joeqwerty's questions

我在两个 Windows Server 2008 R2 域/林（Windows Server 2008 R2 的域和林功能级别）之间具有跨林信任。域 A 和 B 是其各自林中的林根域，域 C 是域 B 的子域。

A<->B--C

该信任是配置了林范围身份验证的双向传递林信任。当我查看每个域中的 TDO 对象时，我看到 domainB 有一个用于 domainA 和 domainC 的 TDO，但 domainC 只有一个用于 domainB 的 TDO。domainA 同样有一个仅用于 domainB 的 TDO。我在每个域的 Active Directory 域和信任中看到了同样的情况。

在 domainC 计算机上选择“登录到”下拉列表时，我只看到 domainB 和 domainC 列出。在 domainB 计算机上选择“登录到”下拉列表时，我看到 domainB、domainC 和 domainA 列出。在 domainA 计算机上选择“登录到”下拉列表时，我只看到 domainA 和 domainB 列出。

跨林 DNS 名称解析通过 domainA 和 domainB 之间的条件转发器在所有三个域之间工作，我可以成功地从 domainC 查询 domainA 中的 AD SRV 记录，反之亦然。

我不了解跨林信任中的域传递性吗？传递性不应该从 domainC 扩展到 domainA 吗？反之亦然？

编辑

根据瑞安的回答：

我已经开始考虑同样的事情，但我没有第一手经验与存在子域的森林信任，所以我不确定我应该看到什么。尽管传递性应该存在于域 A 和 C 之间，但不一定意味着“可见性”。我跑了nltest /dclist，nltest /dsgetdc而且nltest /dnsgetdc并且全部从域 A 成功返回到 C，反之亦然。让我感到困惑的是，当尝试将用户添加到域中的域本地组时，AI 只能在 Locations 中看到域 B 而不是域 C。这可能是预期的行为，但看起来很奇怪。例如，如果我想将域 C 用户添加到域中的远程桌面用户域本地组 AI 无法到达那里，因为我在域 A 的位置中看不到域 C。没有办法“嵌套”a域 B 组中的域 C 用户，然后将域 B 组添加到域 A 组（由于组范围）。因此，如果我想授予域 C 用户登录域 A 中的 RDS 服务器的访问权限，我将如何实现呢？

我正在现有的 Active Directory 林中设置几个子域，我正在寻找一些传统的智慧/最佳实践指南来配置子域控制器上的 DNS 客户端设置和 DNS 区域复制范围。

假设每个域中有一个域控制器，并假设每个 DC 也是该域的 DNS 服务器（为简单起见），子域控制器应该仅针对 DNS 指向自身还是应该指向某种组合（主要 VS. 次要）本身和父域或根域中的 DNS 服务器？如果存在父>子>孙域层次结构（具有连续的 DNS 命名空间），应如何在孙 DC 上配置 DNS？

关于 DNS 区域复制范围，如果将每个域的 DNS 区域存储在域中的所有 DNS 服务器上，那么我假设需要存在从父级到子级的 DNS 委托，并且需要存在从子级到父级的转发器. 对于父>子>孙域层次结构，每个子域是转发到直接父域的直接父域还是根域？委派发生在直接父区域还是来自根区域？

如果将所有 DNS 区域存储在林中的所有 DNS 服务器上，是否会使上述有关复制范围的问题变得毫无意义？复制范围是否对每个 DC 上的 DNS 客户端设置有影响？

与此问题相关：构建存储区域网络时，存储管理员通常会根据 I/O 类型（顺序访问还是随机访问）创建物理磁盘阵列，并将这些阵列中的 LUN 提供给需要特定类型 I/O 的主机？

我在跨两个主机（vsphereA 和 vsphereB）的 HA 集群中运行 vSphere 5。我为主机监控和数据存储心跳监控配置了 HA 集群，并禁用了准入控制（希望我正确理解数据存储心跳监控可以防止由于管理网络隔离而导致的无意和不需要的 HA 故障转移）。每个主机都有一个到专用 iSCSI 网络和 iSCSI 目标（无 MPIO）的连接。所有 VM 的所有 vmdk 都存在于 iSCSI 数据存储上。作为 HA 测试，我断开了 vsphereB 上的 iSCSI 连接，惊讶地发现 vsphereB 上正在运行的虚拟机继续在 vsphereB 上运行。关闭的 VM 显示为不可访问（我预计这是因为它们不是 t 正在运行并且从 vsphereB 到 iSCSI 目标的连接被切断）但正在运行的 VM 继续运行并继续由 vsphereB“拥有”。我希望看到这些 VM 发生 HA 故障转移，并希望在 HA 故障转移（没有发生）后看到它们被 vsphereA“拥有”。我无法理解为什么这些 VM 没有发生 HA 故障转移。我是否误解了在哪些情况下应该发生 HA 故障转移？

