Рубрика: AD

Доменные службы на новом контроллере домена, развернутом на Hyper-V не доступны в сети

У меня происходит только при новых развертываниях на Windows Server 2022 хостах

  1. KDC имеет старую версию пароля для исходного контроллера домена.
net stop KDC
Repadmin /replicate имя_старого_dc имя_НОВОГО_dc DN=firm,DN=local
net start KDC

  1. Проверить статус репликации SYSVOL:

у всех DC должен быть статус: 4

For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
  1. Если на предыдущем шаге получили статус «2»:

How to perform an authoritative synchronization of DFSR-replicated sysvol replication (like D4 for FRS)

  1. Если на НОВОМ DC отсутствуют общие ресурсы SYSVOL и/или NETLOGON

дополнительно dcdiag будет показывать:

Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \\имя_dc
при попытке получения доступа к имя_dc.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
......................... имя_dc - не пройдена проверка

в реестре Windows параметр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady

последовательно: установить в 0 -> применить -> установить в 1 -> применить

Источники:

https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/identity/replication-error-2146893022

https://learn.microsoft.com/en-GB/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization#how-to-perform-an-authoritative-synchronization-of-dfsr-replicated-sysvol-replication-like-d4-for-frs

https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/identity/netlogon-share-not-present-after-install-ad-ds-on-full-read-only-domain-controller#workaround

Удаления старых записей из AD

Просмотреть список неактивных компьютеров (цифра = количество недель)

dsquery computer -inactive 10

Удалить компьютеры, неактивные более 10 недель

dsquery computer -inactive 10 | dsrm -noprompt

Просмотреть список неактивных пользователей (цифра = количество недель)

dsquery user -inactive 5

Удалить пользователей, неактивных дольше 5 недель

dsquery user -inactive 5 | dsrm -noprompt

Если надо произвести поиск только в определенном подразделении:

dsquery computer "OU=Имя_подразделения,DC=domain,DC=com" -inactive 5

Источник:

https://notessysadmin.com/dsquery-sredstvo-udaleniya-staryx-zapisej-iz-ad

Сохранение учетных данных при подключении по RDP в домене

В редакторе групповых политик:

  • «Конфигурация компьютера» (Computer Configuration)
    • «Политики»
      • «Административные шаблоны» (Administrative Templates)
        • «Система»
          • «Передача учетных данных»
            • ВКЛЮЧАЕМ «Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″» (Allow Delegating Saved Credentials with NTLM-only Server Authentication)
            • жмем [Показать]
            • добавляем одну из строк:
              • TERMSRV/удаленный_пк — разрешаем сохранять учетные данные для одного конкретного компьютера;
              • TERMSRV/*.contoso.com — разрешаем сохранять данные для всех компьютеров в домене contoso.com;
              • TERMSRV/* — разрешаем сохранять данные для всех компьютеров без исключения.

Источник:

http://windowsnotes.ru/other/razreshaem-soxranenie-uchetnyx-dannyx-pri-podklyuchenii-po-rdp/

Передача ролей FSMO

  • Просмотр текущих хозяев: 
    netdom query fsmo
  • Передача
    На любом контролере домена.

    ntdsutil
roles
connections
connect to server <Имя_сервера>
q
transfer naming master
transfer infrastructure master
transfer RID master
transfer schema master
transfer PDC

    В Windows предшествующих Windows Server 2008R2 хозяин доменных имен называется [domain naming master].

    При захвате меняется только transfer на seize.

Источник:

http://kyrych.ru/windows/37-upravlenie-setyu-ad-gpo/86-perenos-rolej-fsmo