1、首先找到windows\system32\下的netid.dll
2、在AD服务器组策略里系统文件下设置,将netid.dll的ntfs权限设置为最小
3、刷新策略,计算机名标签页将消失
a.在所有可写DC脱机时,RODC无法登录,RODC站点内客户端无法加入\退出域.
b.如果有父子域存在,添加RODC时,需要RODC站点内RODC与父域根DC保持通信.
c.可写DC与RODC站点通信正常,RODC站点内客户端可以只添加RODC上DNS服务器地址,就可进行加入\退出域的操作.
d.如果RODC脱机,客户端只添加了RODC上DNS服务器地址,将无法进行进行加入\退出域的操作.
在域内一台windows2008成员服务器上安装DPM 2007 Agent时,报下列错误:
在Servername上安装保护代理 失败:
错误 313: 在 Servername上运行安装程序时发生错误,代理操作失败。
错误详细信息: 安装时发生严重错误 (0x80070643)
推荐的操作: 请参阅 Servername上的日志文件: [windir]\temp\msdpm*.log 并采取适当的措施。重试此操作,如果仍然发生此错误,请重新启动计算机,然后重试此操作。
我查看了日志,但真的没看出问题所在.
所以一个人仔细排错:我禁用了网络连接里的windows 防火墙,以为这样就不会是防火墙的影响所致了,但是,我在检查服务管理控制台时,发现Windows Firewall 服务依然是"已启动"状态,我将该服务设置为: 禁用-手工启动.然后安装Agent时依然是报313错误.
我将服务器重启,防火墙服务刷新后(Windows Firewall 服务禁用),安装Agent成功.
之后再将防火墙服务启动,在防火墙例外选项里将DPM代理程序dpmra设为例外.
可见Windows 2008的防火墙保护的是多么深刻!
保持期是指数据处于可恢复状态的持续时间。DPM 在保持期中指定的持续时间内保留恢复点。副本不一致的任何一天都不计入保持期。如果 DPM 保护因副本不一致而临时停止,则在保护恢复前,DPM 不会删除过期的恢复点。
例如,如果指定保持期为 10 天,在第 1 天创建了恢复点。第 2 天,副本变得不一致。第 3 天,运行定期的一致性检查,副本变得一致。由于副本有一天不一致,所以第一天创建的恢复点在第 11 天以后才会被删除。
为成功启用 Configuration Manager 客户端以查询 Active Directory 域服务以查找站点资源,需要执行四个操作:
- 扩展 Active Directory 架构。
- 创建系统管理容器。
- 设置系统管理容器的安全权限。
- 为 Configuration Manager 站点启用 Active Directory 发布。
如何在 Active Directory 域服务中创建系统管理容器?
手动创建系统管理容器
-
用在 Active Directory 域服务中对“系统”容器具有“创建所有子对象”权限的帐户登录。
-
打开 ADSIEdit MMC 控制台,然后连接到站点服务器所在的域。
-
在控制台窗格中,展开“域 [计算机完全限定的域名]”,再展开“<可分辨名称>”,然后右键单击“CN=System”。在上下文菜单上,单击“新建”,然后单击“对象”。
-
在“创建对象”对话框中,选择“容器”,然后单击“下一步”。
-
在“值”字段中,输入系统管理,然后单击“下一步”。
-
单击“完成”。
可以通过运行 ExtADSch.exe 实用程序或使用 LDIFDE 命令行实用程序以导入 ConfigMgr_ad_schema.ldf LDIF 文件的内容来为 Configuration Manager 2007 扩展 Active Directory 架构。实用程序和 LDIF 文件均位于 Configuration Manager 2007 安装文件的 SMSSETUP\BIN\i386 目录中。
如何使 Configuration Manager 站点能够将站点信息发布到 Active Directory 域服务?
