Windows域密码过期时间、提示时间和复杂度等设置方法

Windows域密码过期时间提示时间和复杂度等设置

要求：域用户密码有效期为180天，密码到期前30天登录系统时会提示需要更改密码。密码必须不少于6位，新密码不能使用前2次已经使用过的密码。

具体设置：在域控制器设置(windows 2003 server EN)

1、Domain security policy

——>account policies

——>password policy

——>Enforce Password history (2)|| Maxnum password age (180)|| Mininum password length (6)

2、Domain security policy

——>local policies

——>Security policy

——>Interactive logon:Prompt user to change password before expiration (30)

组策略的应用次序本地->站点->域->OU，如果策略有冲突，则后应用的生效组策略的应用顺序是OU-----域-----站点-----本地。OU策略级别最高，会覆盖后面的域、站点、本地策略，当它们有相同策略时，最终生效的是OU策略！s

打开组策略-----windows设置-------安全设置--------本地策略------安全选项------交互式登陆：在密码到期前提示用户更改密码，双击打开后，定义你需要设置的天数

OK

设置NTP时间服务器的方法

设置NTP时间服务器的方法 NTP服务器设置： 1.打开注册表，找到下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters ，在右窗格中，双击项“Type "，修改“数值数据"为NTP, 然后单击“确定"。 2.修改以下选项的键 HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer ，修改项「Enabled」设定为1,打开NTP服务器 功能。（默认是不开启NTP Server服务，除非计算机升级成为域控制站） 3.修改以下键值 HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config ，修改项AnnounceFlags 的数据为5,该设定强制主机将它自身宣布 为可靠的时间源，从而使用内置的互补金属氧化物半导体（CMOS时钟。该设定强制主机将它自身宣告为可靠的时间源，从而运用内置的互补金属氧化物 半导体（CMOS）时钟。假如要采用外面的时间服务器，就用默认的a值即可. 4.在dos命令行，启动以下服务： w32time 需要管理员权限，改完重启机器 wi ndows time 其他：如果该服务器和internet 连接，那么为了避免服务器和internet 上的ntp同步，最好追加以下配置： HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient 的「enable」设定为0，以防止作为客户端自动 同步外界的时间服务。 客户端配置： 1.修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ，项「enable」设定为1,以便 作为客户端自动同步外界的时间服务。项SpecialPollInterval 的值修改成十进制43200 （单位为秒，43200为12小时，该值为更新时间间隔） 2.修改默认更新服务器 进入“日期和时间"窗口，点击“Internet 时间"，进入“Internet 时间设置"页面，勾选“与Internet 时间服务器同步"，并输入目标服务 器的IP或域名，点击“确定"保存。 3.重启Windows Time 服务

域内时间同步设置

域内各个服务器的时间保持一致，是一个很重要而又往往又容易被人忽略的问题，如果时间不同步或出现异常，往往会出现以下问题： 1. 服务器上应用程序Server端无法获取准确的日期，导致反馈给客户端的日期时间不准确 2. 系统日志上时间不正确，无法通过时间点查找错误信息 3. VPN用户无法连接网络，导致无法正常工作 4. Failover Cluster无法正常启动或切换 … 以下内容，我们会介绍如下获取修改系统时间，如何设置成与时间服务器同步，并介绍各个常用的与时间有关的命令。 一．常见命令 1. 修改当前计算机时间 使用time命令，同时会要求您重设时间 如果不需要设置时间，则直接回车即可 这个命令仅限于粗糙的时间调整。 2. 获取当前计算机的日期及时间信息 在Windows HyperV中，用户无法看到图形界面的日期与时间信息，但可以通过以下命令进行查看： a) 在命令行中输入timedate.cpl, 系统自动弹出日期，时间设置窗口，可以在此位置进行设置 b) 在命令行中输入net time [url=file:///]\\IP[/url]地址或计算机名称，此命令还可以查看其他计算机的当前时间，例如： net time [url=file:///]\\3.242.107.129[/url], 如果是域内计算机，想查看当前域的整体时间net time /domain:shinseifin

3. 显示时区 a) Timedate.cpl b) W32tm /tz 显示本地计算机时区设置 4. 很多时间我们想知道，当前域内的计算机是从哪个服务器同步的时间，可以用如下命令： W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 结果如下

