迷逝

说明：这边文章是我多年前保存的一片文章，最近服务器出现问题，终于有翻出来了！发出来希望能帮到更多人。我的环境，windows 2012。最近改了一些域策略，发现没有正确发布到客户端，然后排查问题，发现两台域控的sysvol文件夹不同步。根据资料，windows 2008以后，系统的SYSVOL文件夹是通过DFS复制的，如下是一些检查信息，哪位大神可以帮我判断一下如何恢复？

生产场景：有一台主域控制器DC01.zhprny.com，这几天开不了机了。因此用额外域控制器DC02.zhprny.com来抢占5大角色。故有了以下过程：Microsoft Windows [版本 6.1.7601]版权所有 (c) 2009 Microsoft Corporation。保留所有权利。C:\Users\Administrator.ZHPRNY>ntdsutilntdsutil: rolesfsmo maintenance: connectionsserver conne

通过命令行加域netdom join %computername% /d:azureyun.local /userd:azureyun.local\administrator /passwordd:abc.123!NETDOM JOIN（加域命令）%COMPUTERNAME% (获取计算机名称，也可直接输入名称)/DOMAIN:azureyun.local（要加入的域）/UserD:administrator（有权限的加域帐号）/PasswordD:abc.123!（对应密码）/REBOOT

本文转自 kuSorZ 51CTO博客，原文链接:http://blog.51cto.com/kusorz/1707522相信大家都碰到过这个问题，某个用户出差，连同已加域的笔记本一起带出，时间较长，回来之后，我们常常发现该用户的计算机已经无法登陆域，错误提示通常为：此工作站和主域间的信任关系失败（长时间不使用或脱离域环境的电脑也会碰到这个情况），常见的解决办法就是退出域再重新加入，如果这种情况多的话，每次这样操作都比较麻烦，那么我们如何从根本上解决这一问题呢？首先要知道这个问题形成的原因，先来看看微软

域控制器不同步处理办法域控制器不同步的原因、处理方法及监控。最近Exchange 2007 Information store服务无法启动，检查发现活动目录复制服务有大量的报错信息，查找相关日志信息是关于域控制器长时间不同步导致。请帮忙分析日志内容是否现有域环境内存在由于长时间域控直接没有同步成功导致域控制器不能再进行同步。如果是这种情况需要如何处理。故障原因现在的域环境是2003，所有域控是2003的系统，共有四台域控。另外请教下如何发现并确定域控制器由于长时间没有成功同步导致脱离域。回答：根据您

AD服务器间复制错误称超过tombstone生存时间在操作域站点间 执行AD复制副本时出现如下错误：AD不能与此服务器复制，因为距上一次与此服务器复制的时间已经超过了tombstone生存时间，此操作不能继续。环境:有A、B两台win2003域服务器，B相当于备份域服务器，手动执行从A到B的AD复制副本动作，出现如上提示。A、B服务器均能访问对方，DNS解析应该正常，但A与B的AD数据已经不同步了。这个应该怎么处理啊？降级再提升为DC的方法是在不得已的情况下才用的，谢谢啦。我已经找到方法了。跟大

一、需求提出有时候我们需要对活动目录的用户进行备份，或者批量导入用户。其实呢，需求很简单，解决方案也很简单，但在实际的操作过程中，也确实出现了一些问题，在这记录一下。微软默认提供了两个批量导入导出工具，分别是：CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象，那么既可以使用csvde，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。我们这里选择csvde二、csvde使用导出账号1，

FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这...

server 2008 R2域控制器的部署一、部署前准备二、添加角色勾选Active Directory域服务三、将此服务器提升为域控制器1、在新林创建域2、设置域名：sccm01.com3、设置林功能级别4、数据库和日志及SYSVOL位置5、设置目录服务还原密码6、安装完成重启一、部署前准备更改计算机名：一般我们在企业中最少部署两台域控制器，所以第一台一般叫PDC、额外预控叫BDC；更改IP地址：一般情况下，这个没有严格的要求，最好主域控制器和额外预控IP相邻，；想好用什么域名：一般和官网地址相

验证域控制器部署是否正常一、验证AD DS域服务二、验证默认容器三、验证Domain Controllers四、验证default-first-site-name五、验证Active Directory数据库和日志文件六、验证计算机角色七、验证系统共享卷“SYSVOL”和“Netlogon”服务1、验证活动目录SYSVOL文件夹结构2、验证系统共享卷“SYSVOL”和“Netlogon”3、默认域策略和默认域控制器策略4、验证目录服务器八、验证“SRV记录”九、验证FSMO操作主机角色一、验证AD DS域

操作主机角色共有五种，分别是PDC主机，RID主机，结构主机，域命名主机和架构主机当我们卸载域控制器上的 Active Directory 时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。本博文的实验拓扑如下图所示，Adtest.com 域内有两个域控制器，Flor...

