我有一个相当标准的Windows Server 2012 R2域与Windows 10 Pro客户端。 几乎所有事情一直运行得很好。 很多年前,有一件事让我感到担忧,但是自那以后,我开始认为是正常的,但是最近我确认了这一点。 大多数用户的正常login相对较快:最慢的计算机在10秒以下,大部分都在5秒以内。 但是,如果用户第一次login到计算机(即用户第一次login到特定的计算机),那么第一次login过程可能需要相当长的时间 – 从5到20分钟的任何时间(可能取决于电脑的速度,但我不确定)。 首次login后的任何login都很快捷。 我假设延迟是因为计算机在本地机器上设置了用户域configuration文件,但它有时似乎…过度…对我来说。 你有什么经验的首次login?
在Windows 7上,需要将哪种types的权限和/或angular色分配给Active Directory(Windows Server 2008 R2)用户才能成为本地pipe理员?
因此,我们试图通过SYSVOL文件夹中的loginbatch file将完整的.Net Framework 4推出到Active Directory环境中的所有客户端工作站。 我添加了以下命令: \\server\documents\dotNetFx40_Full_x86_x64 /q /norestart 就像用户login时在后台进行初始化时的魅力一样。但是,我注意到它并没有安装在我们的一些小型机器上。 当然,在运行这个intaller的时候,它会报告“阻塞问题”并且说“你没有足够的权限来完成对所有计算机用户的操作”。 我接受其他观点,但如果可能的话,这似乎是最简单的。
我们现在有一个没有现场服务的分支机构,我们想改变这一点。 最大的目标是设置一些文件服务器,但更快的login和DNSparsing也将受到欢迎。 我正在做一些虚拟机在一个单独的子网/ VLAN的实验,所以我们说我有森林和域的domain.com : 有一个单独的站点,其子网为192.168.1/24 ,单个主DNS区域为domain.com 添加了一个子网站TestSite ,子网为192.168.100/24 在DNS中创build了192.168.100反向查找区域 创build一个运行Server 2012的虚拟机Branch-DC01 ,IP地址为192.168.100.1 作为成员添加到domain.com 在TestSite AD DS安装为只读域控制器(RODC) Branch-DC01.domain.com的主DNS服务器是127.0.0.1 为新服务器设置DHCP作用域,并configuration为使DHCP始终更新DNS 创build运行Windows 8并添加到domain.com Branch-PC01 VM Branch-PC01从DHCP获得192.168.100.20 IP地址,DNS服务器192.168.100.1 ,正向search区域domain.com的成员存在但不在反向查找区(有效?) 在Branch-PC01执行nslookup domain.com – 从Office站点( 192.168.1子网)返回主要DCs IP地址, 现在这个在我心中是不对的 – 它不应该返回192.168.100.1吗? 还是我误解了整个概念,但login怎么会更快呢? 我是否需要单独的DNS区域(如果没有子域,那么我不想创build,除非需要)? 我可以指出的任何想法/文章将是伟大的,我已经阅读了一堆TechNet文章,并不聪明。 谢谢 更新 非常感谢@TheCleaner和@ charleswj81你的努力表示赞赏。 我刚刚试过nltest,结果和分支DC和客户端PC一样: U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com DC: \\Branch-DC01.domain.com Address: \\192.168.100.1 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb Dom Name: […]
我已经阅读了其他解决scheme,但是我的问题很不一样。 在域环境中发生问题。 我们在一个子域中工作,但是我们也有一些员工在笔记本上注册了顶级域名。 我们的内部政策强制他们首先login他们的笔记本电脑和我们的特殊访客用户帐户,然后他们可以访问我们的Citrix Web界面。 这是工作,直到Windows 7的出现(在XP上,我们没有任何问题)。 当我们尝试login这样的用户(当然使用惯例域\用户,而且fqdn \用户),我们得到一段时间后错误信息说: “目前没有可用于login请求的login服务器” 我们玩了一下networking设置,比如为所有子域添加dns后缀,但没有任何结果。 看起来像系统解决我们的域控制器的名称没有问题。 没有连接问题。 而且,在事件日志(系统,应用程序,安全性)中不存在相应的事件,就像什么都不发生。 与此同时,他们也能够在没有任何问题的情况下与他们最初的主域用户一起login(不过现在我认为这也可能是一个错误的假设,因为他们已经caching了证书) 只是添加一个东西 – 信任是双向的。 通常,我们的用户能够login顶级域名服务器。 所以这不应该被信任。 有任何想法吗?
