IT博客-3W网络-随笔分类-Microsoft Active Directory

windows server 2003 R2 升级到 2003 SERVER 域中域控制器时升级失败！

3W网络 — Wed, 11 Oct 2006 08:30:00 GMT

好久没来写文章，今天看到有人问我这样一个问题：windows server 2003 R2 升级到 2003 SERVER 域中域控制器时升级失败！我一想估计，现在随着R2的发行，不注意的人估计都会出现这样的错误提示：
The Active Directory installation wizard cannot continue because the forest is not prepared for installing windows server
2003 ,use the adprep command-line tool to prepare both the forest and the domain for more information about using the
ADprep ,see active directory Help ,

The version of the active directory schema of the source forest is not compatible with the version of active directory on this computer

造成这个问题的原因是域中的Schema 没有扩展到最新的匹配windows 2003 server R2 的SCHEMA

我们可以通过这个方法来解决：
可以通过adprep.exe命令以及WINDOWS 2003 SERVER R2的第二张光盘来解决该问题
首先将R2的第二张光盘放入光驱，然后运行以下命令：
光驱盘符：\CMPNENTS\R2\ADPREP\adprep.exe /forestprep
在这边我要提醒大家的是在对扩展SCHEMA前首先根据微软的知识库文章对你的AD进行备份，以防止意外的发生

3W网络 2006-10-11 16:30 发表评论

组策略

3W网络 — Fri, 11 Aug 2006 02:55:00 GMT

组策略可实现如下的功能:
    软件分发,IE维护,脱机文件夹管理,安全设置,漫游配置文件夹重定向,基于注册表的设置,计算机和用户脚本,软件限制(2003)
   在安装域环境时,系统会自动生成两个组策略文件,一个是域控制器策略,这个策略会影响域内所有的DC,另一个是域策略,这处将影响所有的域内计算机.这两个策略一般情况下,我们是推荐去对其进行修改,更不应该删除,一旦你对其进行了修改或删除了,需要恢复.必须使用运用的命令才行.在WIN2003里,用DCGPOFIX命令修复.而在2000里,是没有自带的命令的,要进行修复,必须到微软网站下载recreatedepol这条命令才行.所以大家在使用时,最好不要去修改默认的组策略.
下面我们来谈谈组策略的存储,在AD里存储的每一个数据都是一个对象.组策略也是一个对象,我们就叫它GPO,它分两部份进行存储的.一部份叫组策略模板(GPT),它存储在DC的共享文件SYSVOL目录下,主要保存的是对组策略的设置.另一部份叫组策略容器(GPC),它保存在AD数据库里,主要存放的是每条组策略的版本,状态和属性方面的信息.
组策略为两部份,那它又是怎样进行应用的.当域内的机器启动时,它会读取每个组策略对象的版本信息,如果版本高了,就会去SYSVOL里读取设置,首先应用的是计算机设置,如启动脚本,然后再运行用户配置,如登录脚本.如果在这里计算机与用户策略相冲突,我们会保留计算机的设置,而忽略用户的设置.这是在同一个组策略对象里,是这样的.但如果在一个容器里有多个GPO,那又该如何去应用的呢.在这里我们遵循的是由下至上,也就是说位置在上面的是最后被应用,也就是以最高的位置上的GPO设置为准.这一点,我想大家应该能够明白,位置越高级别就越高.刚才我们谈到是在同一个容器里的多个GPO,下面我们接着谈谈在子容器,子OU里,设置又是如何被应用的呢.学过编程的人应该都知道,什么叫递归,就是父的东西会被应用到子里面.这就是继承,当然,子容器继承了,当然会有它自己的特定设置.说到这里,大家应该能明白,子容器里的是会覆盖了父容器里的设置,这是默认情况,但有一种情况,比如,父容器的管理员想强制应用一些安全方面的设置,但这些设置在子容器里又被重新设置了.按照默认的话,这些子容器的设置会生效.这当然是父容器所不愿看到的,所以我们可以为每个GPO设置拒绝覆盖.这样子容器就不能盖掉父容器的设置了.但是,如果子容器的管理员有更好的组策略设置,我们又该如何处理呢.有一条阻止覆盖.另外你还可选择应用计算机或者用户策略.谈了上面这些特殊的关系后,我们再来谈谈组策略的执行顺序SDOU:
首先,执行的是本地策略,然后是站点(SITE),接下来是域(DOMAIN),最后是组织单元(OU).我们可以把一个GPO应用到多个OU,也可以在一个OU上应用多个GPO.在这种情况下,我们怎么样知道一个对象上应用了哪些GPO呢,这里必须用到ADSIEDIT.MSC,在里面找到相应的对象,在对象上有一个GPLINK的属性,可以查到应用了哪些GPO.
    满足了上面GPO应用的顺序,但还必须满足下面的两个条件才能将GPO应用到组策略上面:
   1 .被应用的计算机或者用户必须是位于GPO所链接的SDOU内
   2.被应用的对象必须同时具有读取和应用组策略的权限.
在2003中,可以使用软件限制策略如*QQ*,这样所有含有QQ字样的程序都无法运行

