タグ付けされた質問 「active-directory」

ユーザーアカウント、コンピューターアカウント、グループ、および多くのWindowsサーバーとデスクトップにわたる構成管理の集中管理機能を備えたLDAPディレクトリサービスを構成するMicrosoftテクノロジ。

3
Windows ADドメインでロックされたユーザーアカウントの原因を見つける方法
Outlookでの最近の事件の後、私は次の問題をどのように最も効率的に解決できるのだろうと思っていました。 かなり典型的な中小規模のADインフラストラクチャを想定します:複数のDC、多数の内部サーバーとWindowsクライアント、DMZ内からのユーザー認証にADとLDAPを使用するいくつかのサービス(SMTPリレー、VPN、Citrixなど)およびいくつかの内部認証のためにすべてADに依存するサービス(Exchange、SQLサーバー、ファイルおよびプリントサーバー、ターミナルサービスサーバー)。すべてのシステムに完全にアクセスできますが、個々のチェックには少なすぎて(クライアントを数えます)。 何らかの未知の理由で、数分ごとにパスワードロックアウトポリシーのために1つ(または複数)のユーザーアカウントがロックアウトされると仮定します。 これを担当するサービス/マシンを見つける最良の方法は何でしょうか? インフラストラクチャが純粋で、追加の管理ツールがなく、デフォルトからほとんど変更されていない標準のWindowsであると仮定すると、そのようなロックアウトの原因を見つけるプロセスを加速または改善できる方法はありますか? このようなアカウントロックアウトDOSに対するシステムの回復力を向上させるにはどうすればよいでしょうか?アカウントのロックアウトを無効にすることは明らかな答えですが、複雑さが強制されている場合でも、ユーザーが簡単に悪用可能なパスワードを使用できるという問題に直面します。
8
実際に役立つ読み取り専用ドメインコントローラーは何ですか?
Windows Server 2008では、読み取り専用ドメインコントローラーが導入されました。これは、古き良きWindows NT BDCのように、ドメインデータベースの完全なレプリカを受け取りますが、それを変更することはできません。 私はそれらのセミDCを実行する方法のすべての技術的な面を知っていますが(70-646と70-647に合格しました)、それでも私はすべての最も重要な質問に対する明確な答えを持っていません:なぜあなたはそれらを使用しますか? TheCleanerからのこのコメントは本当に私にとってそれを要約しています: @マシモ-はい、あなたは正しいです。UはRODCの説得力のある理由を探していますが、それはありません。ブランチオフィスのセキュリティを緩和するためのいくつかの追加のセキュリティ機能があり、実際にそこにDCがなく、そのセキュリティについて熟知している場合にのみ実際に展開する必要があります。 それは私が考えていたのと同じでした...セキュリティの少しの増加、はい、確かに、しかし間違いなく面倒の価値があるほどではありません。
2
Active Directoryでごみ箱機能を有効にするとどうなりますか?
管理者が誤って誤ったOUを削除し、いくつかのアカウントとコンピューターオブジェクトを削除しました。ごみ箱のオプション機能が有効になっていませんでした。sysinternalsのadrestoreを使用して、アカウントを元に戻しました。 このプロセスを簡単にするため、次回ごみ箱のオプション機能を有効にしたいと考えました。これは、PowerShell を使用してガイドおよびTechNetに従って簡単に実行できEnable-ADOptionalFeatureます。 PowerShellと上記のリンクの両方で、次のことが言及されています。 Windows Server 2008 R2のこのリリースでは、Active Directoryのごみ箱を有効にするプロセスは元に戻せません。環境でActive Directoryのごみ箱を有効にした後、無効にすることはできません。 理論的には、常に有効にしておきたいと思いますが、これから何が起こるのかを理解するまでためらっています。重要な場合、単一のドメインフォレストがあります。 この機能を有効にするとどうなりますか?これは、デフォルトで有効になっていない理由に関連する必要があります。
2
一部のAAAAクエリに対してSERVFAILを返すサーバー2012R2 DNSサーバー
(元のテストの多くは新しい情報に照らして無関係であるため、この質問の大部分を書き換えます) Server 2012R2 DNSサーバーに問題があります。これらの問題の最大の副作用は、Exchangeメールが通過しないことです。Aレコードを試す前に、AAAAレコードのクエリを交換します。AAAAレコードのSERVFAILを検出すると、Aレコードも試行せず、ただ放棄します。 一部のドメインでは、Active Directory DNSサーバーに対してクエリを実行すると、NOERRORではなくSERVFAILが返され、結果は得られません。 DNSを実行しているいくつかの異なるServer 2012R2ドメインコントローラーからこれを試しました。それらの1つは、別のファイアウォールとインターネット接続の背後にある別のネットワーク上の完全に独立したドメインです。 私はこの問題を引き起こす知っている二つのアドレスであるsmtpgw1.gov.on.caとmxmta.owm.bell.net 私はdigこれをテストするためにLinuxマシンで使用しています(192.168.5.5は私のドメインコントローラーです): grant@linuxbox:~$ dig @192.168.5.5 smtpgw1.gov.on.ca -t AAAA ; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @192.168.5.5 smtpgw1.gov.on.ca -t AAAA ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56328 ;; flags: qr rd ra; …
10
VPN接続が原因でDNSが誤ったDNSサーバーを使用する
会社のネットワーク(Active Directoryのメンバー)にWindows 7 PCがあります。お客様のサイトへのVPN接続を開くまで、すべてが正常に機能します。 接続すると、フォルダーリダイレクトポリシーのある「アプリケーションデータ」などのディレクトリを含む、ネットワーク上の共有へのネットワークアクセスが失われます。ご想像のとおり、これによりPCでの作業が非常に難しくなります。デスクトップショートカットが機能しなくなり、その下から「アプリケーションデータ」が取得されるため、ソフトウェアが正常に機能しなくなります。 ネットワークは、10.58.0.0 / 16のスコープ内に他のローカルサブネットが存在する状態でルーティングされます(10.58.5.0/24)。リモートネットワークは192.168.0.0/24にあります。 DNS関連にまで問題を追跡しました。VPNトンネルを開くとすぐに、すべてのDNSトラフィックがリモートネットワークを経由するため、ローカルリソースの損失が説明されますが、私の質問は、顧客ではなくローカルDNSサーバーにローカルDNSクエリを強制する方法です。 ? ipconfig /allVPNに接続されていない場合の出力は次のとおりです。 Windows IP Configuration Host Name . . . . . . . . . . . . : 7k5xy4j Primary Dns Suffix . . . . . . . : mydomain.local Node Type . . . . . …
3
再起動せずにコンピューターグループメンバーシップを更新する方法はありますか?
