我的一个子域出现了一个奇怪的问题。我的环境有一个 2008R2 林,根目录为空,还有三个子域,都是 2008R2。我知道在 2008 年,这是一种老式的设计,但就这么用吧。我将子域命名为 ChildA、ChildB 和 ChildC。
我目前在 ChildA 域中有两个 DC,一切正常,但我试图解决为什么当我使用 ChildC 帐户(该帐户是 ChildA DC 上的管理员组成员)通过 RDP 连接到 ChildA DC 时无法访问桌面。我可以从 ChildC 帐户通过 RDP 连接到 ChildA 域中的任何成员服务器。
身份验证似乎没问题。
我可以使用 ChildC 帐户将主机添加到 ChildA 域。我也可以使用 ChildA 域帐户登录 ChildA DC,没有任何问题。
因此,为了排除故障,我决定向 ChildA 添加第三个 DC(称为 DC3),以查看问题是否出在 DC 上,或者是否存在其他配置问题。我这样做了:
- 使用 ChildC 帐户将 DC3 添加到 ChildA 域
- 通过 RDP 连接到 DC3 并获得了一个桌面,ChildC 帐户没有问题
- Ran DCPromo
- 收到以下错误:
DNS was successfully queried for the service location (SRV) resource records used to locate a domain controller for domain ChildA.parent.net. The Query was for the SRV record for _ldap._tcp.dc._msdcs.ChildA.parent.net
the following domain controllers were identified by the query
DC1.childa.parent.net
DC2.childa.parent.net
however no domain controllers could be contacted
- 在 DC3 上运行 nslookup 并获得 DC1 和 DC2 上的命中
- 对域名 childa.parent.net 运行 nslookup,DNS 请求两次超时然后解析。 哈哈哈!!这是怎么回事?
我已经运行了 DIG、DNSlint、DCDiag 并手动检查了所有 _msdcs 记录,但仍然不知道这里发生了什么。
使用 ChildA 管理员帐户再次尝试,结果相同
答案1
您首先应该检查的是 DNS。除非您 100% 确信它正在运行且配置正确,否则您的问题很可能存在,或者至少与 DNS 有关。
您的 DNS 是如何设置的?所有 DNS 区域是否都托管在林根或委托给子域的 DNS(AD 服务器)。如果您的区域托管在根,是否所有子域 DC 都正确配置为指向父区域的 DNS 服务器以解析其他子域?
如果您使用子区域委派,那么子 DC 上的转发器是否已正确配置为转到父区域 DNS 服务器?
如果从域 A 到域 B 的身份验证有效,但从域 B 到域 A 的身份验证无效,则请快速检查您的信任是否良好。如果在设置任一域时出现错误或中断,则信任可能配置不正确。
您的事件日志是您的好朋友。Windows Server 2008(尤其是 R2)为您提供了大量信息,这些信息应该足以帮助您解决问题。