所以,我刚刚接触的一个环境,有一些问题,我正在努力纠正。 旧configuration:单个SBS2011服务器,第二个2008 R2 DC在某些时候被添加。 SBS失败,angular色被查获,SBS从未重新上线。 当前configuration:原始的第二个2008 R2 DC仍然存在,以及3(!)个附加DC,介于2008 R2和2012 R2之间。 为了将DC数量减less到2个,我开始试图降级2008R2中只有DC和DNSangular色的一个。 紧接在dcpromo进程开始后,我得到这个: 所有的工作正在对FSMOangular色持有者,2012R2机器进行。 NTDSUtil显示当前的DC作为所有angular色的持有者。 好吧,到ADSIEdit上。 查看CN=Infrastructure,DC=DomainDNSZones,DC=Domain,DC=Local它显示fSMORoleOwner属性中当前正确的DC。 查看CN=Infrastructure,DC=ForestDNSZones,DC=Domain,DC=Local将旧的SBS服务器显示为fSMORoleOwner。 我知道0ADEL:值是指缺失或孤立的值。 我无法改变价值到新的DC。 看来该目录无法联系SBS服务器(当然,它早已消失),并不会允许我改变的价值。 我已经检查过SBS服务器的所有旧元数据已经清理完毕,AD网站和服务,DNS或ADUC中都没有。
在Windows Server 2008 R2 DC的AD域中,用户抱怨客户端的启动过程出现延迟。 组策略日志显示客户端正在等待20-50秒“networking子系统”: 事件5322,GroupPolicy 计算机启动时,networking子系统的组策略等待时间为29687毫秒。 这似乎是域特定的,因为join同一networking的不同域的机器不会经历任何延迟,并且事件5322在启动时报告<1000毫秒的等待时间。 它发生在虚拟和物理机器上,所以看起来不像硬件或驱动相关的问题。 进一步的调查显示,客户在发出DHCP请求之前已经花时间了。 在networking跟踪中,一旦networking驱动程序加载并且networking连接在事件日志(e1cexpress / 36)中报告为“up”,就可以看到IPv6路由器请求和多播DNS名称注册。 然而,DHCPv4客户端服务似乎需要15-50秒才能启动(Dhcp-Client / 50036),因此IPv4地址暂时保持未configuration状态。 事件日志中的DHCP客户端启动信息成功接收了“Sophos Anti-Virus”服务(Sophos Endpoint Security 10.3.7)的服务启动,因此我怀疑DHCP客户端服务的依赖性是罪魁祸首: 但卸载所有Sophos组件并不能解决问题。 检查可能的更多的三方派对驱动程序可能会搞乱,我用NirSoft DriverView检查其他非微软驱动程序,并删除了DameWare远程控制和Citrix ICA软件包的结果,使系统与硬件相关的第三方只有驱动程序(英特尔芯片组,networking和SATA的东西,Miragevideo驱动程序,Macrovision驱动程序)。 我也删除了DHCP客户端对Tdx的依赖关系 – 这导致Dhcp客户端服务在早期启动,而组策略仍在“等待networking子系统” 我在哪里可以看下?
我们正在将我们的单个2003域控制器(DC1)升级到两个2012 R2控制器(Sevenoaks中的DC2和Manchester中的DC3(曼彻斯特站点和服务中的不同站点))。 DCpromo(无论如何都是向导)在两台新服务器上都没有受到影响。 我去降级DC1,它暗示在域上没有有效的DC,这将是一个非常糟糕的主意。 仔细观察,我注意到DC2和DC3没有SYSVOL或NETLOGON共享。 在DC2上运行DCDiag显示以下错误: Starting test: Advertising Warning: DsGetDcName returned information for \\mfb-dc1.mortgages4business.local, when we were trying to reach MFB-DC2. SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE. ……………………. MFB-DC2 failed test Advertising Starting test: FrsEvent There are warning or error events within the last 24 hours after the SYSVOL has been […]
我们正在实施一个系统,我们的客户是Windows XP,我们的服务器是Windows Server 2008 R2。 我们的客户使用DCOM来连接Windows 2008 Server中的COM +组件。 当我们的COM +包中定义的用户是本地用户时,它工作正常。 但是我们需要访问COM +组件中的共享,所以我们需要在我们的COM +包中使用AD用户。 但是,那么我们有Kerberos错误:KDC_ERR_S_PRINCIPAL_UNKNOWN 所以我读了这是一个失踪的SPN。 我使用networking监视器来跟踪该SPN的名称。 我有以下格式的SNAME:user @ domain(请参阅屏幕) 如果我运行以下命令setspn -s user @ domain domain \ user 它说这个名字是无效的。 它期望以下格式的名称:service \ host。 任何人都可以指出我在做什么错误来debugging呢? 另外请注意,在我遇到这个问题之前,我在事件日志中有一个preauthentication问题。 我在AD中去除了用户的预先validation。 谢谢 http://filedb.experts-exchange.com/incoming/2013/05_w19/653312/screen-scan.JPG
所以,当电脑在域中,一切都很好。 当计算机被locking并未连接到networking时,将不会使用caching的凭据进行login。 但是,如果笔记本电脑重新启动,但仍未连接到networking,则将使用caching的凭据进行login。 有没有办法解决这个问题,而不必重新启动笔记本电脑。