タグ付けされた質問 「domain-controller」

降格したドメインコントローラーが依然としてユーザーを認証しているのはなぜですか？ ユーザーがドメインアカウントでワークステーションにログオンするたびに、この降格されたDCがユーザーを認証します。そのセキュリティログには、ログオン、ログオフ、および特別なログオンが表示されます。新しいDCのセキュリティログには、一部のマシンログオンとログオフが表示されますが、ドメインユーザーとは関係ありません。 バックグラウンド server1（Windows Server 2008）：最近降格したDC、ファイルサーバー server3（Windows Server 2008 R2）：新しいDC server4（Windows Server 2008 R2）：新しいDC ログ セキュリティログイベント：http : //imgur.com/a/6cklL。 server1からの2つのサンプルイベント： Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

2つのドメインがあり、それぞれに2つのドメインコントローラがあります。 company.local ad.company.com.au 両方のドメインが同じフォレスト内にあり、双方向の信頼が設定されています。ad.company.com.au現在はに移行していますが、LDAPにクエリを実行する必要があるシステムに問題があります。 いずれかのドメインコントローラに対してLDAP検索を実行すると、ADの制御下にないad.company.com.au参照が取得されますcompany.com.au。 $ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # # search result search: 2 result: 10 Referral text: …

10 active-directory  windows-server-2008-r2  ldap  domain-controller 

私が働いている会社の最も重要な要素のオフサイトバックアップを設定しています。これらの重要な要素の1つはDCです。 現在、この会社はかなり小規模なので、フォレストは1つだけで、別々の物理マシンに2つのDCサーバーがあります（ただし、1つは仮想化されています）。つまり、サーバールームに重大な障害が発生すると、これらのマシンが両方とも破壊される可能性があります。 だから、私は危機的なケースのシナリオのためにDCバックアップを作成しようとしています。私はオンラインでシステム状態のバックアップで十分だと読み続けていますが、これは、バックアップが作成されたのと同じサーバーでDCを復元できるようにする場合にのみ有効だと感じています。システム状態のバックアップを取り、それを分離されたVM（同じサーバー、同じ更新）で復元しようとしましたが、これはうまくいきませんでした。復元はうまくいきましたが、VMが以前と同じIPであることを確認しても（もちろん、まだ分離されています）、ローカルDCに接続できませんでした。DC関連の管理コンソールも機能しませんでした。復元中に、別のマシンからシステム状態を復元することは推奨されないという警告さえありました。 したがって、これは間違ったアプローチだと思います。それで... DCをオフサイトでバックアップして重大な障害に対処したい場合、適切なアプローチは何ですか？C：ドライブ+システム状態の完全なバックアップ、または仮想化されたDCのドライブ全体をバックアップできますが、バックアップをできるだけ小さくしようとしています... 編集：私はバックアップをできるだけ小さくして、コストをスキップするのではなく、アップロード時間を短縮しようとしています。 PS。Azure Backupアプリケーションを使用していますが、それほど関連性があるとは思いません。現在、すべてのDCでWindows Server 2016を実行しています。

9 backup  domain-controller 

私のプライマリドメインコントローラーは週末に亡くなり、そのマザーボードは明日交換されます。 新しいマザーボードをインストールすると、サーバーのMACアドレスが変わる可能性があると言われています。 ネットワークに接続する前に、どのような問題を心配する必要がありますか？ADは問題なく同期するだけですか？ DHCPについてはどうですか？死ぬ前はdhcpサーバーでしたが、ネットワーク上の別の場所にインストールする必要がありました。電源を入れ直すと、dhcpサーバーの競合が発生します。

9 windows-server-2008  dhcp  domain-controller 

ドメインに参加しているWindows PCがあり、ドメインコントローラーがオフラインになった場合、クライアントではどのような動作が期待できますか（2番目のDCがないと仮定して？） ユーザーはログオンできますか？あるいは、より良い質問ですが、ログイン機能はどのように変更されますか？ 明らかにDC上のファイル共有は機能しませんが、クライアント間、またはクライアントとメンバーサーバー間の共有はどうでしょうか。 DCが回復したら、クライアントは再起動、ログオフ/ログインする必要がありますか？DCから切断されることによる長期的な影響はありますか？ 最終的には、DCがオフラインの場合にユーザーから受け取るはずの苦情に興味があります。私がカバーしていない他の重要な情報があれば遠慮なく言ってください。

9 active-directory  domain  domain-controller 

「DC01」、「DC02」、および「DC03」というドメインコントローラとして実行されているサーバーがいくつかあります。何らかの理由で、それらを再起動する必要があります。 従うべき具体的な手順はありますか？ 追加情報：「DC01」は現在、すべてのFSMOの役割を保持しています。再起動する前に別のDCに役割を転送する必要がありますか？ 詳細：DC01はWindows 2008 Enterpriseです。DC02とDC03はWindows 2008 R2 Enterpriseです。

