Dc0, чем открыть в Windows

Обновлено: 29.06.2024

Почему Outlook сообщает, что не может открыть папки почтового ящика?

Что имеем: лес с несколькими доменами: Голова - поддомен1 и поддомен2. Таким образом, полное доменное имя — subdomain1.head.intern и subdomain2.head.intern. Сервер Exchange находится в sub1 и имеет полное доменное имя exchangesrv.subdomain1.head.intern.
Мы находимся в cu20, и это сервер Exchange 2016 на сервере Windows 2012R2. не то, чтобы это имело какую-либо ценность, а просто для общего представления.

Наша проблема продолжается уже несколько месяцев (не говоря уже о годах), но мы не можем понять, в чем причина, и вместе с нами многие другие, кто пытался ее изучить. Проблема возникает иногда и у некоторых пользователей, но не у всех (1000 почтовых ящиков).
Пользователь работает в среде citrix с Outlook 2016 (последние обновления). Режима кеширования нет! Так что всегда в прямом эфире/онлайн.

Проблема: при открытии Outlook появляется всплывающее окно: не удалось открыть папки. Проверьте, подключен ли сервер Exchange к сети. Возможны проблемы с сетью.
Сообщение об ошибке не соответствует реальной ситуации, поскольку у других пользователей на том же сервере Citrix проблем нет. У других пользователей в тот же момент вообще нет проблем с Outlook.
Странное поведение действительно в этом конкретном профиле в этот момент. Если я ничего не делаю и жду один, два часа или дольше, пользователь может открыть свой Outlook как обычно, как будто раньше проблем не было.
После странного поведения я пробую разные вещи, такие как: Outlook в безопасном режиме => нет, Outlook на другом сервере Citrix = нет, новый профиль Outlook = нет, . через несколько часов = идти (открывается Outlook).

Сначала я думал, что это только для пользователей с более чем одним почтовым ящиком (общим или добавленным с учетными данными другого почтового ящика), но теперь есть также пользователи только с одним почтовым ящиком (своим почтовым ящиком).

Итак, после всего этого я продолжаю смотреть и вижу это.

get-exchangeserver - статус | fl ==> результат: показан только один DC. Может быть, это проблема с активным каталогом, и я могу попытаться добавить дополнительный DC к этому параметру? У нас есть 4 сервера DC в этом домене.

Но я не могу найти, что именно использовать, чтобы изменить это. Это эта команда? Для меня особенно важно наличие нескольких контроллеров домена.
set-exchangeserver -identity "exchangeserver" -StaticDomainControllers "DomainControllerName1, DomainControllerName2, DomainControllerName3"
И нужно ли мне также использовать -staticGlobalControllerName?

Я знаю, что это как-то странно, но, как я уже сказал, у нас уже очень долгое время существует эта "бесконечная" проблема. Я не могу рассказывать эту историю снова и снова. Спасибо за понимание.

В этой статье описываются симптомы, причины и действия по устранению для ситуаций, когда операции AD завершаются сбоем с ошибкой 5: Доступ запрещен.

Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 2002013

Симптомы

DCDIAG сообщает, что проверка репликации Active Directory не удалась с кодом состояния ошибки (5): доступ запрещен.

DCDIAG сообщает, что функция DsBindWithSpnEx() завершилась с ошибкой 5.

REPADMIN.EXE сообщает, что последняя попытка репликации не удалась со статусом 5.

Команды REPADMIN, которые обычно ссылаются на статус 5, включают, помимо прочего:

  • РЕПАДМИН/KCC
  • РЕПАДМИН /РЕПЛИКАЦИЯ
  • РЕПАДМИН /REPLSUM
  • РЕПАДМИН /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL

Ниже показан пример выходных данных REPADMIN /SHOWREPS, показывающих сбой входящей репликации с CONTOSO-DC2 на CONTOSO-DC1 из-за ошибки доступа к репликации:

События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService со статусом 5 регистрируются в журнале событий службы каталогов.

События Active Directory, которые обычно ссылаются на статус 8524, включают, помимо прочего:

Команда репликации сейчас в Active Directory Sites and Services возвращает Отказано в доступе.