3W网络 2006-08-11 10:55 发表评论

关于NETLOGON 服务出错！

3W网络 — Thu, 13 Jul 2006 02:43:00 GMT

在服务器的日志上，这个错误应该大家都不陌生了，错误的特征，我给大致描述一下：

在域中总是会有计算机由于某种原因，导致计算机账户的密码无法和lsa secret同步
系统会在计算机登陆到域的时候，提示已经丢失域的信任关系。

日志大致如下：
Event ID: 5
Source NETLOGON
Type Error
Description The session setup from the computer TEST_COMP1 failed to authenticate. The name of the account referenced in the security database is TEST_COMP1$. The following error occurred: Access is denied.

察看了kb175468 Effects of Machine Account Replication on a Domain 了解了有可能导致这一现象的原因
察看了kb154501 How to disable automatic machine account password changes 知道了如何停止这一同步
察看了Q216393 Resetting computer accounts in Windows 2000 and Windows XP 和KB260575 HOW TO：使用 Netdom.exe 重置 Windows 2000 域控制器的机器帐户密码

但似乎即便到出现问题的工作站上执行了netdom，也无法再次让这个同步回复正常。只能reset this computer account in active diretory，然后rejoin domain。

我的解决办法是：
先使用本地管理员账户连接到工作站（此时，由于丢失了和域的信任关系，domain admins 无法登陆到工作站），nslookup确认dns解析的正常。确认dns 后缀是否正确。

然后使用gpresult 察看，最后一次是哪一台dc验证了此工作站的登陆。net time /querysntp 察看时间服务是否指向正确位置，如果没有特别指定，应该是登陆的那台dc。
再次到那台dc上，使用该命令确认是否指定了时间源，如果域中没有设置time server，那么可以将时间源指向自己，如果是子域可以指向root。
最后把此工作站重新加域。

由于这样的问题一直没有得到官方的答案，特地询问了微软的工程师，陆续的回答中我做了一些整理如下：

通常情况下，我们建议客户采取下面的措施：

1 不要在客户机上长时间不登陆域。
2 把客户机从域中移走时，尽量先移到工作组中，而不是直接重装。否则要注意删掉相应的机器帐号。
3 域中的机器时间要同步。
4 把客户机加入域之前，确认域中没有其他同名的机器帐号。

同时您可以尝试下面的命令：

netdom reset computername /domain:domainname /server:servername /userO:computername\administrator /passwordO:*

然后在提示时输入computername本机管理员的密码。但是如果您现在并不能用域用户登陆computername，那么意味着安全通道已经无法建立，这样做就可能没有用。

对于Netdom.exe 和 Nltest.exe 工具而言，它们是用来重置已经建立好的安全通道同时同步计算机帐户的密码。如果安全通道已经断掉，通讯不正常了，就不能用这些工具了。我们需要在客户端重新加入域或者运行Network Identification Wizard (在系统属性里)重建安全通道。

这在Q216393 Resetting computer accounts in Windows 2000 and Windows XP 中同样提到：
These tools allow for remote and non-remote administration. Netdom.exe and Nltest.exe are command-line tools that reset a successfully established security channel. You cannot use these tools when the security channel is broken, and communication is not working correctly.

后面我查到kb中还有一个关于此问题的论述：

如果确实有固定的机器是频繁的发生这种事情，可以修改本地计算机注册表禁止计算机和dc之间的这个定期的密码同步动作。
方法可以参考：Q154501 How to disable automatic machine account passwordchanges
地址在http://support.microsoft.com/default.aspx?scid=kb;EN-US;154501

如果您需要进一步了解计算机帐户与域控制器密码同步的问题，可以参考 http://support.microsoft.com/default.aspx?scid=kb;en-us;810977