PC、硬盘录像机时间同步设置

PC、硬盘录像机时间同步设置 一．原理：利用NTP服务实现。NTP服务器【Network Time Protocol（NTP）】是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS 等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，W AN 上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。 二．如何使局域网内的电脑时钟同步 首先要在互联网上寻找一台或几台专门提供时间服务的电脑（以下称为“主时间服务器”），在百度和Google里搜索一下，时间服务器还是很多的，笔者推荐pool．ntp．org这个地址。其次设置局域网时钟服务器。选择单位中能上外网的一台电脑，让它与主时间服务器同步，然后把它设为局域网内部的时间服务器（以下称为时间服务器），以后局域网内所有电脑依它为准进行时间校对。 最后设置客户端。如果客户机为win2000、XP或Linux系统，不需要安装任何软件。如客户机为Win98系统时要根据时间服务器类型的不同而区别对待：如果时间服务器选用SNTP协议进行时钟同步，则Win98机上需安装一个sntp客户端软件，如时间服务器由Windows电脑通过netbios协议提供，则Win98上也不需要安装任何软件。 三．如何设置时间服务器 以下分Win2000、XP分别介绍，而且只介绍sntp服务的架设。 1．Windows2000、XP做时间服务器 第一步：指定主时间服务器。在DOS里输入“net time /setsntp：pool．ntp．org”，这里我们指定pool．ntp．org是主时间服务器。 第二步：与主时间服务器同步。先关闭windows time服务，再开启该服务。在DOS里输入“net stop w32time”、“net start w32time”。 第三步：设置电脑的Windows time服务的启动方式为自动，在“管理工具”的“服务”界面下完成（xp系统默认是自动）。 注意：这台windows主机不能加入任何域，否则无法启动windows time服务。此时，这台windows电脑已经是互联上主时间服务器的客户了，以后每次电脑启动时，都会自动与主时间服务器校对时间。如果网络不通，电脑也会过45分钟后再次自动校对时间。需要提醒的是电脑的时钟与标准时间误差不能超过12个小时，否则不能自动校对，只有手动校正了。

ad域配置时间服务器

ad域配置时间服务器 PDC如何设置外部服务器为权威服务器。将PDC的时间源同步服务器更改为公司内部的另外一台服务器（192.168.1.250），其他Linux服务器是用192.168.1.250这台服务器作为权威时间源服务器的 1.如何在PDC上设置将权威时间源服务器设置为19 2.168.1.250 2.如何检查PDC的时间服务器已经更改为192.168.1.250 3.如果检查PDC跟权威时间服务器192.168.1.250已经同步了 4.域内的其它DC不用做任何设置，就可以跟PDC保持时间同步了吧，客户 端也无需做任何操作吧，谢谢！ 环境：Windows Server 2008 DC ，多Site 回答：根据您的描述，您知道如果在域环境中配置时间服务器。 首先，我们知道在域环境下时间同步非常重要，默认情况下如果DC之间或者DC 和client之间的时间差超过5分钟，那么Kerberos验证就是会失败（默认时间可以修改）。因此正确的配置时间架构将非常重要，一般来说我们按以下架构图来配置时间同步。 活动目录时间服务 在域环境中，PDC（拥有PDC Emulator 这个FSMO角色的DC）默认情况下是该域的权威时间服务器。 按照以上的时间同步层次图，一般情况下我们建议您将顶端的PDC(如果是多域环境，则选择根域的PDC)的时间源服务器指向外部可靠的时间源比如 https://www.wendangku.net/doc/714974475.html,。

1.您可以通过以下命令设置时间同步源： o w32tm /config /manualpeerlist:/syncfromflags:MANUAL o详细配置信息请参考： ?Synchronize the Time Server for the Domain Controller with an External Source ?https://www.wendangku.net/doc/714974475.html,/en-us/library/cc784553 (v=ws.10).aspx 2.您可以在PDC上运行以下命令查看时间同步（延迟）情况： o W32tm /monitor 3.将DC设置为可信任的时间源，那么该域中的其他DC和client将会从该 DC上进行时间同步。命令为： o W32tm /config /reliable:YES 您可以在任何一台DC或client上用win32tm查询时间同步源： W32tm /query /source 如果域内的普通DC或client时间源设置不对，用w32tm /config /syncfromflags:DOMHIER 命令设置成域时间架构，然后在用 w32tm /resync 重新同步。 相关windows时间服务的资料，供您参考： How the Windows Time Service Works https://www.wendangku.net/doc/714974475.html,/en-us/library/cc773013(v=WS.10).aspx W32tm https://www.wendangku.net/doc/714974475.html,/en-us/library/bb491016.aspx How to configure an authoritative time server in Windows Server https://www.wendangku.net/doc/714974475.html,/kb/816042 Registry entries for the W32Time service https://www.wendangku.net/doc/714974475.html,/kb/223184 梅晓江微软全球技术支持中心 ad域配置时间服务器的相关文章请参看 域客户端设置时间