当主域控制器发生故障，无法启动处于离线状态。并且在短时间内无法修复时，我们一般采取极端的方法，让辅助域控制器直接抢夺FSMO五大角色，成为主域控制器。一、环境介绍：主域控制器： adserver 192.168.10.249辅助域控制器： adserver02 192.168.10.199二、主域adserver发生异常网络（人为断网）三、辅域adserver...

更改域控制器IP地址1、停止NETLOGON服务2、修改IP地址3、重启NETLOGON服务4、重新注册DNS信息5、DNS服务器验证所有新主机记录6、清理DNS的A记录7、清理反向查找区域1、停止NETLOGON服务 Net stop NETLOGON2、修改IP地址3、重启NETLOGON服务NET Start NETLOGON4、重新注册DNS信息IPconfig /registerdns5、DNS服务器验证所有新主机记录主要是验证（A记录）6、清理DNS的A记录打开DNS

重命名域控制器第1步：验证域控制器的FQDN名称第2步：域控制器添加新FQDN名称第3步：将新FQDN名称设置为在线模式第4步：重启域控制器第5步：删除原FQDN名称第6步：验证DNS服务器中域控制器的主机记录第7步：验证主机角色所在的域控制器重命名域控制器时，需要为域控制器确定一个新的FQDN名称。域控制器计算机账号必须包含更新的SPN属性，域内的权威DNS服务器必须包含域控制器新计算机名的主机记录。新旧计算机名在更新过程中同时存在，直到移除旧的计算机名。这样才可以确保与控制器在重命名时客户端的连接不会

近来做有关于window服务器方面运维的实验，正好借此记录下来，便于日后回顾。通常情况下，域控DC服务器和DNS服务器一般不在一起，所以需要将其分开建立。而这个时候两个服务器的建立有先后顺序，本文会将暂时将第一种方法都写下来，以供所需。先建DC再建DNS先建DNS再建DC准备工作准备三台Winser2008 服务器配置IP地址这里将DC的IP地址设置为192.168.122.20DNS的IP地址设置为192.168.122.21客户端的IP地址可以是由DHCP自动分配，但是首选DNS必

https://bbs.51cto.com/thread-952970-1.html

今天介绍如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序：创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包( .msi 文件)放入此文件夹。对该共享设置权限以允许访问此分发程序包。在这里我就不创建了，我就直接放到域控制器的共享内了：\\192.168.1.51\netlogon\SOFT\FileZillax64.msi在组策略管理编辑器中，有两种方式设置计算机配置-策略-软件设置-软件安装用户配置-策略-软件

本次实验以安装FileZilla_3.52.0.5_win64-setup.exe为例。准备工作先把FileZilla_3.52.0.5_win64-setup.exe复制到共享文件中\\192.168.1.51\netlogon\SOFT注意：192.168.1.51是我的域控制器IP，其实你可以复制到任何域用户能访问到的地方，例如域环境内的文件服务器。复制完成之后，这个程序的存储绝对路径就是：\\192.168.1.51\netlogon\SOFT\FileZilla_3.52.0.5_w

标注：对于Windows Server 2008 R2域控组策略禁用USB移动存储设备要求是客户端操作系统要求Windows Vista以上，针对 XP以下的操作系统则只能使用Windows Server 2003操作系统作为域控服务器才可以进行限制(操作方法跟windows server 2008 R2操作方法不一样)。我已经反复多次在windows Server 2008 R2域控实验限制XP系统USB移动存储都失败。所以，在这里只针对Windows Vista操作系统以上(也包括win 7/8/10操

计算机加入域控制器默认是本地user组权限，但是在有些场景比如：研发、财务、领导，需要管理员权限安装一些插件和软件。所以我们必须给这些用户给管理员权限。接下来我们利用组策略让这些用户加入域自动获得管理员权限。新建策略并给其命名策略配置右键点击“编辑”，进入到“组策略管理编辑器”—用户配置—首选项—控制面板设置—本地用户和组点击右键新建“本地组”刷新组策略：update /force...

