Active Directory活动目录

windows 2008 ad域。windows 2008 全新环境部署AD。在全新的环境中，部署windows 2008 域控制器时，安装DNS时，一直都会提示DNS无法委派的信息，“无法创建该DNS服务器的委派，应为无法找到有权威的父区域或者它未运行Windows DNS服务器。如果您要与现有DNS结构继承，应该在父区域中手动创建该DNS服务器的委派，以确保来自域contoso.com以外的可靠名称解析。否则，不需要执行任何操作。”这是为何？此为正常吗？

回答：根据您的描述，我了解到您在提升Windows 2008域控的过程，选择安装DNS服务器上，系统提示DNS无法创建委派。根据我的经验，这是正常现象。针对我们当前是在全新的环境中部署Windows 2008的域控，我们不需要创建任何的DNS委派，因此您可以完全放心地忽略该信息。
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

dn是什么意思?什么是Distinguished Name？在AD中，什么是用户DN名？
回答：在AD中，对象具有层级排列的，比如域下面有OU，OU下面有用户对象。我们需要有一个路径名称将一个对象标示出来，这个路径名称就叫做可分辨名称(Distinguished Name缩写为DN)。举个例子：
我有个domain叫做contoso.com,我建了一个OU叫做testOU,在这个OU中我建立了用户对象叫做testuser，那么这个testuser的DN
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

组策略打开远程桌面。如何利用组策略打开远程桌面？公司内有很多机器,我想利用组策略打开客户的远程桌面,这样有问题,我直接远下就可以了.所有电脑的防火墙在组策略中都是默认关系的，并且，我在组策略中启动"Terminal Services"服务.但是,依旧无法访问客户机.请问还有其他什么地方需要设置的吗?可以用组策略解决吗?

回答：如果您希望可以远程的登录所有的客户端，你需要首先通过组策略部署Remote Desktop，请参考
Enable or disable Remote Desktop
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

dcdiag /test:dns。我在DC上执行dcdiag /Test:DNS /e /v,结果Del报错了。其他都pass了。请问这是什么原因，怎么解决？
另外，AD环境里，除了dcdiag /Test:DNS检查DNS，repadmin /replsum检查AD复制，日常还需要做些什么检查？
TEST: Delegations (Del)
                  Delegation information for the zone: shanghai.com.cn.
                     Delegated domain name: _msdcs.shanghai.com.cn.
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

安全系统检测到一个对服务器 的降级攻击。发现服务器有一个报错，ID:40960，安全系统检测到一个对服务器 LDAP/server.abc.com/abc.com@abc.com 的降级攻击。来自身份验证 协议 Kerberos 的失败代码为 "参考帐户当前已禁用且无法登录。 (0xc0000072)"。这是一个关于什么错误？有什么威胁？

回答：根据您的描述，我对这个问题的理解是：在您的域控上记录了一个40960事件，事件的原因是账户已禁用。
您所看到的事件一般来说并不是受到攻击了。绝大多数情况下这是因为Kerberos或者NTLM验证出现错误（因为记录的是“降级攻击”，所以很有可能是NTLM或者其它非Kerberos验证出错）。这很有可能是有某台机器或者程序使用了一个被禁止的账户（比如guest等）连接到DC。
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

独立域互相登录访问。如何才能实现两个独立的域如a.com和b.com，怎样才能使a.com里的用户可以登陆b.com，反之亦可，不知道能不能实现？

回答：根据您的描述，我对这个问题的理解是：您想知道如何让两个域的用户可以相互登录对方域。(严格来说，不是登录对方的域，而是可以使用域验证的方式，访问对方的域资源，请参考 域信任不等于登录域)
您的目的是可以实现的，只需要配置双向林信任关系就可以了。 在创建林信任之前，您需要做一些准备工作，这些准备工作您可以参照下面的清单：
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

域迁移碰到问题。关于迁移计算机，遇到一些问题想请教一下， AD环境：一台父域， 一台子域， 一台client
测试目的：将父域中的client 迁移到子域中。当迁移用户和组账号一切都没有问题，但是当迁移client时，提示状态：initial failed Message: 拒绝访问，Log error:
 
2009-10-29 11:06:36 Created account input file for remote agents: DCTCache.025
2009-10-29 11:06:36 Installing agent on 1 servers
2009-10-29 11:06:36 The Active Directory Migration Tool Agent will be installed on \\PC-293102091633
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/

加入域的过程原理。最近公司的机器在加域过程中经常会报错，提示网络名不可用。但多尝试几次就能加进去。
有些机器一次就可以加成功，有些需要多次，次数有多有少。请问机器在加域的时候整个过程是怎样的，包括域如何解析，如何和域控建立连接等等，有相关的文章可以参考么？

回答：根据您的描述，我对这个问题的理解是：您想了解机器加入域的整个过程。
对于一台机器能否成功登陆域，一是要保证登录所用的账户确实存在于AD的数据库中，二是要保证这台主机能够通过DNS成功定位到域控（DC）。
点击查看原文     活动目录SEO博客 http://gnaw0725.blogbus.com/