Windows-Server-2008
無法打開 Active Directory 使用者和電腦,組策略設置問題
過去,我可以打開“Active Directory 使用者和電腦”來管理我們的 Windows Server 2008 R2 機器上的使用者和電腦。我們最近剛剛對我們的組策略進行了一些更改以記錄身份驗證成功/失敗並啟用了 Windows 防火牆(我假設防火牆可能是罪魁禍首)。
現在,當我嘗試打開“Active Directory 使用者和電腦”時,出現以下錯誤:
當我執行dcdiag.exe時,它通過了除系統日誌之外的所有測試。為此,它會引發有關組策略設置的各種錯誤。例如:
發生錯誤事件。EventID:0x00000406 生成時間:
12/23/2014 09:44:58
事件字元串:組策略處理失敗。Windows 嘗試為此使用者或電腦檢索新的組策略設置。在詳細資訊選項卡中查看錯誤程式碼和描述。Windows 將在下一個刷新周期自動重試此操作。加入域的電腦必須具有正確的名稱解析和與域控制器的網路連接,才能發現新的組策略對象和設置。組策略成功時將記錄一個事件。
我很茫然,不知道下一步該做什麼或尋找什麼。
編輯:
我在組策略中關閉了防火牆並重新啟動了機器。我現在可以訪問 Active Directory 使用者和電腦。所以現在我想知道我需要為域控制器和 Active Directory 啟用哪些埠/規則?當我查看防火牆之前,它已經有一堆允許流量的 Active Directory 和 DNS 規則。
我發現防火牆的內置規則並不總是準確和充分的。
我曾經對這個主題進行了一些研究,並找到了這篇文章。
這是文章所說的通常需要的埠:
UDP Port 88 for Kerberos authentication UDP and TCP Port 135 for domain controllers-to-domain controller and client to domain controller operations. TCP Port 139 and UDP 138 for File Replication Service between domain controllers. UDP Port 389 for LDAP to handle normal queries from client computers to the domain controllers. TCP and UDP Port 445 for File Replication Service TCP and UDP Port 464 for Kerberos Password Change TCP Port 3268 and 3269 for Global Catalog from client to domain controller. TCP and UDP Port 53 for DNS from client to domain controller and domain controller to domain controller.請注意,您可能需要阻止某些或打開其他。