解决局域网内的时间同步问题

解决局域网时间同步问题，建立自己的时间服务器（在xp上测试通过）因为种种原因，客户端管理电脑时间会与服务器的时间不一致，造成很多软件不能正常工作或者说获取的前端数据有时间差。一台台修改时间，自然很不方便。目前用的比较多的办法就是NET TIME命令，来同步局域网其他一台机器，。经过我们自己反复试验，终于成功设置好了自己的时间服务器，完全可以用XP自带的windows time 服务来自动更新时间。无须借用其他程序。现将方法公布！目前测试过XP可以做服务器。 1. 将服务器类型更改为NTP。为此，请按照下列步骤操作： a. 单击“开始”，单击“运行”，键入regedit，然后单击“确定”。 b. 找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type c. 在右窗格中，右键单击“Type”，然后单击“修改”。 d. 在“编辑值”的“数值数据”框中键入NTP，然后单击“确定”。 2. 将AnnounceFlags 设置为5。为此，请按照下列步骤操作： a. 找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags b. 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。 c. 在“编辑DWORD 值”的“数值数据”框中键入5（原为十六进制a），然后单击“确定”。 3. 启用NTPServer。为此，请按照下列步骤操作： a. 找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer b. 在右窗格中，右键单击“Enabled”，然后单击“修改”。 c. 在“编辑DWORD 值”的“数值数据”框中键入1（原为十六进制），然后单击“确定”。 进服务-停止windows time 服务，再启动windows time 服务。这样时间服务器就配置完毕 客户机设置： 注册表项MaxPosPhaseCorrection 路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 十进制修改为999999999（原为十六进制d2f0） 注册表项MaxNegPhaseCorrection 路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 十进制修改为999999999（原为十六进制d2f0）

Windows AD(Active_Directory)域信息同步_组织单位、用户等信息查询

?示例准备 ?知识了解 ?读取AD域信息示例 ?DirectorySearcher.Filter属性扩充说明?用户属性扩充说明(含图文属性对照) ?常规 ?地址 ?帐户 ?电话 ?组织 ?示例下载

新建层次关系如下：

下面我们开始连接域，并读取出示例准备中键好的组织单位和用户 首先编写代码用LDAP尝试对域进行访问 形式：LDAP://Domain #region## 是否连接到域 ///

/// 功能：是否连接到域 /// 作者：Wilson /// 时间：2012-12-15 /// https://www.wendangku.net/doc/714974475.html,/zh-cn/library/system.directoryservices.directoryentry.path(v =vs.90).aspx ///

/// 域名或IP /// 用户名 /// 密码 /// 域 /// private bool IsConnected(string domainName, string userName, string userPwd, out DirectoryEntry domain) { domain = new DirectoryEntry(); try { domain.Path = string.Format("LDAP://{0}", domainName); https://www.wendangku.net/doc/714974475.html,ername = userName; domain.Password = userPwd; domain.AuthenticationType = AuthenticationTypes.Secure; domain.RefreshCache(); return true; } catch(Exception ex)

域控服务器备份和恢复

域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色，AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后，备份系统原始状态，包括对C盘分区镜像备份；在客户机加域和调试等工作完成后，备份AD、DNS服务，C盘镜像文件和这2个服务每7天备份一次，备份文件名称加日期，分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL（系统卷）。其中AD数据库包括Ntds.dit（数据库）、Edbxxxxx.log（事物日志）、Edb.chk（检查点文件）、Res1.log 和Res2.log（预留的日志文件）；系统卷包括文件系统联接、Net Logon 共享（保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象）、用户登录脚本（基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端）、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合，包括系统启动文件、系

