タグ付けされた質問 「domain-controller」

私たちのクライアントの1つはTier 1 PCI会社であり、彼らの監査人はシステム管理者およびアクセス権として私たちに関して提案をしました。 約700のデスクトップ/ 80サーバー/ 10ドメインコントローラーの完全にWindowsベースのインフラストラクチャを管理しています。 彼らは、3つの個別のアカウントを持つシステムに移行することを提案しています。 DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC どこWSが唯一のワークステーションにログオンするアカウントです、ワークステーション上のローカル管理者であります どこSRVは唯一の非DCサーバーにログオンするには、サーバー上のローカル管理者であることをアカウントです ここで、DCはドメインコントローラーのみにログオンするアカウント、実質的にはドメイン管理者アカウント その後、間違ったアカウントから間違ったタイプのシステムへのログオンを防ぐためのポリシーが適用されます（これには、DC以外のマシンのドメイン管理者アカウントの対話型ログオンの削除が含まれます） これは、侵害されたワークステーションがドメイン管理者のログオントークンを公開し、それをドメインコントローラに対して再利用できる状況を防ぐためです。 これは、日常業務に対する非常に侵入的なポリシーであるだけでなく、比較的ありそうもない攻撃/悪用に対処するためのかなりの量の作業であるように見えます（これはとにかく私の理解であり、おそらくこの悪用の実行可能性を誤解しています） 。 他の管理者の意見、特にここでPCI登録会社に関与していて、同様の推奨事項を経験している管理者の意見を聞いてみたいです。管理者ログオンに関するポリシーは何ですか。 記録のために、現在、通常使用するドメインユーザーアカウントと、追加の権限が必要なときに昇格するドメイン管理者アカウントがあります。正直なところ、私たちは少し怠け者であり、多くの場合、日々の運用にドメイン管理者アカウントを使用していますが、これは技術的には会社のポリシーに反しています（ご理解いただけると思います！）。

14 domain-controller  user-accounts  pci-dss 

たび私は実行し、グループポリシーの結果ウィザードをターゲットコンピュータ、概要が示すようにドメインコントローラを選択BUILTIN\Administrators下に示すように、コンピュータの構成の下で、「グループポリシーが適用されたセキュリティグループのメンバーシップ」のリストに： （ドメイン、ユーザー、およびコンピューター名は省略されています） ドメインコントローラーは管理者のメンバーではないので（少なくともADUCで確認できるものからではありません）、私の質問は単に、なぜですか？ ドメインコントローラーは実際にはAdministratorsグループのメンバーですか、それともGPResultsが間違っていますか（およびその理由）？

14 windows-server-2008  active-directory  group-policy  domain-controller 

8つのVMを実行する2つの物理Hyper-Vサーバーがあり、各物理サーバーにはVMで実行されるドメインコントローラーがあり、すべてのサーバーは2008R2です VM PDCはNTPに設定され、time.microsoft.comと同期するように設定されており、物理サーバーを含む残りはNT5DSです。このメインVM PDCは確実にFSMOを保持し、UDP 123がアクティブです w32tm / query / statusを実行すると 両方のVM DCでVM IC Time Synchronization Providerを取得していますが、これはホストとの同期を意味します。 w32tm / resync / rediscoverを実行すると 「時間データが利用できなかったため、再同期しませんでした」とログにイベントID 134が記録されていますか？ また、ログを調べて、イベント144と12が発生しました 外部タイムソースの設定に関するMS KBの詳細に従い、すべてのレジストリを変更しましたが、DNSで取得できていると思いますか？ しかし、物理マシンの1つで時刻を変更すると、そこから時刻が設定されます。多分私はそれらをすべて登録解除し、登録して更新し、同期しても、大きな問題を作成することを恐れています！ VMとHyper-Vホストの間の時間同期を有効にしておくことを試みています。 ご協力いただきありがとうございます ようやく機能しました！これの目的は、ドメイン時間の設定の開始時に開始する人々を支援することです。 この例では、すべてのサーバー、プライマリドメインコントローラー（PDC）、他のドメインコントローラー（DC）および他のサーバーがWindows 2008 R2を実行しており、Hyper-Vで仮想化されています。 最初に、Hyper-V内の仮想マシンで「時刻同期統合サービス」を無効にするために最初に読むが、代わりに仮想DC内からWindowsタイムサービス（w32tmサービス）を操作する必要があります。 VMを再起動すると、問題が発生します。w32tmで実行する必要があります。 http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx どのサーバーがPDCであり、FSMOの役割を実行しているかを調べる必要があります。これを実行します：netdom query fsmo結果はPDCであり、ここでほとんどの変更を行います。 ファイアウォールでUDP123に「アウトバウンド」ルールがあり、プログラムが％SystemRoot％\ System32 \ w32tm.exeであることを確認してください。Windowsディレクトリを参照して、時間のexeを見つけてください。 これは、レジストリの変更がダウンする場所です！HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services …

