Windows 域的問題
我在 Windows 域中遇到問題。關於這個域的創建我不能說太多 - 我上個月得到了這份工作,由於主要管理員生病而沒有適當的移交。我所知道的是:我們有一個域 contoso-5.contoso-hq.old(contoso-hq 不在我們的控制之下 - 一種與其他公司的廣域網),有兩個域控制器,dc01 和 dc02(Windows伺服器 2003)。我的前任開始使用域控制器 dc04、dc05(Windows Server 2012R2,物理伺服器)和 dc06(Windows Server 2008r2,在 VMware esx 上虛擬化)建構一個新的域 contoso.new。我們在兩個域之間配置了信任關係。
dc05 是 PDC、DHCP 和 DNS,dc4 是基礎設施 Master,也是 DNS 和故障轉移 DHCP。
啟動監控系統後,我在域控制器上看到了很多錯誤。我仍然無法解決的問題是僅在 dc04 上出現,但每 4 小時 4 分鐘出現一次:
由於以下原因,此電腦無法與域 CONTOSO.NEW 中的域控制器建立安全會話: 目前沒有可用於處理登錄請求的登錄伺服器。這可能會導致身份驗證問題。確保這台電腦已連接到網路。如果問題仍然存在,請聯繫您的域管理員。
附加資訊 如果此電腦是指定域的域控制器,它會設置與指定域中的主域控制器模擬器的安全會話。否則,此電腦將與指定域中的任何域控制器建立安全會話。
執行 dcdiag 顯示兩個錯誤:
Starting test: Advertising Warning: dc04 is not advertising as a time server. ......................... dc04 failed test Advertising和
Starting test: LocatorCheck Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355 A Primary Domain Controller could not be located. The server holding the PDC role is down. ......................... contoso.new failed test LocatorCheck(所有其他測試均通過)。
第一個錯誤:我們與世界的網路連接非常受限:我們有一個代理伺服器,只允許埠 80 和 443,所有其他埠都需要在 Contoso 總部請求。所以從來沒有與外部源的時間同步。現在我已將 dc05 (PDC) 配置為從 Contoso HQ-NTP-Server 獲取時間。所有其他客戶端和伺服器都從 dc05 獲取新時間,但不是 dc04。w32tm /query /status 顯示:
跳躍指示器:3(最後一分鐘有 61 秒)
層數:0(未指定)
精度:-6(每滴答聲 15.625 毫秒)
根延遲:0.0000000s
根色散:0.0000000s
ReferenceId:0x00000000(未指定)
上次成功同步時間:未指定
來源:本地 CMOS 時鐘
輪詢間隔:6 (64s)
我已經比較了 dc4 和 dc6 的系統資料庫項(他應該像他應該的那樣從 dc05 獲取時間),它們看起來是一樣的。還嘗試了 w32tm 註銷,重新同步,沒有任何改變。
似乎 dc04 甚至不將 dc05 辨識為域控制器。dns 和 dhcp 複製工作正常,我可以從 dc04 ping dc05,nslookup 可以從 dc 到內部和外部目標。nslookup contoso.new 將 dc4、dc5 和 dc6 的 IP 地址顯示為地址。
在 dc04 我有另一個錯誤,我不確定這是否與它有關:
“在沒有配置的 DNS 伺服器響應後,名稱 2.0.0.2.ip6.arpa 的名稱解析超時。”
dc04 上的 DNS 配置與 dc05 上的相同。
經過數小時的網際網路搜尋,我現在唯一的選擇是從域中刪除 DC04 並重新安裝它。但如果有人能幫我解決這個麻煩並知道我的系統發生了什麼,我會很高興……
至於為什麼,如果你問自己 dc03 發生了什麼……我也在問自己同樣的問題……不干淨的移除 DC03 會導致這些問題嗎?
感謝您的幫助!
