我们正在将服务器移动到新的 AD 域中,我们已经顺利完成了负载,但现在有一个服务器拒绝移动。
每次我们尝试将其放入新域时,您都会收到“拒绝访问”消息。事件日志中没有任何内容,也没有任何其他线索表明发生了什么。
欢呼卢克
答案1
当我尝试同时做太多事情时,我遇到了这个问题;也就是说,当我尝试同时更改计算机的名称并将其加入域时。这一直是 Windows 2003 的一个错误,但在 Windows 2008 中它不再是一个问题。
解决方案是先执行其中一个操作 - 更改域、重新启动,然后更改名称。或者反之亦然 - 更改名称、重新启动、更改域。
另一个问题可能是您没有以某种类型的管理员身份运行。
答案2
尝试检查时钟和时区并确保它们足够接近(一两分钟之内)。应该仅在您加入后才阻止您登录,但如果您不同步时钟,它可能会先发制人地拒绝您,因为您再次登录时会遇到问题。
当时间看起来相同但时区不对时,我曾遇到过域信任之间奇怪的静默失败。静默失败是指在浏览另一个域时看不到任何用户,没有大红框提示“伙计,时钟不对 - 差得太远了。”
这可能不是答案,但在凭证静默失败时,这是值得一看的事情。
还您使用的是什么凭据?您是域管理员还是只是将其添加为普通用户?如果您没有达到添加限制,您可能会看到您的用户帐户无权访问的现有计算机对象删除- 然后创建。尽管您在加入新机器时有创建权限。
答案3
我终于解决了。我认为最初的问题正如@josh 所描述的那样,但在这种情况下,重新启动然后更改名称,然后重新启动并添加到域并不能解决问题。
有几个注册表项控制加入域时使用的安全设置,它们位于 HKLM\system\Current Control Set\services\lanmanserver\parameters 和 HKLM\system\Current Control Set\services\lanmanserver\parameters。
这里您感兴趣的 2 个条目是 Requiresecuitysignature 和 Enablesecuritysignature。
一旦我启用了这些(将两者都设置为 1),重新启动后它就会干净地加入域。我认为在某个时候已经对这些密钥应用了策略,这就是它们设置不正确的原因。