Dcdiag /e /test:sysvolcheck /test:advertising repadmin /replsum repadmin /showrepl repadmin /bridgeheads dcdiag /v 我find了一个从FRS转换到DFSR的指南,因为它更高效。 该指南会要求您确保您的域正在有效地复制。 我运行了所有这些命令,但在Dcdiag /e /test:sysvolcheck /test:advertising命令我得到了以下结果: Doing primary tests Testing server: LSITE\LAD001 Starting test: Advertising ……………………. LAD001 passed test Advertising Starting test: SysVolCheck ……………………. LAD001 failed test SysVolCheck Testing server: Default-First-Site-Name\C1AD001 Starting test: Advertising ……………………. C1AD001 passed test Advertising Starting test: SysVolCheck ……………………. […]
…因为它显示了多次单独testing的多个帐户,每个帐户都可以很好地login到域中的其他计算机上,包括Windows 10计算机。 这是在新安装的Windows 10周年更新工作站上joinWindows Server 2012 R2域时显示的。 到目前为止还被淘汰: dcdiag显示域没有错误。 工作站和DC之间的networking连接是好的。 时间正确同步。 域用户位于工作站上的本地pipe理员和用户组,这两个组都具有本地login用户权限。 (这适用于所有用户,包括域pipe理员。) 将计算机join域时,NetDebug文件不会显示错误。 (无论是时间 – 移除它并重新join,正如所料,没有任何效果。) testing安全通道显示它正在运行。 工作站应用组策略,安装组策略中configuration的软件等。 最容易混淆的是,当我使用enter-pssession连接到机器时,用户可以login; 而不是在控制台或远程桌面上login。 所有这一切 – 剩下的是什么? 另外:以后安装了相同的Windows 10安装程序的另一台机器可以工作,所以它似乎是客户端特定的。 额外的附加function:从Windows 8.1安装开始,将其添加到域,然后将其升级到此版本的Windows 10 确实可行。 我不知道。
我比较新的BitLocker驱动器encryption,虽然我对它的工作方式有很好的理解。 我的问题是,如果我有一个启用了BitLocker驱动器encryption的系统,并且想要进行硬件/ BIOS更改,我将运行suspend-bitlocker命令并临时挂起系统完整性检查,进行所需的更改,然后启动向上。 当BitLocker被重新启用时,下一次我重新启动它将执行系统完整性检查,它将检测到我所做的更改…有什么需要做的更改BIOS或硬件后,需要做的基本告诉bitlocker保护的系统,这是新的规范,这是一个有意的系统修改,而不是恶意? 还是它自动检测下次启动到操作系统的变化? 我感谢任何帮助,我只是想彻底了解encryption是如何工作的。 干杯!
给定一个Microsoft Active Directory域configuration为公司的公有DNS域的子域,说: 公共领域contoso.com Active Directory域名inside.contoso.com 在四个站点中有五个域控制器(DC)。 所有这些也都是configurationcontoso.com和inside.contoso.com作为独立的AD集成区域的DNS服务器。 其中三个DC运行Server 2008R2,另外两个Server 2012。 现在恼人的是,名为“里面”的文件夹不断出现在区域contoso.com中,其中包含部分或全部DC的Alogging。 如果我删除所有这些logging,文件夹消失,几分钟后再出现一个DC的Alogging,Alogging逐渐增加。 看起来好像当DC在DNS中注册自己时,条目将被添加到区域contoso.com而不是它们所属的inside.contoso.com。 简单的问题:为什么? 注1:在intern.contoso.com区域中的所有DC也正确地列为Alogging。 不过,我不知道这些条目是否已经手动添加。 注意2:区域inside.contoso.com中的其他主机条目都不会复制到区域contoso.com中的内部文件夹。
