今天要對公司其中一台網域主控站主機做硬體維護,但這台機器是 AD 中的 FSMO 五大角色,所以想先將 FSMO 五大角色轉移後再關機維護,我隱隱約約之中感覺這主題我之前好像有寫過 (這篇文章),但卻無法直覺的找到該文章,所以為了讓日後更容易搜索到文章,決定寫一篇專文介紹轉移的過程,也順便重新複習一遍轉移五大角色的過程。
... 繼續閱讀 ...
公司裡的 AD (Active Directory) 環境中原本有三台 網域主控站 (Domain Controller ; DC),但其中有一台無預警的掛掉了,還好還有另外兩台 DC 可以正常運作,因此對整體 AD 環境沒啥影響,唯一有影響的就是在執行 DC 複寫檢查時(Repadmin /replsummary)會出現 DC 複寫錯誤,為了解決這個問題,我找到了能夠從 AD 中強制移除這些 DC 伺服器資料的方法,特此筆記處理的過程。
... 繼續閱讀 ...
延續前天的【CollabNet Subversion Edge 安裝筆記 (1):基本安裝設定篇】文章,此篇主要來講解如何正確設定 CollabNet Subversion Edge 與 Active Directory 網域整合 (或其他 LDAP 目錄服務)。雖然在 CollabNet Subversion Edge 裡只有一頁的 LDAP 設定,但若遇到對 LDAP 不是非常熟悉的人來說,要設定好這頁還真不太容易,所以本篇文章也會提到一些如何找出相關資訊的技巧。
... 繼續閱讀 ...
在網域中新增網域控制站是非常簡單的事,在 Windows Server 2008 R2 Active Directory 建置實務 這本書中第 2-84 頁就有提到如何在現有 Windows 2000 或 Windows Server 2003 網域中新增 Windows Server 2008 或 Windows Server 2008 R2 網域控制站,不過並沒有提及當現有 Windows Server 2008 的作業系統為 32-bit 的時候的注意事項,因為從 Windows Server 2008 R2 開始就已經不再提供 32-bit 的版本,因此當你做到 adprep.exe 指令來擴充現有樹系的架構時就會失敗,要改用 adprep32.exe 才行。
... 繼續閱讀 ...
前陣子一直有同事有帳號鎖定的問題,自從我將 帳戶鎖定閥值 (允許登入失敗次數) 調高一些之後不再有帳號鎖定的情況,不過卻還是有人反應「偶爾」會有連不上公司內特定網站的情況,例如:TFS 無法登入之類的。原來這問題就出在使用 Windows 內建的 VPN 撥接上遠端網路後會多註冊 DNS 進來,進而導致主機原本指定的 DNS 多出了兩組(原本兩組,撥接上 VPN 後變成四組),因此才會偶爾發生找不到 DC 進而導致認證失敗的狀況,這真是魔鬼總在細節裡的另一個案例了。
... 繼續閱讀 ...
在我公司裡有幾個帳號非常奇怪,經常會發生帳號被鎖定的情況,也因此我經常都要替這些被鎖定的帳號進行解鎖動作,我也好長一段時間都苦於不知如何查出該帳號被鎖定的原因,但最近因為上過 Windows Server 2008 / R2 Active Directory 疑難雜症專班 課程學到如何對帳號鎖定進行問題分析,如果之前沒遇到這問題,就算去上課可能也不會感受深刻吧,實在是難得的經驗。
... 繼續閱讀 ...
昨天去參加微軟對合作伙伴所開的 Windows Server 2008 / R2 Active Directory 疑難雜症專班 課程,每次去參加由微軟技術支援中心所開的課程都可以學到好多超實用的知識,也很感謝講師 Dennis 不藏私的傳授各種實務密技,在下課前還得到一本老師送的書,實在很開心。這次的課程十分豐富,很難透過文章一次表達清楚,所以我就整理一下這次教學的重點筆記,如果都能理解,相信對未來遇到 AD 的疑難雜症時能夠有更明確的解決方向。
... 繼續閱讀 ...
網域中的伺服器如果有兩張以上的網路介面,而且也這些介面都有設定與啟用的話,在預設的情況下所有 IP 位址都會被動態註冊到網域主控站的 DNS 伺服器中,而這個動態註冊的過程卻會導致這台電腦的網域名稱 (例如: Web1.MyDomain.local ) 被多重註冊進 DNS 裡,進而形成 Round robin DNS 的情況,如果其中一個介面的 IP 不屬於網域內所使用的內部 IP 就很有可能造成一些不必要的問題發生。
... 繼續閱讀 ...
微軟在 2009/6/22 確認了一個從 17 年前 Windows 作業系統以來直到目前都還存在的一個安全性弱點,他能讓不受信任或無權限的使用者輕易的進入系統核心(system kernel)並取得該系統最大權限,目前尚無任何補丁(Patch)可以修正這個問題,但還是有方法可以強化你系統的安全性。
... 繼續閱讀 ...
我有兩台網域主控站(DC),我將 dc1 所有 FSMO 角色與 Global Catalog 都移轉至 dc2 之後,然後將 dc1 降級,但卻發現 dc2 上面的 DNS 卻會殘留許多 dc1 的 SRV 紀錄,也就是 dc1 在降級時在 dc2 的 DNS 的紀錄並沒有正確同步,導致即便再將 dc1 再次升級成 DC 後,在 dc1 的 DNS 無法正確設定,而錯就錯在之前曾經將 dc1 的電腦名稱修改過,而且是在已經成為網域主控站的時候修改的。
... 繼續閱讀 ...
我公司人不多,但還是有導入 AD 架構,運作幾年來其實也沒發生過什麼狀況,但昨天卻發生一件很瞎的 IT 事件,讓我處理這個問題處理到超過晚上 12 點,原因就出在一個非常瞎的原因,實在讓我又氣又恨,不知道要恨 Hyper-V 還是 AD 架構,不過再怎麼說這些都是自找的,只能吃苦當吃補了!
... 繼續閱讀 ...
今天又遇到一個奇特的狀況,之前一個已經跑了將近三年且運作正常的系統,由於該系統必須連接本機的 ADAM 進行身份驗證,卻突然間開始出現【驗證機制不明】的錯誤,讓我丈二金剛摸不著頭緒。
... 繼續閱讀 ...
一般來說公司若是首次導入 AD 網域,在 AD 網域建立完成後就要開始將現有的電腦一一加入 AD 網域了,當電腦加入網域後第一次用 AD 帳號登入在電腦內會新增一個獨立的網域使用者(Domain User)帳號,而這個網域帳號與舊有的本機帳號是完全不一樣的,除了所在目錄不一樣之外,每台電腦的 User SID 也不一樣,所以通常都需要大費周章的將原本帳號下的檔案與資料搬移到新帳號中,這過程耗時又費力,今天我將分享另一種更好的方式,讓現有電腦加入 AD 網域��有效率的方法。
... 繼續閱讀 ...