本周六晚上，我们将用 Windows Server 2008 R2 域控制器/dns 服务器替换现有的 Windows Server 2003 域控制器/dns 服务器。当前的林和域功能级别是 Windows Server 2003，我已经在现有架构操作主机上从 W2K8R2 媒体运行 adprep /forestprep 和 adprep /domainprep /gprep。我还在新服务器上安装了 AD DS 位，但还没有运行 DCPROMO。我们的 AD DNS 区域是 AD 集成的。

现在有什么理由不更进一步并通过运行 DCPROMO 来“预准备”新服务器？我们要到本周六晚上才会切换到他们，但我认为在那之前尽可能接近我们的准备工作没有任何害处。

在对 bgsu.edu 执行 nslookup 时运行网络捕获时，我注意到我的 DNS 服务器没有查询 bgsu.edu 的 SOA 记录。这是我在捕获中看到的操作顺序：

1. 我的 DNS 服务器向 bgsu.edu 的根提示服务器之一发出 A 记录查询。

2. 根提示服务器返回 gTLD 服务器的 NS 记录列表。

3. 我的 DNS 服务器向 bgsu.edu 的其中一个 gTLD 服务器发出 A 记录查询。

4. gTLD 服务器返回 bgsu.edu 的 NS 记录列表。

5. 我的 DNS 服务器向在步骤 4 中返回的 bgsu.edu 名称服务器之一发出 A 记录查询。

6. 相关域的名称服务器返回 bgsu.edu 的 A 记录信息。

所以我的问题是：我的 DNS 服务器是否不需要先查询相关域的 SOA 记录？如果不是，那么 SOA 记录究竟是如何使用的？哪些名称服务器查询 SOA 记录？gTLD 服务器是否查询 SOA 记录，因此在我的捕获中没有看到这一点？我的理解是 SOA 持有 NS 记录的列表，那么 SOA 不应该是查询的第一条记录吗？

我们在 Windows 2003 域中运行终端服务器场，我发现应用于我们的 TS 服务器的软件限制 GPO 设置存在问题。以下是我们的配置和问题的详细信息：

我们所有的服务器（域控制器和终端服务器）都运行 Windows Server 2003 SP2，并且域和林都处于 Windows 2003 级别。我们的 TS 服务器位于一个 OU 中，我们链接了特定的 GPO 并阻止了继承，因此只有 TS 特定的 GPO 应用于这些 TS 服务器。我们的用户都是远程的，没有工作站加入我们的域，所以我们不使用环回策略处理。我们采用“白名单”方式允许用户运行应用程序，因此只有我们批准并添加为路径或哈希规则的应用程序才能运行。我们将软件限制中的安全级别设置为不允许，强制设置为“除库之外的所有软件文件”。

我发现，如果我给用户一个应用程序的快捷方式，即使它不在“白名单”应用程序的附加规则列表中，他们也能够启动该应用程序。如果我给用户一份应用程序的主要可执行文件的副本并且他们尝试启动它，他们会收到预期的“该程序已被限制......”消息。似乎软件限制确实有效，除了用户使用快捷方式启动应用程序而不是从主可执行文件本身启动应用程序时，这似乎与使用软件限制的目的相矛盾。

我的问题是：有没有其他人看到过这种行为？其他人可以重现这种行为吗？我对软件限制的理解是否遗漏了什么？我是否有可能在软件限制中配置错误？

编辑

稍微澄清一下问题：

没有执行更高级别的 GPO。运行 gpresults 表明事实上，只有 TS 级别的 GPO 被应用，我确实可以看到我的软件限制被应用。没有使用路径通配符。我正在使用位于“C:\Program Files\Application\executable.exe”的应用程序进行测试，并且应用程序可执行文件不在任何路径或哈希规则中。如果用户直接从应用程序的文件夹启动主应用程序可执行文件，则会强制执行软件限制。如果我给用户一个指向“C:\Program Files\Application\executable.exe”的应用程序可执行文件的快捷方式，那么他们就可以启动该程序。

编辑

此外，LNK 文件列在指定的文件类型中，因此它们应被视为可执行文件，这意味着它们受相同的软件限制设置和规则的约束。