一个特定的成员服务器(称为 SQLProd)在拉下计算机帐户 GPO 时遇到故障。所有身份验证等均运行正常。域控制器和服务器都是 2008 R2。
我收到 GroupPolicy 的事件 ID 1030,错误代码为 8341,DCname 为 pdc.mydomain.org。我还收到 LDAP 绑定错误 1006,错误代码为 82“本地错误”。
我运行了 dcdiag 和 repadmin 来验证我的域的健康状况。除 RODC 设置外,其他一切正常。我的 DNS 运行正常,SQL 框上的网络设置也很好。
Windows IP 配置
Host Name . . . . . . . . . . . . : SQLProd
Primary Dns Suffix . . . . . . . : mydomain.org
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.org
以太网适配器本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-ED-CC-3B
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.100.20(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.100.1
DNS Servers . . . . . . . . . . . : 192.168.100.80
192.168.100.81
NetBIOS over Tcpip. . . . . . . . : Enabled
大约在这些错误开始发生时(大约 48 小时前),此框上的 DNS 条目已消失。我使用 ipconfig /registerdns 重新创建了它。在那之后的 48 小时内,我降级了我们最后的 2003 域控制器。大约在这个时候,SQLProd 上的 NTP 从 2003(以前的 PDC 模拟器)切换到新的 PDC 模拟器。
我应该在哪里查找以调试此问题?我假设其中一个调试日志会提供一些见解,但我不确定要启用哪个或在哪里查找。
编辑:问题开始于 pwdLastSetAttribute 之后约 23 天,我们的默认机器生命周期为 30 天。lastLogonTimestamp whenChanged 属性具有非常相似的值,并且是在问题开始发生的一天内设置的。
GPresult 和 RSOP snapin 没有提供任何附加信息。两者都没有为计算机部分提供任何输出。
编辑:真是奇怪。。。在过去 9 天里,这个错误经常发生,而我无需干预,它就自己消失了。希望它一直这样。
编辑:大约四个小时前一切都很好,但现在又恢复了以前的状态。任何建议都将不胜感激。我还尝试了 nltest /dsgetdc:,这表明没有通信问题。
编辑:在一些额外的搜索中,我发现本网站这表明存在类似的问题。我刚刚在两个 DC 上重新启动了 KDC 服务,问题似乎暂时消失了。
答案1
自从重新启动密钥分发服务后,我就没再遇到任何问题。自从问题发生后,我的虚拟 DC 已经重新启动了好几次,但物理机箱却没有。
答案2
在 SQLProd 上,转到命令行并运行“gpresult /r”。这将输出应用于计算机的所有组策略的 RSOP 以及任何失败的策略。检查计算机策略是否正在尝试应用以及它们是否失败或成功。还要检查提供组策略的域、域类型和计算机的列表是否与应有的内容相匹配。这将允许您将问题缩小到计算机或 GP 的范围等。