标签: domain-controller

我在将 AD 从一个 DC 复制到另一个 DC 时遇到问题。两台服务器都是 Windows Server 2008 R2 SP1。我在站点和服务中使用了 GUI 选项来强制复制。我也试过 repadmin 和 ntsdutil。

我尝试过的 repadmin 命令：

repadmin /replicate mars zeus dc=CS,dc=local

当我尝试 repadmin 时出现错误：

由于以下错误，Repadmin 无法连接到“家庭服务器”。尝试使用 /homeserver:[dns name] 指定不同的主服务器

我已从 [此处] 下载了 Active Directory 复制状态工具：运行复制状态后收到以下错误。1

我创建了一个 youtube 视频，更好地解释了我的问题：这里的视频

我希望有人可以帮助我用 AD 复制我的两个 DC。我真的不知道接下来要做什么，或者还可以尝试什么。

我使用具有许多域控制器 (DC)的Windows 域。我希望删除其中的一些，但我知道有些应用程序是硬编码的，可以使用特定的域控制器进行身份验证。但是我不知道这些应用程序是什么。如何确定哪些应用程序可以设置为使用单个域控制器，以便在该 DC 脱机时防止中断？

我们的网络上有大约 15 台 PC。我可以对除一台之外的所有 PC 进行更改。我不断收到消息“请求的操作需要提升”。

当我尝试以管理员身份运行程序时，它会询问我的用户名和密码。按回车键后，我收到相同的消息：“请求的操作需要提升”

这真的很奇怪，因为我是域管理员。我进入了活动目录，我没有注意到这台 PC 和其他 PC 之间有什么不同。它检查了相同的安全选项，并且与其他选项位于同一组中。

我在这里工作了几年，但我上个月刚刚接任这个角色。我要接替的那个人也不知道。他告诉我，一直都是这样。因此，基本上，他永远无法添加或删除软件。我需要删除一些垃圾软件并为用户安装一些有用的程序。PC 正在运行 Windows 8，就像其他的一样。

我错过了什么？为什么这台 PC 没有将我识别为管理员？我该怎么办？

Server 2012 R2、Server 2012、域控制器角色

在我的域上遇到一些权限问题后，我注意到我的第二个域控制器似乎以某种方式损坏（对不起，命名令人困惑。当我说第二个 DC 时，它实际上被命名为 vswbcdc1）。我在下面包含了一些屏幕截图来解释为什么我认为 DC 已损坏。我之前已将此 DC 设为操作主机并将所有 FSMO 角色转移给它。svrwbc 上的原始 DC 安装在Server 2012上，vswbcdc1 上的第二个 DC 安装在Server 2012 R2上以防出现问题。

我认为也许一个可行的解决方案是从其服务器中删除第二个 DC 角色，当我重新添加角色时问题可能会消失，但我无法将事情转移回原来的第一个 DC b/f 删除第二个 DC角色。当我尝试将操作大师转移回来时，我收到了以下屏幕：

在第 1 个 DC 上，我想将 ops master 转移回，我收到当前操作 master 的“错误”。我认为这不可能是好事：

在第 2 个 DC 上，我想从中转移 ops master的地方最初看起来没问题，但是在单击更改后，下面显示的错误面板解释了联系当前 FSMO 角色持有者的问题：

但是 fsmo 角色似乎仍然在第二个 DC：

在我降级第二个 DC 并尝试删除 DC 角色后，角色删除因此错误而终止。

所有这一切让我相信第二个 DC 已损坏，那么最好的行动方案是什么？我的系统很小，再次设置 AD DS 不会很痛苦，但我想采取最短的路径来解决这个问题。

我的问题：

1) 是否有“修复”DC 的工具？

2）如果没有，上面的信息是否足以指出我可以手动修复的内容？

3) 如有必要，我可以杀死两个 DC …

在运行 Windows Server 2012 R2 的域控制器上的 Active Directory 中创建新林时，系统提示我指定根域名。域名必须由我注册并拥有吗？如果我输入由其他人注册和拥有的域（例如 microsoft.com），会发生什么情况？稍后，当我尝试将 Windows 计算机添加到此域时，它会进入 Internet 并搜索 microsoft.com 还是仅在其子网（我的域控制器）中进行搜索？仅输入 microsoft.com 等拥有的域是否安全/更可取？

在Microsoft Key Distribution Service没有启动我的DC（kdssvc.dll），当我看到在Microsoft \ Kdssvc事件日志中，我看到的事件：

