AD站点管理与信任关系操作指南

table {
border-collapse: collapse;
width: 100%;
margin-bottom: 1rem;
}
th, td {
border: 1px solid #ddd;
padding: 8px;
text-align: left;
}
th {
background-color: #f2f2f2;
}
tr:nth-child(even) {
background-color: #f9f9f9;
}
pre {
background-color: #f8f8f8;
padding: 15px;
border-radius: 4px;
overflow-x: auto;
}

1、打开“AD站点和服务”并浏览你的AD站点，同时使用PowerShell cmdlet Get – ADReplicationSite获取AD站点信息，然后比较两者所显示的可用信息。若要筛选特定站点信息该如何操作？

这是一个操作建议，指导用户通过图形界面工具

“AD站点和服务”

与 PowerShell 命令

Get-ADReplicationSite

来查看并对比 AD 站点的相关信息。

操作步骤：

从

服务器管理器控制台

的

“工具”

菜单或通过搜索打开

“AD站点和服务”

。

在

“AD站点和服务”

管理界面中浏览 AD 站点信息。

打开 PowerShell，运行以下命令获取 AD 站点信息：

powershell
Get-ADReplicationSite


对比图形界面与 PowerShell 命令输出的信息。

筛选特定站点信息：

如果需要筛选特定站点，可使用

-Filter

参数，例如获取名称为

Site1

的站点信息：

Get-ADReplicationSite -Filter {Name -eq 'Site1'}

2、使用ADMLsite1和ADMLsite2创建一个新的站点链接。该站点链接应命名为Toronto – Dallas。将成本设置为100，复制间隔设置为180分钟。将成本修改为330，复制间隔修改为30分钟。修改复制计划，使该链接仅在非工作时间使用。按指定设置计划属性。

创建新站点链接：可使用GUI或PowerShell创建。

GUI方式：

打开ADSS（Active Directory Sites and Services）。

选择

Inter-Site Transports

。

右键点击

IP

，选择

New Site Link…

。

在对话框中输入链接名称：

Toronto - Dallas

。

从右侧列表中选择站点

ADMLsite1

和

ADMLsite2

，添加到链接中。

点击

OK

完成创建。

– 成本（Cost）默认为

100

。

– 复制间隔（Replication Interval）默认为

180分钟

。

PowerShell方式：

使用

New-ADReplicationSiteLink

cmdlet 创建站点链接，示例命令如下：

PS> New-ADReplicationSiteLink -InterSiteTransportProtocol IP -Name 'Toronto - Dallas' -SitesIncluded ADMLsite1, ADMLsite2 -Cost 100 -ReplicationFrequencyInMinutes 180 -Description "Primary site link between ADMLsite1 and ADMLsite2" -PassThru

修改成本和复制间隔：

可在创建后通过以下方式修改：

GUI方式

：在ADSS中右键站点链接，选择

Properties

，修改

Cost

和

Replication interval

。

PowerShell方式

：使用

Set-ADReplicationSiteLink

cmdlet。

修改复制计划：

要限制链接仅在非工作时间使用，请设置计划属性如下：

周六和周日

：全天允许复制。

周一至周五

：晚上8点到早上5点允许复制。

可通过以下方式设置：

GUI方式

：右键站点链接，选择

Properties

，点击

Schedule

，设置相应时间。

PowerShell方式

：使用

Set-ADReplicationSiteLink

并配合

-Schedule

参数配置计划。

3、如何在域中创建信任

在您的域中创建信任可以通过以下步骤完成：

打开“AD 域和信任”。

右键单击域名。

选择“属性”。

选择“信任”选项卡。

如果您只创建信任的一侧，系统会要求您输入密码。提供并确认信任密码。请确保记住这个密码，因为在创建信任的另一侧时会用到它。建议使用强密码。

如果您要同时创建信任的两侧，则需要提供远程域的凭据。

点击“下一步”。

查看设置。

点击“下一步”。

您会看到一条消息，表明信任关系已成功创建。

点击“下一步”以配置信任。

系统会要求您确认出站信任。只有在信任的另一侧已创建的情况下才能进行此操作。

点击“下一步”。

系统会要求您确认入站信任。只有在信任的另一侧已创建的情况下才能进行此操作。

点击“下一步”。

点击“完成”关闭向导。

4、如何验证信任关系？

你可以使用ADDT验证信任关系：

打开ADDT；

右键单击你的域；

选择“属性”；

选择“信任”选项卡；

选择要测试的信任；

点击“属性”；

点击“验证”；

系统会询问你是否要验证传入信任。如果是，你需要提供远程域的凭据。

如果你只验证传出信任，会收到消息：“传出信任已验证。它已就位并处于活动状态。”

如果你还验证了传入信任，消息显示：“信任已验证。它已就位并处于活动状态。”

在这两种情况下，系统都会询问你是否需要更新名称后缀路由信息。只有在你向森林中添加了新的子域时才需要这样做，所以回答“否”。

5、如何从两个域中移除信任关系？

打开AD域和信任关系（ADDT）。

右键单击你的域。

选择“属性”。

选择“信任”选项卡。

选择要移除的信任。

点击“移除”。

系统会询问是只想从本地域移除该信任，还是从两个域都移除。

若选择从两个域移除，需要提供远程域的凭据。

点击“确定”。

系统会要求确认，点击“是”。

信任将被移除。

6、在你的域控制器上找到SYSVOL共享。它是在创建域控制器时设置的。调查你所在环境中分配给用户的登录脚本。使用ADAC、ADUC和PowerShell来查找脚本名称。在域控制器上打开脚本以查看其内容。

要找到SYSVOL共享，默认位置为：

C:WindowsSYSVOLsysvol

若有疑问，可使用以下代码来枚举域控制器上的共享：

Get-WmiObject –Class Win32_Share –ComputerName server02

要调查分配给用户的登录脚本，可通过以下方式查找脚本名称：

ADUC

ADAC

或使用 PowerShell 命令：

Get-ADUser –Identity "jgreen" –Properties scriptpath

若要返回所有属性，可使用：

–Properties *

找到脚本后，在记事本中打开脚本查看其内容。同时要特别检查以下内容是否正确：

网络驱动器映射

打印机映射

7、使用策略结果集向导来确定一个或多个用户针对一个或多个服务器的设置时，若发现问题该如何处理？

当发现问题时，先对组策略对象 (GPO) 应用筛选器，使它们不影响用户。然后逐个处理 GPO，依次移除每个 GPO 的筛选器，直到找到导致问题的 GPO。最后通过阅读说明检查 GPO 中的每个设置，直到找到导致问题的设置。