Windows活动目录相关(4)
检测域控制器时间是否同步:
你可以使用“net time PDC /set /y”来同步该台域控制器和PDC的时间。
检测域控制器userAccountControl属性以及Kerberos信任:
1. 确认双方的KDC服务都是在启动的状态。
2. 确认该计算机帐号的“Trust computer for delegation”的选项已经激活。
3. 如果用adsiedit或ldp工具察看该计算机的userAccountControl属性,它的值为532480 (0x82000)
4. 如果两台域控制器在不同的域里,那么使用“Active Directory Domains and Trusts 来验证两个域的信任连接是否正常。
更改KDC相关的设置:
当目录复制服务已经由于安全检测没有通过而中断,你需要更改KDC的相关配置来使两台机器的验证得以通过。
1. 如果计算机在不同的域,你在源域控制器上添加如下注册表键值:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters
Value name: Replicator Allow SPN Fallback
Value type: REG_DWORD
Value data: 1
2. 在源控制器上运行:
C:>repadmin /add cn=configuration,dc=
3. 当你完成上述指令后,删除“Replicator Allow SPN FallBack”键值。
重新设置计算机密码和更新kerberos的缓存内容:
在得到“Access is denied”错误时,您可能需要重设计算机密码:
1. 停止当前KDC服务。“C:>net stop kdc”
2. 清除用户的kerberos缓存内容。“c:>Klist purgeall”
3. 通过计划任务服务启动一个由LocalSystem帐号启动的CMD窗口
C:>at system_time /interactive cmd.exe
4. 当系统弹出CMD窗口后,在该窗口里运行“c:>klist purgeall”.这样系统的kerberos缓存内容也被清空了。
5. 在CMD窗口里执行以下指令来重设计算机密码:
C:>netdom resetpwd /server:PDC /userD:domainadmin_account /PasswordD:*
您需要在按回车符后提供该帐号的密码。当您收到成功的消息后,尝试通过访问PDC的FQDN名字来使自己的更新kerberos 票证。
C:>net use PDC.domain.comIPC$
6. 用AD Site and Service 来重新检测复制的拓扑逻辑,或者用命令行方式检测KCC。 “C:>repadmin /KCC”
7. 随后用repadmin /syncall /d /e
检测SPN的注册情况:
1. 首先,运行“SETSPN DC1”,您会得到如下类似输出:
Registered ServicePrincipalNames for CN=dc1,OU=Domain
Controllers,DC=mydomain,DC=com:
HOST/dc1
HOST/dc1.mydomain.com
HOST/dc1.mydomain.com/mydomain.com
GC/dc1.mydomain.com/mydomain.com
LDAP/3cb25b0f-3809-48fb-8571-59f4a2253846._msdcs.mydomain.com
LDAP/dc1.mydomain.com/mydomain
LDAP/dc1
LDAP/dc1.mydomain.com
LDAP/dc1.mydomain.com/mydomain.com
HOST/dc1.mydomain.com/mydomain
E3514235-4B06-11D1-AB04-00C04FC2DCD2/3cb25b0f-3809-48fb-8571-59f4a2253846/mydomain.com
最后一项名字是目录复制注册所用的SPN名字,如果你没有找的该名字,则目录复制无法正常进行,你必须为该服务器重新注册该名字“setspn -a E3514235-4B06-11D1-AB04-00C04FC2DCD2/3cb25b0f-3809-48fb-8571-59f4a2253846/mydomain.com”
需要注意的是“E3514235-4B06-11D1-AB04-00C04FC2DCD2”是一个固定值,你不需要更改他。而后面一个值“3cb25b0f-3809-48fb-8571-59f4a2253846”是该服务器的GUID,你可以通过DNS的_msdcs 区域得到该服务器的值。
2. 用如下命令来检测该域控制器是否拥有两个或两个以上相同的SPN。理论上来讲,一个域控制器只能有一个对应的DRS SPN。
“LDIFDE –f output.txt –d dc=domain,dc=com –r “(&(objectclass=user)(serviceprincipalname= E3514235-4B06-11D1-AB04-00C04FC2DCD2/3cb25b0f-3809-48fb-8571-59f4a2253846/mydomain.com))” –l “dn,ServicePrincipalName,ObjectClass,saMAccountName””
网友评论