至此，这个问题应该算是定论了！如果有朋友仍然有自己的看法和建议，欢迎提出来大家讨论一下！

3W网络 2006-07-13 10:43 发表评论

如何验证是否为域控制器创建了 SRV DNS 记录

3W网络 — Wed, 28 Jun 2006 01:10:00 GMT

SRV 记录是一个域名系统 (DNS) 资源记录，用于标识承载特定服务的计算机。SRV 资源记录用于定位 Active Directory 的域控制器。要验证域控制器的 SRV 定位器资源记录，请使用下列方法之一。

DNS 管理器

在运行 Microsoft DNS 服务的服务器上安装 Active Directory 后，可以使用 DNS 管理控制台来验证是否为每个 DNS 区域都创建了适当的区域和资源记录。

Active Directory 在以下文件夹中创建自己的 SRV 记录，其中 Domain_Name 为域名：

Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

在这些位置，将显示以下服务的 SRV 记录：

_kerberos
_ldap

Netlogon.dns

如果使用非 Microsoft DNS 的服务器来支持 Active Directory，则可以通过查看 Netlogon.dns 来验证 SRV 定位器资源记录。Netlogon.dns 位于 drive:\%SystemRoot%\System32\Config 文件夹中。可以使用文本编辑器（如 Microsoft 记事本）来查看此文件。

此文件中的第一个记录是域控制器的轻型目录访问协议 (LDAP) SRV 记录。该记录应类似于如下形式：

_ldap._tcp.Domain_Name

Nslookup

Nslookup 是一个命令行工具，它显示的信息可以用来诊断域名系统 (DNS) 的基础结构。
要使用 Nslookup 来验证 SRV 记录，请按照下列步骤操作：

1.	在 DNS 上，单击“开始”，然后单击“运行”。
2.	在“打开”框中，键入 cmd。
3.	键入 nslookup，然后按 Enter。
4.	键入 set type=all，然后按 Enter。
5.	键入 _ldap._tcp.dc._msdcs.`Domain_Name`，其中 `Domain_Name` 为域名，然后按 Enter。

Nslookup 将返回显示为以下格式的一个或多个 SRV 服务位置记录，其中，Server_Name 为域控制器的主机名，Domain_Name 为域控制器所属的域，Server_IP_Address 为域控制器的 Internet 协议 (IP) 地址：
Server:localhost
Address: 127.0.0.1
_ldap._tcp.dc._msdcs.Domain_Name
SRV service location:
priority = 0
weight = 100
port = 389
srv hostname = Server_Name.Domain_NameServer_Name.Domain_Name internet address = Server_IP_Address