-
在 Configuration Manager 控制台中,导航到“System Center Configuration Manager/站点数据库/站点管理/<站点代码> - <站点名称>”。
-
右键单击“<站点代码> - <站点名称>”,然后单击“属性”。
-
在站点属性的“高级”选项卡上,选择“在 Active Directory 域服务中发布此站点”复选框。
我们可以域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住,在 Microsoft Active Directory 中设置这些策略时,Microsoft Windows 仅允许一个域帐户策略:应用于域树根域的帐户策略。域帐户策略将成为属于该域的任何 Windows 系统的默认帐户策略。此规则的唯一例外情况是,当为组织单位定义了另外一个帐户策略时。组织单位 (OU) 的帐户策略设置将影响到该 OU 中任何计算机上的本地策略。
帐户策略
帐户策略是在域级别上实现的。Microsoft Windows Server 2003 域必须有一个针对该域的密码策略、帐户锁定策略和 Kerberos V5 身份验证协议。在 Active Directory 中任何其他级别上设置这些策略将只会影响到成员服务器上的本地帐户。如果有要求单独密码策略的组,应根据任何其他要求将这些组分段到另一个域或目录林。
对于域帐户,每个域只能有一个帐户策略。必须在默认域策略或链接到域根的新策略中定义帐户策略,并且帐户策略要优先于由组成该域的域控制器强制实施的默认域策略。域控制器总是从域的根目录中获取帐户策略,即使存在应用于包含域控制器的 OU 的其他帐户策略。域的根目录是该域的顶层容器,不要与目录林中的根域相混淆;目录林中的根域是该目录林中的顶层域。
默认情况下,加入域的工作站和服务器(即域成员计算机)还为其本地帐户接收相同的帐户策略。但是,通过为包含成员计算机的 OU 定义帐户策略,可以使成员计算机的本地帐户策略区别于域帐户策略。
用可还原的加密来存储密码(针对域中的所有用户)
“用可还原的加密来存储密码(针对域中的所有用户)”设置确定 Microsoft Windows Server 2003、Windows 2000 Server、Windows 2000 Professional 和 Windows XP Professional 是否使用可还原的加密来存储密码。
此策略支持使用需要了解用户密码以便进行身份验证的协议的应用程序。根据定义,存储以可还原方式加密的密码意味着可以对加密的密码进行解密。能够破解这种加密的高水平攻击者然后可以使用已被破坏的帐户来登录到网络资源。出于此原因,请永远不要启用此设置,除非应用程序的要求比保护密码信息更为重要。
使用通过远程访问的 CHAP 身份验证或 Internet 验证服务 (IAS) 时要求启用此设置。质询握手身份验证协议 (CHAP) 是 Microsoft 远程访问和网络连接使用的一种身份验证协议。Microsoft Internet 信息服务 (IIS) 的摘要式验证也要求启用此设置。
总结
在对域范围上设置密码策略时,只能有一套策略,而且需要在域结构中的根节点上设置,可以使用Default Domain Policy 进行密码策略的制定。此时域密码策略将覆盖" 本地计算机策略" 的密码策略.
如在OU级别上设置了密码策略,并不会影响域密码策略,而是通过OU级别的密码策略统一设置了OU内计算机的“本地计算机”策略中的密码策路。此时OU级别的密码策略将覆盖域密码策略对" 本地计算机策略" 的密码策略的修改.
在AD Fsmo 角色转变过程中,我们都建议尽量使用 transfer,而不是 seize 。
但有时还是会在无法正常 transfer 时,而使用 seize 。
我们知道在执行 seize 时,原承担Fsmo角色的那台Server,应该是处于宕机或离线状态,方能成功 seize。
并且当 seize 之后,原承担Fsmo角色的Server,应该重装操作系统,彻底放弃原Server的任何身份角色,并在现有DC上删除原Fsmo角色Server的垃圾数据。
如果,如果,我们不小心,将本该重装的那台Server,在没有重装的前提下又重新连入当前Domain,会是什么情况呢?我现在就呈现给大家---
实验环境介绍:
两台DC,DC1为根DC ,承担着Fsmo角色;DC2为辅助DC。分别运行着Windows server 2003 sp2、DNS。
虚机使用VPC2007。
实验步骤:
1、在虚机中将DC1暂停,那么此时DC2将无法联系DC1,开始使用 seize 进行抢夺Fsmo角色。
2、在DC2获得Fsmo角色后,重新启动DC2;DC2进入系统后,将虚机DC1从暂停状态改变为启动状态,DC1连入网络后并未报错,此时将DC1重新启动。
3、DC1进入系统后,分别从两台DC上查看Fsmo角色所属,均为DC2,目前判断 seize 操作结果正常。
4、停止操作,观察两台DC运行状况,2小时后一切正常,未报告事件错误。
5、对上述操作反向执行:将DC2暂停,操作DC1执行 seize 后,再观察DC运行情况,未发现报错。
实验总结:
在虚拟环境中,如此操作并未造成AD失效,Fsmo角色的转变能够通知DC,并更新自身所属角色。
生产环境中不建议如此操作。切记。
