我们的 Windows 2003 和 Windows 2008 服务器网络突然出现 DNS 问题。共有 7 个 DC。两个在我们的总部,一个在分支站点(一个分支有两个 2008R2 和 WIN2K3)只有两个是 WIN2008R2 在主站点 (DC1) 的 WIN2K3 上运行 DCDIAG 报告没有问题。在任何分支站点上运行报告两个问题所有其他测试都通过。可以从任何站点通过名称 PING 服务器 DC1
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
Netdom.exe /query DC 报告预期的服务器。
netdom query fsmo
报告称总部的服务器承担以下角色:
* 架构所有者
域角色所有者
PDC 角色
RID 池管理器
基础设施所有者
在 DNS 管理单元中,DC1 显示为 DNS 服务器,但未出现在
_msdcs-dc-_sites-Default-First-Site-Name-_TCP
没有指向 DC1 的 _ldap 或 –kerberos 记录
同样的问题 msdcs-dc-_sites- -_TCP
同样没有指向 DC1 的 _ldap 或 –kerberos 记录
在域 DNS 区域下没有服务器条目。DNS 中的任何 _tcp 文件夹都是这种情况。
服务器 DC1 在反向查找区域中正确显示为名称服务器。DC1 有主机 (A) 记录,但在正向查找区域中没有 DC1 服务器的主机 (A)(与父文件夹相同),但分支站点的其他 DC 和总部的其他 DC 存在此类条目。
我们尝试停止并启动 netlogon 服务、重新启动 DNS 以及 dcdiag /fix。
Netdiag 报告错误:
Trust relationship test. . . . . . : Failed
[FATAL] Secure channel to domain 'XXX' is broken. [ERROR_NO_LOGON_SERVERS]
[WARNING] Failed to query SPN registration on DC- One entry for each branch DC
所有分支都列出了问题服务器,并且可以从任何分支通过名称对其进行 Ping
修复是首要任务,但也希望确定原因。
答案1
我将检查 DNS 并确保分支机构为 PDC 角色列出了正确的服务器。
答案2
我看到您尝试过重新启动netlogon服务。我会尝试重新创建_msdcs.<domain_name>文件夹以清除任何异常。
- 停止
netlogon服务。 - 改名
netlogon.dns。 - 改名
netlogon.dnb。 - 删除您的
_msdcs.<zone>文件夹。 - 新建一个
_msdcs.<zone>文件夹。 - 启动
netlogon服务。 - 确认在新区域中创建了正确的记录。
- 手动从此 DC 复制到其他 DC。
祝你好运!
后来想想,您是否尝试过使用它setspn来确定是否有任何重复的 SPN 记录?