我们是小型商业情报公司,我们有一个总部和一个分公司。 我在总部的Windows 2012 R2上运行活动目录,在brnach办公室的Windows 2012上运行另一个活动目录。 两个办事处都通过站点到站点VPN连接。 当两个办公室之间存在连接问题或PDCclosures时,二级AD服务器也closures。 它没有configuration为RODC。 当我尝试检查域和信任下的域设置,我得到错误 您无法修改域或信任信息,因为无法联系主域控制器(PDC)仿真程序。 请validation当前域和networking的PDC模拟器是否联机并正常工作。 用户无法进行身份validation,当我尝试访问用户和计算机时,出现以下错误。 命名信息无法find,因为:指定的doamin不存在或无法联系。 请联系您的系统pipe理员,确认您的doamin已正确configuration并且当前处于联机状态。 我看到两个域控制器被设置为GC服务器。 我不是活动目录的专家。 我希望这是一个小问题,有人应该能够帮助我解决这个问题。
这个问题已经在其他论坛上多次提出过,但是我发现的大部分答案都是针对Windows 7,Windows Vista的,或者根本不适用于我的情况。 我的问题是,当我到Active Directory中的任何对象的Properties部分,我只得到5个选项卡,如下所示: 最常见的解决scheme似乎是安装远程服务器pipe理工具。 我已经做了,这是最新的版本。 之后,最常见的问题似乎是您必须启用“程序和function”中的AD服务,这些服务已完成,如下所示: 我也已经启用了高级function。 其中添加标签,但不是丢失的标签。 只是额外的,我不需要。 经过这一步,我已经看到很多Windows 7和Vista的答案(它也可能适用于10,我不知道),他们从他们的服务器复制文件名tsuserex.dll和tsuserex.dll.mui到他们的本地电脑。 我还没有这样做,因为它对我来说似乎很奇怪。 我是一个IT世界中的初级/中级人物,但是移动dll以获得一些制表符似乎对我来说很奇怪。 如果这真的是下一步我会做的,但有人可以向我解释为什么我需要这样做,如果是这样的话? 我很乐意尝试其他任何事情。 额外的信息。 AD服务器是Windows Server 2012 Standard 我也经历了这里显示的步骤。 基本上只是确保远程桌面服务 – 扩展选中了正确的checkbox。 这一切都是应该的。 为了彻底,我下载的RSAT是KB2693643 我也卸载并重新安装了服务器工具。
我们有几台在公共区域使用的电脑亭。 我有适当的GPOlocking这些机器(一个GPO具有所有计算机设置,另一个具有所有用户设置)。 这些GPO应用于包含信息亭的用户帐户和计算机帐户的OU。 在OU上设置了“阻止inheritance”,并且Active Directory中没有设置为“强制”的GPO。 用户只能通过触摸屏显示器使用信息亭。 我希望它设置的方式是让信息亭在60秒后转到屏幕保护程序,而不是closures显示器。 我已设置屏幕保护程序设置(scr的path,禁用密码保护屏幕保护程序,并启用屏幕保护程序超时到60秒)。 60秒后,屏幕保护程序打开,一切按预期工作。 但是,经过一段时间(大约30分钟)后,显示器将closures。 如果我点击屏幕,我会看到信息亭屏幕。 我已经进入GPO的电源pipe理设置并禁用了closures显示设置。 我还在GPO中创build了一个registry设置,将CurrentPowerPolicy值更改为3和4(要么不能解决问题)。 这些信息亭是运行Windows Vista的笔记本电脑。 我已经在他们身上运行了结果集策略,看起来像所有的设置都在那里。 有什么我失踪? 有没有人有一个想法,我还可以尝试什么?
我想获得域内所有计算机的列表。 search谷歌我find了 dsquery * domainroot -filter "(objectClass=Computer)" -attr name -l -d my.domain > c:\computers.txt 除了域控制器之外,还有什么办法可以得到相同的结果吗?
虽然做了一些不相关的故障排除(至less我认为是这样,共享打印机的问题),我遇到了一系列让我担心的事件日志条目。 Machine Name: labcomputer82 Source: Security-Kerberos Event ID: 4 Event Description: Kerberos客户端从服务器labcomputer143 $收到一个KRB_AP_ERR_MODIFIED错误。 使用的目标名称是RPCSS / imagemaster4.ad.domain.edu。 这表明目标服务器无法解密客户端提供的票证。 当目标服务器主体名称(SPN)在目标服务正在使用的帐户以外的帐户上注册时,可能会发生这种情况。 请确保目标SPN仅在服务器使用的帐户上注册,并且仅在其上注册。 当目标服务对目标服务帐户使用不同于Kerberos密钥分发中心(KDC)对目标服务帐户的密码时,也会发生此错误。 请确保服务器和KDC上的服务都更新为使用当前密码。 如果服务器名称不完全合格,并且目标域(AD.DOMAIN.EDU)与客户端域(AD.DOMAIN.EDU)不同,请检查这两个域中是否有相同名称的服务器帐户,或使用完全合格的名称来标识服务器。 此消息中使用了三个机器名称。 它是在labcomputer82上生成的,它试图与另一个名为labcomputer143的实验室工作站进行通话,而有问题的服务(RPCSS)是指这台机器的机器名称(也可能是labcomputer的机器名称),我不确定)。 让我labcomputer82是,名为labcomputer82的机器正在尝试使用RPCSS/imagemaster4.ad.domain.edu的SPN。 AD中计算机对象上的SPN属性看起来很好。 它应该有所有的名字。 这些机器使用Ghost映像,并且(至less在这个特定的情况下)sysprep 没有被使用。 在我们的AD域中超过3000个计算机对象中,大约有1,700个是计算机实验室席位,通常是成像的,而到9月为止,大部分都是使用Ghost / Profile-Copy方法而不是Ghost / sysprep方法成像。 。 如果这个错误报告是Windows安静地工作的一个主要问题,也许这些机器上的Kerberos被破坏了,并且它回退到NTLMv2,我想知道,所以我可以给我的驱动器增加压力,以便sysprep通过。