刚安装完系统，我的电脑、文档、网络、控制面板等图标不会显示在桌面，我们设置域控制器策略，只要加入域，就自动将这几个图标和回收站放到桌面。准备工作准备脚本将下面代码放到TXT记事本中，点击另存为保存成tubiao.bat的批处理文件。尽量不要用中文，我这里就直接保存成tubiao.batecho offecho 显示用户的文件REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewS

方法步骤1、首先在域控服务器上建立一个文件夹，共享，并设置everyone 都具有访问权限，（需要排除来宾账户是否开启，是否有权限访问题），确保域内其他计算机能够访问该共享文件夹。（也可以将图片放置在建立域控时，生成的共享文件夹下。这里是单独建立的共享文件夹）2、将想要设置的桌面壁纸图片放在该文件夹下。3、图片准备好之后，打开域控组策略编辑，在想要统一域内用户计算机桌面壁纸的OU（组织单元）下点击在这个域中创建GPO并在此处链接（这里选择统一桌面壁纸）。接着创建名为统一桌面壁纸的GPO，右键编辑，如

计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配 - 装载和卸载设备驱动程序由 没有定义 改为 域名\Domain Users计算机配置 - 管理模板 - 打印机 - 不允许安装使用内核模式驱动程序的打印机由 未被配置 改为 己禁用用户配置 - 管理模板 - 控制面板 - 打印机 - 指向和打印限制由 未被配置 改为 己禁用策略修改完成以后，需要在域控制器上与用户端进行组策略手动刷新（命令：gpupdate /force）或等待系统自动更新组策略（系统默认更新时间

域服务器的作用是：1.安全集中管理，统一安全策略 。2.软件集中管理，按照公司要求限定所有机器只能运行必需的办公软件。3.环境集中管理，利用AD可以统一客户端桌面,IE,TCP/IP等设置4.活动目录是企业基础架构的根本，为公司整体统一管理做基础。其它isa,exchange,防病毒服务器，补丁分发服务器，文件服务器等服务依赖于域服务器。1、域控下更改客户端桌面壁纸前提：确保网络是可通达，防火墙处于关闭状态，图片格式为.jpg，共享目录应为域控C盘。步骤：（1）在域控C盘建立共享文件夹des

域控制器策略1.禁止域用户修改ip地址登录域服务器—打开服务器管理器–在工具里面找到组策略管理–可以使用默认域策略或者新建一个域策略–编辑–用户配置–策略–管理模板–网络–网络连接–启用（禁止访问LAN连接属性）即可-------最后别忘记刷新组策略gpupdate /force2.静止域用户使用外部存储设备（主要是防止用户通过外部存储设备带走公司资料信息）登录域服务器—打开服务器管理器–在工具里面找到组策略管理–可以使用默认域策略或者新建一个域策略–编辑–用户配置–策略–管理模板–系统–可移动存

在某些情况下，为了安全起见，大部分公司都会使用域控制器或只会给员工电脑user的用户权限，这样做能大大提高安全性和可控性，但由此也带来了一些困扰。比如：某些特定的部门（如财务，物流）没有管理员权限，但工作又需要使用特定的插件或程序，且该程序或插件又必须以管理员身份运行，在这种情况下，我们如果将用户的权限提升为管理员，那样会增加安全风险而且可能引起很多不可控的情况。在这种情况下，我们可以使用runas命令来指定运行某个程序，这个命令是微软系统自有的，只要是Windows的计算机都可以使用，包括域环境下。这

在cmd输入“runas /user:administrator cmd”，之后会让输入密码，密码正确输入后报错：“RUNAS 错误: 无法运行 - cmd 1058: 无法启动服务，原因可能是已被禁用或与其相关联的设备没有启动。”这个是因为 “Secondary Logo”服务没有启动，这个服务是“在不同凭据下启用启动过程”。直接在cmd中输入services.msc，将服务从禁用改为手动就好了，之后再次输入runas命令，就会弹出新的cmd窗口，且是以administrator账号运行的，权限问题

1.在Windows Server 2003上，操作系统默认提供了一种修改域用户密码的方式2.在Windows Server 2008上，可以提取Windows Server 2003上的代码来实现相同的功能3.在Windows Server 2012上，提供了一种新的修改域用户密码的方式：通过Remote Desktop Web修改域用户密码，下面我们一起看看具体的实现步骤。1）安装...

一、实验环境：主域控制器、额外域控制器都开启windows防火墙。二、问题现状此时两个DC 之间启动防火墙，就会出现无法同步的现象。从服务器日志看到：文件复制服务有困难启用复制: 从PDC 到BDC 为c:\windows\sysvol\domain 用DNS 名称pdc.xin***.com 。FRS 将继续重试。以下是您看到此警告的一些原因。1、FRS 不能从此计算...