标签: domain-controller

在 Windows 2003 域控制器上的“安全”事件日志中，我看到事件 540 的多个条目——“成功的网络登录”在一天中平均间隔几分钟。

特定日期的特定用户的第一个是否一定是用户登录到他们的机器的时间？

如果不是（或者即使是），是否还有另一种（更好的？）方法来告诉用户早上几点登录？

我正在尝试用新的 Windows 2008 服务器替换旧的 Windows 2000 域控制器。我在新服务器上安装了 Active Directory 域服务角色并将其加入域。下一步是将新服务器提升为现有域中的域控制器。完成后，我可以让旧服务器脱机。

我已经使用 /forestprep 和 /domainprep 运行了 adprep 工具。当我运行dcpromo它时，它看起来像是复制了所有内容，创建了用户、组和计算机对象，但随后出现此错误：

操作失败，因为：

Active Directory 域服务在安装后缺少关键信息，无法继续。如果这是副本 Active Directory 域控制器，请将此服务器重新加入域。

“未找到目录对象。”

我尝试将计算机重新加入域，但事件日志中没有任何帮助。我不知道如何解决这个问题。任何帮助表示赞赏。

我自己的搜索找到了这篇 MS 知识库文章：http :
//support.microsoft.com/kb/248079

但这并不是很有帮助。据我所知，它正在寻找的所有四个项目都存在，重新创建域不是一个好的选择，并且 2000sp1 流媒体建议不适用于我的 Windows 2008 框。

检查知识库文章中的每个对象，我注意到我的管理员帐户的 SID是：S-1-5-21-2025429265-492894223-1708537768-1124。请注意，它不以“500”结尾，因此在某种程度上可能是错误的。找不到内置的管理员帐户。这是链接的知识库文章中“原因”标题下的第二个要点项所引用的帐户。任何想法如何解决这一问题？我也会把这个特定的部分作为一个单独的问题，但我一定会保持最新状态。

更新可能发生的事情。它无助于解决问题，但如果有人好奇，我找到了一些有助于解释问题的旧笔记。显然，曾几何时，该服务器运行的 FTP 服务已被更好的替代方案所取代。在服务运行时，当时的管理员注意到脚本小子试图通过该服务暴力破解管理员密码。现在看来，在 Windows 2000 中，除非关闭服务，否则您无法禁用管理员帐户的 FTP 访问。他尝试重命名帐户，但他们不知何故遵循了重命名。因此，在“一次令人讨厌的黑客攻击”之后，他反而“删除”了该帐户。我想我可能不得不以某种方式重新创建域:(

今天，我（再次……）对遭受可怕的USN 回滚的域控制器进行了脑叶切除术；此问题的标准解决方案是将其降级，然后再次将其提升，但主要问题是，降级将不起作用，因为 USN 回滚条件阻止了任何复制的发生，从而不允许 DC 被降级执行其最终复制并优雅地死亡。通常，您最终会关闭服务器，从 Active Directory 中删除对其的任何引用，然后从头开始重新安装 Windows。

但是，该服务器上可能还有其他软件或数据；或者，如果降级就足够了，您可能只是不想完全重建它。

所以，我的问题是：如何成功降级遭受 USN 回滚的域控制器？

我试过的：

我将服务器与网络隔离，启动降级进程，并在询问时告诉它这是域中的最后一个 DC；但它仍然抱怨这不是真的。

所以我从它的 Active Directory 副本中删除了所有其他 DC，然后执行与上述相同的操作；但即使这样也再次失败，错误是无法复制目录分区（给谁？它应该是周围唯一的 DC！）。

我们是一家建立新服务器的小型企业……当然，预算有限。

我有大约 500GB 的数据需要共享，这些数据需要本地存储在我们拥有的单个服务器上。

主机服务器：Dell Poweredge T610, 24GB RAM, Xeon CPU, RAID6 4TB 等...

Windows Server 2012 R2 标准许可证，安装在主机上的 HYPER-V 核心角色。-VM1：活动目录 DC/DNS/DHCP -VM2：RDS 终端服务器

我的问题是，我应该将文件服务角色和文件服务器数据 VHDX 存储在哪个 VM 上？我将为这些文件创建第二个 VHDX，但我应该将它附加到哪个并运行角色？

我的第一个想法是 RDS 服务器，因为你不应该在 DC 上做文件服务器，因为它会禁用写缓存等......但我担心的是因为我们的一些糟糕的遗留应用程序可能需要 RDS 服务器上的本地管理员访问权限权限无用，因此最好从 DC VM 托管它，以便我们可以强制执行权限（我们无法负担另一台 server 2012 许可证将文件服务放在单独的 VM 上）……但是 Active Directory 是否禁用了写入缓存所有磁盘/附加 VHDX 还是仅在目录数据库所在的磁盘上？

谢谢！

我正在将我们的活动目录环境从 Windows 2000 服务器迁移到新的 Windows 2008 R2 服务器。我已经准备好我们的 Windows 2000 域并升级了架构，以便我可以将 DC 角色添加到 Windows 2008 服务器。我可以在两台服务器之间复制更改，但是在将 sysvol 目录复制到新的 Windows 2008 服务器时遇到了问题。