统注册表、COM+类的注册数据库。 当备份系统状态时，AD会作为其中的一部分进行备份，所以选择系统自带备份工具（ntbackup）备份系统状态来备份AD。 为了安全，我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup，打开系统自带备份软件（也可以点击“开始-程序-附件-系统工具-备份”打开）。 按确定，进入备份工具欢迎页面 选择高级模式，进入高级模式欢迎页面：

ntp时间同步,各种配置方法

ntp时间同步，各种配置方法 1 Windows xp NTP服务器的配置（2003配置方式一样） 1) 首先需要关闭作为NTP服务器的windows系统自带的防火墙，否则将同步不成功。 2) 单击―开始‖，单击―运行‖，键入regedit，然后单击―确定‖。 找到下面的注册表项然后单击它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\ 在右窗格中，右键单击―AnnounceFlags‖，然后单击―修改‖。 在―编辑DWORD 值‖对话框中的―数值数据‖下，键入5，然后单击―确定‖。 3) 启用NTPServer。 a. 找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpSer ver\ b. 在右窗格中，右键单击―Enabled‖，然后单击―修改‖。 c. 在―编辑DWORD 值‖对话框中的―数值数据‖下，键入1，然后单击―确定‖。

4) 关闭NTP client 找到并单击下面的注册表子项： a) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\Ntpclie nt\ b) 在右窗格中，右键单击―Enabled‖，然后单击―修改‖。 c) 在―编辑DWORD 值‖对话框中的―数值数据‖下，键入0，然后单击―确定‖。 5) 退出注册表编辑器。 在命令提示符处，键入以下命令以重新启动Windows 时间服务，然后按Enter： net stop w32time && net start w32time 2 Windows（2003、XP）系统的NTP同步配置 2.1 Windows客户端的设置 1) 首先需要关闭作为NTP客户端的windows系统自带的防火墙，否则将同步不成功。 2) 设定同步时间间隔，在―开始‖菜单→―运行‖项下输入―Regedit‖进入注册表编辑器。 展开 [ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient ]

域控制器时间同步

域控制器时间同步及w32tm用法 (2011-07-05 13:07:37) 转载 分类：计算机与 Internet 标签： 杂谈 现象：域控制器和域内的计算机时间与internet上的时间不同步，老慢几分钟。 解决办法：设置NTP服务器，和外网时间同步。 一、修改DC注册表： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\type为NTP 二、设置权威服务器 1、设置权威服务器 在域控服务器上打开注册表，找到键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 修改键AnnounceFlags的值为十进制的10。 2、启用NTPServer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServe r 修改键Enabled的值为十进制的1 三、配置组策略，设置时间同步 1、打开“Active Directory用户和计算机”，在域上点右键，属性。组策略，打开。 2、在“Default Domain Policy”上右键，编辑。

3、计算机配置—管理模板—系统—Windows时间服务，双击“全局时间配置”，选择“已 启用”。 修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时） 修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时） 修改AnnounceFlags的值为5 点“应用”，“确定”。 4、计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用 Windows NTP客户端”，选择“已启用”。 “配置Windows NTP客户端”，选择“已启用”。 修改NtpSever的值为https://www.wendangku.net/doc/714974475.html,,0x6 修改Type的值为NTP 修改SpecialPollInterval的值为1800（30分钟） 四、W32TM用法 当修改完策略后使用gpupdate /force 更新策略，使用w32tm命令更新客户端的时钟。 很多时间我们想知道，当前域内的计算机是从哪个服务器同步的时间，可以用如下命令： W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 同步某一个机器的时钟：w32tm /resync /computer:172.21.200.100 1.启动“注册表编辑器”。 2.找到并单击下列注册表项，然后添加下列注册表值： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32ti me\Config\

windows计划任务-自动同步局域网时间

一、服务端 1.关闭防火墙 2.windows+R 输入gpedit.msc 计算机配置/Windows 设置/安全设置/本地策略/安全选项/用户：来宾帐号状态--启用 计算机配置/Windows 设置/安全设置/本地策略/用户权限分配/拒绝从网络访问这台计算机--右键-属性-点击Guest-点删除-确定

3.重启windows time 服务，设置为自动 目的是下次开机自动启动windows time 服务 二、客户端 如果修改过w32time注册表，输入以下三行 Dos窗口输入：net stop w32time，先关闭windows time服务 Dos窗口输入：w32tm /register，重新注册windows time服务 Dos窗口输入：net start w32time，重新启动windows time服务 1.启动windows time 服务，设置为自动 目的是下次开机自动启动windows time 服务 2.新建文本文档，内容为: 重命名为XX.bat 注意空格 3.windows 2003开始-附件-系统工具-任务计划，windows server 2008和win7点击“开始”，输入“任务计划”，点击“任务计划程序”;win8/win8.1搜索“计划任务” 本文档介绍win7

