none
域控2016:域账号长度 RRS feed

  • 问题

  • 【情景描述】:域控版本是 2016 Datacenter (最近从2008R2 升级上来的),新建域账号长度22位(SUC21Fzhendongzonghe01),但在登录名这里是 20位:SUC21Fzhendongzonghe,实际用分配的域账号:SUC21Fzhendongzonghe01发现无法登陆

    诉求:

    1、是域控哪里设置没到位导致的?

    2、域控这2个地方分别对应什么字段?

    姓 Sn 
    名 Givename 
    显示名称 displayName 
    用户登录名 userPrincipalName  
    用户登录名(以前版本) sAMAccountName  

    3、域控2008R2 升级到2016后,操作系统升级上来了,但域控级别未升级上来,如果要升级上来,需要规避什么风险?

    4、域控2016的备份有什么方式?备份有什么要求?


    • 已编辑 super.ma 2019年7月24日 11:05 编辑描述
    2019年7月24日 10:38

答案

  • 尊敬的客户,您好!

    我们推荐以上提到的Windows自带的备份工具。

    如果您想了解其他的备份工具,可以在如下的网站咨询这个工具-symantec backup exec。

    https://www.symantec.com/contact-us

    提示:这个声明是告诉您微软没有对这些网站的软件和信息作任何的测试,所以我们不能对此这些网站的内容做安全,质量,适合方面做任何的陈述。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月7日 10:38
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下内容是对我们问题的回答:

    >>1.是域控哪里设置没到位导致的?

    从以下文档我们可以看出:SAM-Account-Name attribute

    用户登录名的长度(Pre-Windows 2000)sAMAccountName限制为20个字符,所以并不是设置不对导致的。



    >>2.域控这2个地方分别对应什么字段?

    姓 Sn:显示名称中的一部分 

    名 Givename:显示名中的一部分

    显示名称 displayName: 就是姓加上名 

    用户登录名 userPrincipalName:  它对应于SUC21Fzhendongzonghe01@jw.com


    用户登录名(以前版本) sAMAccountName:它对应于用户登录名Pre-Windows 2000)即我们以下红色框里的用户名SUC21Fzhendongzonghe,也就是只有20个字符长度的那部分用户登录名。



    为了更好地理解我们以上的概念,我在测试环境中,创建了一个新的用户,我们可以来看一下:


    我发现姓最长可以是28个字符,名最长可以是29个字符,因为输入了那么多我就没法再输入了。

    全名就是姓加上名的总的字符,他们中间有一个空格符,它自动带出来的。

    用户登录名可以有很多字符,具体最长有多少字符我不是太清楚,但是我输入70多个字符,我还是可以输入,一般我们也不会使用那么多字符。在这里我只用了23个字符(即12345678901234567890123):12345678901234567890123@a.local

    用户登录名(Pre-Windows 2000)最长只有20个字符:12345678901234567890

    我们看到域控上的显示名如下(也就是姓名,外国人名在前面,姓在后面):


    姓 Sn :



    名 Givename :



    显示名称 displayName:


    然后我找一台加域的客户端,我们可以使用12345678901234567890123@a.local 或者 A\12345678901234567890 登录客户端。

    登录以后显示如下这样的显示名:



    从以上例子我们也可以看出,登录名可以与显示名不一样。

    >>3.域控2008R2 升级到2016后,操作系统升级上来了,但域控级别未升级上来,如果要升级上来,需要规避什么风险?

    请问我们指的是如果需要升级林/域功能级别吗?如果是的话,我们在升级林/域功能级别之前,需要了解以下几点:

    1. 检查所有的域控制器能够正常工作(可以在每个DC上运行Dcdiag /v命令检查);
    2. 如果同一个域里有多个域控制器,检查域控制器之间的复制是否正常(可以在每个域控制器上运行repadmin /showrepl和repadmin /replsum命令检查)
    3. 备份所有的域控制器;
    4. 确保所有的域功能级别等于或者高于林功能级别;
    5. 确保所有的域控制器操作系统的级别等于或者高于域功能级别;
    6. 只能在PDC仿真模拟器操作主机上升级域功能级别;
    7. 只能在架构操作主机上升级林功能级别。


