问题标签 [domaincontroller]

我正在尝试使用包含来自 DC 的安全审核失败的用户名的特定事件日志，在 powershell 中，我可以通过以下方式轻松执行此操作：

变量类似于： $DC = "MyDomainController" 和 $user = "jdoe"

这将从我正在查看的 DC 中提取 4 个事件日志，这些事件日志是该人的用户名的安全审计失败，但是我无法在 vb.net 中找到或重现此行为，我一直在搜索最后的页面几天后，想出了很多写作，并在 DC 上提取了所有日志，但没有过滤，任何帮助或指导都会很棒，谢谢！

嗨，我在设置 vCenter 以连接 Active Directory 时遇到了困难。

它说“错误：找不到域的域控制器。”，尽管我可以通过 dig 命令查找域的 SRV 记录（_ldap._tcp.domain.domain）。

于是我在vCenter机器上dump了DNS数据包，然后发现vCenter成功查找“_ldap._tcp.domain.domain”的SRV记录后，vCenter尝试查找“_ldap._tcp.dc._msdcs”的SRV记录。 domain.domain" 出于某种原因，但失败了。

你知道如何解决这个问题吗？？

我想知道将 PC 添加到 Windows 域实际上有什么作用？例如，如果在发出后，

从那时起，域控制器如何知道哪台 PC 绑定到哪个帐户（在域控制器上）。

• 是否考虑了 PC 的 IP 地址/MAC 地址
• 和/或 PC 是否需要持续合作以获取令牌的某些质询响应？

我希望这在 Samba 和 Windows 之间是相似的，但如果需要上下文，我想知道这在 samba PC（客户端）与 Microsoft 域控制器（Windows 服务器 2012）之间是如何工作的。

我的目标是能够从新状态启动 VM，但可能使用不同的 IP，但不必手动将 VM 的特定实例重新添加到域控制器。

请问我可以知道如何检查 WDS 服务是否正在运行吗？

打补丁后，WDS服务被禁用。服务器要求重新启动以启动 WDS。我可以知道如何检查 WDS 是否正在运行吗？

我无法登录到 Windows Server 2012 R2 的 RDP。我已经设置了一个具有管理员组和远程桌面用户组的本地用户。但问题是计算机属于域，我只有管理员 cmd 非交互式访问权限。我想在不登录域的情况下登录我的那个系统。我只想登录“系统”而不登录域。任何 cmd 命令都可以解决问题。

帮助将不胜感激！

我有一个放在 Azure Vnet 中的主 DC 和一个本地 DC2。所有员工计算机和笔记本电脑都加入到域中。

我的同事希望在异地时访问 Azure 上的资源。因此，他们必须建立到 Vnet 的点到站点 VPN。计算机提示提供域管理员权限以进行点到站点 VPN 连接。

我做了研究，人们建议给域用户本地管理员权限，我认为这是不合适的。在这种情况下，我们将无法控制公司的笔记本电脑。

有什么办法可以解决这个问题，让他们在不提供域管理员权限的情况下进行点对站点 VPN 连接？谢谢。

有没有办法找到正在使用我的应用程序并登录到 AD 域的用户的用户名（用户主体名称或 samaccountname）？我们还能找到用户以编程方式连接到的域吗？

dsconfigad -show命令行确实显示域但不显示用户名。

我不能依赖NSUsername() or NSFullUserName()功能，因为用户可以手动更改这些功能。

任何帮助都将是可观的。

我正在尝试远程连接 hyperV 服务器，它是与本地系统相同的域控制器的一部分。如果我在没有 AD 的情况下提供用户名，但每次都失败（错误“无效参数”）时，用户名与 AD.eg AD\administrator 一起使用。// 这行得通

//但这不起作用

任何帮助将不胜感激。

我们在 Powershell 中有一个脚本，用于操作 Active Directory。我现在用 C# 编写了它。我的同事说他们必须在 PS 中指定域控制器，否则可能会发生使用 DC A 读取并在 DC B 上写入的情况，这可能会导致问题。

如果我使用 DirectorySearcher 来查找条目并对其进行操作，我真的必须指定域控制器吗？或者根据定义，相同的域控制器是否是用于查找对象（DirectorySearcher）并保存它（CommitChanges）的用户？

我不这么认为，因为我只能在搜索部分（DirectorySearcher 的 DirectoryEntry 对象）中指定它，但不能在它被写回 AD 时指定它（CommitChanges）。因此，我认为相同的 DC 用于写入，就像用于读取的 DC 一样。

下面我有一个示例，我在其中搜索特定条目并更改属性。

我们有一个使用 LDAP 进行身份验证的应用程序。该应用程序使用 F5 以负载平衡配置部署在四台 MiddleWare 服务器上。尽管 AD 存储中有 8 个域控制器，但我们每天都会在所有 MW 服务器上继续收到错误，这似乎表明 ActiveDirectory 无法访问。主要由用户在高峰用户登录时间报告，但也发生在全天的其他时间。绑定到 LDAPS 与 LDAP 时，错误消息的文本略有不同，但堆栈跟踪是相同的。

错误信息：

• (LDAPS) - “服务器无法运行。(0)”
• (LDAP) - “目录服务不可用。(0)”

我们已经尝试了所有可能的配置选项，但错误仍然存​​在

• 连接到安全/非安全 DC（端口 636/389）
• 使用无服务器/无服务器绑定进行连接

经过所有研究后，我们正朝着实现代码更改的方向前进，该更改在向用户抛出错误之前在池中的每个 DC 上重试一次绑定操作。

其工作方式是当应用程序启动时，应用程序的目录服务访问组件将执行以下操作：

建立站点中所有域控制器的列表（以及任何相邻站点，如果愿意） 执行一系列测试以验证连接性（ping、389/3268/636 测试）。这也将确认它是 DC、GC 还是 RODC。执行一个简单的查询来验证目录服务是否正常工作并且身份验证是否正常工作。保存已知正常域控制器的列表，以及脱机域控制器的列表。

然后，我们在执行绑定时使用这些已知良好的服务器，将服务器嵌入到绑定路径中。如果发生异常并且是表明 dc 出现问题的类型之一（服务器无法运行、忙、超时等），我们将该 dc 添加到脱机列表并尝试使用其他 dc 之一进行操作。

这种方法是可行的选择吗？有什么取舍吗？您是否建议分析 Wireshark 数据有助于确定根本原因？它是否与 MW 服务器上的 TCP/UDP 端口不可用有关？