4.右键“任务计划程序(本地)”，点击“创建任务” 5.在创建任务中点击“常规” 注意：右下角“确定”最后再点

6.点击“触发器”，点“新建” 7.点击“操作”，点“新建”

8.点击“条件”，全部取消勾选

9.点击“设置”

域控的系统时间无法与北京时间同步的解决方案

域控的系统时间无法与北京时间同步的解决方案 某日, XX同事跑过来说, 我的XP的时间怎么不对啊, 比手机慢了3分钟, 我信誓旦旦的说, 这个与域控服务同步的, 没有问题, 肯定是你的手机时间错啦! ---但是既然有同事提醒, 我打开北京时间的官网一比对, 那个时候的汗那...确实慢了3分钟, 我想, DC也可能不对, 立马VNC, 哇靠, 确实如此! 查看DC注册表, 我现在的时间, 应该是跟服务器CMOS的硬件同步, 查阅MS-KB, 此方案通过同步外部时间服务器(推荐:https://www.wendangku.net/doc/714974475.html,)来解决此问题并实现LAN内唯一特许经营时间提供商(世博专供). 以下转自Microsoft, 版权归属MS.由任何疑问, 请电联800. https://www.wendangku.net/doc/714974475.html,/kb/816042/zh-cn 配置Windows 时间服务以使用外部时间源 要将内部时间服务器配置为与外部时间源同步，请按照下列步骤操作： 1. 将服务器类型更改为NTP。为此，请按照下列步骤操作： a. 单击“开始”，单击“运行”，键入regedit，然后单击“确定”。 b. 找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type c. 在右窗格中，右键单击“Type”，然后单击“修改”。 d. 在“编辑值”的“数值数据”框中键入NTP，然后单击“确定”。 2. 将AnnounceFlags设置为5。为此，请按照下列步骤操作： . 找到并单击下面的注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags a. 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。 b. 在“编辑DWORD 值”的“数值数据”框中键入5，然后单击“确定”。 3. 启用NTPServer。为此，请按照下列步骤操作： . 找到并单击下面的注册表子项：

WinServer 2016域控设置NTP服务器

WinServer 2016域控设置NTP服务器 我们公司里都应该有NTP服务器，这样所有的客户端都指向这台NTP服务器，时间就会都同步了，我们使用域控作为一台NTP服务器，并且域控会像外网上的NTP服务器同步时间，而内部的客户端都指向这台域控去获取时间。网上有很多方法，改注册表什么的，其实原理都是一样的，我们同步修改组策略来完成。我这篇是自己结合网上很多文档的终极版本。下面的PDC是你的第一台域控。你只要知道PDC就是第一台域控即可 指定外部时间源并与之同步，在PDC所在的域控制器上的管理员命令行进行操作（PDC角色（默认的域内权威的时间服务源）。 w32tm /config /manualpeerlist:" https://www.wendangku.net/doc/714974475.html, https://www.wendangku.net/doc/714974475.html," /syncfromflags:manual /reliable:yes /update net stop w32time & net start w32time w32tm /resync W32tm /query /status /manualpeerlist表示外部时间源服务器列表，多个服务器之间可用空格分隔，210.72.145.44是中国国家授时中心的时间服务器ip地址 /syncfromflags:manual表示与指定的外部时间源服务器列表中的服务器进行同步 /reliable:yes设置此计算机是一个可靠的时间源。此设置只对域控制器有意义。 /update向时间服务发出配置已更改的通知，使更改生效 在域环境中，只需设置根域控制器的外部时间源即可，其它服务器在添加进域中时将自动设置与域控制器时间同步。