9 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller 

小規模オフィスのセットアップ（従業員数5〜6人）では、7台のWindows XPおよびWindows Vistaクライアントと、2台のLinuxサーバーがあります。 Linuxマシンをドメインコントローラとして設定して、ネットワークにシングルサインオンとADのような機能を提供することは可能ですか？

9 linux  windows  samba  domain-controller  single-sign-on 

ローカルサイトのDCと通信するようにDMZにOWAサーバーを設定する方法はありますか？ DMZは、DCが配置されているLANと同じ（物理）サイトにあります。（DMZにはDCがありません。） この（ローカル）サブネットでDCを使用するように強制できますか？それは、世界の反対側でランダムなDCを選択するためです！

9 windows  active-directory  domain-controller  outlook-web-app 

私は最近、一緒に働いている小さなスタートアップのインフラストラクチャの義務を引き継ぎました。私の伝統的な役割は開発でしたので、我慢してください... 私は右足から始めて、Active DirectoryをAzureで稼働させることを望んでいました。MicrosoftのTechNetのガイドに従って、Azure VPNにADフォレストをインストールしました。構造は次のとおりです。 ローカルネットワークを使用したサイト間VPN用に構成されたAzure VPNは、正しく接続されていると表示されます。 サブネット：192.168.5.0/24 HQNET サブネット：192.169.1.0/24サイト間VPNゲートウェイ サブネット：192.169.2.0/24 Auth サブネット：192.169.3.0/24アプリ サブネット：192.169.4.0/24データ サブネット：192.169.6.0/24 Middle Authサブネット、IP 192.169.2.4のA1標準VMにServer 2012 R2があります。ADインストールはうまくいき、新しいフォレストを開始しました。すべてがうまく機能しているように見えました。このVMはUsername1 / Password1で作成され、ADのインストール時にDomain Admin / Enterprise Adminとして自動的に追加されます。 同じ認証サブネット-IP 192.169.2.5内でレプリケーションを行うために、2番目のServer 2012 R2 A1標準VMを起動し、このVMをUsername2 / Password2で作成します。次に、このVMを最初のDCで作成されたドメインに参加させます。ドメインに参加した後、このVMをレプリカDCとして昇格させます。このアクションを実行するための資格情報を要求し、資格情報としてDOMAIN \ Username1：Password1を指定します。 昇格プロセス中に、ADが親AD VMで「NTDS設定オブジェクトの作成」であるステップに到達すると、インストールはこのステップで停止します。この記事によると、Active Directoryのインストールが「NTDS設定オブジェクトの作成」で停止します。これは、ドメインの資格情報がローカルの資格情報と同じであることが原因です。または、インストールにドメイン資格情報を誤って提供しました。 インストールを実行しようとして、何度もVMを削除して再作成しました。VM2にドメイン管理者としてログインし、昇格してみました。また、インストール中に何がハングしても、昇格時にドメイン資格情報を提供するほぼすべての手段（Username1 @ domain：Password1、DOMAIN \ Username1：Password1、domain.com \ Username1：Password1）を試しました。毎回、VM1のフォレストからVM2を削除する手順に注意深く従い、再度昇格を試みました。 足元が足りなかったり、足りない小さな部分が見えないのではないかと思いますが、未経験が光っています。 DC2をレプリカDCに昇格するときに何が欠けていますか？

8 active-directory  domain-controller  replication  azure 

最近構成したテストドメインがあります。突然、キャッシュされた資格情報を持つユーザーを除いて、ユーザーはログインできなくなります。ドメインには、相互に複製する両方のグローバルカタログである2つのドメインコントローラーが含まれています。 問題を調査した後、すべての_mcdcsドメインレコードが両方のDNSサーバーで完全になくなっていることがわかりました。これにより、_ldapや_kerberosなどのSRVレコードが解決できないため、ドメインコントローラーを見つけることができなくなります。 これがどのように発生したのかはよくわかりません...これは、DNSキャッシュまたはDNS清掃をクリアすることによって引き起こされるものですか？ この時点で、なんとかしてレコードを復元する必要があります。別のドメインの設定を確認しましたが、手動で再作成できるようですが、一部のDNSレコードにはSID名が含まれているようです...それらを再作成するために使用されます。 このような状況から抜け出すために使用できるより良いプロセスはありますか？

8 domain-name-system  active-directory  domain-controller  windows-server-2012-r2  srv-record 

私は、このWindows Server 2008 R2ドメインコントローラーを、物理的なDellサーバー、モデルPowerEdge R510で実行しています。 このあたりにはいくつかの電気的な問題があるため、残念ながら停電はよくあることです。UPSはありますが、本来の信頼性がなく、サーバーが正常にシャットダウンされない場合があります。 何らかの理由で本当に理解できません。時々、この特定のDCは、クリーンでないシャットダウンの後に表示され、USNロールバックに遭遇し、降格して昇格させる必要があります。 サーバーは物理サーバーであり、スナップショット、クローン作成、および/または復元が実行されたことがないため、これはまったく意味がありません。また、追加のソフトウェアはインストールされていません。DCの機能のみを実行します。具体的には、クローン/リカバリ/ソフトウェアが何であれ存在しません。 ファイルシステムの破損は少なくともある程度は理にかなっていますが、サーバーを以前の状態に戻す方法がないため、USNロールバックは実際には意味がありません。ただし、これは過去2か月間に少なくとも3回発生したため、1回限りのクレイジーなイベントではありませんでした。しかし、私は完全に説明をすることができません。 この問題の理由は何でしょうか？

