标签: domain-controller

我在一个站点中有两个域控制器 (Windows 2003)，我支持的大部分部门都位于该站点。我的部门也有另一栋大楼（在另一个地点），但他们没有 DC。

这可能是当公司分布在多个站点时是否安装额外 DC 的经典问题。

我们一直在遇到各种问题，例如登录脚本未映射驱动器和用户在被允许之前多次登录失败（即使他们输入了正确的密码）。

我在客户端上收到不同的错误。他们之中有一些是 ：

Netlogon, 5719，由于以下原因，此计算机无法与域 domain.com 中的域控制器建立安全会话： 当前没有可用的登录服务器来为登录请求提供服务。这可能会导致身份验证问题。确保此计算机已连接到网络。如果问题仍然存在，请联系您的域管理员。

GroupPolicy, 1055,组策略处理失败。Windows 无法解析计算机名称。这可能是由以下多个原因之一引起的： a) 当前域控制器上的名称解析失败。b) Active Directory 复制延迟（在另一个域控制器上创建的帐户尚未复制到当前域控制器）。

在服务器上，我不断收到这些错误：

Netlogon, 5722, 来自计算机 SOMEPCNAME 的会话设置未能验证。安全数据库中引用的帐户名称是 SOMEPCNAME$。发生以下错误：访问被拒绝。

*（以上错误在同一台计算机上不断重复。可能只需要将其重新添加到域中。）*

NTDS 复制，1864，这是本地域控制器上以下目录分区的复制状态。目录分区：CN=Schema,CN=Configuration,DC=domain,DC=com

最后一个看起来与未完全移除的 DC 有关。当我运行 dcdiag 时，它显示我们正在尝试使用不再存在的服务器进行复制。我不认为这会导致我们遇到所有这些登录问题。

我想知道我们是否应该安装另一个 DC 或尝试其他的东西。我们的客户端主要运行 Windows 7，但也有一些 XP 和 Vista 客户端。

不同站点上的 PC 之间的带宽看起来为 37.4 Mbs（刚刚使用此实用程序 iperf 进行了验证）。

任何帮助表示赞赏。

这是一个关于云服务取代 Active Directory的规范问题。

是否可以使用 Google Apps 或其他云服务来替代 Windows 域控制器（替换我的整个 AD 基础架构）？

具体来说，我想消除我们对本地 Windows Server 的依赖；目前它充当具有文件和打印服务的域控制器。我想用基于托管应用程序的东西无缝替换这个服务器。我不只是想将服务器移动到专用或并置服务器。

我还没有弄清楚如何拼凑打印机/等共享。如果有人对此有任何见解，将不胜感激。目标是最终将我所有的服务器迁移到云端，然后针对整个事件撰写案例研究。

我在两个不同的林中有两个 Active Directory 域；每个域都有两个 DC（都是 Windows Server 2008 R2）。这些域也位于不同的网络中，并通过防火墙将它们连接起来。

我需要在两个域和林之间创建双向林信任。

如何配置防火墙以允许这样做？

我找到了这篇文章，但它并没有很清楚地解释 DC 之间需要哪些流量，以及在一个域中的域计算机和另一个域的 DC 之间需要哪些流量（如果有的话）。

我被允许允许 DC 之间的所有流量，但允许一个网络中的计算机访问另一个网络中的 DC 会有点困难。

我在一台物理戴尔服务器上运行了这个 Windows Server 2008 R2 域控制器，型号为 PowerEdge R510。

这里有一些电气问题，因此不幸的是，停电是很常见的情况；有 UPS，但它们并不像应有的那样可靠，有时服务器会遇到不正常关机的情况。

出于某种原因，我真的无法理解，有时这个特定的 DC 会在不正常关机后出现并遇到USN 回滚，迫使我们将其降级并提升回来。

这完全没有意义，因为服务器是物理服务器，并且从未对其执行过快照、克隆和/或恢复；此外，它没有安装额外的软件，它只执行 DC 职责；具体来说，不存在克隆/恢复/任何软件。

文件系统损坏至少有一定意义，但 USN 回滚确实没有意义，因为服务器无法恢复到以前的状态。不过，这两个月至少发生了3次，绝对不是一次性的疯狂事件；但我完全无法做出解释。

这个问题的原因是什么？

我有一个最近配置的测试域。突然之间，除了具有缓存凭据的用户之外，没有用户可以登录。该域包括两个域控制器，它们都是相互复制的全局编录。

在调查了这个问题之后，我发现所有的 _mcdcs 域记录在两个 DNS 服务器上都完全消失了。这使得无法定位域控制器，因为诸如 _ldap 和 _kerberos 之类的 SRV 记录无法解析。

我不太确定这是怎么发生的……这是清除 DNS 缓存或 DNS 清理会导致的吗？

在这一点上，我需要以某种方式恢复记录。我查看了另一个域的设置，看起来它们可以手动重新创建……但我注意到某些 DNS 记录中似乎有 SID 名称……我不知道需要什么标识符用于重新创建它们。

有没有更好的过程可以用来摆脱这种情况？

我们有一个拥有所有 FSMO 角色的新域控制器。我们还有两台旧硬件服务器，每台大约有 4 到 5 年的历史，设置为辅助域控制器（或者更好地描述为域控制器，这些域控制器也是 DNS 服务器，也没有任何 FSMO 角色，而是同一站点中的全局目录服务器）。我的问题是，如果我在一个辅助域控制器上由于旧硬件而出现驱动器故障，我是否会冒着 Active Directory 损坏的风险。我真的想说服客户为我们的第二个域控制器购买一个新的基于硬件的服务器，但预算再次紧张。谢谢。

我必须为 Windows 服务器上的 SNMP 服务配置安全设置。但是他们不见了！

以下是事实：

• 操作系统：Windows Server 2012 R2

• 我安装了 SNMP 功能，我相信我已经配置了服务（但我忘记在Security选项卡下添加另一个 IP ）

• 我知道在安装该功能后必须重新启动 SNMP 服务才能看到Security选项卡的问题（所以我已经重新启动了一些。）

• 我的同事现在安装了 DC 服务器角色。

• 现在我看不到Security选项卡了（我不知道它是否与 DC 角色的安装有关）。

• 出于监控原因，我真的需要SNMP。（所以请不要建议使用WMI或其他东西）

• 单击“SNMP-Service”-->“属性”时，我使用了域管理员

我该怎么做才能Security再次看到该标签？或者是否有可能通过 CMD 或 PowerShell 配置 SNMP 服务？

如何重置 DC 的密码？我能够以目录服务还原模式登录到服务器。我尝试从那里拉出 AD DS 用户和计算机，但它似乎不会加载有关域用户的任何内容。

在域服务器可用之前延迟（或暂停）Windows 域成员服务器的冷启动的最有效方法是什么？ 有一些方法可以延迟服务器的启动，但是它的效率有点低，因为如果域控制器已经可用，则没有真正需要延迟启动，但是如果域控制器不可用它有对依赖于域控制器可用性的服务有很大影响（如果依赖于不可用的域控制器，大多数服务将无法启动，并且必须在域服务器启动后手动启动）。

我正在尝试对 AD 进行 PowerShell 搜索，以仅查找在过去 30 天内登录的计算机（而不是服务器或其他计算机）。除了 30 天的限制之外，我已经编写了大部分脚本。任何帮助将不胜感激。

Get-ADComputer -Filter * -Properties * | FT 名称、操作系统、LastLogonDate -Autosize | 外文件 C:\Temp\ComputerLastLogonDate.csv