื่องจากฉันมีเซิร์ฟเวอร์ DHCP หนึ่งเซิร์ฟเวอร์ที่จัดการเครือข่ายทั้งหมดฉันจึงต้องการมีที่อยู่ IP ของเซิร์ฟเวอร์ DNS หนึ่งชุดที่แจกให้กับลูกค้าทั้งหมด อย่างไรก็ตามเซิร์ฟเวอร์ DNS ของ DomainA จะไม่สามารถตอบแบบสอบถามสำหรับ DomainB และอื่น ๆ ได้ ฉันคิดว่าสิ่งนี้สามารถแก้ไขได้ผ่านตัวส่งต่อ - IE ฉันสามารถตั้งค่าที่อยู่ IP ของเซิร์ฟเวอร์ DNS ทั้งสองในการกำหนดค่า DHCP ของฉันแล้วแจ้งให้ DomainA ส่งต่อคำขอสำหรับ * .DomainB ไปยัง DNS ของ DomainB และในทางกลับกัน ฉันยังสามารถใช้การรวมเดี่ยวซึ่งส่งต่อการร้องขอไปยังเซิร์ฟเวอร์แต่ละรายการได้อย่างถูกต้อง อย่างไรก็ตามฉันไม่ทราบว่าจะใช้งานได้หรือไม่ถ้ามีตัวเลือกที่ดีกว่า …

10 windows-server-2008  active-directory  domain-controller  internal-dns 

ฉันได้รับมอบหมายจากลูกค้าให้ออกแบบ Active Directory ที่ใช้งานได้สำหรับสถานการณ์ที่มีข้อกำหนดดังต่อไปนี้ (ง่ายกว่าพวกเขาแย่กว่านั้นมาก) มีซับเน็ตสำหรับระบบไคลเอ็นต์ มีซับเน็ตสำหรับระบบเซิร์ฟเวอร์ ทั้งสองเครือข่ายไม่ได้เชื่อมต่อ แต่ละเซิร์ฟเวอร์ควรมีการ์ดเครือข่ายสองใบหนึ่งใบในเครือข่ายเซิร์ฟเวอร์และอีกใบหนึ่งในเครือข่ายของลูกค้า การรับส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ควรไหลบนเครือข่ายของลูกค้าเท่านั้น การรับส่งข้อมูลระหว่างเซิร์ฟเวอร์ควรไหลบนเครือข่ายของเซิร์ฟเวอร์เท่านั้น สิ่งนี้ควรนำไปใช้กับตัวควบคุมโดเมนด้วย ไม่จำเป็นต้องพูดว่าสิ่งนี้ไม่ได้ผลดีกับวิธีการที่ Active Directory ใช้ DNS เพื่อค้นหาตัวควบคุมโดเมน แนวทางที่เป็นไปได้ใด ๆ จะนำไปสู่หนึ่งในสถานการณ์สมมติต่อไปนี้: DCs ลงทะเบียนที่อยู่ IP "ฝั่งไคลเอ็นต์" ใน DNS ของโดเมน ลูกค้าจะพูดคุยกับพวกเขาโดยใช้ที่อยู่นั้น แต่จะทำเซิร์ฟเวอร์และรับส่งข้อมูลการจำลองแบบโฆษณา DCs ลงทะเบียนที่อยู่ IP "ฝั่งเซิร์ฟเวอร์" ใน DNS ของโดเมน เซิร์ฟเวอร์จะพูดคุยกับพวกเขาโดยใช้ที่อยู่นั้นและปริมาณการใช้การจำลองแบบจะไหลในเครือข่ายนั้น แต่ลูกค้าจะไม่สามารถเข้าถึงพวกเขา DCs จะลงทะเบียนทั้งสองที่อยู่ IP ใน DNS ของโดเมน ไม่มีใครคาดเดาว่าระบบใดจะทำเพื่อเข้าถึงพวกเขา แน่นอนว่าข้อกำหนดเหล่านี้บ้าไปอย่างสิ้นเชิงและทุกคนไม่สามารถพึงพอใจได้ในเวลาเดียวกันเว้นแต่ใช้วิธีการแก้ปัญหาอย่างบ้าคลั่งเช่นการแยกบริการ DNS บนเครือข่ายสองเครือข่ายและสร้างระเบียน SRV …

