我们有两个地点,一个在迈阿密 (192.168.3.0/24),另一个在纽约 (192.168.5.0/24)。这两个位置通过 VPN 链接。我想在纽约建立一个只读域控制器 (RODC),服务器和 PC 在该位置运行,使用该 DC 进行 DNS 和身份验证。
我从 Microsoft 看到了以下 RODC 教程:
https://tech.iot-it.no/microsoft/microsoft-windows-rodc-setup/
为了在远程办公室实现我所寻找的(即 DNS 和身份验证),我真的需要创建一个新的站点和 DNS 区域吗?
是否有更简化的配置来满足我的需求?
在包含虚拟化 PDC 仿真器的域上处理时间同步时,有许多帖子涉及问题(请参阅本文)。
结果,我们的 PDC 仿真器时间(和域时间)虽然配置为从权威 NTP 服务器同步,但由于 Hyper-V 集成服务/时间同步而出错。禁用此功能后,PDC 仿真器(和域)时间开始正确同步,但 Hyper-V 主机时间一直出错。
我怀疑 Hyper-V 主机 (2019) 没有从域同步时间。
我怎样才能确保这一点?
要获取 Windows 域的 Active Directory 中帐户的上次登录时间,我会查询每个域控制器上的 LastLogon 属性和一个域控制器上的 LastLogonTimestamp。对于我当前正在查看的特定用户帐户,LastLogon 属性的值> = 180d,这是有道理的,因为该用户帐户最近不应该使用。但 LastLogonTimestamp 的值约为 12h。我阅读了LastLogonTimestamp的复制要求,并且还阅读了LastLogon并且它没有被复制,这就是我从每个域控制器查询值的原因。
有人可以向我解释 LastLogonTimestamp 如何比每个域控制器的每个 LastLogon 值都更新吗?我错过了什么?
我遇到了一个非常奇怪的情况,我的 VM 托管 PDCe 上的时间报告为同步,但实际时间不同步。服务器的运行速度快了大约一个小时。
这是我所拥有的:
我无法在命令行更新时间:
这是时间服务配置:
我在 GPO 中设置了时间同步,如此处所示,但在本练习期间我已将其关闭。奇怪的是,该Change按钮在计算机设置->时间和语言->日期和时间中保持禁用;我不知道该怎么做。
但回到时间同步问题。我以前从未见过这样的事情。确切的问题描述也不会出现在任何搜索中。
我怎样才能解决这个问题?
我只是做了一些搜索,比如这个和这个,以避免问一个已经有答案的问题。
但是,我不确定这些信息是否完全符合我的问题。
情况是,我目前正在业务域下维护一个测试环境。有两个 windows 2016 AD 域控制器分别充当主 DC 和第二个 DC,并且显然链接在一起以提供域服务。
这两个域控制器只运行基本角色:域服务和 dns,并且该域中的所有节点/客户端都由它们管理。
现在主DC遇到了莫名其妙的问题,我只好把整机删掉,重建一个新的主DC来替换。
我没有“重建”“主”域控制器的经验,有谁知道在做这样的事情时要注意什么?或者也许我可以删除主 DC 并重新创建它而不在第二个域控制器上进行任何更改?
提前致谢。
我在我们的网络上设置了一个新域,该域由 2 个域控制器 dc1、dc2 组成。我可以看到 2 个控制器的 A 记录。但我需要做负载平衡,以便我可以在单个条目中引用 2 个 dc。
我为不同的 IP dc.domain.com 创建了两个具有相同名称的 A 记录。这是标准程序吗?
我的任务是从头开始设置 Windows 2019 AD 环境(新域)。
通常我们从公司 KMS 系统获得我们的服务器许可证/激活,在这种情况下我们也需要这样做。
通常我会在没有许可证的情况下安装 Windows 服务器。在我添加 AD 角色之前,配置 KMS 并让许可证/激活正常工作......
但是:在这种情况下,新域位于防火墙后面,并且与公司网络没有正常连接。
由于管理疏忽,没有及时请求允许访问 KMS 的防火墙规则。
审批过程很长(很多繁文缛节),直到几天后我才能访问新服务器的 KMS,可能是在 DC 安装日期之后的几周,但我们确实需要尽快让该域运行。
我希望我可以在 Server 2019 上配置 KMS(无需实际激活,因为 KMS 没有响应),然后可以继续进行域设置,稍后它将进行激活。
我知道具有评估许可证的 DC 设置无法升级到正确的许可证,除非您首先将 AD 角色移动到另一台服务器并将此 DC 减少到普通服务器。然后你可以重新授权它。
我想真正的问题是,具有无法访问的 KMS 服务器的 KMS 设置是否被视为评估安装。
对于新域,我们无论如何都需要 2 个 DC。所以我总是可以推迟添加第二个 DC,直到我们拥有 KMS,然后重新许可第一个 DC。
但这需要一些额外的工作和另一次前往现场的旅行(无远程访问),我想避免这种情况。
有人对这个有经验么 ?
我们正在清理我们的 Windows PKI/CA 环境并用新服务器替换我们的根 CA。当前的根 CA 多年来一直在颁发以下证书模板(除了从属证书模板):
从属 CA 还具有“已发布”的模板。
我们知道这并不理想,新的根 CA 将被设置为仅颁发从属证书模板。
问题:
在从根CA颁发的上述模板中删除(不删除模板本身,只是将其从该根CA颁发的模板中删除)后,当域控制器自动更新上述证书时,他们是否会知道查看从属CA根据域控制器所需的模板更新/颁发新证书? 或者我们还需要做些什么来主动向环境中的 DC 颁发新证书?现有证书不会被吊销,因此在重新注册之前它们将一直有效,但我们很好奇如果原始证书是由旧根 CA 颁发的,重新注册是否会失败。我们不确定 DC 是如何“决定”的
附加附加问题:
您知道我们替换 rootCA 后从现有 SubCA 颁发的现有证书会有什么影响吗?我们正在根据以下内容将 rootCA 迁移到一个新名称:逐步将 CA 迁移到新服务器——评论中的其他人基本上问了我关于现有证书的问题,但没有回复。我的猜测是,只要客户端在其受信任的根存储中仍然有旧的 RootCA,在中间存储中仍然有 SubCA,他们应该仍然有一个良好的证书链,直到证书过期,但我想提前知道的时间。
我有一个带有 2 个 DC、SERVER2 和 SERVER3 的森林/域。SERVER2 拥有 FSMO 角色。两者都很健康。
我现在希望删除 SERVER2 以进行干净的重新安装。根据我对该项目的研究,我建议采取以下步骤:
这就是任务所必需的吗?在第 3 步删除 SERVER2 后,我是否需要对 SERVER3 进行任何类型的清理或维护?