我们在AD 2008R2上实施并正常工作。 我们有一个森林和三个子域名city1.domain.lan,city2.domain.lan,city3.domain.lan,其中rootdc.domain.lan是森林主。 森林function级别是Windows 2003。 我最近inheritance了这个设置,我的初步发现显示,子域名不能parsing外部请求的DNS名称查询,而是以前的系统pipe理员将DC IPADDRESS,8.8.8.8和4.2.2.2分配为DNS服务器。 在DC DNS MMC上没有configuration转发器,而且由于安全原因,DC不能浏览互联网,他们有一个VPN隧道连接到根站点进行复制,但是在该电路上所有其他通信都被禁用 – 所以没有互联网连接DC本身 – 因此没有外部DNS查找。 由于他们有大约500-700个用户,并且考虑到每个人都在为外部DNS查询获取8.8.8.8和4.2.2.2,所以我想这将是很多请求去那里互联网链接的DNS(53)。 Q1 – 你认为我应该实现一个基于Windows的DCjoin到子域的外部查找或上述设置似乎可以吗? Q2 – 我想要validationDC是否复制正常(repadmin?) Q3 – 我查了网站和服务,但是我在公元不太好,不得不学习 – 如果你能让我知道要找什么,那么将不胜感激。 Q4 – 我使用了AD拓扑图表,它说Intersite复制禁用? 这有害吗? 我将发布有关AD拓扑结构的更多详细信息,如果能让我知道要提供什么信息 – 我将尽我所能让问题更新尽快 您的帮助将不胜感激 谢谢 !!
所以我们在我们的networking上设置了一个混合节点,在Win XP Pro,Win 7 Pro,Ubuntu 11.04,Win 2k3 Server Std等等全部在Active Directory环境中 。 我们也有networking打印机,通过服务器在每个站点最终每个站点有一个不同的子网( 站点1: 132.98.1.x / 24 , 站点2:132.98.2.x / 24等,与子网掩码如果255.255.255.0 )。 但是,less数Win 7 Pro机器在尝试连接时出现错误。 使用我们在站点1中的Win XP机器,连接到站点2的打印机没有问题。 错误读取完全如下: “Windows无法连接到打印机,请检查打印机名称,然后重试。如果这是networking打印机,请确保打印机已打开,并且打印机地址是正确的。 其他重要细节 Windows防火墙已closures networking位置设置为适用于Win 7计算机 其他networking相关的程序(WinVNC,FTP等)在网站之间工作 对远程目录的后门访问在不同的子网中不起作用(例如:\\ 132.98.2.100 \ C $) Symantec Endpoint Protection 11安装在所有机器上 连接到networking打印机在相同的子网内工作。 在192.168.1.0/24上通过Cisco路由器连接的子网 路由器在站点之间不受限制 我的直觉是,这是一个身份validation问题,但不知道从哪里开始。 如何使用Windows 7 Professional连接到位于不同子网的networking打印机?
我试图通过Active Directory集中用户login信息。 目前我有AD运行在Server 2008 R2上。 我的UNIX上安装了Identity Management。 我也有一些主要使用CentOS 5.X和Fedora 14的Linux客户端。我已经在CentOs机器上设置了Samba,并将这些机器join了AD域。 AD中的用户可以使用AD凭证login到Linux客户端。 我的问题是Linux用户可能loginWindows机器。 我也是新来设置集成以及桑巴。 Samba中有没有设置允许Linux机器上的用户login到Windows? 我会很感激任何帮助/提示/build议。 非常感谢你。
我使用以下命令来创build15个用户帐户: FOR /L %i in (1,1,15) DO dsadd user "cn=Grade 6 Student %i,ou=Accounts Student,OU=School Name, dc=curric,dc=schoolname,dc=wan" -samid g6%i -upn g6%[email protected] -fn "Grade 6" -ln "Student %i" -display "Grade 6 Student %i" -pwd 1234 -disabled no 它运作良好。 我已经添加了以下内容,尝试提供用户的主驱动器设置: -hmdrv H: -hmdir "\\servername\2013 Students\%username%" 这很好地填写了ADUC用户configuration文件选项卡中的主文件夹字段,但用我的login帐户名称(我运行dsadd命令时login的帐户名称)replace%username% ,而不是用户帐户名称I创build。 有没有一种方法可以将它命名为主文件夹作为创build的用户帐户名称,而不是用于运行dsadd命令的帐户的名称?
我在Active Directory日志中看到这个错误。 该错误是在我的主要DC是SBS 2008箱子。 执行请求的计算机是我的辅助直stream运行服务器2008 r2。 由于错误,Active Directory证书服务无法处理请求##:请求的当前状态不允许执行此操作。 0x80094003(-2146877437)。 请求是为domain \ server2008r2 $。 我在r2服务器日志中有这些错误: 本地系统的自动证书注册失败(0x800b0101)根据当前系统时钟或签名文件中的时间戳进行validation时,所需证书不在其有效期内。 。 带有指纹的本地系统证书######################即将过期或已过期。 我该如何解决这些问题? 编辑:只是想添加,由于parsing错误,CApipe理单元报告请求失败。 编辑2:在我的主域控制器(SBS 2008服务器),它看起来像根证书已过期。 我已经尝试更新和请求一个新的,但它说没有模板是有效的。