当前位置： >>
AD域登陆步骤说明
AD 域 登陆步骤说明第 1 步，在桌面上用鼠标右键单击“网上邻居”，在弹出的快捷菜单中选择“属性”命令。打 开“网络连接”对话框。右键单击“本地连接”图标，选择“属性”命令，如图 AD-1 所示。图 AD-1 “网络连接”窗口 第 2 步，打开“本地连接属性”对话框。在“常规”选项卡中双击项目列表中的“Internet 协议 （TCP/IP）
”选项，如图 AD-2 所示。图 AD-2 双击“Internet 协议（TCP/IP） ”在编辑 TCP/IP 之前，需要先找到本机 IP 地址信息。右键单击“网上邻居”，在弹出窗口中 双击本地连接，选择“支持”，就可以看到本地 IP 信息了。如图 AD-2-1 所示。图 AD-2-1 打开本地连接选择“支持”第 3 步，打开“Internet 协议（TCP/IP） 属性”对话框。然后选中“使用下面的 DNS 服务 器地址”单选钮，并在编辑框中输入 DNS 服务器的 IP 地址（首选 DNS 192.168.0.9 备选 DNS 192.168.0.1）。连续单击“确定”按钮即可，如图 AD-3 所示。图 AD-3 修改 TCP/IP 属性（IP 地址为例） 第 4 步，在桌面上用鼠标右键单击“我的电脑”，在弹出的快捷菜单中选择“属性”命令， 打开“系统属性”对话框。切换至“计算机名”选项卡，单击“更改”按钮，如图 AD-4 所示。图 AD-4 单击“更改”按钮第 5 步，打开“计算机名称更改”对话框。在“计算机名”编辑框中输入 XXX（XXX 为用户 名），并单击“确定”按钮。重新启动计算机后更改的计算机名称即可生效，如图 AD-5 所示。图 AD-5 设置计算机名称 第 6 步，重新打开“计算机名称更改”对话框，选中“隶属于”区域的“域”单选钮，并 在“域”编辑框中输入域名 ，单击“确定”按钮，如图 AD-6 所示。图 AD-6 将计算机加入域第 7 步，打开“计算机名更改”对话框，要求输入有权限加入域的用户名和密码。需要注意 的是，这里的“用户名”编辑框中应该输入域控制器的管理员账户，并输入合法的密码，如图 AD-7 所示。图 AD-7 提供域管理员账户和密码 第 8 步，通过验证以后，弹出提示已经加入
域，如图 AD-8 所示。图 AD-8 成功加入 AD 域第 9 步，重新启动计算机。（由于加入域以后计算机启动时要连接网络、创建域列表，因此 这个过程需要的时间比较长）按 Ctrl+Alt+Del 组合键切换到登录对话框，在“用户名”编辑框 中输入 XXX（XXX 为用户名），然后输入初始密码。单击“登录到”右侧的下拉三角按钮，选中 域名 ，并单击“确定”按钮，如图 AD-9 所示。图 AD-9 登录对话框 第 10 步，成功登录到了域，也就意味着获得了与登录用户相应的权限，域中的共享资源也 就随之可以使用了，如图 AD-10 所示。图 AD-10 成功登录到域AD 域 退出登陆恢复本机状态操作说明我们登陆 AD 域后，如果想退出登陆并回到原来的本机桌面也是可以的。 我们需要重新启动或注销计算机，然后在进入系统前会有提示窗。按下 Ctrl+Alt+Del,在弹 出的登陆窗口中（登陆窗口如图 AD-14 所示），将用户名修改为 Administrator ，密码为原来 的系统密码（如果原来没有设置系统密码则不填写密码）。