标签: domain-controller

我正在尝试追踪时间同步问题。我在远程分支中有一个 DC。
w32tm /dumpreg /subkey:Parameters 显示 Type = NT5DS 并且 Type 表示它与域同步，我明白。我已经检查过： w32tm /stripchart /dataonly /samples:5 /computer:core-fsmo-dc 并且它是同步的。

我可以对其他 DC 和某些设备运行相同的命令，但其他（包括分支机构和其他地方的其他服务器）给我：

Tracking server1 [w.x.y.z].
Collecting 5 samples.
The current time is 01/09/2009 13:46:01 (local time).
13:46:01, error: 0x800705B4
13:46:04, error: 0x800705B4
13:46:07, error: 0x800705B4
13:46:10, error: 0x800705B4
13:46:13, error: 0x800705B4

运行这些命令时，我已登录到分支 DC，并且我的帐户位于内置域管理员组中。

谁能解释为什么我无法访问某些设备以及此错误意味着什么？

这可能是一个完全愚蠢的问题，但我对 Windows Server 2003 真的很陌生。如果这是我应该能够自己解决的问题，请指出正确的方向。我不知道从哪里开始。

对，我们的域控制器，Windows 2003 服务器，曾经被设置为我们网络的主要 DNS 服务器。我将主 DNS 服务器更改为我们的路由器，认为这对网络有帮助，尤其是如果 DC 出现故障（这曾经做过很多事情）。它一直工作得很好。但是，现在如果我尝试将一台新计算机加入域，它找不到 DC。如果我手动将该计算机的 DNS 服务器更改为 DC，则它可以工作...

我有域控制器的计算机名称作为路由器中的静态 DNS 条目，但我猜我需要的不止这些。

再次，随意指出我正确的方向。

编辑：没有办法将问题标记为已回答吗？或者也许这已经是。无论如何，感谢您的帮助！

如果一家小公司只有一个域控制器，除了停机时间之外还有其他风险吗？

我做了一些研究，每个人都推荐至少两个域控制器，但我找不到一个真正的原因，为什么拥有多个域控制器如此重要。

停机时间不是真正的论据。如果第二台服务器将允许用户连接到域，但托管文件和 Exchange 的主服务器已关闭，那么赚什么。无论如何，用户将无法工作。如果您有多个带有 DAG、群集等的 Exchange 服务器，这可能会很有趣，但如果其他一切都不是多余的，则不会。

相反，在我看来，第二个域控制器会使还原过程更加复杂，因为您必须获取 FSMO 角色、使用系统状态还原、复制数据等，而单个域控制器将允许简单地还原一个完整系统备份，使用允许创建在线映像的备份软件创建，因为我不必关心两个域控制器之间的一致性。

任何人都可以向我提供可能由单个域控制器引起的真正风险吗？我无法说服我的老板购买第二台服务器，只能告诉他“每个人都推荐第二台域控制器”。他会问和我一样的问题：“如果我们没有风险，会有什么风险？”

我已根据此处显示的步骤更新了 W2K3 设置：

http://support.microsoft.com/kb/816042#LetMeFixItMyselfAlways2

我使用的同行列表是：

0.asia.pool.ntp.org,0x1 1.asia.pool.ntp.org,0x1 2.asia.pool.ntp.org,0x1 3.asia.pool.ntp.org,0x1

我做了一个

net stop w32time && net start w32time

重新启动服务。

如何检查设置？我怎么知道它在工作？

当我尝试以下操作时：

w32tm /monitor

我得到的响应看起来像时间同步到本地计算机（DC）

C:\Documents and Settings\Administrator>w32tm /monitor
    OptiDC.opti *** PDC *** [192.168.0.2]:
    ICMP: 0ms delay.
    NTP: +0.0000000s offset from OptiDC.opti
    RefID: 'LOCL' [76.79.67.76]

• 答案应该是这样吗？
• 我不应该从对等列表中看到具有其中一台 NTP 服务器的内容吗？

我正在将我们的活动目录环境从 Windows 2000 服务器迁移到新的 Windows 2008 R2 服务器。我已经准备好我们的 Windows 2000 域并升级了架构，以便我可以将 DC 角色添加到 Windows 2008 服务器。我可以在两台服务器之间复制更改，但是在将 sysvol 目录复制到新的 Windows 2008 服务器时遇到了问题。

我尝试通过停止 ntfrs 和 netlogon 服务并在适当服务器上的注册表中设置 D4 和 D2 标志并重新启动这两个服务来强制复制。( http://support.microsoft.com/kb/315457 )

sysvol 和 netlogon 网络共享都存在于 Windows 2008 服务器上。

我们将 Bind 9 用于我们的内部 DNS，但两台服务器上都运行着 dns。Windows 2000 服务器将 Bind 9 服务器指向主服务器，将其自身指向辅助服务器。Windows 2008 服务器指向相同的 Bind 9 服务器作为主要服务器，而其自身则作为辅助服务器。

另请注意：我没有将任何架构角色移至 Windows 2008 R2 服务器。

当我在 W2008 服务器上运行“dcdiag”时，所有测试都通过了，我只收到错误消息，指出事件日志中存在与 GPO 相关的问题：

处理组策略失败。Windows 尝试从域控制器读取文件 \mydomain.com\sysvol\mydomain.com\Policies{GUID 已删除}\gpt.ini，但未成功。在解决此事件之前，可能不会应用组策略设置。此问题可能是暂时的，可能是由以下一种或多种原因引起的： 发生错误事件。事件 ID：0x00000422