10 networking  domain-name-system  active-directory  domain-controller 

ฉันได้ทำการสำรองข้อมูลนอกสถานที่สำหรับองค์ประกอบที่สำคัญที่สุดของ บริษัท ที่ฉันทำงานอยู่ หนึ่งในองค์ประกอบที่สำคัญเหล่านี้คือ DC ตอนนี้ บริษัท มีขนาดค่อนข้างเล็กดังนั้นจึงมีเพียงฟอเรสต์เดียวและเซิร์ฟเวอร์ DC สองเครื่องที่แยกจากกันบนเครื่องจริง ที่กล่าวว่าความผิดพลาดร้ายแรงในห้องเซิร์ฟเวอร์สามารถทำลายเครื่องทั้งสองนี้ได้ ดังนั้นฉันกำลังพยายามสร้างการสำรองข้อมูล DC สำหรับสถานการณ์ที่สำคัญ ฉันอ่านออนไลน์ที่สำรองข้อมูลสถานะระบบก็เพียงพอแล้ว แต่ฉันรู้สึกว่ามันจะถูกต้องก็ต่อเมื่อคุณต้องการคืนค่า DC บนเซิร์ฟเวอร์เดียวกันที่มีการสำรองข้อมูล ฉันได้ลองทำการสำรองข้อมูลสถานะระบบแล้วคืนค่าบน VM ที่แยกต่างหาก (เซิร์ฟเวอร์เดียวกันการปรับปรุงเดียวกัน) และสิ่งนี้ ... ไม่เป็นไปด้วยดี; การกู้คืนเป็นไปด้วยดี แต่จากนั้นฉันไม่สามารถติดต่อ DC ท้องถิ่นได้แม้ว่าฉันจะมั่นใจว่า VM มี IP เหมือนเดิมเหมือนเดิม (แน่นอนยังอยู่โดดเดี่ยว) ไม่มีคอนโซลการจัดการที่เกี่ยวข้องกับ DC ทำงานเช่นกัน แม้จะมีคำเตือนในระหว่างการกู้คืนที่ไม่แนะนำให้เรียกคืนสถานะระบบจากเครื่องอื่น ดังนั้นฉันรู้สึกว่านี่เป็นวิธีที่ผิด ดังนั้น ... วิธีการที่เหมาะสมคืออะไรถ้าฉันต้องการสำรอง DC นอกสถานที่ของเราเพื่อครอบคลุมความล้มเหลวที่สำคัญ? การสำรองข้อมูลที่สมบูรณ์ของ C: ไดรฟ์ + สถานะระบบหรือฉันสามารถสำรองข้อมูลไดรฟ์ทั้งหมดสำหรับ DC …

9 backup  domain-controller 

ตัวควบคุมโดเมนหลักของฉันเสียชีวิตในช่วงสุดสัปดาห์เมนบอร์ดจะถูกแทนที่ในวันพรุ่งนี้ ฉันได้รับแจ้งว่าที่อยู่ mac ของเซิร์ฟเวอร์อาจเปลี่ยนแปลงเมื่อมีการติดตั้งแผงวงจรหลักใหม่ ฉันควรทราบปัญหาอะไรบ้างก่อนที่จะเสียบกลับเข้าสู่เครือข่ายของฉัน โฆษณาจะซิงค์โดยไม่มีปัญหาหรือไม่ แล้ว DHCP ล่ะ? มันเป็นเซิร์ฟเวอร์ dhcp ก่อนที่มันจะตาย แต่ฉันต้องติดตั้งที่อื่นในเครือข่ายของฉัน เมื่อฉันเปิดเครื่องใหม่มันจะมีความขัดแย้งของเซิร์ฟเวอร์ dhcp

9 windows-server-2008  dhcp  domain-controller 

หากฉันมีพีซี Windows ที่เชื่อมต่อกับโดเมนและตัวควบคุมโดเมนทำงานแบบออฟไลน์ฉันจะคาดหวังพฤติกรรมแบบไหนในไคลเอนต์ (สมมติว่าไม่มี DC ตัวที่สอง) ผู้ใช้จะสามารถเข้าสู่ระบบได้หรือไม่ หรืออาจเป็นคำถามที่ดีกว่าฟังก์ชันการลงชื่อเข้าใช้จะเปลี่ยนไปอย่างไร เห็นได้ชัดว่าการแชร์ไฟล์ใน DC จะไม่ทำงาน แต่สิ่งที่เกี่ยวกับการแบ่งปันระหว่างลูกค้าหรือระหว่างพวกเขาและเซิร์ฟเวอร์สมาชิก? เมื่อ DC กู้คืนมาได้ไคลเอนต์จำเป็นต้องรีสตาร์ทออกจากระบบ / เข้าสู่ระบบหรือไม่? มีผลกระทบระยะยาวจากการถูกตัดการเชื่อมต่อจาก DC หรือไม่? ท้ายที่สุดฉันสนใจสิ่งที่ฉันควรคาดหวังว่าจะได้รับจากผู้ใช้หาก DC ออฟไลน์อยู่ อย่าลังเลที่จะพูดถึงข้อมูลสำคัญอื่น ๆ ที่ฉันไม่ได้กล่าวถึง

9 active-directory  domain  domain-controller 

เรามีเซิร์ฟเวอร์หลายเครื่องที่ทำงานเป็น Domain Controllers, "DC01", "DC02" และ "DC03" ด้วยเหตุผลบางอย่างเราต้องรีบูตพวกเขา มีขั้นตอนเฉพาะที่ต้องปฏิบัติตามหรือไม่? ข้อมูลเพิ่มเติม: "DC01" ปัจจุบันมีบทบาท FSMO ทั้งหมด ฉันควรโอนบทบาทไปยัง DC อื่นก่อนที่จะรีบูตหรือไม่ ข้อมูลเพิ่มเติม: DC01 เป็น Windows 2008 Enterprise DC02 และ DC03 เป็น Windows 2008 R2 Enterprise

9 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller 

ในการตั้งค่าสำนักงานขนาดเล็ก (พนักงาน 5-6 คน) เรามีไคลเอนต์ Windows XP และ Windows Vista เจ็ดแห่งรวมถึงเซิร์ฟเวอร์ linux สองสามตัว เป็นไปได้ไหมที่จะตั้งค่าเครื่อง linux เพื่อทำหน้าที่เป็นตัวควบคุมโดเมนเพื่อมอบความสามารถในการลงชื่อเข้าใช้ครั้งเดียวและมีลักษณะคล้ายโฆษณาสำหรับเครือข่าย

9 linux  windows  samba  domain-controller  single-sign-on 

ฉันกำลังเขียนระบบที่ดำเนินการเข้าสู่ระบบของผู้ใช้และให้การเข้าถึงแบบครั้งเดียวสู่การใช้ SMB ที่ใช้ร่วมกันภายในเครือข่าย การเข้าสู่ระบบของผู้ใช้เสร็จสิ้นกับ Kerberos 5 เพื่อยืนยันตัวตนของผู้ใช้และรับตั๋ว TGT เมื่อเข้าถึงการแชร์ SMB ตั๋ว TGT จะถูกใช้เพื่อรับตั๋ว TGS สำหรับเซิร์ฟเวอร์ที่โฮสต์ถูกแชร์และการตั้งค่าเซสชันจะดำเนินการกับ TGS นั้น (โดยการบรรลุ SSO) ทำงานได้ดีจนกว่าผู้ใช้จะพยายามเข้าถึงการแชร์ SMB บน DC ในกรณีนั้น DC จะคืนค่า STATUS_ACCESS_DENIED ให้กับคำขอเชื่อมต่อแบบต้นไม้ดังที่แสดงในลิงค์ด้านล่าง จับภาพ Wireshark ผู้ใช้เป็นสมาชิกของกลุ่ม Domain Admins ดังนั้นควรเข้าถึง IPC $ ได้ สิ่งที่น่าสนใจคือถ้าแทนที่จะทำการเซ็ตอัพเซสชันด้วย TGS ฉันจะใช้ NTLMSSP (ใช้ข้อมูลประจำตัวของผู้ใช้เดียวกัน) DC อนุญาตให้เชื่อมต่อกับการแชร์ได้ ทำไมสิทธิ์ต่าง ๆ ที่กำหนดให้กับเซสชัน SMB ขึ้นอยู่กับการรับรองความถูกต้องที่ดำเนินการ (NTLMSSP …

1 windows-server-2012-r2  domain-controller  windows-server-2016  kerberos  cifs 

ฉันกำลังพยายามเชื่อมต่อเซิร์ฟเวอร์กับโดเมนปัจจุบันของฉัน จนถึงตอนนี้ฉันเพิ่งมีเซิร์ฟเวอร์ 2003 ในระบบที่ไม่มีบทบาท เซิร์ฟเวอร์นี้จะทำหน้าที่เป็นข้อมูลสำรองหรือเซิร์ฟเวอร์แอปพลิเคชันในอนาคต เซิร์ฟเวอร์อื่นของฉัน 192.168.52.183 ทำหน้าที่เป็นโฆษณา, dns, เซิร์ฟเวอร์เทอร์มินัลและกำลังเรียกใช้โปรแกรมคอมพิวเตอร์อื่นทำงานได้ดี เมื่อพยายามที่จะเชื่อมต่อกับโดเมนที่ฉันได้รับไม่สามารถหาข้อความโดเมน .. เมื่อพิมพ์ nslook ฉันได้รับข้อผิดพลาดนี้ ... อาจเป็นปัญหา .. ฉันจะแก้ไขได้อย่างไร Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator.APLUS>nslookup DNS request timed out. timeout was 2 seconds. *** Can't find server name for address 107.7.59.210: Timed out Default …

domain-name-system  windows-server-2003  domain-controller  nslookup