域控制器对系统管理员的重要性是不言而喻的,下面就是域控制器中活动目录出现的一些小问题。
自从将域控制器从Win 2000升级为Win 2003之后,活动目录经常会出现一些小问题。一开始,屏幕上会弹出一条信息“向客户端应用GPO的SysVol策略文件夹与AD不一致” 。我想我已经找到了解决办法,不过,还是想听一听你们的建议。另外,有一些创建年限较长的策略常会给出“企业域控制器组未获得授权许可”的错误指示。我想我也知道如何解决了,不过,也许你们给出的方案会更好一些。***一点,我们只能在主域控制器上创建和编辑新的策略文件,不知你是否遇见过这种情况?希望能够得到你的建议。
凡是没有安装SP4的Windows操作系统,都经常会出现SYSVOL权限和GPO的问题。
在这两篇文章中都介绍了一些比较实用的解决方案,你可以参照实施。为了杜绝此类问题的出现,***的办法就是在构建一个域时,先确认客户端所使用的Windows 2000系统均为SP4版本。当然,如果是从Windows NT 4.0域升级为Windows 2000,恐怕会有点麻烦。
一般情况下,用户如果有足够的权限的话,可以调整对话框中的选项,然后点击OK按钮,就可以更改分配给SYSVOL文件夹的共享权限。在某些特殊的情况下,用户可能不得不手动修改。企业域控制器组也属于这一类情况——之所以出现“将不适当的组分配给‘跳过遍历检查用户权利指派’”的情况,也是因为目前域控制器所运行的Windows 2000系统并没有升级为SP4版本。
至于你所提到的***一个问题,必须进入根域的PDC模拟器才能创建新策略,极有可能是因为其它域控制器无法正确定位PDC模拟器的位置而引起的,这属于DNS安全方面的问题。在DNS文件中单单只找到服务器的域名,是不够的,还必须有PDC模拟器的服务资源(SRV)记录和维修记录。请参照以下步骤进行检测:
1)确认域控制器指向同一台DNS服务器的IP地址(假设所有的域控制器都位于同一物理位置);
2)调出“命令提示符”窗口,键入IPCONFIG /REGISTERDNS
;或者重新启动NETLOGON服务,检查PDC模拟器是否能够正确地注册DNS目录。然后,查看事件日志记录,发现问题;
3)检查DNS记录,在“:/DNS正向搜索区/[你的域名]/ _msdcs/pdc/_tcp”目录下搜索PDC模拟器;
4)检查其它域控制器对PDC模拟器的角色识别。我选用的工具为NTDSUTIL.exe。调出“命令提示符”窗口,键入Ntdsutil(在执行这步操作之前,必须确认电脑上已经安装了Win2000系统盘中捆绑的Windows支持工具包)。回车,屏幕上将会显示“NTDSUTIL:”,参照下文键入相应的字符串(黑体字):
Ntsdutil: roles fsmo maintenance: connections server connections: connect to server [servername of non-PDC emulator system] Connected to [servername] using credentials of locally logged on user. server connections: quit fsmo maintenance: Select operation target select operation target: List roles for connected server
输出的结果应该为:
Server "myserver" knows about 5 roles Schema - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=mydomain,DC=com Domain - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=mydomain,DC=com PDC - CN=NTDS Settings,CN=MYSERVER,CN=Servers,CN=Default-First-Site-Name,CN=Site s,CN=Configuration,DC=mydomain,DC=com RID - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sit es,CN=Configuration,DC=mydomain,DC=com Infrastructure - CN=NTDS Settings,CN=MYSERVER,CN=Servers,CN=Default-First-Site-N ame,CN=Sites,CN=Configuration,DC=mydomain,DC=com
希望本文提出的活动目录中创建和编辑新的策略文件等问题的解决方案能够对读者有所帮助。
【编辑推荐】