    当升级林/域功能级别的时候注意以下几点:

    1. 在域功能级别被提升到Windows Server 2008或更高之后,域控制器上可能发生认证错误,如果域控制器已经复制了域功能级别的更改,但尚未刷新KRBTGT密码的情况下。在这种情况下,重新启动域控制器上的KDC服务将触发新KRBTGT密码的内存刷新,会解决相关的认证错误。
    2. 当提升域功能级别/林功能级别时,Active Directory架构将被修改,因为Active  Directory架构存在于整个森林中。
    3. 更改域或林功能级别不影响依赖于Active  Directory的应用程序。



    >>4.域控2016的备份有什么方式?备份有什么要求?

    第一:首先确保我们备份的内容是好的,即以上检查的内容都没有任何错误。

    第二:使用Windows自带的备份工具备份。
    Installing Windows Server Backup Tools
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732081%28v%3dws.10%29
    Back Up to a Local Disk, DVD, or Removable Media
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771380%28v%3dws.10%29

    第三:备份系统状态,或者备份整个服务器。对于系统备份包含什么内容,我们可以参考以下文档:
    System State data

    第四:我们必须是Backup Operators组或Administrators组的成员,我们才可以执行AD备份。 我们必须有权将数据写入目标磁盘或共享文件夹。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月25日 6:21
    版主
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快! 



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月29日 8:26
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?如果已经解决的话,我们可以在此更新一下信息。

    如果我们使用自己的方法解决的话,我们可以分享一下解决方案。如果使用以上提供的方法解决的,我们可以把有用的回复标记为答案。这对于正在查找类似问题的人将很有帮助。

    如果有任何不清楚的地方,欢迎您随时咨询。

    感谢您的理解和支持。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月1日 9:41
    版主
  • 感谢回复

    1、用户登录名(以前版本) sAMAccountName ,域账号的长度是 20位,基本确定

    3.域控2008R2 升级到2016后,操作系统升级上来了,但域控级别/林功能级别未升级上来

    目前企业内部有45个系统(OA,ERP,crm,PLM等)和AD集成认证,和这些系统集成需要注意什么?

    4、有关域控备份

    域控2地4台域控,其中各自两边的主域控都是在虚拟化平台,虚拟化平台自身有备份,另外2台辅助域控在各自的实体机,5大角色在其中一边的虚拟化所在的主域控上

    诉求:2012以上的域控有回收站功能(2016已经开启回收站功能),+虚拟化备份,还需要注意什么?

    2019年8月2日 0:19
  • 尊敬的客户,您好!

    >>目前企业内部有45个系统(OA,ERP,crm,PLM等)和AD集成认证,和这些系统集成需要注意什么?

    请问我们指的是这些与AD集成的系统在功能级别升级后,是否会对这些集成的系统认证产生影响吗?
    如果是的话,根据这个文章-Forest and Domain Functional Levels, 高版本的域/林功能级别继承了低版本的所有功能,并增加部分新的功能或者保持了原有的功能。所以据我所知,应该不会产生认证的影响。



    >>
    2012以上的域控有回收站功能(2016已经开启回收站功能),+虚拟化备份,还需要注意什么?

    对于域控的备份,我们需要手动安装Windows自带的备份工具,并且手动执行备份(备份整个服务器或者系统状态)。



    参考文档:


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月2日 10:59
    版主
  • 有关AD有没很好的颗粒度的备份和恢复的商业软件推荐?
    2019年8月5日 0:08
  • 尊敬的客户,您好!

    我们推荐以上提到的Windows自带的备份工具。

    如果您想了解其他的备份工具,可以在如下的网站咨询这个工具-symantec backup exec。

    https://www.symantec.com/contact-us

    提示:这个声明是告诉您微软没有对这些网站的软件和信息作任何的测试,所以我们不能对此这些网站的内容做安全,质量,适合方面做任何的陈述。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月7日 10:38
    版主
  • 尊敬的客户,您好,
     
    感谢您将我的回复标记为答案。很高兴提供的信息对您有用。
     
    一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!
     
    祝您工作生活顺利!


     
    此致
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年8月8日 2:26
    版主