Windows Server 2008 R2を使用していますが、コンピューターComputerAの「ネットワークサービス」アカウントで実行されているWindowsサービスがあります。このWindowsサービスは、グループGroupAに読み取りアクセス許可を付与する共有フォルダー(別のコンピューターComputerB上の)にアクセスする必要があります。そのため、ComputerAのコンピューターアカウントをGroupAに追加し、ComputerAを再起動する必要があります。 私の質問は、ComputerAを再起動せずにすぐにグループメンバーシップを有効にする方法はありますか?
11
ユーザー名のコマンドラインActive Directoryクエリ電子メールアドレス
Active Directory環境のWindows XPの場合-コマンドラインでユーザー名を指定すると、ADからユーザーのメールアドレスを照会する最も簡単な方法は何ですか。 (ツリー内の通常の場所を知っていると仮定します)。 (net user loginname / domain については知っていますが、メールアドレス要素を戻したいだけです。)
3
2つのDC間のADレプリケーションが機能することを確認する方法
異なるネットワークに3つのDCがあるドメインがあり、そのうちの1つをデコミッションします。 ただし、ネットワークの構成の誤りにより、残りの2つのDCが相互に適切に複製されないと思われます。そのため、廃止されたDCをオフにした後、残りの2つのDCが相互に完全に複製されることを確認したいと思います。 2つのDC間で問題なくpingを実行できますが、複製は別の話になると思われます。 私が発行するときrepadmin /showrepl dc1、削除したいDCがある以前の複製の状態のみを表示します。安全な DCが記載されていません。
1
GPOは適用されません。理由:アクセス不能、空、または無効。Server 2012 R2およびWindows 10
Windows Server 2012 R2ドメインがあります。 昨日、コンピューターの(Windows 10 Proを実行している)ネットワークドライブの動作が停止しました。 さらなる調査(gpresult /h)の後、すべてのグループポリシーオブジェクトが理由で失敗しているようInaccessible, Empty, or Disabledです。 すべてのGPOがまだ存在し、両方の(冗長およびローカル)ドメインコントローラーで有効になっていることを確認しました。さらに、同じドメインとLANには20台の他のマシンがあり、まったく問題はありません。 ただし、同じ問題を示した別のコンピューターが1つあります。それは問題がサーバーにあるということですか? gpresult /r一方のクライアントがローカルDC1からGPOを取得し、もう一方がDC2からGPOを取得していることを報告します。したがって、特定のDCに関連する問題ではありません。 gpupdate /force 何も修正しませんでした(ただし、ポリシーが適用されたと主張していました)。 ローカルポリシーのレジストリエントリを削除してみました(このガイドに従って/superuser/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do)と再起動-同じ問題。 Microsoftからこのサポートページ(https://support.microsoft.com/en-us/kb/2976965)を見つけましたが、Windows 7以前のクライアントにのみ適用されると主張しています。 すべてのマシン(サーバーとクライアントの両方)は64ビットバージョンを実行しており、完全に更新されています。念のため、すべてを再起動しました。
2
多数のDCで-strictが長時間設定されている場合に、残留オブジェクトを適切に削除するにはどうすればよいですか?
私は最近、世界中の100を超えるサイトに120のドメインコントローラーが存在する環境にいました。このドメインはWindows 2000時代に始まり、時間が経つにつれてアップグレードされたため、新しいDCのデフォルトとして厳密なレプリケーション一貫性が設定されることはなく、どのDCでも有効になることはありませんでした。ディレクトリには長引くオブジェクトがあり、これにより、かなりの数の競合するオブジェクトが定期的に表示されます。 使用repadmin /removelingeringobjectsするには、次の2つのことを知っている必要があります。 データベースに残留オブジェクトがあるDC 参照DCとして使用する残留オブジェクトを持たないDC。 明らかに、将来、この環境はすべての新しいDCに厳密な複製一貫性が適用され、repadmin /options * +strict現在のすべてのDCが厳密な複製一貫性を使用するように設定する必要がありますが、オブジェクトをクリーニングせずに複製を中断します。 だから、私の質問はこれです:どのDCに残留オブジェクトがあり、どのDCにないのかわからないような大規模な環境では、使用するための良い基準DCをどのように識別できrepadmin /removelingeringobjectsますか? DCは、厳密なレプリケーションの一貫性を強制し、レプリケーションを中断する前に、残留オブジェクトを削除しますか?または、厳密モードをオンにrepadmin /replsumして、何が壊れているのかを確認して対処する方が簡単ですか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.