Win2008 RODC管理攻略之常见问题解答-服务器专区

Win2008 RODC管理攻略之常见问题解答

作者：泉之源整理编辑：杨晓勇 2009-01-15 09:19 来源：IT168�

　　13、KCC 如何区分运行 Windows Server 2003 的域控制器和运行 Windows Server 2008 的域控制器？

　　NTDS-DSA 对象有一个 msDS-Behavior-Version 属性。其值为 2 表示域控制器正在运行 Windows Server 2003。其值为 3 表示域控制器正在运行 Windows Server 2008。

　　14、为什么在拒绝列表属性中单独指定内置组（如 Account Operators 和 Server Operators），而不在拒绝的 RODC 密码复制组中指定？

　　允许的 RODC 密码复制组和拒绝的 RODC 密码复制组都是域本地组。域本地组不能包含内置组。

　　15、当向管理员角色分隔角色添加用户时实际会发生什么情况？

　　配置会向以下注册表子项添加条目：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\lsa\rodcroles

　　名称：544

　　数据类型：REG_MULTI_SZ

　　值：S-1-5-21-760266474-1386482297-4237089879-1107

　　角色由条目名称表示，例如 544 对内置\管理员组来说就是一个常用 RID）。然后，每个值表示已被分配给该角色的用户的安全标识符 (SID)。

　　16、对于任何给定的站点，管理员如何确定与其距离最近的站点？

　　查看 Active Directory 站点和服务中显示的站点链接开销。

　　-或者-

　　在 Active Directory 站点中成功安装 RODC 之后，对 RODC 运行 nltest 命令。

　　以下示例显示了此命令及其结果：

　　C:\>nltest /dsgetdc:rodc /server:rodc-dc-02 /try_next_closest_site /avoidself

　　DC：\\HUB-DC-01

　　地址：\\2001:4898:28:4:5e1:903a:7987:eea5

　　Dom Guid：00e80237-c5ce-4143-b0b8-cfa5c83a5654

　　Dom 名称：RODC

　　林名称：rodc.nttest.contoso.com

　　Dc 站点名称：Hub

　　标志：PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET

　　命令已成功完成

　　17、为什么 %logonserver% 包含我的中心站点中域控制器的名称，而不包含我的站点中的 RODC？

　　如果无法将您的用户帐户密码复制到您站点中的 RODC，或者 RODC 当前没有您的密码，则会将 Kerberos AS_REQ 转发给提供您的 TGT 的中心域控制器。

　　更新环境变量的过程将中心域控制器用作环境变量的登录服务器。在该登录会话期间不会更新 %logonserver% 环境变量，即使强制用户针对 RODC 重新进行身份验证也是如此。

　　18、相关的 RODC 事件日志条目有哪些？

　　如果 RODC 尝试复制单个对象 (RSO) 操作以缓存密码复制策略阻止复制到 RODC 的密码，则 RODC 联系的中心域控制器会记录事件 ID 1699。

　　事件 ID 1699 的详细信息包括：

　　日志名称：目录服务

　　源：NTDS 复制

　　日期：5/2/2006 2:37:39 PM

　　事件 ID：1699

　　任务类别：复制

　　级别：错误

　　关键字：经典

　　用户：RODC\RODC-DC-02$

　　计算机：HUB-DC-01

　　描述：

　　目录服务无法检索下列目录分区请求的更改。因此无法将更改请求发送到如下网络地址的目录服务。

　　目录分区：

　　CN=test10,OU=Branch1,OU=Branches,DC=rodc,DC=nttest,DC=contoso,DC=com

　　网络地址：

　　c6ef8d14-f015-4cd0-94cc-c7f5c9c834ba._msdcs.rodc.nttest.contoso.com

　　扩展请求码：

　　其他数据

　　错误值：

　　8453 复制访问被拒绝。

　　登录成功会在中心域控制器和 RODC 上记录事件 ID 4768。

　　中心域控制器上事件 ID 4768 的详细信息包括以下内容：

　　日志名称：安全

　　源：Microsoft-Windows-Security-Auditing

　　日期：5/2/2006 3:58:05 PM

　　事件 ID：4768

　　任务类别：Kerberos 票证事件

　　级别：信息

　　关键字：审核成功

　　用户：无

　　计算机：hub-dc-01.rodc.nttest.contoso.com

　　描述：

　　身份验证票证请求：

　　帐户名称：test10

　　提供的领域名称：RODC

　　用户 ID：S-1-5-21-3503915162-2421288034-2003080229-1128

　　服务名称：krbtgt

　　服务 ID：S-1-5-21-3503915162-2421288034-2003080229-502

　　票证选项：0x40810010

　　结果代码：0x0

　　票证加密类型：0x17

　　预身份验证类型：2

　　客户端地址：2001:4898:28:4:6182:4acd:65c9:283a

　　客户端端口：55763

　　证书颁发者名称：

　　证书序列号：

　　证书指纹：

　　在默认的事件日志设置下，没有复制事件显示密码已复制到 RODC。

第1页：典型问题1~6 第2页：典型问题7~12 第3页：典型问题13~18 第4页：典型问题19~25

关注我们