Щелкнуть правой кнопкой мыши объект подключения из исходного контроллера домена и выбрать репликацию теперь не удается, поскольку доступ запрещен. Текст сообщения об ошибке на экране и снимок экрана показаны ниже:

Текст заголовка диалогового окна: Копировать сейчас

Текст диалогового сообщения:

При попытке синхронизировать контекст именования между контроллером домена и контроллером домена произошла следующая ошибка: доступ запрещен

Операция не будет продолжена

Кнопки в диалоговом окне: OK

Отказано в доступе, в диалоговом окне

Причина

Действительные основные причины ошибки 5: доступ запрещен, включают:

  1. Настройка RestrictRemoteClients в реестре имеет значение 2.
  2. Право доступа к этому компьютеру из сети не предоставлено группе контроллеров домена предприятия или администратору, запускающему немедленную репликацию.
  3. Настройка CrashOnAuditFail в реестре целевого контроллера домена имеет значение 2.
  4. Существует разница во времени между центром распространения ключей (KDC), используемым целевым контроллером домена и исходным контроллером домена. Разница во времени превышает максимальный перекос во времени, разрешенный Kerberos, определенный в политике домена по умолчанию.
  5. Обнаружено несоответствие подписи SMB между исходным и целевым контроллерами домена.
  6. Обнаружено несоответствие LMCompatiblity между исходным и целевым контроллерами домена.
  7. Имена субъектов-служб либо не зарегистрированы, либо отсутствуют из-за простой задержки репликации или сбоя репликации.
  8. Отформатированные по протоколу UDP пакеты Kerberos фрагментируются устройствами сетевой инфраструктуры, такими как маршрутизаторы и коммутаторы.
  9. Защищенный канал на исходном или целевом контроллере домена недействителен.
  10. Доверительные отношения в цепочке доверия нарушены или недействительны.
  11. Настройка KDCNames в разделе реестра HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Domains неправильно содержит имя локального домена Active Directory.
  12. Некоторые сетевые адаптеры имеют функцию разгрузки больших посылок.
  13. Антивирусное программное обеспечение, использующее драйвер фильтра сетевого мини-брандмауэра на исходном или целевом контроллере домена.

Ошибки и события Active Directory, подобные указанным в разделе симптомов этой базы знаний, также могут завершаться ошибкой 8453 с аналогичной строкой ошибки. Доступ к репликации был запрещен. Следующие основные причины могут привести к сбою операций AD с ошибкой 8453: доступ к репликации был запрещен, но не вызывают сбоев с ошибкой 5: репликация запрещена:

  1. Глава NC не разрешена с разрешением на репликацию изменений каталога.
  2. Субъект безопасности, запускающий репликацию, не является членом группы, которой предоставлено право репликации изменений каталога.
  3. Отсутствуют флаги в атрибуте UserAccountControl, включая SERVER_TRUST_ACCOUNT и TRUSTED_FOR_DELEGATION .
  4. RODC переведен в домен без предварительного запуска ADPREP /RODCPREP .

Разрешение

Сбой репликации AD с ошибкой 5 имеет несколько основных причин. Сначала решите проблему, используя такие инструменты, как:

  • DCDIAG
  • DCDIAG/TEST: CheckSecurityError
  • NETDIAG, выявляющий распространенные проблемы

Если проблема не устранена, просмотрите список известных причин в порядке от наиболее распространенных, наименее сложных и наименее разрушительных до наименее распространенных, наиболее сложных и наиболее разрушительных.

Запустите DCDIAG, DCDIAG /TEST:CheckSecurityError и NETDIAG

Универсальный DCDIAG выполняет несколько тестов.

DCDIAG /TEST:CheckSecurityErrors был написан для выполнения специальных тестов (включая проверку регистрации имени участника-службы) для устранения неполадок, связанных со сбоем репликации операций Active Directory:

  • ошибка 5: доступ запрещен
  • ошибка 8453: доступ к репликации запрещен

DCDIAG /TEST:CheckSecurityErrors не запускается как часть выполнения DCDIAG по умолчанию.

  1. Запустите DCDIAG на целевом контроллере домена.
  2. Запустите DCDIAG /TEST:CheckSecurityError
  3. Запустить NETDIAG
  4. Устраните все ошибки, обнаруженные DCDIAG и NETDIAG. Повторите ранее неудачную операцию репликации. Если по-прежнему не удается, продолжайте длинный путь.

Долгий путь

Значение RestrictRemoteClients равно 2

Этому параметру реестра RestrictRemoteClients присвоено значение 0x2 в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC .

Чтобы решить эту проблему:

Отключите политику, применяющую этот параметр.

Удалите параметр реестра RestrictRemoteClients и перезагрузите компьютер.

Значение реестра RestrictRemoteClients задается следующим параметром групповой политики:

Конфигурация компьютера > Административные шаблоны > Система > Удаленный вызов процедур — ограничения для клиентов RPC, не прошедших проверку подлинности

Значение реестра 0x2 применяется, если параметр политики включен и для него задано значение "Проверено без исключений".

Этот параметр позволяет только прошедшим проверку подлинности клиентам RPC подключаться к серверам RPC, работающим на компьютере, к которому применяется параметр политики. Он не допускает исключений. Если вы выберете этот параметр, система не сможет принимать удаленные анонимные вызовы с помощью RPC. Этот параметр никогда не следует применять к контроллеру домена.

Отметьте Доступ к этому компьютеру с правами сети.

В стандартной установке Windows политика контроллеров домена по умолчанию связана с контейнером OU контроллеров домена. Он предоставляет доступ к этому компьютеру от пользователя сети следующим группам безопасности:

< td>Все
Локальная политика Политика контроллеров домена по умолчанию
Администраторы Администраторы
Прошедшие проверку пользователи Прошедшие проверку пользователи
Все
Контроллеры домена предприятия Контроллеры домена предприятия
[совместимость с пред-Windows 2000 Access] [Доступ, совместимый с версиями до Windows 2000]

Если операции Active Directory завершаются с ошибкой 5: доступ запрещен, убедитесь, что:

  • Группам безопасности в приведенном выше списке предоставлен доступ к этому компьютеру из сети в политике контроллеров домена по умолчанию.
  • Учетные записи компьютеров контроллера домена находятся в подразделении контроллеров домена.
  • Политика контроллеров домена по умолчанию связана с подразделением контроллеров домена или альтернативными подразделениями, в которых размещены учетные записи компьютеров.
  • К целевому контроллеру домена применяется групповая политика, в настоящее время регистрируется ошибка 5.
  • Запретить доступ к этому компьютеру от сетевого пользователя не включено или не ссылается на сбойные прямые или вложенные группы.
  • Приоритет политики, заблокированное наследование, фильтрация WMI и т. п. НЕ препятствуют применению параметра политики к компьютерам с ролью контроллера домена.

Параметры политики можно проверить с помощью RSOP.MSC, но GPRESULT /Z является предпочтительным инструментом, поскольку он более точен.

Локальная политика имеет приоритет над политикой, определенной на сайтах, доменах и OU.

В свое время администраторы часто удаляли контроллеры домена предприятия и все группы из права доступа к этому компьютеру из сети в политике контроллеров домена по умолчанию. Удаление обоих фатально. Нет причин удалять корпоративные контроллеры домена из этого права, поскольку только контроллеры домена являются членами этой группы.

CrashOnAuditFail = 2

Репликация AD завершается сбоем, если HKLM\System\CurrentControlSet\Control\LSA\CrashOnAuditFail = имеет значение 2,

Значение CrashOnAduitFail, равное 2, инициируется, когда в групповой политике включен параметр Аудит: немедленное отключение системы, если невозможно зарегистрировать аудиты безопасности, и локальный журнал событий безопасности переполняется.

Контроллеры домена Active Directory особенно склонны к максимальной емкости журналов безопасности, когда включен аудит, а размер журнала событий безопасности ограничен параметрами Не перезаписывать события (очищать журнал вручную) или Перезаписывать по мере необходимости в разделе Событие. Эквиваленты средства просмотра или групповой политики.

Если HKLM\System\CCS\Control\LSA\CrashOnAuditFail = 2:

  • Очистите журнал событий безопасности (при необходимости сохраните в другом месте)
  • Переоцените все ограничения размера журнала событий безопасности, включая параметры, основанные на политике.
  • Повторно создать CrashOnAuditFail (REG_DWORD) = 1
  • Перезагрузить

Увидев значение CrashOnAuditFail, равное 0 или 1, некоторые инженеры CSS устранили ошибки отказа в доступе, снова очистив журнал событий безопасности, удалив значение реестра CrashOnAuditFail и перезагрузив конечный контроллер домена.