点击“登录到”的右边下拉三角按钮， 选择本机登陆即可登陆本机界面。如图 AD-15 所示。图 AD-14 系统登陆窗口界面图 AD-15 系统登陆窗口界面域用户的密码设置域用户的密码默认必须至少 7 个字符，且不可包含用户账户名中超过两个以上的连续字符， 还有至少要包含 A-Z，a-z ，0-9。非字母数字（例如！ ，$，#，%）等 4 组字符中的 3 组，例如 123abcABC 就是一个有效密码，而 1234567 是无效密码。AD 域 本机访问步骤说明在不登陆域的情况下，也可以在本机访问域的资源。 第 1 步，打开 IE 浏览器，输入 “\\fser” 打开域访问登陆窗口。如图 AD-11 所示。图 AD-11 AD 域访问登陆窗口 第 2 步， 在弹出的登陆窗口输入用户名， 密码单击确定按钮， 即可进入域的资源。 如图 AD-12 所示。图 AD-12 输入用户名和密码第 3 步，成功登陆到域，即可使用域的资源，（注：因为是本机登陆，在域中权限也会受到 限制。）如图 AD-13 所示。图 AD-13 成功登陆到域
AD域实现单点登录_计算机软件及应用_IT/计算机_专业资料。SSO-SERVER 集成 AD ...CAS 使用的 cas-server-3.4.2.1- 按照以下步骤修改完源码后,替换原...AD域控配置步骤_计算机软件及应用_IT/计算机_专业资料。AD 域控配置步骤:一、...AD域登陆步骤说明 10页 免费 AD域服务器实现软件安装... 2页 1下载券
详细...新员工添加用户―开通邮箱―开通 流程说明 新员工添加用户 开通邮箱 开通 Lync 流程说明 添加用户 开通邮箱 1. 在 AD 域中添加新用户 1.1 登录 AD 域服务器...AD域单点登录__脚本方式单点登录.doc_计算机软件及应用_IT/计算机_专业资料。...AD域登陆步骤说明 10页 免费
基于IIS的AD单点登录开发... 3页 免费
AD...AD 域安装详细步骤 1.首先打开“开始”中“所有程序” ,在其“管理工具”中...AD的安装和将计算机加入... 19页 免费
AD域登陆步骤说明 10页 免费
AD域...网络管理员可以在中设置允许用户登录到域的时间,从而加强 AD 域的管理, 操作步骤如下所述: 第 1 步,以系统管理员身份登录域控制器,并打开“Active Directory ...实验目的:搭建一个域控制器并将客户机加入域 准备工作: 准备工作: ...AD域安装详细步骤(图解) 14页 1下载券
AD域登陆步骤说明 10页 免费 喜欢...AD域 登录过程_电脑基础知识_IT/计算机_专业资料。ad 域 登录过程 AD 域登录详细过程。 AD 域用户在一台加入域的客户端上输入“帐号+密码”之后 到最终登录进去...申请中石化邮箱; 二、域控基本操作 (一)加入域控 A.计算机加入 AD 域步骤: ...用域账户登录 注意事项: 1.修改计算机名时修改的是计算机描述,而在更改中的...AD 域控制服务器教程把一台成员服务器提升为域控制器( 把一台成员服务器提升...为用户在登陆和注销过程中会下载和上传配置文件, 如果文件过大, 会影响登陆和...
