TCP 139 (NetBIOS Session Service) репликация между КД в обе стороны
UDP 138 (NetBIOS Datagram) - репликация между КД в обе стороны
UDP 137 (NetBIOS Name Resolution) - входящий на КД
TCP 445 (SMB) - входящий на КД
TCP 464 (Kerberos password change) - входящий на КД
TCP/UDP 88 (Kerberos) - входящий на КД
TCP/UDP 135 (RPC) - в обе стороны
TCP/UDP Dynamic (RPC) (49152-65535) - обязательно в обе стороны
TCP/UDP 389 (LDAP) - входящий на КД
TCP/UDP 636 (LDAPS) - входящий на КД
TCP 3268 (Global Catalog LDAP) - входящий на КД
TCP 3269 (Global Catalog LDAP SSL) - входящий на КД
TCP/UDP 53 (DNS Query) - входящий на КД
TCP/UDP 123 (NTP) - входящий на КД

Узнать кто имеет роль FSMO:

 dsquery server -hasfsmo pdc

Сбросить машинный аккаунт и переввести компьютер в домен

Чтобы просто сбросить аккаунт компьютера - достаточно выполнить:

 Reset-ComputerMachinePassword   

Если надо переввести компьютер в домен, то можно удалить аккаунт из AD и выполнить:

 Reset-ComputerMachinePassword -Credential domain\user   

Если аккаунта компьютера нет - его можно создать, а затем выполнить команду выше. Тогда компьютер будет ассоциирован с ним и введен в домен.

Проверить доверие комьютера с доменом

Данный командлет попробует установить секьюрный канал и напишет true или false в качестве результата.

 Test-ComputerSecureChannel -verbose

Переименовать компьютер в домене

 Rename-Computer -ComputerName COMPUTER-NAME -NewName NEW-COMPUTER-NAME -DomainCredential office\admin   

Вывести компьютер из домена

 Remove-Computer -UnJoinDomaincredential arasaka.local\jp -PassThru -Verbose -Restart\\

Ввести компьютер в домен

 Add-Computer -DomainName arasaka.local -Passthru -Verbose -Restart   

За логгирование запросов LDAP отвечает следующий параметр реестра:

 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

Значение параметра может варьироваться от 0 до 5, что прямо определяет подробность лога. Выставлять полный уровень логгирования лучше на какой-то период дебага, а потом отключать. Для работы параметра не требуется перезагрузка.

Также, чтобы логгирование заработало - нужно выставить два параметра в ветке:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
DWORD 32 bit: Expensive Search Results Threshold (1)
DWORD 32 bit: Inefficient Search Results Threshold (1)

Сами логи можно просматривать в разделе Directory Service, как показано на скриншоте.

 Get-ADPrincipalGroupMembership user_name | select name

Запускать данный командлет необходимо на контроллерах домена.

 Get-DhcpServerInDC

 (Get-ADDomain).NetBIOSName