事件 ID 4001 组密钥分发服务无法启动。状态 0x80070020。

事件 ID 4007
组密钥分发服务无法连接到本地主机上的域控制器。状态 0x80070020。由于错误，无法启动组密钥分发服务。请联系管理员解决问题。

错误 0x80070020 表示某种类型的文件锁定。

有谁知道我该如何解决这个错误？在网上对此进行的故障排除有点稀少，并且与 KDC 混淆。

澄清一下：这个问题与 Kerberos 无关，而是关于在企业环境中处理组托管服务帐户 (gMSA)、Bitlocker 和 Windows 激活服务的服务帐户。

更新这里是procmon

问题。我有一个带有两个 DC 的 Windows AD 域。我发现当我的“主”域服务器离线时，名称解析变得非常不可靠。我怎样才能解决这个问题？

我正在运行两台 Windows Server 2012 Standard 服务器，它们都是域控制器、DNS 服务器和 DHCP 服务器。

在客户端，我的客户端使用 DHCP（来自上述服务器），并且他们获得的 DNS 配置将一个域控制器设置为首选，另一个域控制器设置为备用。

如果我关闭“首选”域控制器作为测试，那么互联网浏览会变得非常慢。加载页面经常失败，我必须经常刷新才能成功加载页面。我认为 DNS 查找以循环方式进行，因此我假设客户端首先尝试首选 DNS 并且失败。然后，当我点击刷新时，它会尝试备用并成功。但我对此不确定，它似乎是一个非常笨重的系统：

问题 A.当主 DNS 失败时，为什么客户端不会自动尝试备用 DNS？这是 2015 年。如果我必须手动刷新（有时两次、有时 5 或 6 次）才能使互联网正常工作，那么拥有备用 DNS 有何意义？我是否配置错误？

问题 B。如果我nslookup google.com从客户端的命令提示符执行此操作，它会因尝试联系主 DNS 超时而失败。无论我尝试多少次，它都不会尝试备用。为什么是这样？

问题 C.有没有更好的方法来设置此功能，以便 DNS 故障转移更加透明和自动？当主 DNS 服务器在线时，一切都变得顺利。当我必须切换到“辅助”DNS 服务器时，一切都变得缓慢且笨拙。我认为这不是预期的设计。（我知道“主”和“辅助”域服务器的想法现在已被弃用，并且所有域控制器都被认为是平等的 - 更重要的是，如果一个控制器出现问题，我不明白为什么我应该遇到这些问题向下）。

我在单个 VPC 的公有子网上有五台 AWS 服务器，每台服务器都有自己的弹性 IP 地址。子网为 10.0.0.0/24。一台服务器是Win2016域控制器。其余四个是该域的 Win2016 成员。

我想稍微重新组织一下，将许多服务器放置在新创建的私有子网上，通过 NAT 网关为它们提供出站 Internet 访问。新子网将为 10.0.1.0/24。

两个子网均位于同一可用区（北加州）的同一 VPC 中。

我计划移动到私有子网的服务器之一将是域控制器。当域控制器在新的子网中重新启动时，它自然会拥有一个新的 IP 地址。我的问题是：

成员服务器如何知道域控制器的新IP地址？这仅仅是更改手动 DNS 条目以指向新域控制器的地址的问题还是还有更多的事情要做？请注意，域名称和域控制器名称均未更改。我只是将域控制器移动到同一 VPC 中新创建的子网，因此尽管 DC 的 IP 会因位于新子网上而发生变化，但其他一切都保持不变。

我需要对域控制器本身进行配置更改吗？在研究这个问题时，我遇到了一些场景（不太像我的），其中需要调整域控制器的“站点和服务”应用程序以通知 DC 与“站点”关联的新子网。鉴于我只有一个物理站点，这是否适用于我？

我正在为一家酒店集团继承现有的基础设施，并试图对上述基础设施进行大修。

酒店（HotelA、HotelB 等）最初分别设置了一个域（和一个域控制器）。这有点难以管理，因为每个酒店都有自己的域（这意味着我们最终不得不跨域导入/导出 GPO，以确保它们都是标准化的、库存问题、软件部署问题等）。域之间没有信任关系。

我现在有机会将所有“单个”酒店域合并为一个大域，例如 ad.hotelgroup.com。这是一个好主意吗？该集团有一些阻力，因为他们希望每家酒店都能有效地独立，这样当它被出售给新业主时，就不需要做额外的工作了。

但是，我相信管理单个域比管理多个域要轻松得多。它还允许有多个冗余 DC，并允许我们共享 MDT 和 WSUS 服务器，这是我们以前无法做到的。

你们有什么感想？

我们的服务器是 Windows 2016。我在新硬盘上安装了 Windows 10。我在新安装的计算机上命名为与旧计算机相同的名称。我将旧硬盘保持原样，没有出于备份目的对其进行任何更改。

发生了与此无关的事情，我现在需要返回到旧驱动器。现在，当我尝试使用旧硬盘登录时，它显示“此工作站与主域之间的信任关系失败”。

没有我可以访问的本地管理员帐户。

我相信这与我在新安装上将计算机名称设置为与前一个安装相同的名称有关。我已尝试重置活动目录中的计算机帐户，但这并不能解决问题。我担心只删除 AD 中的计算机，因为我对 AD 还很陌生，不确定对网络中当前设置的影响。

不知道如何继续前进。