Чрезмерный перекос во времени

Параметры политики Kerberos в политике домена по умолчанию допускают 5-минутную разницу (значение по умолчанию) системного времени между контроллерами домена KDC и целевым сервером Kerberos для предотвращения повторных атак. В некоторых документах указано, что время между клиентом и целью Kerberos должно отличаться не более чем на пять минут. Другие утверждают, что в контексте проверки подлинности Kerberos время, которое имеет значение, представляет собой разницу между KDC, используемым вызывающей стороной, и временем на цели Kerberos. Кроме того, Kerberos не волнует, совпадает ли системное время на соответствующих контроллерах домена с текущим временем. Он заботится только о том, чтобы относительная разница во времени между KDC и целевым контроллером домена находилась в пределах максимального перекоса времени (по умолчанию пять минут или меньше), разрешенного политикой Kerberos.

В контексте операций Active Directory целевой сервер — это исходный контроллер домена, с которым связывается конечный контроллер домена. Каждый контроллер домена в лесу Active Directory (в котором в настоящее время запущена служба KDC) является потенциальным KDC. Поэтому вам нужно учитывать точность времени на всех других контроллерах домена по сравнению с исходным контроллером домена, включая время на самом целевом контроллере домена.

Два метода проверки точности времени включают:

Ищите события LSASRV 40960 на целевом контроллере домена во время неудачного запроса на репликацию, который ссылается на запись CNAME с GUID исходного контроллера домена с расширенной ошибкой:

0xc000133: время на основном контроллере домена отличается от времени на резервном контроллере домена или рядовом сервере на слишком большую величину.

Сетевые трассировки, фиксирующие подключение целевого компьютера к общей папке на исходном контроллере домена (и другие операции), могут отображать на экране ошибку «Произошла расширенная ошибка». Но трассировка сети показывает:

KerberosV5:TGS Request Realm > TGS-запрос от исходного контроллера домена
KerberosV5:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) > TGS-ответ, где KRB_AP_ERR_TKE_NYV > соответствует билету, который еще не действителен

Ответ TKE_NYV указывает, что диапазон дат в билете TGS новее, чем время в целевом объекте, что указывает на чрезмерный перекос во времени.

W32TM /MONITOR проверяет время только на контроллерах домена в домене тестовых компьютеров, поэтому вам нужно запустить его в каждом домене и сравнить время между доменами.

Если системное время оказалось неточным, приложите усилия, чтобы выяснить, почему и что можно сделать, чтобы предотвратить появление неточного времени в будущем. Был ли корневой основной контроллер домена леса настроен на внешний источник времени? Имеются ли источники эталонного времени в сети и доступны ли они в сети? Служба времени работала? Настроены ли компьютеры с ролью DC для использования иерархии NT5DS в качестве источника времени?

Если разница во времени на целевых контроллерах домена Windows Server 2008 R2 слишком велика, команда replicate now в DSSITE.MSC завершается с ошибкой на экране. Существует разница во времени и/или дате между клиентом и сервером. Эта строка ошибки соответствует ошибке 1398 в десятичном формате / 0x576 в шестнадцатеричном формате с символическим именем ошибки ERROR_TIME_SKEW.

Несоответствие подписи SMB

Наилучшая матрица совместимости для подписи SMB определяется четырьмя параметрами политики и их эквивалентами на основе реестра:

Настройка политики Путь реестра
Сетевой клиент Microsoft: цифровая подпись коммуникации (если сервер согласен) HKLM\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Сетевой клиент Microsoft: цифровая подпись коммуникаций (всегда) HKLM\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Сетевой сервер Microsoft: цифровая подпись для связи (если сервер согласен) HKLM\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Сетевой сервер Microsoft: цифровая подпись (всегда) HKLM\SYSTEM \CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature

Сосредоточьтесь на несоответствии подписи SMB между целевым и исходным контроллерами домена. В классических случаях параметр включен или обязателен на одной стороне и отключен на другой.

Внутреннее тестирование показало, что несоответствие подписи SMB приводит к сбою репликации с ошибкой 1722: Сервер RPC недоступен.

Фрагментация пакетов Kerberos в формате UDP

Сетевые маршрутизаторы и коммутаторы могут фрагментировать или полностью отбрасывать большие сетевые пакеты в формате UDP, используемые Kerberos и EDNS0 (DNS). Компьютеры под управлением семейств операционных систем Windows 2000 и Windows 2003 уязвимы для фрагментации UDP по сравнению с компьютерами под управлением Windows Server 2008 и 2008 R2.

