Ограничение пользовательских прав, присваивающихся в политике контроллера домена по умолчанию
Как первый шаг, удостоверьтесь, что ссылки между брандмауэром и базовой сетью работают при той же дуплексной установке и скорости. Если это смотрит, хорошо затем следуют за предложением TheCompWiz и ищут доказательство цикла переключателя, "широковещательных штормов", лавинных рассылок ARP, и т.д.
править--
Когда проверяющие дуплексные настройки на переключателях пытаются, проверяя живые конфигурации порта в противоположность настройкам 'рабочей конфигурации'. Они могут отличаться и могут быть смущены на провальном устройстве.
На каждом восходящем порте ищут коллизии, фрагменты и что-либо необычное как слишком многие широковещательно передают его многоадресный пакет относительно других портов. Запустите с восходящих каналов, затем смотрят на другие порты.
В качестве альтернативы, Бен знает, для чего используются учетные записи, но принял решение не перечислять эту информацию, исходя из предположения, что все присутствующие будут это знать, и потратить время на перечисление этих вещей было бессмысленно.
«перенести их на новые серверы (кроме DNS, конечно)»
Почему «конечно»? Да, DNS может находиться на ваших контроллерах домена, но это не обязательно, и есть среды, в которых имеет смысл иметь их отдельно (а иногда даже не в Windows).
Я согласен с тем, что в целом, такие вещи, как SQL Embedded, IIS и т. д., не относятся к контроллерам домена в соответствии с передовой практикой, но могут быть специфические для сайта причины для их присутствия.
Самый простой ответ на вопрос Бена - это фактически ответить на вопрос, который он задал,
Это хорошо известные системные учетные записи для хорошо известных служб (IIS и SQL), и это довольно в связи с этим вашей первой мыслью было спросить об их удалении вместо того, чтобы выяснять, для чего они используются в вашей среде.
Вот достойный ответ об использовании ISUR и IWAM IIS и учетной записи SQL ... кто знает. SSEE означает SQL Server Embedded Edition, и я видел это при некоторых базовых установках SharePoint, так что это может быть то, что есть, или что-то еще. (SharePoint будет учитывать и IIS, и SQL, чего бы это ни стоило ... хотя SharePoint на контроллере домена - это просто ужасно.)
Однако в любом случае, здесь важно то, что вы не начинаете возиться с вещами, не имея представления о том, что это такое и что делает. Думайте о своем сервере как о машине. Вы открыли капот на основе документа о замене масла и увидели три незнакомые вам вещи. Вы просто собираетесь выдернуть их и посмотреть, что произойдет / надеяться на лучшее?
Что вам действительно нужно сделать, так это выяснить, какие все службы работают на ваших контроллерах домена, переместить их на новые серверы (кроме DNS, конечно), и как только вы закончите это и убедитесь, что к этим учетным записям больше нет доступа, вы можете безопасно удалить их со своих контроллеров домена.
Вы открыли капот на основе документа о замене масла и увидели три незнакомые вам вещи. Вы просто собираетесь выдернуть их и посмотреть, что произойдет / надеяться на лучшее?Что вам действительно нужно сделать, так это выяснить, какие службы работают на ваших контроллерах домена, переместить их на новые серверы (кроме DNS, конечно), и как только вы закончите это и убедитесь, что к этим учетным записям больше нет доступа, вы можете безопасно удалить их со своих контроллеров домена.
Вы открыли капот на основании документа о замене масла и увидели три незнакомые вам вещи. Вы просто собираетесь выдернуть их и посмотреть, что произойдет / надеяться на лучшее?Что вам действительно нужно сделать, так это выяснить, какие службы работают на ваших контроллерах домена, переместить их на новые серверы (кроме DNS, конечно), и как только вы закончите это и убедитесь, что к этим учетным записям больше нет доступа, вы можете безопасно удалить их со своих контроллеров домена.