Azure AD Sync 基本上是带有 PowerShell 包装器和两个预配置管理代理的 FIM。因此,可以使用 DirSync 公开的 FIM GUI 停止将属性同步到 AD。即,如果我不再希望 streetAddress 与 Office 365 租户同步,我会在 DirSync 中禁用该属性。
我的问题:这是否受支持(即在任何地方的 TechNet/MSDN 上记录)并且除了 userPrincipalName 和 DisplayName 之外,O365 是否需要某些属性才能工作?
编辑:这个问题最初是在遗留 ASM 时代提出的。事情有很大不同,网络安全组的引入使得在现代 Azure 环境中实现这一点变得微不足道。
我有一个在 Azure VM 中运行的三层应用程序。
此应用程序有两个后端层和一个 Web 层。这分为三个云服务 - 每层一个。
两个后端层使用 Azure 内部负载平衡。
Web 层只需要在端口 443 上与后端通信。
是否可以创建第二个 VNet 并为前端服务器使用 VNet 到 VNet 连接并在其上放置 ACL,使其只能与 443 以上的后端服务器通信?如果是这样,我在哪里配置此 ACL?在任何情况下,后端服务器都不应直接暴露在 Internet 上。
我们有一个文档管理系统,它在 NTFS 文件系统上通过网络共享访问数百万个文件。单个服务帐户需要对所有这些文件和应用程序代理使用此服务帐户进行访问的完全权限。
在数据迁移期间,发生了一些事情,权限现在不一致。
我一直在尝试在 PowerShell 中编写一个脚本来识别哪些文件没有适当的 ACE,但get-acl有点……痛苦。
我尝试了各种类似的组合:
get-childitem -recurse | get-acl | select -expandproperty access |
where { $_.$_.IdentityReference -notcontains $principal
其中 $Principal 是需要domain\user格式权限的用户。
一定有办法做到这一点,对吧?它是什么?我想将其保留在 PowerShell 中,并且尽可能不icacls使用cacls。
如何使用 PowerShell 来查找像+IS_INTER_SITE_AUTO_TOPOLOGY_DISABLEDPowerShell 中的 AD 站点选项?我一直在使用以下命令,但无法让它吐出任何有用的东西。
Get-ADObject -Filter 'objectClass -eq "site"' -Searchbase (Get-ADRootDSE).ConfigurationNamingContext` -Properties options
大量用作 DNS 服务器的 Active Directory 域控制器的退役过程有两种思想流派。
将传出 DC 的 IP 地址添加到新 DC,并确保 DNS 正在侦听该地址。
将旧 DC 降级,保留 DNS 角色,并将全局 DNS 转发器配置到新服务器。
显然,在所有服务器和设备都配置为使用新服务器的主 IP 地址之前,两者都是权宜之计,但有时根据环境的大小,过渡期可能相对较长。
这里有明确的最佳实践吗?
想象一下这种情况:
A 公司正在收购 B 公司的一个子公司。CompanyB 解雇了该部门的大部分员工,并且在要求提供文件时没有帮助。现在,您必须使用 ADMT 将用户、组、工作站和服务器从 CompanyB 的子域迁移到 CompanyA 的 Active Directory。
如何确定哪些托管自定义 LOB 或预打包应用程序的服务器依赖于环境中的其他服务器,以便相应地规划迁移策略?VMware vCenter Infrastructure Navigator之类的东西可以做到这一点,但除了花大量时间四处闲逛之外,还有其他方法吗?
答案可以假设在 vSphere 5.1 上运行的全 Windows 环境,但其他情况的答案也可以。
我最近在一个环境中,在全球 100 多个站点中有 120 个域控制器。该域始于 Windows 2000 时代,随着时间的推移不断升级,因此严格的复制一致性从未设置为新 DC 的默认设置,也从未在任何 DC 上启用。目录中有延迟对象,因此您经常会看到相当数量的冲突对象。
使用repadmin /removelingeringobjects需要知道两件事:
哪些 DC 在数据库中有延迟对象
一个没有任何延迟对象的 DC,可用作参考 DC。
显然,在未来,应该设置这个环境,以便所有新的 DC 都强制执行严格的复制一致性,并且repadmin /options * +strict应该运行以使所有当前的 DC 使用严格的复制一致性,但这会在不清理对象的情况下中断复制。
所以,我的问题是:在如此庞大的环境中,我不知道哪些 DC 有延迟对象,哪些没有,我如何确定一个好的参考 DC 以repadmin /removelingeringobjects供使用,以及如何确保所有 120+在强制执行严格的复制一致性和中断复制之前,DC 是否清除了延迟对象?或者,是否更容易打开严格模式并观察repadmin /replsum什么中断并处理它?