3W网络 2006-06-28 09:10 发表评论

活动目录排错一览！

3W网络 — Mon, 26 Jun 2006 03:19:00 GMT

A.我的活动目录中的DNS服务器上的SRV记录丢失了，怎么办？ 中国最专业的微软技术社区,Windows,SQL,exchange,sms,mom,sps,itpro,winitpro,技术中国,mstc,mstc.com.cn,黑色,黑色数据,技术,微软0q3ovW L6g!jxa
Q.首先确认你的服务器TCP/IP属性中的DNS设置是正确的，然后检查DNS区域是否正确，并且打开自动更新的功能,完成以上操作后，进入命令提示符模式，输入以下命令来完成操作：
net stop dnsbbs.mstc.com.cnec,X s)X`M/y _
net start dns技术中国%[.LYgHqu y
net stop netlogon bbs.mstc.com.cnq2A
Q
U%b+Y,J8hE$R
net start netlogon ;Dqe:o(Qm
p"@
通过以上命令可以重新注册SRV记录，最终实现找到丢失的SRV记录，当然此方法也常用的DNS的解决方法之一。
A.我的企业环境中有1台DC（域控制器），由于购买了新的服务器来替代老的服务器，怎么操作？
这个问题的解决主要是通过将新的服务器提升为现有域的辅助域控制器，加入成功后重新启动起来，进入命令行提示符，通过输入ntdsutil来传送FSMO（5种主控角色）到新的服务器上，然后将新的服务器设置为GC既可，关于FSMO的介绍可以查看本社区相关帖子。具体操作如下：
1、打开命令行,输入ntdsutil 回车
4Dl(Mfj^5G}|:r
2.再输入:roles 回车
U@8_
uq{8c
3.再输入connections 回车*};g!JR|7R6xvSI
4.再输入connect to server dc-1 --> （备注：这里的dc-1是指服务器名称）
5.提示绑定成功后，输入q退出]%iF3ix+T2t(Hj
6.输入？回车可看到以下信息
然后分别输入：
Transfer domain naming master 回车
Transfer infrastructure master回车技术中国8@W)F
{7L]sfr9?
Transfer PDC                回车A7D(f D,j+x,s
Transfer RID master          回车中国最专业的微软技术社区|Windows Server|Exchange|SQL Server|SMS|MOM|SPS....g@;v8DF
Transfer schema master       回车
以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上步骤后退出界面，安装Windows Server安装光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo用于检查FSMO的状态来确认是否传送成功。检查无误后进入活动目录站点选择NTDS找到服务器设置为GC既可。
A.我的企业由于需要更改域控制器名称，我想咨询是否可以更改？'oC#yAVT
Q.Windows 2000的域控制器是没有办法更改服务器名称的，只能降级更名后再提升，如果是Windows Server 2003的域控制器，并且是Windows 2003的域级别功能模式，是可以进行更名操作的，具体操作如下：
首先找到Windows server操作系统安装光盘，找到Support目录安装Support tools工具
安装完成后，打开命令提示符输入:$[#J&MD%]
netdom computername CurrentComputerName /add:NewComputerName中国最专业的微软技术社区,Windows,SQL,exchange,sms,mom,sps,itpro,winitpro,技术中国,mstc,mstc.com.cn,黑色,黑色数据,技术,微软o&`Ew1a1ad{f
{6t"[!Yo%?!v!O:G Ce
该命令将更新这台计算机的 Active Directory 中的服务主体名称 (SPN) 属性，并注册新计算机名的 DNS 资源记录。计算机帐户的 SPN 值必须复制到该域的所有域控制器，新计算机名的 DNS 资源记录必须分布到该域名的所有授权 DNS 服务器。如果在删除旧计算机名之前没有进行更新和注册，那么某些客户端可能无法使用新名或旧名找到该计算机。
3.确保计算机帐户更新和 DNS 注册完成之后，键入：中国最专业的微软技术社区|Windows Server|Exchange|SQL Server|SMS|MOM|SPS....xj9}f*n4T`
netdom computername CurrentComputerName /makeprimary:NewComputerName
重新启动计算机。
键入：
netdom computername NewComputerName /remove:OldComputerName 中国最专业的微软技术社区|Windows Server|Exchange|SQL Server|SMS|MOM|SPS.... \;z$k"_&j!D.}F0_f
中国最专业的微软技术社区|Windows Server|Exchange|SQL Server|SMS|MOM|SPS....1@8nU9C#f

值描述
CurrentComputerName 正在重命名的计算机的当前或主要计算机名或 IP 地址。
NewComputerName 该计算机的新名称。NewComputerName 必须是完全合格的域名 (FQDN)。在 FQDN 中为 NewComputerName 指定的主 DNS 后缀必须与 CurrentComputerName 的主 DNS 后缀相同，或者它必须包含在“domainDns”对象的“msDS-AllowedDNSSuffixes”属性中指定的允许的 DNS 后缀列表中。
OldComputerName 重命名的计算机的旧名称.
A.我的环境中有2台DC，其中一台坏掉了并且修复不好了，我想加入另外一台服务器成为DC，请问需要删除以前的信息吗？$Rm3]f2tF|&tr
Q.这样的情况是需要删除坏掉DC的信息的，因为老的DC信息如果在活动目录中存在会影响活动目录复制和拓扑的，所以是必须删除的，方法有2中，1通过安装Support tools工具，并且使用ADSIEDIT工具进行删除，2.通过ntdsutil工具进行元数据清除，这里我不详细介绍操作过程了!

Connections                - 连接到一个特定域控制器

3W网络 2006-06-26 11:19 发表评论

Windows 2003域更名工具实战

3W网络 — Wed, 21 Jun 2006 13:11:00 GMT

域更名工具（Domain Rename Tools）是Windows Server 2003为顺应用户需求而新增的一个网络维护工具。该工具极大地减轻了网管在Windows NT和Windows 2000/XP时代进行域更名操作时的压力。

　　一、优势

　　我们可以通过在Windows NT、Windows 2000和Windows Server 2003三个系统中进行域更名操作来进行简单对比，找出Windows Server 2003域更名工具的优势所在。

　　Windows NT：需要建立不同名称的新域及域控制器，然后再重建旧域的账户数据库于新域中。

　　Windows 2000：需要建立不同名称的新域及域控制器，然后使用ADMT（AD数据库迁移工具）将旧域中的AD数据库迁移到新域中，相对Windows NT时代没有了重建数据库的繁琐操作。

