问题标签 [domaincontroller]

我通过在 Azure VM 中创建域控制器，在我的 Azure 订阅中设置了一个简单的域，其中包含所有关联的 DNS 设置并遵循记录的最佳实践。这是纯云 vnet 上的纯云域；没有本地连接。我已经为域配置并加入了一些虚拟机。现在，当我配置新的虚拟机时，它们无法加入域（通常根本无法加入），并且来自这些机器的 DNS 查找经常超时，尤其是对 Internet 地址的查找。我怎样才能解决这个问题？

细节

我已经按照“在 Azure 虚拟网络上安装新的 Active Directory 林”和“在 Azure 虚拟机上部署 Windows Server Active Directory 的指南”中的做法和步骤在 Azure VM 上设置了域控制器，但我除外没有把AD数据库放在单独的数据盘上。此外，我在虚拟网络设置中添加了 168.63.129.16 作为第二个 DNS 地址（第一个地址是 DC 的内部 vnet 地址，我使用 Set-AzureStaticVNetIP 将其设为静态），以便域上的机器可以到达互联网。

我使用 PowerShell cmdlet 来配置新机器，并在创建 VM 时使用 -WindowsDomain 开关和 Add-AzureProvisioningConfig 的关联参数将它们自动加入域。我在一个云服务中配置了 DC，在另一个云服务中配置了所有其他机器。所有这些都在同一个 vnet 子网上，并且所有这些都在一个关联组中。我已经配置并加入了大约 15 台机器，其中大约 10 台仍在运行（其他已删除）。

通常配置一个新的虚拟机大约需要 11-12 分钟。现在我看到它需要超过 30-35，完成后，机器无法加入域。全面的 DNS 查找速度很慢并且经常超时（尤其是对于 Internet 地址），并且在这些无法加入域的新机器上，通常会完全失败。从这些机器 ping DC 失败，而在之前成功加入域的机器上，它成功。

我不确定域/vnet/云服务/订阅上的机器数量是否是导致此问题的原因，但直到我使用域一段时间并启动了一些机器。

我编写的代码运行良好，此查询纯粹是出于教育目的。我想知道其他人如何做得更好，更干净。我特别讨厌在加入之前将列表项添加到另一个列表的方式............必须有一种更有效的方法。

我意识到一个简单的方法是将“OU=”和“DC=”及其相关文本存储在数据库中，......但这对我来说感觉不合适。

我正在为 LDAP 调用的 PrincipalContext 类的容器参数构建一个字符串。

“lst”列表<string>包含 LDAP 组织单元的 DataRows，例如“Accounts”、“Users”等

结果：“OU=Users,OU=Accounts,OU=Employees”

我对一个名为 dcList 的列表做同样的事情，它产生相同类型的字符串

结果：“DC=severname,DC=another_value,DC=com”；

我与OU一起加入以获得完整的字符串，就像这样

最终结果：“OU=Users,OU=Accounts,OU=Employees,DC=sever,DC=othervalue,DC=com”

感谢您的时间和知识。

我正在研究活动目录，我是新手。在这里，我需要使用 c++ 和 ADSI 列出活动目录中的所有用户。这可能是重复的帖子，但我浏览了很多帖子，我有了一个使用 ADSI 的想法.所以给一些想法继续前进。

目前我们使用命令 repadmin /syncall /e [our dn] 和 repadmin /syncall /eP [our dn] 来强制域控制器之间的复制。我想使用 powershell 来同步域控制器，但我在网上看到的所有内容都表明我必须简单地从 powershell 中调用 repadmin，这对我来说似乎是做作的，就像管道胶带一样，而不是正确地做。是否有任何与 repadmin /syncall 等效的 PURE powershell？

我开始成为“期望状态配置”（DSC）的忠实粉丝。到目前为止，工作很棒，伙计们！

我正在使用几周前发布的“xActiveDirectory”脚本（https://gallery.technet.microsoft.com/scriptcenter/xActiveDirectory-f2d573f3）。在 Azure 中部署 VM 后，我会收到以下错误：

作业 {860932CF-ECE2-11E4-80BB-0003FF54BC14}：此事件表示当 DSCEngine 在 MSFT_xADDomain DSC 资源上执行 Set-TargetResource 时引发了非终止错误。fullyQualifiedErrorId 是 Test.VerifyDcPromoCore.DCPromo.General.77,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.InstallADDSForestCommand。ErrorMessage 是验证域控制器升级的先决条件失败。无法识别指定的参数“DataBasePath”。