我正在尝试创建一个自定义表单,它本质上是带有一些额外字段的服务请求表单。我不想扩展默认的 SR 表单。我将在自助服务门户中创建一个请求产品,它获取名字、姓氏、部门、经理等数据,并使用 Orchestrator 运行手册来创建该用户(除其他外)。
由于这些附加字段将仅用于这一自动化任务,因此我不想扩展普通的 SR 表单,因为这些字段在一般 SR 中没有用处。
我创建了一个新类并在创作工具中添加了属性,但是当我去创建表单时,我得到一个空白表单。我不想从头开始构建它,我只想复制现有的 SR 表单并添加一些映射到新类中的新属性的框。是否有捷径可寻?我是否以错误的方式进行这种定制?
从内部接口上的计算机访问 ASA 或类似设备外部接口上的 Web 服务器时,内部到内部 NAT 又名 NAT 环回解决了发夹 NAT 问题。这可以防止 DNS 管理员必须维护一个重复的内部 DNS 区域,该区域具有与其服务器对应的 RFC1918 地址,这些地址被 NAT 转换为公共地址。我不是网络工程师,所以我可能会遗漏一些东西,但这似乎很容易配置和实施。非对称路由可能是一个问题,但很容易缓解。
根据我的经验,网络管理员/工程师更喜欢系统人员只运行 split-dns 而不是配置他们的防火墙来正确处理 NAT 发夹。为什么是这样?
关于 SQL Server 所需的排序规则设置,存在许多相互矛盾或令人困惑的信息,因为它与托管 SCSM 2012 数据库和关联的数据仓库数据库有关。
在安装过程中,如果将排序规则保留为默认值 SQL_Latin1_CP1_CI_AS,则会出现此错误。
对于此版本,请确保在承载 Service Manager 数据库、数据仓库数据库、分析服务数据库和 Reporting Services 数据库的计算机上的 SQL Server 和 Analysis Services 中使用相同的排序规则。有关 SQL Server 排序规则的详细信息,请参阅使用 SQL Server 排序规则。
如果您的 SQL Server 安装使用默认排序规则 (SQL_Latin1_General_CP1_CI_AS),则会出现一条警告消息,指出该排序规则不是 Service Manager 支持的排序规则之一,并且不受支持的排序规则会在多语言环境中导致不可预测的行为。
使用默认排序规则 ( SQL_Latin1_General_CP1_CI_AS
) 时,无法在 Service Manager 中支持多种语言。如果稍后您决定使用不同的排序规则支持多种语言,则必须重新安装 SQL Server。在 Service Manager 的仅英语安装中使用默认排序规则没有问题。有关语言支持的详细信息,请参阅System Center 2012 - Service Manager 的语言支持。
在该链接之后,将 SQL_Latin1_General_CP1_CI_AS 列为受支持的归类!这是我的大脑开始爆炸的地方。
还有许多参考资料指出,分析服务、报告服务和 DBE 都需要相同的归类集,但是 SQL_Latin1_General_CP1_CI_AS 都不是一个选项。有 Latin1、不区分大小写、区分重音的选项可用,但不是 SQL_Latin1_General_CP1_CI_AS。
为了在伤口上撒盐,服务经理文档说,为了将 SCOM 数据拉入 SCSM 数据仓库,排序规则非常匹配。但是,SCOM 2012 SP1 文档状态:
所有数据库的 SQL Server 归类设置必须是以下之一:SQL_Latin1_General_CP1_CI_AS、French_CI_AS、Cyrillic_General_CI_AS、Chinese_PRC_CI_AS、Japanese_CI_AS、Traditional_Spanish_CI_AS 或 Latin1_General_CI_AS。不支持其他排序规则设置。
因此,似乎为了将 SCOM 数据拉入 SCSM,您被迫使用一种不受支持的排序规则,将您限制为一种语言。那正确吗?如果是这样,为什么 SQL_Latin1_General_CP1_CI_AS 被列为受支持和兼容的排序规则,为什么安装程序会抱怨它?
我是否在睡梦中死去,在地狱中醒来?
我正在尝试枚举我的林中每个用户所属的名称、samaccountname 和域,并将其写入文本文件。
我现在拥有的脚本是:
Import-Module ActiveDirectory
$domains = "root.org", "child1.root.org", "child2.root.org"
ForEach ($d in $domains){
Get-ADUser -Filter * -ResultSetSize $null -Server $d -Properties name, samaccountname |
Select-Object name, samaccountname | out-file c:\users\mdmarra\desktop\users.txt -append
}
我需要的是每行末尾的 $d 值,以便输出看起来像
name samaccountname domain
---- -------------- ------
Marra,Mark mdmarra root.org
我只是在翻阅旧笔记,寻找我不久前在上一份工作中为一个项目指定的一对 Exchange 服务器。它们适用于具有大量邮件配额的相当大的组织,因此每个邮箱服务器都有 96GB RAM。磁盘布局是:
147GB RAID1 用于操作系统、应用程序和页面文件
1.2TB RAID 10 用于邮件数据库
900GB RAID 10 用于日志
这在理论上似乎很好,直到您意识到,默认情况下,您将在 147GB 分区上拥有一个 96GB 的页面文件,导致它很快达到全盘。在这种情况下,您是否将页面文件移动到另一个分区并失去恢复故障转储的能力并牺牲一些性能?我是否应该为镜像订购一对 300GB 的磁盘(这是我最终做的)?我是否应该人为地将页面文件大小限制为更小的值,例如 32GB?