　　Windows Server 2003：不必建立不同名称的新域，也不用重建或迁移AD数据库，只须使用域更名工具进行几个简单的操作即可完成。

　　二、实战域更名

　　假设现在需要将shyzhong.com更名为lovebook.cn，更名的具体操作如下：

　　在“管理您的服务器”界面中点击“管理此DNS服务器”，接着在弹出的窗口中依次点击“DNS→计算机名”，并右键点击“正向查找区域”。在弹出的快捷菜单中选择“新建区域”项（图1）。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border="0" />

打开“新建区域”向导，进入“区域类型”设置框并选择默认状态。在进入“Active Directery区域复制作用域”设置框后选择“至Active Directery域shyzhong.com中的所有域控制器”项。在下一步的“区域名称”框中输入更改后的域名称，如“lovebook.cn”，接着点击“下一步”按钮。在“动态更新”设置框中选择默认状态完成设置。在完成上述操作后，就等于完成了目的域的建立。
在Windows Server 2003中，只有提升域、林的功能等级后，系统才会允许更改域名称，所以接下来应依次点击“开始→设置→控制面板→管理工具→Active Directory域和信任关系”，在打开的窗口中右键点击“shyzhong.com”，在弹出的菜单中选择“提升域功能级别”（图2）。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border="0" />

进入“提升域功能级别”对话框，点击“选择一个可用的域功能级别”项下方右侧的箭头，在弹出的下拉列表中选择“Windows Server 2003”并点击下方的“提升”按钮，接着在弹出的提示框中点击“确定”按钮。在弹出级别提升成功的提示框后，点击“确定”按钮即可。

　　接着还要进行林的级别提升操作。选中“Active Directory域和信任关系”项并点击右键，在弹出的菜单中选择“提升林功能级别”项。在弹出的“提升林功能级别”对话框的下拉菜单中选中“Windows Server 2003”模式并点击“提升”按钮。

　　经过上述的准备后，现在就可以使用域更名工具“Rendom”来完成域的更名了。把Windows Server 2003的安装光盘放入光驱，将“\VALUEADD\MSFT\MGMT”下的DOMREN目录复制到系统的C盘根目录下。接着在命令提示符窗口中进入DOMREN目录，输入“Rendom /list”命令。该命令为当前林生成描述信息（将会使用XML编码结构把信息写入到一个输出文件中，默认文件名为domainlist.xml）。

　　接着使用“记事本”对domainlist.xml文件进行编辑。将其中的“shyzhong.com”全部替换为新域的名称“lovebook.cn”，再将NetBIOS的名称也进行相应的更换后，保存该文件。接着返回命令提示符窗口，在命令行中输入“Rendom /upload”命令。

　　提示：upload命令执行的操作和目录因此而发生的变化都是为将来的重命名操作做准备。

　　接着依次输入“Rendom /prepare”命令和“Rendom /execute”命令。

　　“Rendom /prepare”命令主要用于校验连到该域的所有域控制器是否准备就绪，如果出现“Successfully”信息，则表示连接各域控制器成功。此外，本测试还检查每台域控制器进行授权的情况，以确定运行“Rendom /prepare”命令的用户是否得到了授权执行重命名的指令。如果用户没有得到“写”授权，命令将会失败。

　　“Rendom /execute”命令用于发出正式更改域名的指令，如果出现“Successfully”的信息，那么表示域的重命名过程成功完成了。

　　在上述命令执行完毕后，系统将会自动关闭并重启。此外域中所有计算机必须执行两次关机操作，第一次关机用于使新域成员资格生效；第二次关机则用于将计算机的DNS后缀自动转换为新域名称。

　　提示：如果DNS后缀没有自动更改，可右键点击“我的电脑”图标，在弹出的菜单中选择“属性”，进入“计算机名”选项卡设置界面后，点击“更改”按钮并根据提示操作即可。

　　三、调整组策略与删除原域名

　　在完成域的重命名后，如果你还希望组策略中的相关设置能够继续得到应用，就需要在命令提示符窗口的命令行中输入如下命令：

　　gpfixup /olddnsshyzhong.com /newd nslovebook.cn /oldnbSHYZHONG /newnbLOVEBOOK /dclovebook.cn

　　在执行上述命令后（中间域名部分可根据实际情况进行修改），如果看到“Start fixing non-site group policy links”信息，则表示上述命令已经成功执行。

　　最后还需要使用“Rendom /clean”命令从Active Directory中删除原域名。在成功运行了“Rendom /clean”命令后，新森林便准备就绪，可以进行下一次的森林结构调整工作了。

3W网络 2006-06-21 21:11 发表评论