客户这边使用自主开发的OA,希望通过活动目录组策略统一设置IE的某些属性来减轻桌面配置OA使用环境的工作量,其中的一个需求就是:在IE属性-常规-Internet临时文件-设置里,将“检查所存网页的较新版本”设为“每次访问此页时检查”。
在系统默认的组策略中并没有现成的设置可以实现“检查所存网页的较新版本”的要求。然而,您可以通过手动创建并导入管理模板的方式来做到。
在域控制器上根据以下步骤进行操作:
1. 新建一个记事本文件,拷贝并粘贴以下文本:
CLASS USER
CATEGORY !!categoryname
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Internet Settings"
POLICY !!policyname
EXPLAIN !!explaintext
PART !!labeltext DROPDOWNLIST REQUIRED
VALUENAME "SyncMode5"
ITEMLIST
NAME !!Never VALUE NUMERIC 0
NAME !!Every_time VALUE NUMERIC 2
NAME !!Every_visit VALUE NUMERIC 3
NAME !!Automatically VALUE NUMERIC 4 DEFAULT
END ITEMLIST
END PART
END POLICY
END CATEGORY
[strings]
categoryname="Temporary Internet Files"
policyname="Check for newer versions of stored pages"
explaintext="Use this policy to set options under Check for newer versions of
stored pages"
labeltext="Option Selection"
Never="Never"
Every_time="Every time you start Internet Explorer"
Every_visit="Every visit to the page"
Automatically="Automatically"
2. 将该文件保存到C:\Windows\Inf 目录下,并以.adm为文件后缀名。
3. 导入并新建一个管理模板。
a. 打开“Active Directory用户和计算机”,右键点击域或者OU的“属性”,打开适当的“组策略编辑器”。
b. 点击“用户配置”——右键点击“管理模板”——添加/删除模板——添加刚才创建的.adm文件,关闭该窗口。
c. 右键点击“管理模板”——“查看”——“筛选”,去除“只显示能完全管理的策略设置”选项,点击“确定”。
d. 点击“Temporary Internet Files”——在右边的窗口中选择“Check for newer versions of stored pages”——“已启用”——“ every visit to the page”,点击“确定”。
e. 在命令提示符中输入GPUPDATE /FORCE,重启域控制器,刷新组策略。
ADM From: Gtsc zhangyiping
管理模板是Windows XP/Server 2003组策略的一个重要组件,它们均为Unicode格式的文本文件,扩展名.adm,组策略对象编辑器用户界面的管理模板部分即由它们创建。
通过对象编辑器的两个管理模板部分,可实现对组策略对象(GPO)指定计算机注册表的机器(HKLM)和用户(HKLM)部分的修改,而你只需将你的组策略对象同适当的地址、域或组织单位连接起来,但管理模板(.adm文件)并不会自己修改目标计算机的注册表,它们只是在对象编辑器里创建GUI,从而使你可为组策略对象指定的计算机配置注册表。
目前,通过管理模板可对1300多种不同的注册表设置进行修改,其功能之强大可见一斑,这些设置包括从配置网络设置到禁闭用户桌面以及配置组策略的工作方式等。你可以通过对象编辑器安装管理模板,Windows缺省安装了一些模板,也可以为某些Microsoft应用程序下载其他模板,甚至可以创建自己的模板。
管理模板的分类
1.标准模板
标准管理模板放在计算机的%windir%\inf文件夹下,操作系统版本不同,缺省安装的管理模板也不一样。表1列出了不同操作系统缺省安装的模板。
表1 缺省管理模板
|
模板
|
操作系统版本
|
注释
|
|
Conf.adm
|
2000/XP/2003
|
显示配置Microsoft NetMeeting的策略设置
|
|
Inetres.adm
|
2000/XP/2003
|
显示配置Microsoft Internet Explorer的策略设置
|
|
System.adm
|
2000/XP/2003
|
显示配置核心OS GUI特征的策略设置
|
|
Wmplayer.adm
|
XP/2003
|
显示配置Windows Media Player的策略设置
|
|
Wuau.adm
|
2000SP3/XPSP1/2003
|
显示配置自动更新的策略设置
|
除上述这些操作系统缺省安装的模板,%windir%\inf文件夹下还有一些模板是在你需要的时候安装使用的。
表2 其他标准管理模板
|
模板
|
注释
|
|
Common.adm
|
显示同Windows 9x/NT相同的策略设置(使用系统策略编辑器poledit.exe)
|
|
Inetcorp.adm
|