13 domain-controller  hyper-v-server-2008-r2 

申し訳ありませんが、私は実際にはWindowsシステム管理者ではありません。JavaでのLDAPインタラクションをたたきたいです。 distinguishedNameに「DEL：」が含まれる大量のオブジェクトを見つけています。ガベージコレクションを待機しているこれらの孤立したアイテムはありますか？それらを削除するにはどうすればよいですか？ADUCで実際に見つけることはできませんが、Java LDAPで見つけることができます。

13 windows-server-2008  active-directory  ldap  domain-controller 

これを行うことに関する他の質問や文書を見てきましたが、それでも私を混乱させるいくつかのことがあります。私が見たドキュメントと質問は次のとおりです。 デッドWindows 2003ドメインコントローラーの廃止 ペトリからのFSMOの役割の獲得 NTDSUtil.exeを使用してFSMOの役割をドメインコントローラーに転送または強制する-Microsoft Knowledgebase Active DirectoryドメインコントローラーでのFSMOの配置と最適化-Microsoft Knowledgebase ドメインコントローラーの降格に失敗した後にActive Directoryのデータを削除する方法 この環境には、2つのWindowsサーバーと多数のクライアントが含まれています。ドメインコントローラーは、Windows 2000ネイティブADで実行されているWindows 2003 SP2です。もう1つのサーバー（DCではない）はWindows 2000 SP4（ウイルスチェックユーティリティをホストしています）です。 からの結果netdom query fsmo： Schema owner missing.office.local Domain role owner myself.office.local PDC role missing.office.local RID pool manager missing.office.local Infrastructure owner missing.office.local The command completed successfully. からの結果dcdiag： Domain Controller Diagnosis Performing initial setup: Done gathering …

13 windows-server-2003  active-directory  domain-controller 

誰もがドメインコントローラーについて、また証明書をインストールする必要があると話しますが、結局のところオプションです。インストール後、実際にその証明書を使用するのは何ですか？私の理解では、少なくとも以下のために必要だということです。 スマートカード認証 LDAPS ただし、ドメインコントローラーが証明書を使用するDCまたはActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいですか？ 私はここでセキュリティへの影響/良い習慣を知っています:)プレイ中のメカニズムに興味があります。

12 active-directory  domain-controller  certificate  ad-certificate-services 

6か月前にバックアップされたDCを復元しないのはなぜですか？ Active Directoryドメインサービスを学習しているときに、ブログの1つでこの質問に出会いましたが、詳細な回答を見つけることができませんでした。だからこのコンセプトを誰にでも説明してください。

12 active-directory  domain-controller  azure-active-directory 

Windowsドメインコントローラーに接続されたWindows 7ラップトップがあります。ドメインコントローラーは動作しなくなり、シャットダウンされました。ラップトップはスタンドアロンになり、正常に動作しますが、特定のネットワークに再結合することはありませんが、ドメインアカウントとして使用しているアカウントを保持することの影響を知りたいと思います。 さらに、ドメインアカウントをローカルアカウントに変換する方法を知りたいです。ここでいくつかのエントリを読みましたが、それらはすべて古いバージョンのOSに関連しているようです。 最終的に、すべてのアプリケーションを再構成したくありません。私は自分の好みとワークフローに微調整しました。ローカルアカウントを最初から作成すると、すべてのアプリを再構成し、場合によっては再インストールする必要があります。 お知らせ下さい。 ありがとう。

