1. 跨域访问问题
PowerShell - 跨域访问排查
# 测试跨域网络连通性
Test-NetConnection -ComputerName "DC01.sz.iehang.cn" -Port 389
# 验证域控制器位置
Get-ADDomainController -DomainName "sz.iehang.cn" | Select-Object
# 测试跨域认证
Test-ADCredential -UserName "IEHANG\User01" -Password $pw
# 查看用户来自哪个域
Get-ADUser -Identity "IEHANG\User01" | Select-Object DistinguishedName2. 信任关系故障
PowerShell - 信任关系排查
# 查看信任状态
Get-ADTrust -Filter *
# 验证外部信任
netdom trust iehang.cn /Domain:B /verify
# 重置林信任密码(谨慎使用)
Reset-ADTrust -Identity "iehang.cn" -Renew $true
# 检查信任账户
Get-ADObject -Filter { $_.objectClass -eq "trustedDomain" } | Select-Object3. DNS 解析问题
PowerShell - DNS 问题排查
# 测试 DNS 解析
Resolve-DnsName "DC01.sz.iehang.cn" -Type SRV
# 查看条件转发器
Get-DnsServerConditionalForwarder -ZoneName "sz.iehang.cn"
# 测试区域传送
Test-DnsServer -ZoneName "iehang.cn" -TestingDiscovery "ZoneTransfer"
# 清除 DNS 缓存
Clear-DnsClientCache4. AD 复制问题
PowerShell - AD 复制排查
# 查看复制状态
Get-ADReplicationPartnerMetadata -Target "iehang.cn" | Select-Object
# 强制复制
Sync-ADObject -ObjectName "CN=User01,OU=IT,DC=iehang,DC=cn" -Source "DC01"
# 查看复制拓扑
Get-ADReplicationConnection -Filter * | Select-Object
# 检查复制��败
Get-ADReplicationFailure -Target "iehang.cn"5. 最佳实践
💡 集团架构最佳实践
- 统一 DNS: 所有子公司使用统一的 DNS 架构
- 分层管理: 集团管理核心策略,子公司管理本地
- 最小信任: 按需建立信任,不过度开放
- 监控复制: 启用复制监控和告警
- 文档化: 记录架构变更和配置
Q1:跨域登录很慢如何优化
① 检查网络延迟 ② 配置全局编录 ③ 启用身份验证缓存 ④ 使用快捷信任
Q2:如何监控集团 AD 健康状态
使用 AD Connect Health、Microsoft Intune、第三方监控工具(如 SolarWinds)进行集中监控。