AD活動目錄排錯掃盲

2021-09-03 10:01:38 字數 3700 閱讀 5308

a.我的活動目錄中的dns伺服器上的srv記錄丟失了,怎麼辦?

q.首先確認你的伺服器tcp/ip屬性中的dns設定是正確的,然後檢查dns區域是否正確,並且開啟自動更新的功能,完成以上操作後,進入命令提示符模式,輸入以下命令來完成操作:

net stop dns

net start dns

net stop netlogon

net start netlogon

通過以上命令可以重新註冊srv記錄,最終實現找到丟失的srv記錄,當然此方法也常用的dns的解決方法之一。

a.我的企業環境中有1臺dc(域控制器),由於購買了新的伺服器來替代老的伺服器,怎麼操作?

q.這個問題的解決主要是通過將新的伺服器提公升為現有域的輔助域控制器,加入成功後重新啟動起來,進入命令列提示符,通過輸入ntdsutil來傳送fsmo(5種主控角色)到新的伺服器上,然後將新的伺服器設定為gc既可,關於fsmo的介紹可以檢視本社群相關帖子。具體操作如下:

1.開啟命令列,輸入ntdsutil 回車

2.再輸入:roles 回車

3.再輸入connections 回車

4.再輸入connect to server dc-1 --> (備註:這裡的dc-1是指伺服器名稱)

5.提示繫結成功後,輸入q退出

6.輸入?回車可看到以下資訊:

connections                  - 連線到乙個特定域控制器

help                          - 顯示這個幫助資訊

quit                          - 返回到上乙個選單

seize domain naming master    - 在已連線的伺服器上覆蓋域角色

seize infrastructure master  - 在已連線的伺服器上覆蓋結構角色

seize pdc                    - 在已連線的伺服器上覆蓋 pdc 角色

seize rid master              - 在已連線的伺服器上覆蓋 rid 角色

seize schema master          - 在已連線的伺服器上覆蓋架構角色

select operation target      - 選擇的站點,伺服器,域,角色和命名上下文

transfer domain naming master - 將已連線的伺服器定為域命名主機

transfer infrastructure master - 將已連線的伺服器定為結構主機

transfer pdc                  - 將已連線的伺服器定為 pdc

transfer rid master          - 將已連線的伺服器定為 rid 主機

transfer schema master        - 將已連線的伺服器定為架構主機

然後分別輸入

transfer domain naming master 回車

transfer infrastructure master  回車

transfer pdc                  回車

transfer rid master          回車

transfer schema master        回車

以上的命令在輸入完成一條後都會有提示是否傳送角色到新的伺服器,選擇yes,然後接著一條一條完成既可,完成以上步驟後退出介面,安裝windows server安裝光碟中的support目錄下的support tools工具,然後開啟提示符輸入:netdom query fsmo用於檢查fsmo的狀態來確認是否傳送成功。檢查無誤後進入活動目錄站點選擇ntds找到伺服器設定為gc既可。

3.我的環境中有2臺dc,其中一台壞掉了並且修復不好了,我想加入另外一台伺服器成為dc,請問需要刪除以前的資訊嗎?

4.我的活動目錄出現了嚴重的問題,需要降級活動目錄,但是操作過程中提示無法降級,請問能強制降級嗎?q.當出現嚴重的活動目錄問題導致無法降級的時候是可以強制降級的,在windows 2000 打了sp4後可以使用dcpromo/forceremoval命令進行強制降級,該方法同樣適用與windows 2003,不過需要提示的是如果這樣操作後還需要刪除活動目錄的一些遺留檔案等,因為強制降級是屬於非正常降級不會刪除所有的活動目錄資訊,例如sysvol資料夾等。

5.我是windows server 2003的作業系統,並且提公升了活動目錄,由於預設的域控制器安全策略和預設的安全策略被亂改了,想恢復預設可以嗎?q.使用windows server 2003是可以做這樣的恢復的,在命令列提示符下面輸入以下命令用於恢復策略:

dcgpofix ,該命令只能執行在域控制器上。

6.我的企業由於需要更改域控制器名稱,我想諮詢是否可以更改?

q.windows 2000的域控制器是沒有辦法更改伺服器名稱的,只能降級更名後再提公升,如果是windows server 2003的域控制器,並且是windows 2003的域級別功能模式,是可以進行更名操作的,具體操作如下:

1.首先找到windows server

作業系統安裝光碟,找到support目錄安裝support tools工具

2.安裝完成後,開啟命令提示符輸入:

netdom computername currentcomputername /add:newcomputername

該命令將更新這台計算機的 active directory 中的服務主體名稱 (spn) 屬性,並註冊新計算機名的 dns 資源記錄。計算機帳戶的 spn 值必須複製到該域的所有域控制器,新計算機名的 dns 資源記錄必須分布到該網域名稱的所有授權 dns 伺服器。如果在刪除舊計算機名之前沒有進行更新和註冊,那麼某些客戶端可能無法使用新名或舊名找到該計算機。

3.確保計算機帳戶更新和 dns 註冊完成之後,鍵入:

netdom computername currentcomputername /makeprimary:newcomputername

4.重新啟動計算機。

在命令提示符下,鍵入:

netdom computername newcomputername /remove:oldcomputername

值 描述

currentcomputername 正在重新命名的計算機的當前或主要計算機名或 ip 位址。

newcomputername 該計算機的新名稱。newcomputername 必須是完全合格的網域名稱 (fqdn)。在 fqdn 中為 newcomputername 指定的主 dns 字尾必須與 currentcomputername 的主 dns 字尾相同,或者它必須包含在「domaindns」物件的「msds-alloweddnssuffixes」屬性中指定的允許的 dns 字尾列表中。

oldcomputername 重新命名的計算機的舊名稱。

7.我的公司通過活動目錄管理客戶端,但是客戶端使用domain user登陸後許可權不足,使用很不方便,請問怎麼才能提公升許可權呢?

q.很多管理員都遇到類似的問題,其實我們一般的解決方法是將域使用者加入到本地管理員組,這樣域使用者就可以像以前一樣在本機操作自如,並且也不影響企業的管理。(備註:請一定不要將普通域使用者加入到域管理員組),通過以上方法可解決這樣的問題,具體實現可以通過圖形介面或者命令列,命令如下:

net localgroup administrators domain/user1 /add

活動目錄排錯技巧一

a.我的活動目錄中的dns伺服器上的srv記錄丟失了,怎麼辦?q.首先確認你的伺服器tcp ip屬性中的dns設定是正確的,然後檢查dns區域是否正確,並且開啟自動更新的功能,完成以上操作後,進入命令提示符模式,輸入以下命令來完成操作 net stop dns net start dns net s...

AD學習筆記6 活動目錄下的目錄服務

active directory提供集中組織 管理和控制對網路資源訪問的方法。1.active directory命名規範 distinguished name dc com,dc contoso,cn users,cn james smith表示使用者物件james smith在contoso.c...

AD活動目錄學習資源個人推薦

一直想幫一些朋友總結一些活動目錄學習的圖書,部落格,和論壇。主要是分享一些資源給大家,希望新入門的朋友在資料選取上走個捷徑,也有選擇。一 圖書。閱讀圖書一直是系統學習技術的不二法門。圖書是很多前輩的經驗總結。不過關於活動目錄ad或ad ds 2008 系統後的叫法 的圖書還真不少,殘次不齊。推薦個人...