Из консоли целевого контроллера домена отправьте эхо-запрос на исходный контроллер домена по его полному имени компьютера, чтобы определить самый большой пакет, поддерживаемый сетевым маршрутом.

Если размер самого большого нефрагментированного пакета меньше 1472 байт, либо (в порядке предпочтения)

Измените сетевую инфраструктуру, чтобы она правильно поддерживала большие кадры UDP. Может потребоваться обновление микропрограммы или изменение конфигурации маршрутизаторов, коммутаторов или брандмауэров.

Установите maxpacketsize (на целевом контроллере домена) равным наибольшему пакету, определенному командой PING -f -l, за вычетом 8 байтов, чтобы учесть заголовок TCP, и перезагрузите измененный контроллер домена.

Установите для параметра maxpacketsize (на целевом контроллере домена) значение "1", которое инициирует использование протоколом TCP протокола Kerberos. Перезагрузите измененный контроллер домена, чтобы изменения вступили в силу.

Повторить неудачную операцию Active Directory

Неверный безопасный канал/Несоответствие пароля

Проверьте безопасный канал с помощью nltest /sc: query или netdom verify .

Дополнительные сведения о сбросе пароля целевого контроллера домена с помощью NETDOM / RESETPWD см. в разделе Использование Netdom.exe для сброса паролей учетных записей компьютеров контроллера домена Windows Server.

Отключите службу KDC на перезагружаемом контроллере домена.

В консоли целевого контроллера домена запустите NETDOM RESETPWD, чтобы сбросить пароль для целевого контроллера домена:

Убедитесь, что вероятные центры распространения ключей И исходный контроллер домена (если он находится в том же домене) реплицируют входящие данные о новом пароле целевого контроллера домена.

Перезагрузите конечный контроллер домена, чтобы сбросить билеты Kerberos, и повторите операцию репликации.

Если происходит сбой репликации AD между контроллерами домена в разных доменах, проверьте работоспособность доверительных отношений по пути доверия

По возможности используйте тест NETDIAG Trust Relationship, чтобы проверить наличие нарушенных доверительных отношений. NETDIAG идентифицирует нарушенные доверительные отношения следующим текстом:

Проверка доверительных отношений. . . . . . : Не удалось проверить правильность значения DomainSid домена. [FATAL] Безопасный канал к домену нарушен. [ ]

Например, у вас есть многодоменный лес, содержащий:

Если между целевыми доменами существует короткий путь доверия, цепочку путей доверия не нужно проверять. Вместо этого проверьте короткое доверие между целевым и исходным доменами.

Проверьте недавние изменения пароля в доверительном управлении с помощью Repadmin /showobjmeta * \ Объект доверенного домена (TDO). Убедитесь, что конечный контроллер домена является транзитивной входящей репликацией раздела каталога домена, доступного для записи, где могут происходить изменения доверительного пароля.

Команды для сброса доверия:

От PDC корневого домена:

От PDC дочернего домена:

Недействительная область Kerberos — PolAcDmN / PolPrDmN (нет воспроизведения при написании статьи)

В этой статье представлено решение для события 142: служба времени прекратила рекламу в качестве источника времени.

Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 2468336

Симптомы

Событие Microsoft-Windows-Time-Service 142 регистрируется с одной из четырех строк ошибок, перечисленных в таблице ниже (без строки event_:

Имя журнала: Система
Источник: Microsoft-Windows-Time-Service
Дата:
Идентификатор события: 142
Категория задачи: Нет
Уровень : Предупреждение
Ключевые слова:
Пользователь: МЕСТНАЯ СЛУЖБА
Компьютер: . .
Описание:

Статус ошибки Строка ошибки
event_0x0038 служба времени перестала объявлять источник времени, поскольку локальный компьютер не является контроллером домена Active Directory.
event_0x0039 Служба времени перестала объявляться как источник времени, потому что нет работающих провайдеров.
event_0x003A Служба времени перестала объявляться как источник времени, потому что нет работающих провайдеров.< /td>
event_0x003B Служба времени перестала рекламировать как хороший источник времени.
Местные часы не синхронизирован