All rights reserved Powered by
copyright &copyright 。文档资料库内容来自网络，如有侵犯请联系客服。AD域环境的搭建 基于Server 2008 R2 - `兔斯基
来源：互联网
编辑：刘梓楠
有网友碰到过这样的问题:AD域环境的搭建 基于Server 2008 R2 - `兔斯基,问题详细内容为:挺不错的博文:AD域环境的搭建 基于Server 2008 R2 - `兔斯基,我搜你通过互联网收集了相关的一些解决方案,希望对有过相同或者相似问题的网友提供帮助,具体如下:
AD(Active Directory)即活动目录，微软的基础件。微软的很多产品如：Exchange Server，Lync Server，SharePoint Server，Forefront Servert等都与其高度集成，形成一整套的微软解决方案。所以要想在企业中成功布署微软的产品，活动目录是必须建立的，并且至关重要，活动目录的稳定与否也直接影响到企业中其他微软产品的布署。故本节主要是基于Windows Server 2008 R2搭建活动目录。
在实验之前，简单总结一下活动目录的优点：
1. 提升用户效率。如：用户可以多机登陆，统一安装网络打印机等。
2. 增强安全性。如：管理用户的计算机权限、统一制订用户密码策略，要求用户使用更强壮的密码，定期更改密码。www.it165.net
3. 更可靠，更少的宕机时间。如：利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，宕机时间更少。
4. 减轻IT管理负担与成本。统一推送软件，和权限管理。
5. 与其他应用集成。如：Exchange Server,ISA Server，Lync Server，SharePoint Server，Outlook等。
1. 搭建两台域控制器，建立相应的用户，实现域控管理
2. 在主域控制器和辅助域控制器之间进行角色迁移。
主DC：192.167.200.1/24，
次DC：192.167.200.2/24
实施过程：
一．安装Windows Server2008 R2操作系统
（过程略）
二．安装第一台域控制器
1. 规划并设定好第一台DC的IP地址，修改好计算机名称。
2. 在“服务器管理器”--à“角色”中添加AD角色
3. 运行“Dcpromo”，配置域服务
三．安装辅助域控制器
1.设置好计算机名，IP地址，DNS（指向DC1）
2.添加域角色，并配置域服务。
四．将客户端计算机加入域中
1. 准备一台PC,修改好计算机名，设置好IP地址和DNS，测试加入域：
2. 将计算机加入域
3. 验证加域是否成功
在”管理工具”-àAD”用户和计算机”----“Computers”中查看
至此，我们就完成了AD域环境的搭建，并创建了主域控制器和辅助域控制器，在下一节中，我们将实验如何把域中操作主机角色进行迁移。
posted on 请注意，本站信息均收集自互联网，相关信息仅供参考，医疗等重要信息请以正规途径为最终意见，本站不承担任何责任！
您可能还关注AD域服务器|两台DC无法进行复制同步
我的图书馆
AD域服务器|两台DC无法进行复制同步
说明：前段时间公司两台域控出现了一些问题导致数据无法相互进行同步，DC之间也无法进行共享访问，网络用户无法通过计算机名映射的共享访问资源。几经折腾最后排除并解决了部分可能性的故障，但两台域控制器之间的用户与数据同步自己始终没能搞定。最终只有等到最初搭建域环境的同事回来，向他描述故障情况后，经过一番折腾最后我们才解决该故障。由此可见自己在这方面还有很多不足，以后还应该多多学习。另外，感觉在处理问题时，知识、工作经验的积累与胆大心细也非常重要.. 正常情况下：共两台域控（相互同步，当在一台域控出现故障的情况下，另一台域控仍然可以正常工作，域用户依然可以进行登陆验证。）此处两台域控分别描述为DC01（windows 2003 Server）和DC02（Windows Server 2008 R2）; 故障描述：出现的问题是DC01（主域控）和DC02之间不能互相同步数据，甚至连两台DC之间也无法使用计算机名进行互访，但使用IP可以互相访问。最初排除的是DNS故障。由于未能同步，结果导致于部分域用户无法进行登陆验证。（提示：此工作站和主域间的信任关系失败。）甚至某些电脑无法加入域。需要在域服务器中将该计算机删除或将客户机改名才行。另外，直接关掉一台故障的域控制器用户也可以顺利加域，因此判断可能是DC之间互相不能同步，也不互相信任导致的。 注：下文主要记录解决同步问题的步骤，其它故障请自行排除。原因分析：可能的原因很多，如DNS服务未运行或解析存在问题问题，NetLogon服务未启动，Kerberos Key Distribution Center服务停止或文件复制服务未启动等等。可以先尝试手动进行同步操作试试，看会有什么错误提示。另外，建议使用Windows自带的事件查看器来查看具体的问题原因，并记录好事件代码。手动同步操作如图：注意查看事件管理器查看故障详细描述或记录事件ID。在排除以上问题的情况下，在服务器上手动同步仍然不成功可以参考以下内容：首先用命令行输入：dcdiag 检查一下有哪些测试未通过。 