域加入伺服器時無法聯繫到域控制器
我知道有幾個關於以下問題的文章,但沒有一個為我解決了這個問題。
讓我解釋一下情況:
我們有一個客戶想要從舊數據中心遷移到我們的數據中心。因此,我們在它們之間創建了一個站點到站點的連接,我今天嘗試在我們這邊 dcpromo 一個伺服器。域功能級別是 Windows server 2012,域控制器是舊端的 Windows server 2012 數據中心伺服器。我們這邊的伺服器是 Windows server 2012 R2 伺服器。
所以我執行 dcpromo 沒有任何問題,所有內容(DNS、使用者和電腦等)都被複製到新的域控制器。現在我嘗試將域加入我們的一台新伺服器(也是 Windows 2012 R2),但我收到以下錯誤:
已成功查詢 DNS 以獲取用於定位域“domain.X”的域控制器的服務位置 (SRV) 資源記錄:
查詢是針對 _ldap._tcp.dc._msdcs.domain.X 的 SRV 記錄
查詢標識了以下域控制器: ad.domain.X dc01.domain.X dc02.domain.X
但是,無法聯繫到域控制器。
此錯誤的常見原因包括:
- 將域控制器名稱映射到其 IP 地址的主機 (A) 或 (AAAA) 記錄失去或包含不正確的地址。
- 在 DNS 中註冊的域控制器未連接到網路或未執行。
ad.domain.X 是舊數據中心的域控制器,dc01 和 dc02 是新數據中心的域控制器。
在需要加入域的伺服器上的 netSetup 日誌文件中,我在嘗試加入域時發現以下錯誤。
NetpValidateName: checking to see if 'domain.X' is valid as type 3 name NetpCheckDomainNameIsValid for domain.X returned 0x54b, last error is 0x0 NetpCheckDomainNameIsValid [ Exists ] for 'domain.X' returned 0x54b在域控制器上,我在事件查看器中也找不到任何奇怪的事件,並且所有 DNS 記錄似乎都在那裡(A 記錄、SRV、ldap)。
我嘗試加入域的伺服器也與新域控制器位於同一子網中,因此它們之間沒有防火牆。關於數據中心之間的站點到站點連接。我們在兩種方式的域控制器之間創建了一個(臨時的)any any 規則,以排除埠阻塞問題。
Ping 到域控制器和 nslookup 也不是問題。Telnet 到埠 389 也是可能的。因此,其他伺服器可以完全訪問域控制器。
這些是一些 ipconfig /all 結果
新數據中心中存在問題的域控制器之一。172.70.0.20 是舊數據中心的域控制器。
Windows IP 配置
Host Name . . . . . . . . . . . . : dc01 Primary Dns Suffix . . . . . . . : domain.X Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.X乙太網適配器乙太網:
Connection-specific DNS Suffix . : DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 10.4.88.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 10.4.88.30 DNS Servers . . . . . . . . . . . : 10.4.88.1 172.70.0.20 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled以下 IP 配置來自無法加入域的伺服器之一。此伺服器與有問題的域控制器位於同一個 vlan 中,因此它們之間沒有阻塞埠。
Windows IP 配置
Host Name . . . . . . . . . . . . : server1 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No乙太網適配器乙太網:
Connection-specific DNS Suffix . : DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 10.4.88.3(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 10.4.88.30 DNS Servers . . . . . . . . . . . : 10.4.88.1 10.4.88.2 NetBIOS over Tcpip. . . . . . . . : Enabled有誰知道我們在這裡做錯了什麼?
親切的問候,
吉斯
如果您在打開 %systemroot% 時看不到它,但在打開 \domain.x 時卻看到它,則 \domain.x 可能顯示來自另一個 DC 的文件夾。這讓我相信您可能對 DFS 複製有疑問。https://social.technet.microsoft.com/Forums/en-US/58b8cdc3-a990-46c7-a70e-a51fd6965537/sysvol-and-netlogon-shares-missing-from-new-domain-controllers-using-dfrs
您可以通過執行來驗證 DFS 複製是否正在使用
dfsrmig.exe /getglobalstate。如果它安裝在 FSMO 角色主機上而不是新域控制器上,則應將其安裝在新域控制器上,以便 DFS 複製可以在兩個 DC 之間執行。安裝 DFS 後,您應該重新啟動新的 DC。https://social.technet.microsoft.com/Forums/en-US/58b8cdc3-a990-46c7-a70e-a51fd6965537/sysvol-and-netlogon-shares-missing-from-new-domain-controllers-using-dfrs完成此操作後,您應該在新 DC 和原始 DC 之間執行複制。為此,您需要轉到 Active Directory 站點和服務,展開視窗左側的所有對象,找到要復製到的伺服器,轉到 NTDS 設置,選擇要從中複製的伺服器,然後選擇立即複製。https://technet.microsoft.com/en-us/library/cc816926(v=ws.10).aspx
如果您在新 DC 上找到 SYSVOL 文件夾,但在新 DC 上的 SYSVOL 文件夾中看不到任何內容,則可以嘗試執行
wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="YOURGUID" call ResumeReplication以恢復複製。https://social.technet.microsoft.com/Forums/en-US/58b8cdc3-a990-46c7-a70e-a51fd6965537/sysvol-and-netlogon-shares-missing-from-new-domain-controllers-using-dfrs讓我知道這是否可以解決問題。