Причина

< td>Служба времени прекратила рекламу в качестве источника времени, потому что нет работающих провайдеров.
Строка ошибки Причина
Служба времени прекратила рекламу в качестве источника времени поскольку локальный компьютер не является контроллером домена Active Directory. На локальном компьютере больше нет роли контроллера домена или возникла проблема с конфигурацией локального компьютера.
Служба времени прекратила рекламу в качестве источника времени, потому что нет работающих поставщиков. Служба клиента NTP остановлена ​​или не отвечает
Время на локальном компьютере не синхронизировано с его одноранговым узлом
Служба времени перестала рекламировать хороший источник времени. Локальный контроллер домена не может найти сервер времени

Разрешение

Доминирующая строка ошибки, зарегистрированная событием Microsoft-Windows-Time-Service 142, — это третий пример:

"Служба времени прекратила рекламу в качестве источника времени, потому что нет работающих провайдеров."

Убедитесь, что корневой основной контроллер домена леса подключен к сети, работоспособен и что текущий основной контроллер домена корневого домена (1.) правильно настроен для синхронизации времени с внешним источником времени и (2.) может надежно получать время из этого источника.

Проверьте значения запуска службы и состояние службы: автоматический + работающий

Убедитесь, что контроллер домена, регистрирующий событие 142, может обнаружить сервер времени с помощью DCLocator

Текст строки заголовка: Подключение к удаленному рабочему столу

Текст диалогового окна: Удаленный рабочий стол не может проверить подлинность удаленного компьютера, поскольку существует разница во времени или дате между вашим компьютером и удаленным компьютером. Убедитесь, что часы вашего компьютера настроены на правильное время, а затем повторите попытку подключения. Если проблема повторится, обратитесь к сетевому администратору или владельцу удаленного компьютера

Просмотр журнала событий SYSTEM для поиска ошибок, связанных с Kerberos и временем, показал следующие события.

Другое событие, Microsoft-Windows-Kernel-General, которое не было зарегистрировано в этом конкретном случае, указывает на то, что хост-компьютер Hyper-V может изменять время на гостевых компьютерах ВМ. Пример события показан ниже.

Событие Microsoft-Windows-Kernel-General 1 указывает на изменение времени на виртуальной машине. Каждый раз, когда W32time обновляет часы, это событие регистрируется. Каждый раз, когда Hyper-V Time Synch обновляет часы, регистрируется событие Microsoft-Windows-Kernel-General 1. Это событие не относится к виртуальным машинам, поскольку оно также регистрируется на физических машинах, когда w32time обновляет часы.

Обзор проблемы

Разница во времени в данном случае усугублялась несколькими факторами

Клиент RDP и сервер KDC/RDP существовали в двух разных лесах, причем в каждом лесу использовались разные конфигурации источников времени

KDC и RDP-сервер, используемые клиентом RDC, являются виртуализированными контроллерами домена, которые требуют дополнительных изменений конфигурации для точного определения времени, а не контроллеров домена, работающих на физическом оборудовании.

Виртуальный хост-компьютер был присоединенным к домену рядовым сервером в домене, отличном от хостов Hyper-V

Точность времени на виртуальных хост-компьютерах важна, поскольку гостевые компьютеры ВМ изначально получают время от виртуального хост-компьютера во время запуска ОС.

Двумя негативными факторами для \\DC1 и |DC2 являются то, что рядовые компьютеры по умолчанию опрашивают время реже, чем контроллеры домена. Во-вторых, хост-компьютер Hyper-V был присоединен к домену, отличному от гостевого контроллера домена, и для него использовались другие конфигурации источника времени

Наконец, VMICTimeSync использовался \\DC2 для получения времени, что не рекомендуется для виртуализированных компьютеров, на которых размещены компьютеры с ролью DC.

В командах AD и Hyper-V существуют разные мнения о том, как настраивать время на хост-компьютерах и гостевых компьютерах. Рекомендация Райана Сайзмора от 22.11.2010 заключалась в том, чтобы оставить VMIC включенным, но обратить пристальное внимание на конфигурацию и точность времени на главном компьютере. Например, в разделе «Настройка службы времени Windows для Windows Server 2008 и Windows Server 2008 R2» раздела «Развертывание контроллеров домена W2K8 и W2K8 R2 в существующих доменах» рекомендуется настраивать виртуальные хост-компьютеры с интервалами опроса, подобными контроллеру домена, и максимальным *настройки фазовой коррекции + сервер точного времени, аналогичный тому, что вы делаете на PDC в корне леса.