我最近写了这个答案并偶然发现了一些有趣的东西。
get-aduser -filter {-not (description -eq "auto")} | measure-object
和
get-aduser -filter {description -ne "auto"} | measure-object
当针对相同数据运行时返回两个截然不同的东西,第一个命令返回预期值。乍一看,在描述字段中具有空值的用户不会在第二个命令中作为匹配项返回,即使 NULL 显然不等于“auto”。
聊天中的几个人已经看过这个并证实我没有疯。这里发生了什么?
我一直认为在同一台服务器中使用 Y 型电缆从 PDU 连接到冗余 PSU 是完全可以接受的做法,但是我最近与某人交谈时说他们的 colo 不允许这样做。
我不是电工,但在我看来,由于 PSU 是多余的,它们不会同时供电。如果是这种情况,似乎在两个 PSU 上使用 Y 型电缆不会冒透支电缆或单个插座的额定载流量的风险。
我在这里错过了什么吗?为什么托管服务器选择禁止在服务器机架中使用 Y 型电源线?
我的每个 Active Directory 站点都有两组站点链接 - 一组指向 HQ,一组指向 DR。链接到总部的费用为 100。到 DR 的链接是 200 成本。KCC(显然)通过 100 个成本站点链接生成连接。下个月我们将让所有 HQ 离线以进行电力维护,这应该会导致远程站点的 KCC 将现有的复制对象替换为 HQ 到 200 条成本链路上的 DR。
当我们恢复 HQ 时,远程站点的 KCC 是否会自动将复制到 DR 站点的对象替换为复制到 HQ 的对象?我的直觉说“当然是这样工作的!”,但一些 Microsoft 文档说:
拓扑生成有两个阶段。在第一阶段,KCC 评估当前拓扑,确定现有连接是否发生复制失败,并构建完成复制拓扑所需的任何新连接对象。在第二阶段,KCC 将在第一阶段做出的决策实施或“翻译”为复制合作伙伴之间的协议。
这听起来像是 KCC 只会在复制失败时才重新计算复制拓扑。
ps 如果你告诉我repadmin /kcc循环,我会空手道砍你的喉咙。
有很多 TechNet 文章,比如这篇文章说,如果基础结构主机也是全局目录,则幻影对象不会更新,但除此之外,没有太多关于此中实际发生情况的深入信息配置。
想象一下这样的配置:
|--------------|
| example.com |
| |
| dedicated IM |
|--------------|
|
|
|
|-------------------|
| child.example.com |
| |
| IM on a GC |
|-------------------|
其中child有两个都是全局目录的DC,意味着Infrastructure Master角色在一个GC上。并且,在一个非GCexample的 DC 上具有三个具有 Infrastructure Master 角色的 DC 。
我知道通常最好只将所有内容都设为 GC 而不必担心这类事情,但假设情况并非如此 -从这样的设置中可以预期的确切错误行为是什么,以及哪个域( s) 这种行为会体现在什么地方?孩子还是家长?
缓存的 Active Directory 域凭据如何存储在 Windows 客户端上?它们是否存储在本地 SAM 数据库中,从而使它们容易受到本地用户帐户容易受到的相同彩虹表攻击,或者它们的存储方式不同?请注意,我确实意识到它们是经过加盐和散列处理的,以免以纯文本形式存储,但它们是否以与本地帐户相同的方式进行散列处理并且是否存储在同一位置?
我意识到至少他们容易受到暴力攻击,但这比在机器被盗时容易受到彩虹表攻击要好得多。
我需要使用 PowerShell 比较开发环境和生产环境之间安装的补丁。我怎样才能做到这一点?
我有来自两个不同域的用户列表。这些列表采用 CSV 格式,我只关心 SAMAccountName,这是这些 CSV 中的一个字段。
我正在使用的代码目前是:
$domain1 = Import-CSV C:\Scripts\Temp\domain1.xxx.org.csv | Select-Object SAMAccountName
$domain2 = Import-CSV C:\Scripts\Temp\domain2.xxx.org.csv | Select-Object SAMAccountName
Compare-Object ($domain1) ($domain2)
这仅以这种格式返回少数结果(不准确):
@{samaccountname=SomeUser} =>
显然,Compare-Object 不会将对象评估为字符串。我如何使这项工作?
请注意,我确实知道这个问题的答案,并在下面提供了一个。我看到很多新系统管理员不理解我回答的内容,所以我希望所有初学者 AD DNS 问题都将作为一个副本关闭。如果您有细微的改进,请随时编辑我的答案。如果你能提供更全面完整的答案,欢迎留一个。
DNS 与 Active Directory 有何关系?我应该注意哪些常见配置?