我已经成功设置单棒路由器并有两个子网: 10.0/16 10.1/16 我的路由器的子接口分别设置为10.0.0.1和10.1.0.1。 我的主域控制器运行 Windows Server 2008,位于 10.0.0.3。我的只读域控制器也运行 Win 2008,位于 10.1.0.3。 此外,我在这个实验室网络上有 3 个工作站(Windows XP)。1 个工作站位于 10.0/16 网络上,其中两个位于 10.1/16 网络上。 我在这个 Active Directory 林中也有两个站点,并且站点与子网和域控制器配对。我为每个站点设置了...
我们有两个地点,一个在迈阿密 (192.168.3.0/24),另一个在纽约 (192.168.5.0/24)。这两个地点通过 VPN 连接。我想在纽约设置一个只读域控制器 (RODC),服务器和 PC 在该地点运行,并使用该 DC 进行 DNS 和身份验证。 我遇到了 Microsoft 的以下 RODC 教程: https://tech.iot-it.no/microsoft/microsoft-windows-rodc-setup/ 为了在远程办公室实现我所寻找的功能(即 DNS 和身份验证),我是否真的需要创建一个新的站点和 DNS 区域? 是否有更...
%20%E5%92%8C%E5%8F%AA%E8%AF%BB%E5%9F%9F%E6%8E%A7%E5%88%B6%E5%99%A8%20(RODC).png)
我们在 DMZ 站点中有 RODC,并且我们想使用 GMSA,但问题是由于域控制器是只读的,所以我似乎必须在创建新帐户时设置密码,例如: New-ADServiceAccount -name STEST01_gmsa -DNSHostName STEST01_gmsa.mydomain.local -AccountPassword (ConvertTo-SecureString -AsPlainText "MyPassword" -Force) -Enabled $true -PrincipalsAllowedToRetrieveManagedPasswor...
我想向现有域添加新的 RODC。 新的 RODC 是 Server 2012R2,现有域是 2008R2 域。 两个站点上的防火墙都处于脱机状态,并且都可以通过 ping 和 DNS 相互访问。 当我想升级 2012R2 Server 时,出现以下错误代码: test.verfiyadprepcredential.adprep.win32exception. -2147467259 此外,RPC 服务也运行了。我还没有在互联网上找到任何合适的信息。有什么建议吗? 提前谢谢。 ...
问题: 实现期望情况的最佳方法是什么?RODC 吗? 现在的情况: 我们有两个域控制器,操作系统都采用 RAID1,数据都采用 RAID5。我们还有两个额外的 HP 服务器,有时需要将它们部署为独立网络。 当我们想要部署这样的服务器时,我们会从生产 DC 中取出 RAID1 磁盘并将其插入我们要部署的服务器,然后让其重建 RAID。对于数据部分,我们使用外部 HDD 将数据从生产 DC 复制到我们要部署的服务器上。 正如您所看到的,这可能不是一种使服务器与生产 DC 同步的推荐且缓慢的方法。 期望情况: 两个生产 DC 和两个可移动 DC,它们与生产...
目前,我在 Ubunut Linux 16.04 上安装了 Samba 并连接到域控制器。当我加入时,我加入了ad-1.example.com;然而,两周后,它发现read-only-adc.example.com自己处于自己的子网中,并且完全无法再运行。 桑巴舞真的,真的不喜欢只读域控制器。 到目前为止,我还没有找到任何方法来强制 Samba 使用一个子网外的主域控制器,无论是通过修改/etc/krb.conf还是输入虚假信息/etc/hosts(它无需查看文件即可找到 IP 地址hosts)。 有人知道如何解决这个问题吗? ...
尝试对 RODC 进行快速绑定时出现以下错误: 80090308:LdapErr:DSID-0C0903D9,注释:AcceptSecurityContext 错误,数据 0,v2580 我已经在 Google 上搜索过了,但不知道为什么会出现这种情况...我真的很感激任何建议,或者(甚至更好)回答为什么我在快速绑定时会出现这个异常:) 谢谢, 马丁 ...
假设我有 1 个域(在 1 棵树 1 片森林中),比如 computer.local。还有 4 个 DC: DC01,拥有所有 5 个 FSMO DC02, DC03, DC04,RODC。 它们都是互相联系的。 假设我登录到DC02,然后运行[Active Directory 用户和计算机]并添加一个用户。 我想知道的是这个。这个新用户, 它会先写入 DC02 硬盘,然后再复制到其他 3 个硬盘吗?或者 这个新的用户记录写入担任PDC角色的DC01中,并写入其他计算机? 而且,如果我登录到...
我有一个非常奇怪的场景...我们在 DMZ 内有一个服务器,它使用 RODC(只读域控制器)进行用户身份验证。用户位于受信任的第三个域中,如下所示: DMZ 服务器 -> RODC -> InternalDC -> TrustedDC -> 用户 这一切都是为了让我们能够通过 RDP/登录到 DMZ 服务器。它目前适用于较旧的 Windows 2008R2 服务器,但当我们尝试使用这些新服务器时(设置基本相同(相同的网络子网、相同的防火墙规则、与 RODC 的经过验证的通信等),它将不会通过 RODC 进行身份验证或与 Inter...
我有一个名为 ws7 的 win server 2012 r2 服务器。从我的另一台 windows 2012 服务器(目前是我们的主要活动目录服务器,名为 ws4)中,我正尝试为带宽有限的远程办公室创建 RODC 我正在尝试“预先创建一个只读域帐户”,当我输入服务器名称时,它给出了错误“ 指定的计算机名称“ws7”已存在于域“mydomain.local”中 服务器 ws7 已加入域,但我不确定下一步该做什么 ...
我的组织已经在多个海上平台上部署了 2008 个 RODC。我们的想法是将岸基域扩展到船上,以便更好地控制安全策略。选择 RODC 的前提是它们会消耗更少的带宽。也有安全方面的顾虑,但这些是次要的。 海上互联网连接由非常昂贵的卫星链路提供。速度从慢到没有。管理用户、计算机、组和权限更改以及 GPO 更新非常缓慢。 我开始相信,我们在 RODC 方面已经形成了狭隘的视野,拥有可写域控制器可能是更好的选择。我正在考虑每艘船配备一个 RWDC 和一个 RODC 以实现冗余。这是一个小的用户群,但拥有冗余至关重要。 还有很多内容,但我无法简洁地总结。我很好奇是...
在我们的主站点上,我们运行在 2012R2(林/域)功能级别,并且我们目前已使用带有 ADFS 和 Dirsync 的交换混合配置将我们的邮箱迁移到 Office 365。 我们实际上正计划在运行 2008R2 的服务器上的一些远程站点部署 RODC。这迫使我们将 AD 功能级别回滚到 2008R2。 您是否认为这样做除了会丢失 ADFS 中的 Workplace Join 之外,还会导致 Office365/ADFS/DirSync 出现问题? ...
我有一个隔离网络,在其中构建了一个 vfiler。这个网络的要点是它是一个非路由的“测试”网络。 但是,需要通过域级帐户对文件服务器进行 LDAP/Kerberos 和 CIFS 访问。 因此我们部署了只读域控制器。 要将 Windows 机器加入 RODC,我们需要: 手动创建机器帐户。 加入域,并在客户端上指定机器账户密码。 我通过谷歌搜索找到了:https://kb.netapp.com/support/index?page=content&id=1012918 建议是:首先手动将文件管理器指向可写的 DC。 如果可以避免,我...
我在远程站点上有几个 RODC,有时电源故障会损坏 ADDS 数据库,需要一些时间才能恢复。我想将 RODC 移动到虚拟机(在同一台服务器上),以便在发生故障时能够回滚到上一个检查点。我知道在可写 DC 的情况下不应该这样做,但找不到有关 RODC 的任何提及。 操作系统:Windows 2008R2 标准版 虚拟机:Hyper-V 摘要:RODC 可以在 hyper-v 上回滚到已保存状态吗?回滚后我应该怎么做才能强制同步? ...
我有许多服务器位于 DMZ 中,DMZ 中也有一个 RODC。您可能知道,机器密码会在一段时间后更改。之后我必须将这些机器与域断开连接并重新加入。 除了让服务器永远不更改密码之外,有没有更好的做法来防止这种情况发生? 如果不让这些机器更改密码,会存在哪些安全风险? ...