显示配置拨号上网、语言和Internet Explorer临时文件的策略设置
|
|
Inetset.adm
|
显示配置Internet Explorer的其他策略设置
|
|
Windows.adm
|
显示Windows 9x特有的策略设置(使用系统策略编辑器poledit.exe)
|
2.其他模板
首先来看一下Microsoft Office 2003的模板(表3),这些模板在Office 2003资源工具包中可以得到,通过这些模板可对Office应用程序在受管理环境即组策略环境中进行更多的控制。
表3 Office 2003管理模板
|
模板
|
注释
|
|
Aer_1033.adm
|
显示配置应用程序出错报告的策略设置
|
|
Access11.adm
|
显示配置Microsoft Access 2003的策略设置
|
|
Dw20.adm
|
配置应用程序出错报告的一个较早期模板,在Office 2003中被Aer_1033.adm取代
|
|
Excel11.adm
|
显示配置Microsoft Excel 2003的策略设置
|
|
Fp11.adm
|
显示配置Microsoft FrontPage 2003的策略设置
|
|
Gal11.adm
|
显示配置Microsoft Clip Organizer的策略设置
|
|
Inf11.adm
|
显示配置Microsoft InfoPath 2003的策略设置
|
|
Instlr11.adm
|
显示配置Microsoft Windows Installer的策略设置
|
|
Office11.adm
|
显示所有Office 2003组件相同的策略设置
|
|
Onent11.adm
|
显示配置Microsoft OneNote 2003的策略设置
|
|
Outlk11.adm
|
显示配置Microsoft Outlook 2003的策略设置
|
|
Ppt11.adm
|
显示配置Microsoft PowerPoint 2003的策略设置
|
|
Pub11.adm
|
显示配置Microsoft Publisher 2003的策略设置
|
|
Word11.adm
|
显示配置Microsoft Word 2003的策略设置
|
在Microsoft下载中心还可以找到Office 2003 Service Pack 1的一些最新模板,Office的早期版本也有自己的模板。
另外,还有一些模板,如Windows Server 2003资源工具包中的Inetesc.adm,它显示Windows Server 2003中Internet Explorer增强安全配置的策略设置,你可以从Microsoft下载中心得到最新的组策略管理模板文件。
移动用户的 Documents and Settings 文件夹:
1、确定用户的配置文件路径。确定配置文件路径有两种方法。可以使用以下两种方法中的任一种(首选用户
SID 方法):
- 用户 SID 方法:
- 使用 Windows Server Resource Kit 中的 Getsid 工具获取
SID。使用与以下示例类似的语法:
getsid \\服务器1用户名
\\服务器1用户名
- 获取 SID 之后,使用 Regedit.exe 或 Regedt32.exe 在以下注册表项之下选择用户的
SID:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
- 用户路径设置方法:
- 以用户身份登录到计算机,然后在命令提示符下键入 set。记下 USERPROFILE 的设置,然后关闭命令提示符窗口。
- 以计算机管理员的身份登录。
- 使用注册表编辑器将 USERPROFILE 设置添加到以下注册表项中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
- 单击注册表项,然后单击编辑菜单上的查找。
- 在查找框中,键入 USERPROFILE 设置的值,然后单击查找下一个。
2、更改 ProfilesDirectory 值以使用您希望在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
注册表项中使用的新路径。
3、退出注册表编辑器,然后以用户身份登录。在命令提示符下键入 set,以确认路径已更改。
Windows XP用户配置文件丢失或损坏后的恢复方法
现象:
该用户桌面上文件和文件夹中数据全部丢失("C:\Documents and Settings\用户名"文件夹里的桌面、开始菜单、文件……等)。
恢复过程:
1、 进入Windows xp"安全模式"启动电脑;
2、 在包涵隐藏文件夹在内的目录中搜索"ntuser.*"文件,观察"C:\Documents and
Settings\用户名"目录下的"NTUSER.DAT"和"ntuser.dat.LOG"文件是否存在;
3、 双击"NTUSER.DAT"看系统是否提示"ntuser.dat.LOG"损坏或丢失的;
4、 在"运行"中敲入"cmd"命令,运行"chkdsk/f命令";
5、 完成后重启系统即可。
一、传送五种主控
操作:
1、安装第二台DC(假设为DC2,原来的为DC1),
2、到相应的管理工具(具体见前)下,右键连接到域控制器:DC2,
3、右键/操作主机/相应标签下,点击更改即可。
说明:
1、其实在图形界面下,操作很简单,关键看能不能成功。
2、目标都在下面,只有架构的特殊,目标在上面。
3、如果DC都是最近安装的,极易成功。如果是运行了一段时间的,就不好说了。但我估计你的成功率应在九成以上,因为一般网管都不太动这个。
4、传送结构主控时,若目标已是GC,会提示出错。可以不理会,继续。因为结构主控负责:更新外部对象的索引(组成员资格),不应该和GC在同一个DC上,应手动移走,否则将不起作用。而单域不需要基础结构主控非得有效,我们一般平常用的都是单域,默认基础结构主控就和GC在一起,不起作用。
5、若传送不成功,不要着急,等5分钟~2小时不等,你什么都没做,再试可能就成功了。可以利用AD站点和服务/站点/默认的第一个站点名/SERVER/DC/ntds setting/AD连接/右键/立即复制副本,来强制AD马上复制。但有时候,仅依赖于此,还是不行,还得等。
6、至于把老DC从AD中去除,在开始/运行/DCPROMO,卸载AD。不要选“这是域中最后一台DC”,若能成功卸载,就一切OK了。如不成功,可以直接把原DC废掉重装。AD中会有原DC的垃圾对象,也不影响什么。若非要清干净,参见前例。
7、如果原角色DC已经无法访问,就只能进行强制传送了,也就是查封(seize)。查封的实质就是强行推出新的主控,会有数据的丢失。在图形界面下会有提示:原主控无法联系,是否强行传送。选择“是”,进行的就是查封操作。
8、利用ntdsutil工具roles下transfer命令和seize命令也可以实现上述操作。实验中发现,无论是用transfer还是seize,关键看是否能连接到原主控。连接下情况,就是传送;不连接情况下就是查封。如:在连接情况下,使用查封(seize)命令,操作的结果仍是传送:原主控不再是主控,目标成为新的主控。
首先,执行常规步骤如下:
1、Dcpromo /forceremoval强制卸载AD
2、重设目录恢复模式下的管理员密码:
2000:winnt\system32\setpwd.exe
03:使用ntdsutil实用工具,set dsrm password
如果按照上例的要求,还是无法正常卸载AD,且出错提示未提到DNS方面的故障。考虑本机上已安装有的应用程序,你还不想重做系统,可考虑使用如下办法。
1、开始/运行,在命令行中输入regedit或regedt32打开注册表编辑器。
2、找到以下的键值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options
键值:ProductType 类型:REG_SZ
3、 将原来的值“LanmanNT”改为“ServerNT”。
说明:
(1)LanmanNT表示本机为域控制器DC,ServerNT表示本机为非DC。
(2)只有当CurrentControlSet1和CurrentControlSet下的键值:ProductType 所等于的数据不同时,即一个为ServerNT,一个为LanmanNT才允许修改。否则将会出如下提示:
¨ 对于2000:“系统已检测到干预您的注册产品类型,这是您对软件许可证的侵犯。干预产品类型是不允许的。”
¨ 对于03:“系统检测到您的注册的产品类型有篡改现象。这是对软件许可证的侵犯。篡改产品类型是不允许的。”
接下来,方法一:
1、重新启动计算机,按F8键进入到“目录服务恢复模式”。
说明:
(1)在此模式下,AD不工作,以便对AD库文件及系统卷sysvol进行操作。
(2)登录的口令不同于平时所用的口令,是在安装AD时,所设的目录恢复模式下的口令。保存在本机一个SAM库文件中。
2、删除存放活动目录数据库的文件夹,默认为C:\WinNT\NTDS,或C:\Windows\NTDS。
3、删除存放系统卷的文件夹,默认为C:\WinNT\SYSVOL,或C:\Windows\SYSVOL
4、重新启动计算机。
5、由于还有一些作为域控制器的注册表键值和文件存在,所以在重新启动完计算机后,还需要使用dcpromo命令来升级计算机B到一个临时的域的域控制器(域名可以任意填写),然后再用dcpromo命令降级,这样才会完整地删除所有和域控制器相关的注册表键值和文件。
方法二
1、开始/运行,在命令行中输入dcpromo
2、由于前面已经修改了注册表,此时为AD安装界面,而非卸载界面。
3、会遇到如下出错提示:“由于网络上名称冲突,选定默认的NetBIOS域名‘xxx’”。
说明:xxx为你修改注册表前原来域的NetBIOS名称。
4、不必介意出错提示,手动设置你想要的名称。比如你此次的域为abc.com,则手动设xxx改为ABC即可。
5、再接下来会遇到提示:“c:\winnt\ntds文件夹不是空的,当升级处理开始时,要删除文件夹中所有的文件吗?(如果不,请指定另一个文件夹。)”
6、选择:是
说明:
(1)在选择系统卷的夹,如c:\winnnt\sysvol后,时间可能会比较长,请耐心等待。
(2)和正常安装时一样,可能会碰到DNS错误提示,一般选择在本机安装DNS即可。
(3)也可能会出现“计算机已脱离域,帐号未被禁用”的提示,不必理会。
(4)最重要的一点是:这第一次非常可能不成功,再重来一遍dcpromo即可。
7、如果这次安装是为了清除残余的注册表键值和垃圾文件,可再次运行dcpromo进行卸载。当然直接使用这台DC,也是可以的。
最后强调一下,此方法并不是万能的。一是前面我们已经提到的,有时注册表不允许修改或者改完了存不上。再有就是如果在卸载的一开始,就出现有关DNS的出错信息,必须首先排除DNS故障才行。