正常情况如图：使用强制同步命令：repadmin /syncall /force正常情况如下图：发现我们的故障原因是同步时访问被拒绝，无法进行同步，最后成功同步时间为 08:00:00原因是两台域之间有超过60天未进行同步，数据库中存在延迟对象，无法进行同步。解决办法就是删除延迟对象或进行松散同步。（官方说明：Active Directory 复制发现下列分区中存在的对象已经从 本地域控制器(DC) Active Directory 数据库中删除。 在逻辑删除生存时间过期之前，部分直接或可传递的复制 伙伴没有复制该删除。已经从 Active Directory 分区 删除并垃圾收集的对象，如果仍然存在于同一域中其他 DC 的可写入分区中或林中其他域中的全局编录服务器的 只读分区中，被称作“延迟对象”。此事件被记录到日志，因为源 DC 包含的延迟对象不存在于 本地 Active Directory 数据库上。此复制被阻止。解决此问题的最佳方案是标记并删除林中的所有延迟对象。） 解决问题：方案A：首先使用命令检查哪些条目不能测试通过并排除故障：dcdiag在DC1上启用严格复制：Repadmin /regkey &DC_List& +strict详细信息请查看下面这篇文档：/zh-cn/library/cc835086然后使用下面的命令来进行强制复制repadmin /kccrepadmin /syncall /force查看事件日志是否相关的错误复制信息，如果有我们可以根据相关错误信息来删除这些过期信息。在两台DC上分别执行如下命令：repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition详细信息请查看下面这篇文档：Use Repadmin to remove lingering objects/en-us/library/cc785298(WS.10).aspx 方案B：（我们使用这种方案成功解决问题）首先使用命令检查哪些条目不能测试通过并排除故障：dcdiag尝试使用下面的命令来进行强制复制：repadmin /syncall /force查看事件日志是否相关的错误复制信息，如果有我们可以根据相关错误信息来删除这些过期信息。删除延迟对象，在两台DC上分别执行如下命令：repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition命令示例：repadmin /removelingeringobjects DC1 aaaaaaaa-00-aaaaaaaaaaaadc=dg,dc=feikk,dc=com /advisory_moderepadmin /removelingeringobjects DC2 bbbbbbbb-11-bbbbbbbbbbbbdc=dg,dc=feikk,dc=com /advisory_mode更改注册表为松散复制示例：Value Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\ParametersValue Name: Allow Replication With Divergent and Corrupt Partner（如没有此键值可以直接增加）Value Type: REG_DWORDValue Data: 1Value Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersValue Name: Strict Replication ConsistencyValue Type: REG_DWORDValue Data: 0点击“立即复制副本”后会迅速提示复制完成。复制成功后，请在注册表中做如下调整：删除：Value Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\ParametersValue Name: Allow Replication With Divergent and Corrupt PartnerValue Type: REG_DWORDValue Data: 1将以下注册表设定值恢复成1：Value Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersValue Name: Strict Replication ConsistencyValue Type: REG_DWORDValue Data: 1现在再检查一下两台DC之间是否可以自动同步了。
TA的最新馆藏[转]&[转]&用户名：yucheng
文章数：37
评论数：66
访问量：39871
注册日期：
阅读量：1297
阅读量：3317
阅读量：434209
阅读量：1121849
51CTO推荐博文
其实，对于windows 2003,并没有&传统&的主域控制器和额外域控制器的区别。
如果说有区别的话,那就是第一台域控制器上拥有FSMO.
什么是FSMO?
FSMO的英文全称为Flexible Single Master Operations.
