内容摘要:在Windows的活动目录服务中,域控制器的活动目录数据库里包含着所有目录对象,比如用户帐号,机器帐号和其它各种类型的对象。而“目录复制”组件则负责把发生在该域控制器上的目录对象更改复制到其它域控制器上去,以保证所有域控制器的数据库内容相对一致。如果域控制之间的目录复制发生了问题,则会引起非常严重的问题。
检测“Access this computer from network user right”
在MPS报告里,找到 _userrights.txt 文件,确认everyone,authenticated users,以及enterprise domain controllers 组拥有该权限。
检测域控制器时间是否同步:
你可以使用“net time PDC /set /y”来同步该台域控制器和PDC的时间。
检测域控制器userAccountControl属性以及Kerberos信任:
1. 确认双方的KDC服务都是在启动的状态。
2. 确认该计算机帐号的“Trust computer for delegation”的选项已经激活。
3. 如果用adsiedit或ldp工具察看该计算机的userAccountControl属性,它的值为532480 (0x82000)
4. 如果两台域控制器在不同的域里,那么使用“Active Directory Domains and Trusts 来验证两个域的信任连接是否正常。
更改KDC相关的设置:
当目录复制服务已经由于安全检测没有通过而中断,你需要更改KDC的相关配置来使两台机器的验证得以通过。
1. 如果计算机在不同的域,你在源域控制器上添加如下注册表键值:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters
Value name: Replicator Allow SPN Fallback
Value type: REG_DWORD
Value data: 1
2. 在源控制器上运行:
C:>repadmin /add cn=configuration,dc=,dc=com
3. 当你完成上述指令后,删除“Replicator Allow SPN FallBack”键值。
重新设置计算机密码和更新kerberos的缓存内容:
在得到“Access is denied”错误时,您可能需要重设计算机密码:
1. 停止当前KDC服务。“C:>net stop kdc”
责编:豆豆技术应用
- 配置 SCA 组件参与 WS-AT 全局事务
- 使用 WebSphere Process Server 关系开发集成解决方案
- Samba服务器安装配置过程介绍
- pptpd+radius+mysql 安装攻略(part1 pptpd部分)
- slackware10.0安装PPTPD服务做MPPE加密VPN的全过程
- LINUX 下 VPN 服务器 pptpd 配置
- Red Hat 8.0上通过RPM安装PPTPD服务器
- 快速安装Linux上的pptpd服务器
- 使用Windows PowerShell查看系统信硬件信息-1
- 在 WebSphere Portlet Factory 中创建 Web Service