我的域中有 2 个 DC。其中一个死了,最后一个拥有所有角色,dcdiag netdiag显示所有已选中“良好” - 但我实际上无法修改我的“管理员”帐户。
根据很多谷歌搜索,我必须重置我的本地机器用户名/密码。以获取一些 ne kerberos 东西。
如下所述:https://support.microsoft.com/en-us/kb/837513
实际上,netdom 失败了,出现“超出管理限制”的情况,如果我打开 ads.msc,我会看到我所有的 AD 内容,并且可以添加/删除/修改用户,但“管理员”除外 - 它也总是失败,并出现“超出管理限制”的情况
我不知道接下来该去哪里,有什么帮助吗?
问候
答案1
k,经过几天没有睡觉,喝了很多咖啡等等之后,他实际的问题非常简单,所以我将其发布出来以供参考。:
总结
用户的 AD 对象和 DC 机器超出 LDAP 内部大小限制。
因此使用adsiedit.exe - 找到对象并删除不需要的属性 - 修复它!!
1) 无法编辑管理员账户
- 打开
adsiedit或任何其他 AD 编辑器,找到管理员(或其他帐户)的 OU,然后尝试删除一些属性,就我而言,我从中删除了一些记录userCertificate。
2)netdom resetpwd失败并显示“超出管理限制” * 与上述相同 - 但找到 netdom 不起作用的 DC 的计算机。
在 netdom resetpwd 之后,我的 DC 成功启动并恢复到良好状态。