我最近获得了一个小型(30 个用户)域结构,设置得非常糟糕。前任 IT 经理对最佳实践或设置 DNS 的正确方法一无所知。他几乎不知道 DNS 是什么!
不用多说,我遇到了一个问题,即需要域访问的各种功能(内部网站、Exchange 等)会随机向用户发出登录提示,而他们的帐户尚未通过身份验证。即使用户名和密码正确。
纠正这种情况的唯一方法是禁用 AD 中的帐户,然后重新启用。之后一切正常。
这是因为我没有正确执行某些操作而导致的吗?配置错误?还是侥幸?
答案1
用户是否有被锁定的可能?您是否将域设置为在多次尝试失败后锁定?也许您的网络上有病毒或恶意机器以其他用户的身份进行身份验证并锁定他们的帐户。
答案2
您的事件日志试图告诉您发生了什么。我的直觉告诉我这是“名称解析问题”,而启用/禁用行为只是一种障眼法。
尝试将“默认域策略”和“默认域控制器策略”记录下来后恢复为默认设置。(请查看直流GPOFIX公用事业。)
在域的根目录或“域控制器”OU 中查找其他 GPO,并调查它们的作用。如果不需要,请禁用它们(但在确定之前不要删除它们)。
验证所有服务器和客户端计算机是否指定了良好的 DNS 服务器。
我是否提到过查看发生身份验证问题的服务器计算机和域控制器上的事件日志?
我不同意“mh”的观点。你很快就能弄清楚到底发生了什么。
答案3
对于这种规模的组织来说,彻底拆除并重新开始实际上可能更节省成本和时间。我的直觉是,除了这个凭证问题之外,可能还有很多问题,其中任何一个问题都可能在几年后给你带来麻烦。考虑到您拥有的用户数量,在您的 AD/DNS/Exchange/etc 配置中解决这些问题可能比正确完成简单的重建要花费更多的时间。而且您将获得一个已知且合理的设置,而不是修补后的混乱。