如何监视活动目录复制和解决相关问题

核心提示： 需要注意的是“E3514235-4B06-11D1-AB04-00C04FC2DCD2”是一个固定值，你不需要更改他，如何监视活动目录复制和解决相关问题(8)，而后面一个值“3cb25b0f-3809-48fb-8571-59f4a2253846&rdq

需要注意的是“E3514235-4B06-11D1-AB04-00C04FC2DCD2”是一个固定值，你不需要更改他。而后面一个值“3cb25b0f-3809-48fb-8571-59f4a2253846”是该服务器的GUID，你可以通过DNS的_msdcs 区域得到该服务器的值。

2. 用如下命令来检测该域控制器是否拥有两个或两个以上相同的SPN。理论上来讲，一个域控制器只能有一个对应的DRS SPN。

“LDIFDE –f output.txt –d dc=domain,dc=com –r “(&(objectclass=user)(serviceprincipalname= E3514235-4B06-11D1-AB04-00C04FC2DCD2/3cb25b0f-3809-48fb-8571-59f4a2253846/mydomain.com))” –l “dn,ServicePrincipalName,ObjectClass,saMAccountName””

检测复制区域的权限：

域控制器必须对需要复制的区域有“复制”的权限。如果该域控制器有3个复制区域，domain，configuration和schema。那么必须检测域控制器的机器帐号有对该3个区域的复制权限。

i. 运行adsiedit

ii. 右键点击每一个区域的根结点，选择“内容”

iii. 在安全页里的名字栏里点击“Enterprise Domain Controllers”，确认该组有 “manage replication topology”“Replication Directory Changes”“Replication Synchronization”权限，同时必须确认该计算机帐号在“Enterprise domain controller”组里。

安全策略检测：

使用“secedit /export /mergedpolicy /cfg sec.txt”导出双方服务器的安全策略配置，检测双方的SMB协议配置是否恰当，这包括如下内容：

Digitally Sign Client Communication (Always).