12 windows-7  domain  domain-controller  local 

ADSI Editを使用して、ADの単一ユーザーアカウントのLDAPプロパティを調べています。userPrincipalNameなどのプロパティは表示されますが、完全修飾ドメイン名（FQDN）またはnetbiosドメイン名のプロパティは表示されません。 グローバルカタログ（GC）を設定して、複数のドメインへのLDAPアクセスを提供し、アプリケーションの構成を通じて、LDAPプロパティをアプリケーション内のユーザープロファイルプロパティにマップします。通常のADでは、FQDNとnetbiosドメイン名はすべてのユーザーで同じですが、GCが関係する場合、この追加情報が必要です。本当に必要なのはnetbiosドメイン名だけです（FQDNで十分ではありません）。 ADのよりトップレベルのオブジェクトにこの情報を要求するために実行できるLDAPクエリがあるのでしょうか？

11 active-directory  ldap  domain-controller 

約70台のマシンのネットワークがあり、現在は両方ともWindows Server 2003（DC0およびDC1）を実行している2つのDCがあります。DC0は5年前のPoweredge 1850であり、最近ではますます薄れてきており、過去2週間で2倍以上落ちています。 このマシンを交換したいのですが、この種の問題が発生する可能性が非常に大きいため、注意が必要です。私がこれを行うことを想像する方法は、新しいマシンを構築し、DCPROMOを実行し、1か月程度、3台のドメインコントローラを実行して、古いマシンを廃止する前にすべてが正常に機能することを確認します。 特に懸念されるのは、現在のコントローラーからの役割の複製（GP設定など）と、これまで「プライマリ」であったマシンのスイッチオフの影響です。 Server 2008を使用する説得力のある理由がある場合は使用したいと思いますが、既存の2003マシンで問題が発生するかどうかはわかりません。 ベストプラクティスや以前の経験に関するアドバイスは大歓迎です。

11 windows-server-2003  migration  domain-controller 

Ubuntu 14.04 LTSのSambaをローミングプロファイルのPDC（プライマリドメインコントローラー）として使用します。次の設定で暗号化を強制しようとした場合を除いて、すべてが正常に機能します。 server signing = mandatory smb encrypt = mandatory [global]/etc/samba/smb.conf のセクション。これを行った後、8.0クライアントと8.1クライアントを獲得します（他のクライアントを試したことはありません）。Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.このテキストの英語の翻訳：The trust relationship between this workstation and the primary domain could not be established. 我々は二つのオプションを追加する場合server signingとsmb encryptだけに[profiles]はsmb.confのセクション、そしてtcpdumpショーは、実際のトラフィックは暗号化されていないこと！ 完全なsmb.conf： [global] workgroup = DOMAIN server string = %h …

11 security  samba  encryption  samba4  domain-controller 

MSは、GUIツールから「ローカルユーザーとグループ」を削除するために多大な労力を費やしており、lusrmgr.mscを直接くすぐったとしても、スナップインがドメインコントローラーで実行されないことを訴えます。 問題は、「なぜそうでないのか」です。DCがローカルセキュリティグループを持つことが意味をなさないのはなぜですか？

11 windows-server-2008  security  domain-controller 

TechNetの記事の多くは次のようにありますが、この1かについての深さで多くの情報がないとそれはインフラストラクチャマスタはまた、グローバルカタログである場合にはファントムオブジェクトは更新されませんことを言うが、以外に、実際にこの中で起こるが、構成。 次のような構成を想像してください。 |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| にchildは、両方がグローバルカタログである2つのDCがあります。つまり、インフラストラクチャマスターの役割はGCにあります。また、GC exampleではない DC上にインフラストラクチャマスターの役割を持つ3つのDCがあります。 私は通常、すべてをGCにすることが最善であり、この種のことを心配する必要はないことを理解していますが、そうではないと仮定すると、このような設定から予想される正確なエラー動作と、どのドメイン（ s）この動作は現れるのでしょうか？子供か親か？