这些角色包括:
★架构主机 (Schema master) － 架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。
★域命名主机 (Domain naming master) － 域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。
★RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。
★PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。
★结构主机 (Infrastructure master) － 结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。
Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器.
现在我们要做的事情就是:
将FSMO角色转移到另一台域控制器上.
使用的工具是:ntdsutil.exe(在命令行直接运行).
关于ntdsutil.exe的使用可以参考微软的相应文档.
1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器
&2.域控制器降级失败后如何删除 Active Directory 中的数据
&3.域控制器降级失败后如何删除 Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)
基本步骤如下:
1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,我这里写的是全名)
命令提示符键入ntdsutil,
metadata cleanup,
connections,
connect to server servername,
select operation target,
list domains,
select domain number,(比如select domain 0,下同)
list sites,
select site number,
list servers in site,
select server number,
remove selected server,
&2.清理DC帐户
需要运行adsiedit.msc.这个工具是要安装的.
安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.
&3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:
Seize domain naming master
Seize infrastructure master
Seize RID master
Seize schema master
[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]
&4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.
&至此,FSMO开始在另一台域控制器上正常工作.
exchange等服务也恢复正常.
&关于辅域控制器夺取主域控制器角色，接替其工作时的一些疑问及回答
&1 为了出于安全角度的考虑，一般在一个域环境内至少有两个域控制器，即pdc及bdc，在windows2003中辅助域的角色定义给淡化了，取而代之的是额外域控制器。
&2 在额外域接替主域工作的时候，客户端依旧设置的是原pdc的dns解析地址，是无法登陆的，有两种方法第一 将替代后的域服务器的ip地址设置为原域控制器地址，方法二 将客户端的dns解析地址设置先有的dns解析地址
&3在域环境中往往有许多成员服务器在工作，例如exchange，lcs等服务器，其在安装的时候都需要在主域上进行林扩展。当夺取角色后，这些成员服务器是否能继续工作。
&答案是肯定能进行正常工作的，因为在主域扩展的时候相应的信息也同时通过复制传递给了辅域控制器，保留了这些林扩展的信息。同时这些复制的信息也包括策略等。特别是在但只有一个架构的域中，同步频率是很高的。信息复制还是比较及时的。
&4当域内的pdc完完全全的挂掉后，也就是只有额外域进行工作，pdc无法连接。在使用命令行夺取角色，至connect to server xxx，这里的xxx是指bdc服务器，也就是要进行夺取操作的那台服务器。
&5pdc会在活动目录数据库残留有相关数据，建议在夺取角色之前将其数据全部删除，同时有pdc担任的角色会自己传给其他的域控。同时之后再建立另外的域控尽量不要取与pdc的计算机名称重复。
&6一般而言当第一个域控制器建立的时候，其默认为gc服务器。gc服务器的角色是至关重要的，在夺取角色取代工作的前提下额外域控制器就必须是gc的角色。所以在建立额外域控制器的时候，应在站点里面将其也设置为gc，以备后患。
&7最后建议大家，在作相关设置的时候，一定要作系统备份，万一在出现误操作的时候，还可能有挽回的余地。以上这些都是我在一步步学习及工程中遇到的一些问题得到各位高手指点，及经验之谈的记录。
使用windows界面
&1 打开 Active Directory 用户和计算机。
2 选中将要成为PDC 的模拟器域控制器，它负责为下层客户机模拟主域控制器的作用，因为WINDOWS 2000 己经不再有PDC与DBC 之分，所以对没有WINDOWS 2000 客户端软件的用户来说，需要域中的PDC来进行用户信息的校检，域中只能有一台机器有这个作用。
3 在控制台树中， 右击&Active Directory 用户和计算机&。
4 在弹出的菜单中，单击&操作主机&
5 单击&PDC& 选项卡， 单击&更改&按钮，更改完毕后，按&确定&即变改成功。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
13:15:20 10:33:01