内容摘要:在Windows的活动目录服务中,域控制器的活动目录数据库里包含着所有目录对象,比如用户帐号,机器帐号和其它各种类型的对象。而“目录复制”组件则负责把发生在该域控制器上的目录对象更改复制到其它域控制器上去,以保证所有域控制器的数据库内容相对一致。如果域控制之间的目录复制发生了问题,则会引起非常严重的问题。
3. 检测被分配的动态端口没有被封闭。
为了进行上述检测,你可以使用portqry.exe 和rpcdump.exe两个工具。比如下面这个案例是用来检测TCP端口135是否打开,并且DRS RPC endpoint的通讯是否正常:
1. 用rpcdump来查询DRS endpoint 是否已经在RPC的endpoint mapper 数据库里进行了注册
C:>Rpcdump /s /v /i > endpoint.txt
2. 打开endpoint.txt 文件,查看ncacn_ip_tcp 一段里是否有e3514235-4b06-11d1-ab04-00c04fc2dcd2 的UUID。比如:
ProtSeq:ncacn_ip_tcp
Endpoint:1025
NetOpt:
Annotation:MS NT Directory DRS Interface
IsListening:YES
StringBinding:ncacn_ip_tcp:65.53.63.15[1025]
UUID:e3514235-4b06-11d1-ab04-00c04fc2dcd2
ComTimeOutValue:RPC_C_BINDING_DEFAULT_TIMEOUT
VersMajor 4 VersMinor 0
3. 如果IsListening栏里显示的是“YES”,则TCP 135端口和DRS接口的通讯是畅通无阻的。从上面的报告,你还可以知道DRS接口使用1025动态端口。
4. 如果IsListening栏里显示“NO”,或者报告第一行就显示查寻错误,或者没有任何注册的endpoint,那么则问题可能和端口被封有关,你需要和您的网络供应商联系察看一下哪个网络设备阻断了该端口。比如:
Querying Endpoint Mapper Database...
137 registered endpoints found.
安全:
活动目录复制使用Kerberos来进行双方的身份验证,同时服务器上的安全策略配置也直接影响目录复制的正常进行。在您进行安全方面的检测时,你需要察看是否双方的服务器时间相一致,否则kerberos认证会返回相关错误。并且,您需要检测服务器是否注册相应的SPN 名字 (e3514235-4b06-11d1-ab04-00c04fc2dcd2/ntdsa_objectGUID/domainname),保证双方的计算机密码在双方的数据库里是同步的。这里枚举了一些你在安全方面必须要进行检查的内容和步骤:
责编:豆豆技术应用
- 配置 SCA 组件参与 WS-AT 全局事务
- 使用 WebSphere Process Server 关系开发集成解决方案
- Samba服务器安装配置过程介绍
- pptpd+radius+mysql 安装攻略(part1 pptpd部分)
- slackware10.0安装PPTPD服务做MPPE加密VPN的全过程
- LINUX 下 VPN 服务器 pptpd 配置
- Red Hat 8.0上通过RPM安装PPTPD服务器
- 快速安装Linux上的pptpd服务器
- 使用Windows PowerShell查看系统信硬件信息-1
- 在 WebSphere Portlet Factory 中创建 Web Service