如何监视活动目录复制和解决相关问题

核心提示： 检测“Access this computer from network user right”在MPS报告里，找到_userrights.txt 文件，如何监视活动目录复制和解决相关问题(6)，确认everyone，authenticated users，删除&l

检测“Access this computer from network user right”

在MPS报告里，找到　_userrights.txt 文件，确认everyone，authenticated users，以及enterprise domain controllers 组拥有该权限。

检测域控制器时间是否同步：

你可以使用“net time PDC /set /y”来同步该台域控制器和PDC的时间。

检测域控制器userAccountControl属性以及Kerberos信任：

1. 确认双方的KDC服务都是在启动的状态。

2. 确认该计算机帐号的“Trust computer for delegation”的选项已经激活。

3. 如果用adsiedit或ldp工具察看该计算机的userAccountControl属性，它的值为532480 (0x82000)

4. 如果两台域控制器在不同的域里，那么使用“Active Directory Domains and Trusts 来验证两个域的信任连接是否正常。

更改KDC相关的设置：

当目录复制服务已经由于安全检测没有通过而中断，你需要更改KDC的相关配置来使两台机器的验证得以通过。

1. 如果计算机在不同的域，你在源域控制器上添加如下注册表键值：

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters

Value name: Replicator Allow SPN Fallback

Value type: REG_DWORD

Value data: 1

2. 在源控制器上运行：

C:>repadmin /add cn=configuration,dc=,dc=com

3. 当你完成上述指令后，删除“Replicator Allow SPN FallBack”键值。

重新设置计算机密码和更新kerberos的缓存内容：

在得到“Access is denied”错误时，您可能需要重设计算机密码：

1. 停止当前KDC服务。“C:>net stop kdc”