域控制器迁移以及修改服务器ip

windows server 2003 域控制器转移 迁移准备工作: 1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2003域的额外的域控制器。 2. 在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2003 DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。 3. 将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，具体方法请参考下面这篇文档： 《How to promote a domain controller to a global catalog server》： 4. 将原来的Windows 2003域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法请参考下面这篇文档： 《如何查看和转移Windows Server 2003 中的FSMO 角色》： 当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。关于在Windows 2003域控制器上放置FSMO的更多信息，请参考下面这篇文档： 《在Windows 2003 域控制器上放置和优化FSMO》： 5. 完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2003域控制器的角色，但我们需要等待一段时间使原来的Windows 2003域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到WindowsServer 2003域控制器上。建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2003域控制器降级。 参考资料： How to promote a domain controller to a global catalog server 概要 全局编录服务器执行在Microsoft Windows 2000 域中的两个关键功能： ?必须在网络上一个用户登录时全局编录服务器提供了到域控制器发送登录请求的帐户的通用组成员身份信息。 ?全局编录服务器允许的域中查找Active Directory 目录服务信息，而不考虑包含数据的目录林中域的成员。 如果用户启动网络登录过程时，全局编录不可用，用户可以登录到本地计算机仅。必须有一个全局编录服务器可用，以便用户可以登录并定位Active Directory 资源。我们建议您在每个要加速这些流程的网站有至少一个全局编录服务器。 如果在域中有只有一个域控制器在域控制器和全局编录服务器是相同。如果在域中有多个域控制器在

域控制器灾难恢复方法

灾难恢复方法 一.目的 本文对域控制器的灾难恢复提供指导 二．摘要 本文讲述了多域控制器环境下由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的功能工作使Active Directory正常运行，并在硬件故障排除后使损坏的主域控制器恢复 三．目录 Active Directory操作主机角色概述 环境分析 从AD中清除主域控制器https://www.wendangku.net/doc/714974475.html, 对象 在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作 设置额外域控制器为ＧＣ（全局编录） 重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本 四．正文 1. Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）： 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作，具有不同的功能： 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、 组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。 PDCE是基于域的，目录林中的每个域都有自己的PDCE。 基础结构主机 基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的 全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机 默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。 2. 环境分析 公司https://www.wendangku.net/doc/714974475.html,（虚拟）有一台主域控制器https://www.wendangku.net/doc/714974475.html,，还有一台额外域控制器https://www.wendangku.net/doc/714974475.html,。现主域控制器（https://www.wendangku.net/doc/714974475.html,）由于硬件故障突然损坏，事先又没有https://www.wendangku.net/doc/714974475.html,的系统状态备份，没办法通过备份修复主域控制器（https://www.wendangku.net/doc/714974475.html,），我们怎么让额外域控制器（https://www.wendangku.net/doc/714974475.html,）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的

Windows2003 Server上实现客户端和服务器进行时间同步

在Windows2003 Server上实现客户端和服务器进行时间同步 2009-11-30 18:55:39| 分类：IT技术交流|举报|字号订阅 在Windows2003 Server上实现客户端和服务器进行时间同步 通常情况下，Windows 2000/xp/2003域成员有个w32time时间服务，它会自动与域DC进行时间同步，无需人为干涉。保持域内时间的同步是kerberos 认证协议的一个基本要求，也是为了防止重放攻击的一种手段，如果域成员客户机与DC的时间相差太大的话，它的登录将不能成功，这时你可以手动调整系统时间，通常情况下，只要通讯无阻碍，域成员将自动与DC保持时间同步。 +++ 服务器端提供时间同步的服务，也就是一个专门负责时间同步的一个系统服务，或者说系统进程，在客户端也有一个这样的进程，与服务端的时间服务进行通信，协商时间。步骤如下： ++ 服务器端设置： 默认情况下，服务器Windows2003 Server是作为时间同步客户端的。你可以双击系统时间，在“Internet时间”属性页里有时间同步的设置，显然系统默认是作为客户端的。所以，必须通过修改设置，使系统作为时间同步的服务端。 1，修改注册表以下项的键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\TimeProviders\NtpServer内的“Enabled”设置为“1”，打开时间同步服务功能。 2，修改以下键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\Config里的“AnnounceFlags”设置为“5”，表示强制主机将它自身宣布为可靠的时间源，从而使用CMOS时钟。如果设置为“a”，则表示为采用外面的时间服务器。 3，重启Win32Time服务