8 active-directory  windows-server-2008-r2  replication  domain-controller  unexpected-shutdown 

2つの異なるフォレストに2つのActive Directoryドメインがあります。各ドメインには2つのDC（すべてWindows Server 2008 R2）があります。ドメインは、ファイアウォールで接続された異なるネットワークにもあります。 2つのドメインとフォレストの間に双方向のフォレスト信頼を作成する必要があります。 これを許可するようにファイアウォールを構成するにはどうすればよいですか？ 私はこの記事を見つけましたが、DC間で必要なトラフィックと、一方のドメインのドメインコンピュータともう一方のドメインのDCとの間で必要なトラフィック（ある場合）については明確に説明していません。 DC間のすべてのトラフィックを許可することは許可されていますが、1つのネットワーク内のコンピューターが他のネットワーク内のDCにアクセスすることを許可するのは少し難しいでしょう。

8 windows-server-2008-r2  firewall  domain-controller  active-directory 

これは、Active Directoryに代わるクラウドサービスに関する正規の質問です。 Windowsドメインコントローラー（ADインフラストラクチャ全体を置き換える）の代わりにGoogle Appsまたは別のクラウドサービスを使用することはできますか？ 具体的には、ローカルのWindowsサーバーへの依存を取り除きたいと思います。現在、ファイルおよび印刷サービスでドメインコントローラーとして機能します。このサーバーを、ホストされているアプリケーションに基づいたものにシームレスに置き換えたいと思います。サーバーを専用サーバーまたは連結サーバーに移動するだけではありません。 プリンターなどの共有をつなぎ合わせる方法はまだわかりません。誰かがこれについて何らかの洞察を持っている場合、それは高く評価されます。最終的には、すべてのサーバーをクラウドに移動し、全体のケーススタディを作成することが目標です。

8 active-directory  domain-controller  g-suite 

私がサポートする部門のほとんどが存在する1つのサイトに2つのドメインコントローラー（Windows 2003）があります。私の部署が存在する別の建物（別のサイト）がありますが、DCがありません。 これは、会社が複数のサイトに分散している場合に追加のDCをインストールするかどうかという典型的な疑問です。 ログインスクリプトがドライブをマッピングしない、ユーザーがログインする前に何度かログインに失敗する（正しいパスワードを入力しているにもかかわらず）など、さまざまな問題が発生しています。 クライアントでさまざまなエラーが発生します。それらのいくつかは： Netlogon、5719、次の理由により、このコンピューターはドメインdomain.comのドメインコントローラーとのセキュリティで保護されたセッションをセットアップできませんでした：現在、ログオン要求を処理できるログオンサーバーがありません。これにより、認証の問題が発生する可能性があります。このコンピュータがネットワークに接続されていることを確認してください。問題が解決しない場合は、ドメイン管理者に連絡してください。 GroupPolicy、1055、グループポリシーの処理に失敗しました。Windowsはコンピューター名を解決できませんでした。これは、次の1つ以上が原因である可能性があります。a）現在のドメインコントローラでの名前解決の失敗。b）Active Directoryの複製の待ち時間（別のドメインコントローラーで作成されたアカウントは、現在のドメインコントローラーに複製されていません）。 サーバーでこれらのエラーが発生し続けます： Netlogon、5722、コンピューターSOMEPCNAMEからのセッションセットアップが認証に失敗しました。セキュリティデータベースで参照されるアカウントの名前はSOMEPCNAME $です。次のエラーが発生しました：アクセスが拒否されました。 *（この上記のエラーは同じコンピューターで繰り返されます。おそらくこれをドメインに再度追加する必要があるだけです。）* NTDSレプリケーション、1864、これは、ローカルドメインコントローラー上の次のディレクトリパーティションのレプリケーションステータスです。ディレクトリパーティション：CN = Schema、CN = Configuration、DC = domain、DC = com 最後の1つは、完全に削除されなかったDCに関係しているようです。dcdiagを実行したところ、存在しないサーバーで複製しようとしていることがわかりました。ただし、これによってこれらのログオンの問題がすべて発生することはないと思います。 別のDCをインストールする必要があるのか​​、それとも別の方法を試す必要があるのか​​と思います。私たちのクライアントは主にWindows 7を実行していますが、一部のXPおよびVistaクライアントも同様です。 帯域幅は、異なるサイトのPC間で37.4 Mbsであるように見えます（このユーティリティiperfで検証済み）。 どんな助けでもありがたいです。

8 windows-server-2003  active-directory  domain-controller  windows