如何监视活动目录复制和解决相关问题
2007-06-21 12:28:42 来源:WEB开发网需要注意的是“E3514235-4B06-11D1-AB04-00C04FC2DCD2”是一个固定值,你不需要更改他。而后面一个值“3cb25b0f-3809-48fb-8571-59f4a2253846”是该服务器的GUID,你可以通过DNS的_msdcs 区域得到该服务器的值。
2. 用如下命令来检测该域控制器是否拥有两个或两个以上相同的SPN。理论上来讲,一个域控制器只能有一个对应的DRS SPN。
“LDIFDE –f output.txt –d dc=domain,dc=com –r “(&(objectclass=user)(serviceprincipalname= E3514235-4B06-11D1-AB04-00C04FC2DCD2/3cb25b0f-3809-48fb-8571-59f4a2253846/mydomain.com))” –l “dn,ServicePrincipalName,ObjectClass,saMAccountName””
检测复制区域的权限:
域控制器必须对需要复制的区域有“复制”的权限。如果该域控制器有3个复制区域,domain,configuration和schema。那么必须检测域控制器的机器帐号有对该3个区域的复制权限。
i. 运行adsiedit
ii. 右键点击每一个区域的根结点,选择“内容”
iii. 在安全页里的名字栏里点击“Enterprise Domain Controllers”,确认该组有 “manage replication topology”“Replication Directory Changes”“Replication Synchronization”权限,同时必须确认该计算机帐号在“Enterprise domain controller”组里。
安全策略检测:
使用“secedit /export /mergedpolicy /cfg sec.txt”导出双方服务器的安全策略配置,检测双方的SMB协议配置是否恰当,这包括如下内容:
Digitally Sign Client Communication (Always).
更多精彩
赞助商链接