在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC恢复到普通成员/独立服务器身份,这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后,仍在域中。
3、如果AD不能卸载,应从以下几方面考虑:
(1)网卡是否正常工作
即使你整个林中只有一台计算机,也要保证网卡正常工作,才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载,提示“卸载SYSVOL文件夹出错”
(2)权限
权限要求与安装AD时类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员(Enterprise Admins)权限;卸载附加DC需要该域的域管理员(Domain Admins)权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
(3)DNS
一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能通过DNS找到相应DC,进行验证。
(4)域命名主控
卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。
但要注意的是:卸载时,域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因,操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。
(5)卸载的顺序
与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而存在的子域还有问题,找不到林根域、树根域了。
因为这时极有可能架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删除林根域了。
最近的项目中遇到了这样一个频繁出现的问题:我在部分Active Directory成员服务器上发现有以下错误日志出现:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1053
Date: 20/02/2008
Time: 11:33:26
User: NT AUTHORITY\SYSTEM
Description:
Windows cannot determine the user or computer name. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted.
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 2/20/2008
Time: 8:46:59 AM
User: NT AUTHORITY\SYSTEM
Description:Windows cannot obtain the domain controller name for your computer network. (An unexpected network error occurred. ). Group Policy processing aborted.
对事件日志的分析,我发现Userenv 1053或1054日志仅出现在服务器重启的时间段内。在服务器成功启动与用户登录后,我们可以在Application日志中看到SceCli 1704事件,这表明GPO在服务器启动后已经成功应用。
Event Type: Information
Event Source: SceCli
Event Category: None
Event ID: 1704
Date: <Date>
Time: <Time>
User: N/A
Description:
Security policy in the Group policy objects has been applied successfully.
同时,我也检查了利用”gpupdate /force”命令手动在这些服务器上刷新GPO应用,我们确认获得相应的SceCli 1704事件,GPO应用是成功的。
如果Userenv 1053/1054日志仅出现在服务器重启的时间段内,这是一个比较常见的现象。如果组策略引擎在等待网络初始化期间超时,则会出现此问题。当 TCP/IP 协议与网络适配器驱动程序尝试向Microsoft 网络驱动程序接口规格 (NDIS) 注册时,它们之间可能出现争用情况。如果 TCP/IP 协议先于网络适配器驱动程序向 NDIS 注册,在很短时间内,它会向更高的用户模式网络组件发出网络连接不可用的提示。在这段很短的时间内,将无法从DC的SYSVOL共享下载组策略。此问题更有可能在使用 1 GHz 网络适配器的快速网络中出现,或在网络需要几个额外周期才能协商链接速度的团队环境下发生。同时,此现象也会受到交换机Spanning Tree功能,网卡驱动程序等的影响。
如果GPO在服务器成功启动并登录后可以正常应用,并且我们没有观察到由Userenv 1053/1054事件引发的必然性错误,则针对此现象进行研究并没有实际的意义。
我检查了主DC与辅DC的工作情况,确认Active Directory域控制器也是正常工作的。