Использование разных поставщиков времени и источников времени в виртуальном хосте и виртуальных гостевых средах может привести к ситуации, когда время на гостевом компьютере будет пинг-понг между значениями VMIC, переданными с хост-компьютера. Это условие может иметь место, когда виртуальные гостевые контроллеры домена в одном лесу размещаются на компьютерах виртуальных хостов в других лесах или даже на компьютерах рабочей группы, где каждый из них использует другой источник времени/конфигурацию времени, а выборки времени различаются между ними.

Команда Hyper-V рекомендует не отключать VMICTimeSync, поскольку он обеспечивает защиту от проблем с синхронизацией времени, если вы использовали сохраненное состояние. Ключевой проблемой здесь является не использование VMICTimeSync, а тот факт, что если вы используете контроллер домена, что-то должно получать точное время с удаленного сервера. Это можно сделать, настроив удаленный источник времени внутри виртуальной машины или оставив VMICTimeSync включенным и настроив хост на использование надежного источника времени.

Если настроить виртуальную машину с отключенной функцией VMICTimeSync и без внешнего источника времени, контроллер домена будет использовать местное время, а это единственное, что всегда гарантируется ошибкой на виртуальной машине.

Рекомендации группы Microsoft Windows time по исправлению этой среды заключались в следующем:

Настройте корневой PDC леса с NTP-сервером.

Настройте GTIMEServer в корневом домене леса в качестве резервного

При использовании виртуализации отключите VMICTimeSync (выполняется оценка

Настройка хостов Hyper-V с внешним сервером времени

Настройте узлы Hyper-V с такими же интервалами опроса, что и контроллеры домена

Настольная сцена с текстом наложение

Сегодня мы рассмотрим один из самых частых вопросов, которые я получаю в своем блоге и на своем канале YouTube: как открывать ссылки в отдельных вкладках, а не в отдельных окнах в Adobe Acrobat и Acrobat Reader. Кроме того, мы рассмотрим, как превратить вкладки в отдельные окна.

Во-первых, давайте рассмотрим два важных момента:

  1. Приведенные здесь шаги влияют только на ссылки на другие PDF-файлы. Ссылка на файл другого типа, например URL-адрес или файл .doc, по-прежнему будет открываться в родном приложении этого файла (например, в веб-браузере или Microsoft Word).
  2. Основной параметр, управляющий открытием ссылок в Adobe Acrobat и Acrobat Reader, хранится в программе, а не в файле PDF. Таким образом, хотя вы можете указать, как вы хотите, чтобы ссылка открывалась при ее создании в Acrobat, этот выбор может быть переопределен настройкой вашего устройства для чтения.

Быстрые ссылки:

Это руководство также доступно в виде видео на YouTube, где показаны все шаги в режиме реального времени.

Посмотрите более 100 других видео о Microsoft Word и Adobe Acrobat на моем канале YouTube.

Изображения ниже взяты из Adobe Acrobat DC. Эти шаги также относятся к Adobe Acrobat 2020, Adobe Acrobat 2017 и Acrobat Reader DC.

Как открывать ссылки на отдельных вкладках в Adobe Acrobat и Acrobat Reader

Эти шаги можно выполнять как с открытием PDF-файла, так и без него.

Ссылки PDF теперь должны открываться на отдельных вкладках, а не в отдельных окнах на вашем устройстве.

Как превратить вкладки в отдельные окна в Adobe Acrobat и Acrobat Reader

Вы можете превратить любую вкладку в Adobe Acrobat или Acrobat Reader в отдельное окно без изменения настроек.

  1. Выберите, удерживайте и перетащите вкладку с панели инструментов. Вкладка станет полупрозрачной миниатюрой.
    1. Отпустите вкладку, которая теперь представляет собой миниатюру. Ваш PDF-файл должен открываться в отдельном окне поверх исходного окна.

    Связанные ресурсы

    Обновлено 12 декабря 2021 г.

    Познакомьтесь с автором

    <р> Здравствуйте! Меня зовут Эрин. Я технический писатель и редактор, который делится пошаговыми руководствами по программному обеспечению и советами по написанию для реального мира на этом веб-сайте и YouTube.

    Читайте также: