我正在尝试设置带有 Active Directory 域服务的独立 Windows 2008(R2) 服务器。此安装纯粹是为了开发目的。
我已经顺利安装了操作系统,并完成了添加 ADDS 角色的操作,从而添加了 DNS 角色。一切都安装得很好,我可以运行 dcpromo,它似乎成功完成了,但是在必要的重新启动后,我可以使用新的域管理员凭据登录,但事件日志报告了 ADDS 服务的各种问题,我无法打开任何相关的管理界面。
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Computer: computer.domain.local
The local domain controller could not connect with the following domain controller hosting the following directory partition to resolve distinguished names.
Domain controller:
Directory partition:
domain.local
由于此安装是为了开发目的,因此建议我使用.local,尽管我现在已经使用各种不同的配置运行了安装,但总是遇到同样的问题。
查看其他帖子,我尝试过:
dcdiag /e /fix
这将返回以下消息:
Ldap search capability attribute search failed on server conputername, return value = 81
不确定这是否能提供什么线索?
我很确定这与 DNS 有关,因为似乎找不到服务器,我可以确认我的 NIC 正在查看 127.0.0.1 作为它的主 DNS 服务器。
如有任何建议我将非常感激。
更新:
深入挖掘后,我发现了这个事件错误?
The DNS server was unable to create the built-in directory partition
答案1
错误 81 表示服务器无法访问。使用 download.microsoft.com 上的 err.exe 查找错误,您将看到以下内容。
LDAP_SERVER_DOWN winldap.h
DNS 无法创建内置分区意味着它试图创建 DC=DomainDNSZones、DC=Domain、DC=Local 和 DC=ForestDNSZones、DC=Domain、DC=Local 应用程序分区。要做到这一点,它必须联系域命名主机 FSMO 角色持有者(这是您拥有的唯一 DC)。我暂时不用担心这个问题,因为区域(_msdcs.domain.local 和 domain.local)目前可能存储在域分区中,位于 CN=microsoftDNS、CN=System、DC=Domain、DC=Local 下。
我会确保您除了内置防火墙软件外没有安装任何其他防火墙软件。您是否安装了第三方 AV,并在安装时捆绑了防火墙?您可能需要关闭所有第三方防火墙,然后关闭 Windows 防火墙(在排除故障时),因为我不知道当前哪个防火墙配置文件处于活动状态以及允许哪些规则/流量。这台机器上有多个网络接口吗?
打开 wf.msc,在左侧窗格中单击最顶部的元素并查看其属性。浏览域、公共和私有的每个选项卡,然后将它们全部关闭。不使用 services.msc 停止任何与 Windows 防火墙相关的服务。
执行“netstat -ano”将显示服务器正在监听的端口,其中应该有指示正在监听 TCP/UDP 端口(例如 389、88、135、445 等)的条目。您需要查看是否可以从相关应用程序或某些端口扫描实用程序(例如 Windows 2003 支持工具或资源工具包中的 portqry.exe)连接到这些端口。不幸的是,它不再与操作系统捆绑在一起,但如果您从 download.microsoft.com 提取相关下载包,它应该可以工作。