到目前为止，我可以看到，我的机器已经变成了 DC，所以我不明白这个错误。我真的很感激任何帮助。

谢谢你。

我一直有一台笔记本电脑无法连接到我们的域的问题。它一直工作到一点，然后突然停止。

我查看了我们的 DC，计算机仍然在那里注册，但它是一个空白外壳。我手动编辑了属性以匹配它曾经的样子，但这也没有修复它。我还尝试从 AD 中删除并重新添加计算机，但无济于事。

我把笔记本电脑送到了我的办公室，看了看，它工作得很好。登录完全没有问题。当我把它寄回去时，原来的问题又出现了。

这是由于它连接的无线连接吗？还是只是巧合？

谢谢。

我想在我们的 AD 中查询一些用户属性，但在 C# 中的特定 DC 上。我们有几十个 DC，我怀疑它们之间存在一些复制问题。我想清理未使用的帐户，我想使用最后一次登录时间属性，我想在所有 DC 上一次次查询这个（我知道这有点像暴力破解，但是我不打算经常做这样的事情）所以我可以查看最新的值是否是最新的。我有查询所有 DC 的代码：

而且我还找到了构建可以从 AD 查询用户的代码的帮助：

在这里我卡住了。现在我想从所有 DC 获取用户的最后登录时间戳。在过去，我已经意外删除了似乎长时间未使用的帐户（仅检查一个 DC），结果发现用户每天都在使用它，因此来自 DC 的信息没有同步。我知道最合理的行动是审查导致这种不正确同步现象的原因，但是在我目前的状态下，这将需要很长时间并且可能在没有任何发现的情况下结束......提前感谢任何建设性的回应/评论！

我有一个带有 windows server 2012（域）的新服务器，并且想要添加一些新用户和工作站（带有 AD），所以所有用户都可以登录所有工作站。这很容易，但现在我想添加一些软件，如 office、pdf 阅读器、视频播放器等，以便所有用户都可以在所有工作站上使用它们（都一样）。我怎么能那样做？

我应该在所有工作站上安装所有软件还是有其他解决方案。我问是因为我想同时更新（如果有任何软件需要更新）所有工作站上的软件，所以我不需要单独更新每个工作站，所以所有工作站都得到更新。

什么是最好的解决方案。如果您有任何问题，请随时提问。

我正在编写一个小应用程序，它可以审计我们环境中每个 DC 上用户的最后登录时间。在一些帮助下，我能够创建一个代码来迭代所有 DC 并查询用户的最后登录时间。正如我在此值未在 DC 之间同步之前读到的那样，这是 MS 设计的。这是我用来检查每个 DC 上的用户的代码：

我知道许多括号是不必要的，但这样对我来说更具可读性。

这是程序的核心。但是我认识到，在每个 DC 实例上找到的用户的最后登录时间都是相同的，这不太可能。为了确定这个问题，我做了一个小 PS 脚本来做同样的事情，所以我可以比较结果。这是PS脚本：

同样，这只是使实际工作的脚本的核心。

然而结果却完全不同。PS 脚本的结果与我预期的一样，几乎在每个 DC 上都有很大不同（并非所有 DC 都与其他 DC 不同，但大多数都不同）。然而，.Net 程序从所有 DC 实例返回相同的时间，此外它返回的时间不会显示在 PS 脚本中！

现在我很困惑。我相信 PS 脚本是正确的，但是我真的不知道我在 .Net 版本中错过了什么。

我对程序做了一些调试，但找到的用户只包含程序显示的时间，甚至与 PS 版本不同的文件时间值。我什至考虑过日期时间转换问题，但是结果的结构应该与不同的值相同，但事实并非如此。

提前谢谢任何形式的帮助。

我想问大家，我的错误信息应该是什么解决方案。它是关于，当我检查服务器的身份验证并将设置设置为：在 Kerberos 设置中使用本机 TGT。

身份验证参数：绑定 DN 或用户：admin（在域中） 绑定密码：是我的密码。

错误信息是：

当我单击更多详细信息时：

感谢您提供的所有帮助。

PS：我的设置是 Kerberos 真实：我的域 KDC 主机：我的域 KDC 端口：88

网络参数：

名称：企业主机名：我的域端口 389 加密：无加密

提供者 apache 目录 LDAP Client Api