我有一个没有后缀的AD域,并且在工作站无法join域时遇到问题。 我将他们的领域称为“学校”,他们也拥有面向公众的领域并拥有“school.org”。 (学校是一个例子,而不是他们的实际域名) 在故障排除时,我发现我无法从域控制器或任何PC上ping /解决域“school”,奇怪的是我可以使用“server1.school”来ping /parsing域中的服务器或工作站。 2个AD分区安装了DNS(所有工作站都指向DNS),DNS中有一个“学校”的TLD,还有一个指向域控制器的“school”的A和CNAMElogging。 另外奇怪的是我可以解决“上学”,注意了。 最后。 另外我注意到的是,我可以在工作站上设置一个hosts文件来指向“DC”的IP地址,这样做在join域控制器列表的时候会出错,但是没有可以达到。 所以我做了一个\学校\ netlogon,并能够看到提供凭据后。 DCdiag / test:dns显示没有错误。 任何想法或build议? 谢谢。
我想要获取所有未过期且密码为空的广告用户帐户。 到目前为止,我已经使用了一个ldapfilter来获取所有过期的帐户: (&(objectCategory=person)(objectClass=user) (!accountExpires=9223372036854775807) (!accountExpires=0)) 我需要做一个filter,取得所有未到期的帐户,并有一个空白的密码。 任何build议我必须做什么修改。
问题 :我不能授予计算机帐户将组添加到OU的权限,方法是将该计算机帐户添加到已被授予将组添加到该OU的权限的安全组。 原因 :在我们的环境中,资源总是使用angular色组呈现给用户。 这里的资源是指定给域本地安全组的特定OU的权限。 angular色是全局安全组,用户是计算机帐户。 用户是计算机帐户的原因是因为需要权限的脚本正在该服务器上的SYSTEM帐户下运行。 设置 : 我已经testing : 如果我直接将权限委托给它的计算机帐户,它的工作。 如果我把用户放在用户可以执行脚本的angular色组中。 我想要什么 : 一个解决scheme,使这个设置工作(也许我忽略了一些东西) 或者解释为什么这不起作用(然后我会尝试find其他解决scheme)
在我们的Active Directory服务器上,我们的域pipe理员帐户不会在我们的组策略中定义的90天后强制重置密码: 所有域pipe理员都在组策略上。 而且,当我们拉到他们的失效date时,他们是在几个月前。 到期date已过。 有什么想法可以免除域pipe理员被迫重置密码? 用户没有密码永不过期检查。 这是在默认域策略中定义的。
我能够使用SQL身份validation模式(用户名:sa)login到SQL Server Management Studio,但使用Active Directory密码身份validation失败。 我已经在SQL Serverconfigurationpipe理器上,并在SQL Server属性的“login”部分添加了一个域用户名和密码。 当我尝试使用域用户login到SQL时,出现错误: 与服务器build立了连接,但在login过程中发生错误。 证书链由不受信任的权限颁发。 当用sa用户login时,我注意到我的域用户与sa帐户一起在login文件夹中。 到目前为止,我的疑难解答包括检查login文件夹中域用户文件的属性。 在属性中,选中启用域帐户login到SQL的框。 此外,SQL服务器和AD服务器在域上。 我可以在某处丢失configuration吗? 我是否需要为域帐户分配权限才能访问SQL服务器和pipe理工作室? 这是我尝试使用域帐户login后出现错误的对话框:
我正在寻求解决外国安全主体(FSP)的对象。 所以我在一个域中有一个用户对象,它是另一个域中的一个组的成员。 我有我的FSP: CN = S-1-5-21-1943674009-604674534-4127978668-1107,CN = ForeignSecurityPrincipals,DC =外部,DC =净 我知道S-1-5-21-1943674009-604674534-4127978668是远程域的域SID,1107是对应于该域中实际用户对象的rid。 目前,我可以创buildSID和实际域之间的映射,以便我可以执行像[ADSI]“LDAP:// [domain]”的search 但是,我的问题是,该用户对象的空白字段是空的。 那么,如果我不能在search引擎上search,我怎样才能撤回特定的用户对象呢? 更令人好奇的是,在objectSID属性中显然存在摆脱值,所以用户对象具有摆脱值。 但是实际的属性本身是空的。 那么我怎样才能使用一个searchfilter来明确地获取这个条目呢? 是否需要某些ADconfiguration来自动填充该字段?