編輯
根據 STTR 的要求,以下是普通客戶端(win7)的 cmd 結果(它是德語系統,如果您需要任何翻譯,請告訴我):
“ipconfig /全部”
Windows IP 配置
主機名 。. . . . . . . . . . . : GPO-TEST-TH
Prim„res DNS 後綴。. . . . . . : 域名.com
節點類型。. . . . . . . . . . . : 雜交種
啟用 IP 路由。. . . . . : 不
已啟用 WINS 代理。. . . . . : 不
DNS-Suffixsuchliste 。. . . . . . : 域名.com
乙太網適配器 LAN 連接:
連接特定的 DNS 後綴:domain.com
描述。. . . . . . . . . . : Intel(R) 乙太網連接 I217-LM
實際地址 。. . . . . : xx-xx-xx-xx-xx-xx
啟用 DHCP。. . . . . . . . . : 是的
啟用自動配置。. . : 是的
連接位置 IPv6 地址。: xxxx :: xxxx: e24c: xxxx: xxxx% 13 (首選)
IPv4 地址。. . . . . . . . . :xxx.xxx.43.4(首選)
子網遮罩 。. . . . . . . . . : 255.255.255.0
取得租約。. . . . . . . . . : 2015 年 2 月 17 日星期二 09:27:00
租約到期。. . . . . . . . . : 2015 年 2 月 20 日星期五 09:27:00
標準網關。. . . . . . . . : xxx.xxx.43.254
DHCP 伺服器。. . . . . . . . . . : xxx.xxx.182.69
DHCPv6-IAID。. . . . . . . . . . : 277879566
DHCPv6-客戶端-DUID。. . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-18-B6-30
DNS 伺服器。. . . . . . . . . . : xxx.xxx.182.67 xxx.xxx.182.66 xxx.xxx.80.51
基於 TCP/IP 的 NetBIOS。. . . . . . : 啟用
隧道適配器 isatap.domain.com:
媒體狀態。. . . . . . . . . . : 媒體已斷開
連接特定的 DNS 後綴:domain.com
描述。. . . . . . . . . . : 微軟 ISATAP 適配器
實際地址 。. . . . . : xx-xx-xx-xx-xx-xx
啟用 DHCP。. . . . . . . . . : 不
啟用自動配置。. . : 是的
隧道適配器 LAN 連接* 3:
媒體狀態。. . . . . . . . . . : 媒體已斷開
連接特定的 DNS 後綴:
描述。. . . . . . . . . . : Microsoft 6to4 適配器
實際地址 。. . . . . : 00-00-00-00-00-00-00-E0
啟用 DHCP。. . . . . . . . . : 不
啟用自動配置。. . : 是的
隧道適配器 LAN 連接* 9:
媒體狀態。. . . . . . . . . . : 媒體已斷開
連接特定的 DNS 後綴:
描述。. . . . . . . . . . : Microsoft Teredo 隧道適配器
實際地址 。. . . . . : 00-00-00-00-00-00-00-E0
啟用 DHCP。. . . . . . . . . : 不
啟用自動配置。. . : 是的
“nslookup domain.com”
伺服器:dc04.domain.com
地址:xxx.xxx.182.67
名稱:domain.com
地址:xxxx:xxxx:xxxx::c1c5:b648 xxxx:xxxx:xxxx::c1c5:b645 xxxx:xxxx:xxxx::c1c5:b643 xxx.xxx.182.72 xxx.xxx.182.69 xxx.xxx.182.67
“net view domain.com” domain.com
上的共享資源
共享名稱類型用作評論
NETLOGON Platte 登錄伺服器共享
SYSVOL Platte 登錄伺服器共享
該命令已成功執行。
“cd \domain.com\”
“cd \domain.com\SYSVOL\domain.com"
“cd \domain.com\SYSVOL\domain.com\Policies”
“dsquery 伺服器-domain domain.com -isgc”
“nslookup gc._msdcs.domain.com”
伺服器:dc04.domain.com
地址:xxx.xxx.182.67
名稱:gc._msdcs.domain.com
地址:xxxx:xxxx:xxxx::c1c5:b643 xxxx:xxxx:xxxx::c1c5:b645 xxx.xxx.182.67 xxx.xxx.182.69
經過很長時間並向我們的官方微軟支持站提出支持請求(他們對此問題沒有解釋),我意外地解決了這個問題:
我更換了一個沒有任何問題的 DC,但伺服器最初是為其他目的而建構的,因此它被放置在錯誤的子網中。然後,顯示與上面相同的錯誤,以及更多關於域連接錯誤的錯誤。所以我將伺服器放置在正確的子網中,這解決了大部分錯誤,但不是全部。
所以只是為了測試,我在 PDC 防火牆上設置了一個入站規則,以允許來自新 DC 的所有連接 - 所有錯誤都消失了。然後我對 DC 做了同樣的事情,導致我打開這個執行緒,同樣的事情發生在那裡:錯誤停止了。
所以這似乎是 PDC 上某種錯誤的防火牆設置。我將嘗試找到導致此錯誤的埠(預設埠域控制器通信已打開),如果我找到小壞蛋,我會報告!
請在域中的工作站測試命令,並在答案中添加輸出,將 dns suffics 更改為
domain.com輸出:
ipconfig /all
* ``` nslookup %USERDNSDOMAIN%
net view %USERDNSDOMAIN%
* ``` cd \\%USERDNSDOMAIN%\
cd \%USERDNSDOMAIN%\SYSVOL%USERDNSDOMAIN%\
* ``` cd \\%USERDNSDOMAIN%\SYSVOL\%USERDNSDOMAIN%\Policies
dsquery server -domain %USERDNSDOMAIN% -isgc
* ``` nslookup gc._msdcs.%USERDNSDOMAIN%