任何建议将不胜感激！！！

-麦克风

环境：

• 10 个 Hyper-V 主机，所有 AD 都加入
• 很多虚拟机 AD 加入，有些没有
• 一些 AD DC，包括作为来宾的 PDC

您认为使用 AD 控制器作为来宾的时间同步 hyper-v 场的最佳方法是什么？我有 2 个计划 :)

Hyper-V 服务器的最佳时间源是什么？

方案一

• 设置 AD PDC VM 以时间同步到外部 NTP 作为主要来源，
• 所有 Hyper-V 服务器都将同步到 PDC，因为它们已加入域，
• 所有其他来宾将同步到 Hyper-V 时间服务。

计划 2（我正在考虑实施这个计划，因为管理程序层将独立于来宾 PDC）

• 强制所有 Hyper-v 主机从外部 NTP 同步时间。
• 将所有访客的时间同步到包括 PDC 在内的 Hyper-V 时间服务

也许有人有一个不错的选择 3？

我的公司正在另一个国家开设一个新网站。我们将在那里安装新服务器，但我有一个无法决定的问题。我们应该在林中创建一个新域还是应该使用相同的域并实现一个新的域控制器，可能还有 RODC？

两家公司是分开的，但合作紧密。我们也为他们俩管理 IT，但我不能排除他们长大后可能拥有自己的 IT。我们访问公共网络共享，并可能使用位于两家公司的资源。此外，我们的一些用户经常从一家公司到另一家公司旅行。

我在新域中看到的优势主要与更整洁的组织、在专门部门的情况下更好的管理有关，同时仍然保留使用来自森林的 GPO 的优势。我会建立一个信任，让用户访问不同域中的数据。

我看到的唯一缺点可能是在某些情况下必须添加两个用户组，如果设置不正确，基于 AD 的软件可能会出现某种问题。我没有这方面的经验，所以我想听听您的意见，也许可以帮助我找出可能出现的问题。

有人知道如何解决一次更改所有国家/地区字段的问题，以及为什么每次我选择 + 应用国家/地区更改时国家/地区字段都会成倍增加，直到对象被关闭并重新打开？

背景信息，域从 2000 => 2003 和从 2003 => 2008 R2 Forest 功能级别迁移。问题如下：老用户在大写中得到国家字段（cn），并且每次国家改变下拉列表显示所有国家一次。

如果直接手动更改国家/地区（而不是通过 Admin Reccource kit mmc），则该字段设置正确。我会感谢所有类型的答案和评论，即使它们不会导致立即解决。

在下面找到示例和图片：

姓名 - 国家

John Doe - 德国（正确）

Fred Fail - 德国（错误）

第一次打开：

第一次申请：

第二次申请：

我的公司很年轻而且很小，但随着我们的发展，我们想推出一些软件部署解决方案。我们还没有决定哪一个，但他们通常需要一个 Windows 域，而我们没有。我们将 Office 365 用于 Outlook、SharePoint 或 Lync 等所有内容。

在另一个问题中，我问了如何将用户从 O365 迁移到 Windows AD，似乎唯一的方法是从 o365 csv-export和 csv-import 到 Windows AD。然后我们激活 DirSync，它通过用 Windows AD 中提供的属性覆盖 O365 中的所有属性来同步帐户。激活 DirSync 也会移动授权源。

O365 中的许多属性在 Windows AD 中没有类比，反之亦然。

如果我们无法迁移某些属性或在此过程中出现某些错误，则某些云应用程序（如 Lync、Outlook 和 SharePoint）可能会停止正常工作。

我们可以测试所有想到的东西，但可能有些问题我们没有涵盖。

是否有关于哪个云应用程序使用哪些属性的综合文档？我对 SharePoint、Exchange/Outlook、Lync 和离线应用程序感兴趣。

我将如何测试缺失/错误属性的影响？为每个测试用例创建一个用户，以他们的身份登录并测试每个应用程序的每个功能？

这个过程听起来很容易出错。有没有更好的方法来解决这个问题？以前有人这样做过吗？

我正在构建一个包含同一林中多个 Active Directory 域的测试环境，但是在尝试将子域添加到林根域时遇到了奇怪的问题。

所有服务器都是运行在Azure云平台上的Windows Server 2012 R2 VM，连接到同一个虚拟网络；他们有静态保留的 IP 地址，他们可以互相交谈而没有任何网络问题。

我的域结构是（或至少应该是）如下：

    A0.lab (forest root)            B0.lab
   /  \                            /  \
  A1  A2                          B1  B2
  |                               |
  A3                              B3

因此：

• A0.lab（林根）
• A1.A0.实验室
• A2.A0.实验室
• A3.A1.A0.实验室
• 实验室
• B1.B0.实验室
• B2.B0.实验室
• B3.B1.B0.实验室

我已经成功创建了林根域 (A0.lab) 并且我已经定义了一个 AD 站点及其子网；域运行正常。

接下来，我已经配置了应该成为第一个子域 (A1.A0.lab) 的域控制器的服务器，以使用根 DC 作为其 DNS 服务器，并且我已经启动了升级向导；我已经填写了所有参数，包括根域的域管理员的用户帐户和创建 DNS 委托的选项；所有先决条件检查均成功。

当我开始实际的提升过程时，它停在“复制架构目录分区”阶段。“目录服务”事件日志反复填充了几个错误：

事件 ID 1963，源 ActiveDirectory_DomainService，任务类别 DS RPC 客户端：

Internal event: The following local directory service received an exception from a
remote procedure call (RPC) connection. Extensive RPC information was …