本篇主要是处理DC域控服务器与辅助DC域控服务器之间的数据同步关系,DC域控服务器与辅助DC域控服务器的创建可以参考上篇文章

验证DC域控服务器与辅助DC域控服务器之间的数据同步关系,分别在辅助DC域控服务器DC上面新建一个用户,看看再对应的主辅DC上用户是否会同步。

首先在辅助域控服务器上新建用户组,之后再添加联系人,并且设置隶属于该用户组 

添加用户组xufengGroup

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server

 添加用户组xufeng01

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_02

 设置xufeng01用户 隶属 xufengGroup用户组

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_03

 

辅助域控服务器 设置以后如下:

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_04

 查看主域控服务器上的用户,如下:

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_05

 上述可以看出,主辅域控制服务器用户已经自动同步了。

创建域组织机构和域用户

为了方便域管理操作,在修复主辅域控制器务器之前,我们先来建立一下域组织机构和域用户,创建域用户,用于在用户电脑登录以及共享资源的访问等。

步骤如下: 

开始-》管理工具-》Active Directory 用户和计算机

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Windows_06

 或者 从仪表板的工具选项进入Active Directory用户和计算机,再或者 win+r 运行 "dsa.msc" 进入都可以。

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_07

为方便以后管理,新建一个OU即组织单位,即组织单位top,在组织单位里创建各部门,再在各部门里创建用户帐号,如下:

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Windows_08

top,勾选 防止容器意外删除,该选项 防止容器意外删除,可以在 最上面的菜单栏中

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_09

最上面的菜单栏中 查看-》高级功能

勾选以后,如果不小心删除的化,会提示

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Windows_10

 

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Windows_11

 新建IT部门

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_12

 

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_13

 新建用户

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_14

 

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_15

Windows无法设置 *** 的密码,原因是:密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。”,

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_16

 如果不需要复杂的密码,可从仪表板-》工具 进入"组策略管理" 或者 开始-》运行 输入 gpedit.msc 回车即可。

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_17

 修改密码策略,根据自己的需要修改密码复杂性,长度最少值、最短最长使用期限等等。密码策略修改之后,运行cmd运行命令:gpupdate /Force 后更改立即生效。这样再回到创建用户设置密码的界面,设置密码即可。

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_18

 成功创建了用户

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Windows_19

 

关于用户帐号:创建用户名时,如果按照每个人的姓名拼音创建,好处是按照此规律创建的用户名可快速地知道每个人的域帐号,不好的地方是如果此人离职,顶替者要重新开帐号,重新设置桌面、邮件之类,如果继续用此帐号时间久了也不记得。如果设置为固定的帐号,只更改中文姓名,帐号可根据电脑名来创建。比如IT部有个人叫张三,电脑名为IT001,创建域帐号it001,这台电脑以后基本不用再新开帐号了,只需要在AD修改用户名字就行。

把用户电脑加入域

1、 加域:在桌面/计算机/属性/更改设置

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_服务器_20

  2、 加域:设置 IP 的 DNS在桌面 右下角 选择网络 右键  打开网络和Ineternet 设置 “ 如下

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Server_21

 注意:

1、加入域以后,需要重启电脑

2、正常情况下用任意域帐号都能加域,但每个普通用户帐号只有10次加域权限,超出次数加域时会报错(可用adsiedit.msc工具修改次数,但一般没修改的必要)

加入以后,使用域用户即可登陆了如: linjie\longteng,输入密码即可登录,注意 :用户名签名必须有域名,否则不能登录。由于是users权限,所以不能安装卸载软件,更改系统设置等,如果有些用户需要给管理员权限,则按下面方法设置,先注销当面用户,切换到本地管理员帐号,注意:这里要输入.再输入本地管理员帐号才会登录,或输入"电脑名本地管理员"如Administrator,这样才登录本地帐号。如果需要需要更高权限的化,则需要再Active Directory 用户和计算中 域用户修改对应的权限,只要把用户添加到对应的权限组即可,如把longteng添加到管理员组中,这样longteng就有管理员权限的功能了。

DC域控服务器与辅助DC域控服务器之间的数据同步以及创建域组织机构和域用户_Windows_22

 

上面是创建ou组织单位,创建域用户户以及添加计算机到域中的过程,下面来讲如何处理遇到的域帐户信息不同步的问题

如果出现不一致的可以使用Repadmin来修复问题

Repadmin可以进行AD,DC 相关的操作,适用于:Windows Server 2003、Windows Server 2008、Windows Server 2003 R2、Windows Server 2008 R2、Windows Server 2012、Windows Server 2003 with SP1、Windows 8

Repadmin.exe帮助管理员诊断运行Microsoft Windows操作系统的域控制器之间的Active Directory复制问题。

Repadmin.exe内置在Windows Server 2008和Windows Server 2008 R2中。如果安装了AD DS或AD LDS服务器角色,则可以使用。如果您安装了作为远程服务器管理工具(RSAT)一部分的Active Directory域服务工具,也可以使用该工具。有关详细信息,请参见如何在本地和远程管理Microsoft Windows客户端和服务器计算机(https://go.microsoft.com/fwlink/?LinkID=177813)。

要使用Repadmin.exe,必须从提升的命令提示符运行ntdsutil命令。要打开提升的命令提示符,请单击“开始”,右键单击“命令提示符”,然后单击以管理员身份运行。

Repadmin.exe是一个命令行工具,可用来报告每个DC的复制状态,Repadmin.exe生成的信息能够帮助发现林中潜在的复制问题,你可以查看详细到特定对象和属性的复制元数据级别的信息,帮助你发现在什么时间修改了AD域的什么位置导致了复制问题,你甚至可以使用Repadmin.exe建立一个复制拓扑,然后强制在DC之间进行复制。 

Repadmin.exe有很多中命令去执行特定的任务,具体的命令参数我们可以通过"repadmin /?:参数"来查看某个参数所能实现的功能。我们可以通过Repadmin.exe执行下面的一些复制监视任务:

AD 域控同步相关命令

1、同步所有域控

repadmin /syncall
2、查看当前域同步状态

repadmin /showrepl *
3、查看指定DC的同步状态

repadmin /showrepl DC4
3、域控中 DNS测试

DCDiag /test:dns
4、显示域控制器之间复制数量和状态

repadmin /replsummary