windowsAD 域时间同步

windowsAD 域时间同步。用户的dc全部都是win2003。（多台dc）因为安全考虑，客户的dc不能直接连接互联网。客户的域控制器时间不准，造成整个网络内的客户端时间也有偏差。 客户在内网还有一台额外的时间服务器，有没有办法让域控自动和时间服务器对时。 或者还有其他比较好实现的时间校准的办法。 回答：根据您的描述，我对这个问题的理解是：DC不直接连到互联网，但是希望域中的服务器和客户端的时间都是同步的。 分析： 根据我的经验和研究，域中的PDC会但当域中的time source，其他的认证DC会去和他同步，之后客户端会和这些DC同步您看到的文章来自活动目录SEO https://www.wendangku.net/doc/714974475.html,/c1404552/ 建议： 您可以执行下面的操作： 步骤1: 把PDC配置为time source ============= 1. 开始－运行,键入 regedit, 确定. 2.找到注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\Anno unceFlags 3. 在右边, 右键 AnnounceFlags, 选择修改。 4. 编辑 DWORD 值,键入 A, 确定. 5. 退出注册表. 6. 开始运行cmd，在命令行对话框, 如果启动时提示： 错误1058:无法启动服务,原因可能是已被禁用与其相关联的设备没有启动。 原因是你的windows time服务失效。 修复：

运行 进入命令行，然后键入 w32tm /register 正确的响应为： W32Time 成功注册。 键入下面的命令重新启动Windows Time service 然后回车： net stop w32time net start w32time 步骤 2: 配置其他的认证DC与PDC进行时间同步： ============== 1. 开始－运行, 键入cmd 打开命令行窗口. 2. 输入下面的命令然后依次回车 w32tm /config /syncfromflags:domhier /update net stop w32time net start w32time ---------------------------------------------------------------------------------------------------------------------------- 时间同步服务配置 网络中心提供的网络时间服务，使得各种网络设备、服务器、个人计算机等可以通过网络时间服务器校正它们自己的时间。用户可使用任何支持NTP或SNTP（Simple Network Time Protocol）的客户端进行时间同步。时间服务器的地址是：https://www.wendangku.net/doc/714974475.html,。详细设置如下： 一．利用操作系统提供的校时服务（Windows XP、Windows 2003适用）： 1、双击任务栏右下角“时间”，打开 [ 时间和日期属性 ] 设置对话 框

域控制器关机时间很长

域控制器关机时间很长 导致DC重启时间过长的系统层面的原因。我这边有一台新服务器，刚刚安装了Windows Server 2008 R2 SP1的操作系统，并且成功提升为DC。但现在发现一个问题，就是这台DC在重启的时候时间过长，重启一次需要40分钟的时间，接上显示器观察后，发现是关机时间很长，关机画面一直停留在Shutdowning的画面。但关机操作完成之后再次启动需要7分钟的时间，也就是说此服务器关机过程是有问题的，启动过程是没有问题的。 此服务器是新的服务器，应该不存在硬件的问题。并且此服务器在未提升为DC 之前的重启时间约为10分钟，是正常的。所以想问，从系统的层面来说，会有什么样的原因导致重启时间过长？ 回答：根据您的描述，我了解到您想知道是什么原因会导致DC重启时间过长。 在这里，我想先为您解释下系统关机的整个过程，以及那些因素会导致关机时间变长。您看到的文章来自活动目录 seo https://www.wendangku.net/doc/714974475.html,/category/active-directory/ 1.当用户发起关机指令以后，将调用系统关机程序shutdown.exe, 该程序 会通知windows子系统程序进程csrss.exe, csrss.exe收到通知以后会 和winlogon.exe做一个数据交换，做好关机准备工作，接着由 winlogon.exe通知csrss.exe 开始关闭系统的流程。系统会首先结束登 录用户打开的所有程序，保护用户的设置和系统设置，然后停止系统服务和操作系统大部分进程。 2.第一个过程中windows子系统进程csrss.exe收到winlogon.exe的通知 后，会依次查询拥有顶层窗口的用户进程，如常见的用户程序，杀毒软 件，防火墙等，让这些进程退出。如果某一个用户进程在一个默认的超时时间5000毫秒(可以通过修改注册表键值 HKEY_CURRENT_USER\Control Panel\Desktop\ HungAppTimeout设定超时时间)内没有退出的话， Windows会显示一个结束任务对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。对于控制台程 序来说，情况类似，Windows使用HKEY_CURRENT_USER\Control Panel\Desktop\ WaitToKillAppTimeout值来设置超时时间。 3.在关闭用户进程后，开始进入到关闭系统进程阶段，正常使用状态下无法 结束的系统进程，如smss.exe，lsass.exe等将被终止。终止系统进程 和终止用户进程略有不同，windows在终止系统进程的时候并不像终止用户进程那样，如果无法在规定时间内种植提示用户，则直接跳过这个进程，去执行下一个系统进程的终止操作。其中使用的超时时间和第2步使用 的时间相同。