Вопросы Теги

Windows должен только связаться с определенным Сервером Active Directory

Когда мы столкнулись с проблемами как это, мы нашли, что это было более связано со смешанными драйверами печати модели HP на сервере печати, чем плохой драйвер. После того как мы переместили все принтеры HP для использования Универсального драйвера печати, наши проблемы ушли.

1
задан 1 June 2010 в 15:16
4 ответа

Я решил problen другим способом. спасибо все! (См. мой ответ: https://stackoverflow.com/questions/2948504/set-ntfs-permissions-with-directorysecurity-after-created-active-dirctory-groups/2950403#2950403)

0
ответ дан 4 December 2019 в 02:04

Проблема не то, что Вы соединяетесь с различными AD серверами. Это - это при создании нового объектного AD, должен связаться с Ведущим устройством RID и запросить новый SID с того сервера. После того как тот процесс завершен, AD создает объект, запускает обновление GC и уведомляет Ведущее устройство Инфраструктуры относительно обновления.

Это все занимает секунду или два для окончания (в зависимости от того, сколько AD DCS Вы имеете в своем домене). После того, как это будет создано, можно установить ACLs использование его. Но в основном, необходимо ожидать.

1
ответ дан 4 December 2019 в 02:04
  • 1
    +1, потому что you' в основном правильное ре, но SID не требуют Ведущему устройству RID на каждый создание объекта; каждый DC запрашивает SIDs в пакетах, так, чтобы он имел некоторых в наличии из них некоторое время, не будучи должен назвать Ведущее устройство RID каждым разом, когда объект создается. –  Massimo 1 June 2010 в 17:12

Вопросом выше от kaerst является важный вопрос. Существуют, вероятно, более соответствующие способы сделать это, такое как использование AD сайтов и подсетей для выбора DC в зависимости от Вашей AD архитектуры.

При поиске взлома, прочь вершины моей головы, следующее могло бы работать. Рабочая станция или рядовой сервер в домене каталога Active используют DNS, чтобы определить, что это - DCS. Можно запросить для DC как это:

введите nslookup

введите в следующем:

_ldap. _ tcp. DomainNameHere

Например, если Вашим доменным именем является awesome.com, Вы были бы nslookup для _ldap._tcp.awesome.com. Это должно возвратить одну или несколько записей SRV, которые являются по существу названиями Ваших контроллеров домена.

Добавьте все названия контроллера домена к своему файлу hosts и трудно кодируйте IP-адреса для всех этих названий контроллера домена для указания на один сервер DC, который Вы хотите.

0
ответ дан 4 December 2019 в 02:04
  • 1
    Мило... но wouldn' t DCS становятся очень сердитым когда they' ре, названное с сетевым именем that' s не их собственный? Возможно, не на запросах LDAP, но это обычно происходит при доступе к сетевым ресурсам. –  Massimo 1 June 2010 в 17:14
  • 2
    Положительная сторона Massimo - необходимо поместить взлом reg в серверы для принятия трафика SMB, который указывает на их IP, но использует другое имя. Это может даже быть допустимый DNS CNAME, doesn' t средний Windows будет любить его без установки reg. –  mfinni 1 June 2010 в 17:20

Если можно поместить систему и DC, Вы хотите, чтобы это использовало в той же подсети IP, то да, можно сделать это путем определения определенного сайта Active Directory только для них.

0
ответ дан 4 December 2019 в 02:04

Теги

Похожие вопросы