10 windows  active-directory  domain-controller 

2つの別個のドメインを使用して、同じサブネット内の同じネットワーク上で2つのActive Directoryドメインコントローラーを実行できるかどうかを確認しようとしています。私が接続しているスイッチを除いて、これらの2つのドメインコントローラーを（アカウントなど）にリンクしたくありません。 私の現在の懸念はDNSに関するものです-私に関する限り、これが主な問題です。ネットワーク全体を処理する単一のDHCPサーバーがあるので、すべてのクライアントにDNSサーバーIPアドレスの1つのセットを配布したいと考えています。ただし、DomainAのDNSサーバーはDomainBなどのクエリに応答できません。 これはフォワーダーで解決できると思います-IE、DHCP構成で両方のDNSサーバーのIPアドレスを設定し、*。DomainBの要求をDomainBのDNSに転送するようにDomainAに指示することができます。また、リクエストを個々のサーバーに適切に転送する単一の集約を使用することもできます。 しかし、これがうまくいくかどうか、またはより良いオプションがあるかどうかはわかりません。これがビジネスネットワークの場合は、先に進んでVLANや複数のDHCPサーバーなどをセットアップします。ただし、シンプルさを求めています（家のドメインコントローラーで実現できる限りのシンプルさ...） 同じネットワーク上で2つのドメインコントローラーを実行する理由は何ですか。私は自宅でラボを運営しており、今では、同居している人が自分のドメインコントローラーを実行していると確信しています。ただし、セキュリティ上の理由から、すべてを分離しておく必要があります。 どんな援助でもありがたいです。

10 windows-server-2008  active-directory  domain-controller  internal-dns 

私はお客様から、次の要件（簡略化された、実際にはかなり悪い）のシナリオでActive Directoryの設計を機能させるように依頼されました。 クライアントシステム用のサブネットがあります。 サーバーシステム用のサブネットがあります。 2つのネットワークは接続されていません。 各サーバーには2つのネットワークカードが必要です。1つはサーバーのネットワーク上にあり、もう1つはクライアントのネットワーク上にあります。 クライアントとサーバー間のトラフィックは、クライアントのネットワーク上のみを流れる必要があります。 サーバー間のトラフィックは、サーバーのネットワーク上でのみ流れるはずです。 これは、ドメインコントローラにも適用されるはずです。 言うまでもなく、これはActive DirectoryがDNSを使用してドメインコントローラーを検索する方法にはあまり適していません。考えられるすべてのアプローチは、次のシナリオの1つにつながります。 DCはドメインのDNSに「クライアント側」のIPアドレスを登録します。クライアントはそのアドレスを使用してクライアントと通信しますが、サーバーとADレプリケーショントラフィックも通信します。 DCは、ドメインDNSに「サーバー側」のIPアドレスを登録します。サーバーはそのアドレスを使用してサーバーと通信し、レプリケーショントラフィックはそのネットワーク上を流れますが、クライアントはそれらに到達できません。 DCは両方の IPアドレスをドメインDNSに登録します。それは、システムがそれらに到達するために何をするかはだれの推測です。 もちろん、これらの要件は完全にクレイジーであり、2つのネットワークでDNSサービスを分割してSRVレコードを手動で入力する（argh）かサーバーに配置させるなどのクレイジーソリューションを使用しない限り、それらすべてを同時に満たすことはできません。 DNSを使用するDCとクライアントは、WINS（double-argh）を使用してDCを見つけます。 私が思いついた解決策は、「サーバー」ネットワークに2つのDCを、「クライアント」1つに2つのDCを持ち、2つのADサイトを定義し、DCレプリケーショントラフィックのみで2つのネットワーク間の境界を越えることです。各サーバーには2つのネットワークカード（2つのサーバー側DCと純粋にバックエンドサーバーを除く）がまだあるため、これにはまだ DNSの変更が必要ですが、少なくとも機能する可能性はいくつかあります。 できるだけ早く逃げる以外のアドバイスはありますか？

10 networking  domain-name-system  active-directory  domain-controller