我尝试通过停止 ntfrs 和 netlogon 服务并在适当服务器上的注册表中设置 D4 和 D2 标志并重新启动这两个服务来强制复制。( http://support.microsoft.com/kb/315457 )

sysvol 和 netlogon 网络共享都存在于 Windows 2008 服务器上。

我们将 Bind 9 用于我们的内部 DNS，但两台服务器上都运行着 dns。Windows 2000 服务器将 Bind 9 服务器指向主服务器，将其自身指向辅助服务器。Windows 2008 服务器指向相同的 Bind 9 服务器作为主要服务器，而其自身则作为辅助服务器。

另请注意：我没有将任何架构角色移至 Windows 2008 R2 服务器。

当我在 W2008 服务器上运行“dcdiag”时，所有测试都通过了，我只收到错误消息，指出事件日志中存在与 GPO 相关的问题：

处理组策略失败。Windows 尝试从域控制器读取文件 \mydomain.com\sysvol\mydomain.com\Policies{GUID 已删除}\gpt.ini，但未成功。在解决此事件之前，可能不会应用组策略设置。此问题可能是暂时的，可能是由以下一种或多种原因引起的： 发生错误事件。事件 ID：0x00000422

任何建议将不胜感激！！！

-麦克风

环境：

• 10 个 Hyper-V 主机，所有 AD 都加入
• 很多虚拟机 AD 加入，有些没有
• 一些 AD DC，包括作为来宾的 PDC

您认为使用 AD 控制器作为来宾的时间同步 hyper-v 场的最佳方法是什么？我有 2 个计划 :)

Hyper-V 服务器的最佳时间源是什么？

方案一

• 设置 AD PDC VM 以时间同步到外部 NTP 作为主要来源，
• 所有 Hyper-V 服务器都将同步到 PDC，因为它们已加入域，
• 所有其他来宾将同步到 Hyper-V 时间服务。

计划 2（我正在考虑实施这个计划，因为管理程序层将独立于来宾 PDC）

• 强制所有 Hyper-v 主机从外部 NTP 同步时间。
• 将所有访客的时间同步到包括 PDC 在内的 Hyper-V 时间服务

也许有人有一个不错的选择 3？

我的公司正在另一个国家开设一个新网站。我们将在那里安装新服务器，但我有一个无法决定的问题。我们应该在林中创建一个新域还是应该使用相同的域并实现一个新的域控制器，可能还有 RODC？

两家公司是分开的，但合作紧密。我们也为他们俩管理 IT，但我不能排除他们长大后可能拥有自己的 IT。我们访问公共网络共享，并可能使用位于两家公司的资源。此外，我们的一些用户经常从一家公司到另一家公司旅行。

我在新域中看到的优势主要与更整洁的组织、在专门部门的情况下更好的管理有关，同时仍然保留使用来自森林的 GPO 的优势。我会建立一个信任，让用户访问不同域中的数据。

我看到的唯一缺点可能是在某些情况下必须添加两个用户组，如果设置不正确，基于 AD 的软件可能会出现某种问题。我没有这方面的经验，所以我想听听您的意见，也许可以帮助我找出可能出现的问题。

有人知道如何解决一次更改所有国家/地区字段的问题，以及为什么每次我选择 + 应用国家/地区更改时国家/地区字段都会成倍增加，直到对象被关闭并重新打开？

背景信息，域从 2000 => 2003 和从 2003 => 2008 R2 Forest 功能级别迁移。问题如下：老用户在大写中得到国家字段（cn），并且每次国家改变下拉列表显示所有国家一次。

如果直接手动更改国家/地区（而不是通过 Admin Reccource kit mmc），则该字段设置正确。我会感谢所有类型的答案和评论，即使它们不会导致立即解决。

在下面找到示例和图片：

姓名 - 国家

John Doe - 德国（正确）

Fred Fail - 德国（错误）

第一次打开：

第一次申请：

第二次申请：

我的公司很年轻而且很小，但随着我们的发展，我们想推出一些软件部署解决方案。我们还没有决定哪一个，但他们通常需要一个 Windows 域，而我们没有。我们将 Office 365 用于 Outlook、SharePoint 或 Lync 等所有内容。

在另一个问题中，我问了如何将用户从 O365 迁移到 Windows AD，似乎唯一的方法是从 o365 csv-export和 csv-import 到 Windows AD。然后我们激活 DirSync，它通过用 Windows AD 中提供的属性覆盖 O365 中的所有属性来同步帐户。激活 DirSync 也会移动授权源。

O365 中的许多属性在 Windows AD 中没有类比，反之亦然。

如果我们无法迁移某些属性或在此过程中出现某些错误，则某些云应用程序（如 Lync、Outlook 和 SharePoint）可能会停止正常工作。

我们可以测试所有想到的东西，但可能有些问题我们没有涵盖。

是否有关于哪个云应用程序使用哪些属性的综合文档？我对 SharePoint、Exchange/Outlook、Lync 和离线应用程序感兴趣。

我将如何测试缺失/错误属性的影响？为每个测试用例创建一个用户，以他们的身份登录并测试每个应用程序的每个功能？

这个过程听起来很容易出错。有没有更好的方法来解决这个问题？以前有人这样做过吗？

我正在一个由 500 个带有 Linux 服务器的 Windows 工作站组成的网络上工作。SAMBA 4 用作域控制器。

用户可以在工作站之间移动，因此他们的配置文件（包括我的文档）的内容似乎在他们登录的任何地方复制，导致登录速度非常慢（最多 20 分钟）

我可以创建并推出 Windows 组策略以强制将“我的文档”的内容放到网络 samba 共享（文件夹重定向）上吗？如果是这样，我使用什么工具在 Linux 下创建 GPO？(Debian)

有没有更好的方法来解决这个问题？