只读域控不支持客户端加入域

简介:

windows 2008域功能级别。添加了一台只读域控在某分支机构,分支机构客户端加入域时,输入域名,弹出了身份验证对话框,点击确定后提示“找不到网络路径”。将只读域控降级,提升为可读写域控后,没有此故障。求解?

回答:根据您的描述,我对这个问题的理解是:您添加了一台只读域控在某分支机构,分支机构客户端加入域时,输入域名,弹出了身份验证对话框,点击确定后提示“找不到网络路径”,而将只读域控降级,提升为可读写域控后,没有此故障。

首先我想了解一下您在部署只读域控时,是否设置将用户身份验证请求转发到运行 Windows Server 2008 的可写域控制器?

据我所知,部署 RODC 的先决条件如下所示:

RODC 必须将身份验证请求转发到运行 Windows Server 2008 的可写域控制器。在此域控制器上设置了密码复制策略,以确定是否为从 RODC 转发的请求将凭据复制到分支位置。 您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

域功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用 Kerberos 受限制的委派。受限制的委派用于必须在调用方的上下文中模拟的安全调用。 
林功能性的级别必须是 Windows Server 2003 或更高版本,以便可以使用链接值复制。这提供了更高级别的复制一致性。

在林中必须运行一次 adprep /rodcprep 以更新在林中的所有 DNS 应用程序目录分区上的权限。以此方式,作为 DNS 服务器的所有 RODC 都将可以成功复制权限。 
 

关于只读域控(RODC)的相关详细信息,我们可以参考下面的文章:

Win2008 R2实战之只读域控制器部署(图)
http://technet.microsoft.com/zh-cn/ff718225.aspx

AD DS:只读域控制器
http://technet.microsoft.com/zh-cn/library/cc732801(WS.10).aspx#BKMK_deploy

安装其他域控制器
http://technet.microsoft.com/zh-cn/library/cc733027(WS.10).aspx

Read-Only Domain Controller Planning and Deployment Guide
http://technet.microsoft.com/en-us/library/cc771744(WS.10).aspx

请参照上面的资料重新尝试添加一台只读域控在某分支机构。

李海连  微软全球技术支持中心





本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/839408,如需转载请自行联系原作者

目录
相关文章
|
数据安全/隐私保护 网络协议
|
网络协议 数据安全/隐私保护