我们有Sonicwall防火墙用户认证系统自过去两个月以来一直处于活跃状态。我们设置了 Windows 2012 Active Directory 服务器,其中创建了大约 1400 个用户帐户。这些帐户是使用以下 PowerShell 脚本创建的
Import-Module ActiveDirectory
#Import CSV
$csv = @()
$csv = Import-Csv -Path C:\Users\Administrator\Desktop\"College User Ac Password Details"\FE\civil.csv
FOREACH ($Person in $csv) {
$name = $Person.UserName
$displayname = $Person.Name
$path = "OU=here,DC=comp,DC=com"
$password = $Person.Password
$enabled = $True
$changePW = $False
$description="CIVIL"
new-ADUser -SamAccountName $name -Name $name -Description $description -DisplayName $displayname -Path $path -AccountPassword (ConvertTo-SecureString $password -AsPlainText -force) -Enabled $enabled -ChangePasswordAtLogon $changePW -PassThru
}
上述脚本读取包含用户名和密码的 CSV 文件并在 Active Directory 上创建用户帐户。
但从今天起,我们在身份验证过程中遇到了问题。我们无法登录目录服务器。当 Sonicwall 防火墙尝试对用户进行身份验证时,它会注销同一用户。当我检查 Windows Active Directory 服务器上的事件记录器时,它显示以下消息。
The dynamic registration of the DNS record 'ForestDnsZones.comp.com. 600
IN A 192.168.0.12' failed on the following DNS server:
DNS server IP address: (removed)
Returned Response Code (RCODE): 5
Returned Status Code: 9017
For computers and users to locate this domain controller, this record must be registered in DNS.
USER ACTION
Determine what might have caused this failure, resolve the problem, and initiate
registration of the DNS records by the domain controller. To determine what might have
caused this failure, run DCDiag.exe. To learn more about DCDiag.exe, see Help and
Support Center. To initiate registration of the DNS records by this domain
controller, run 'nltest.exe /dsregdns' from the command prompt on the domain
controller or restart Net Logon service. Or, you can manually add this record to DNS,
but it is not recommended.
ADDITIONAL DATA
Error Value: DNS bad key.
上面的日志条目谈到了 DNS 问题。但我没有在这台机器上配置任何 DNS 服务器。过去两个月身份验证工作正常,但从今天起我们突然面临上述问题。请帮我解决这个问题。
编辑1
DNS 服务器日志中出现以下警告
DNS 服务器正在等待 Active Directory 域服务 (AD DS) 发出目录初始同步已完成的信号。DNS 服务器服务在初始同步完成之前无法启动,因为关键 DNS 数据可能尚未复制到此域控制器上。如果 AD DS 事件日志中的事件表明 DNS 名称解析存在问题,请考虑将此域的另一个 DNS 服务器的 IP 地址添加到此计算机的 Internet 协议属性中的 DNS 服务器列表中。此事件将每两分钟记录一次,直到 AD DS 发出初始同步已成功完成的信号。
答案1
此案有两个问题
1) 域控制器的主 DNS 必须环回地址。
2)第二个问题很简单,我尝试登录的用户密码已过期。:-)
感谢 Colyn1337 的帮助。