组策略处理仅在 2008 服务器上失败,并且当前域控制器上的名称解析失败

组策略处理仅在 2008 服务器上失败,并且当前域控制器上的名称解析失败

花了 3 个月的时间将 2003 域升级到 2008R2 域。我们重建了最后一个 DC(总共 5 个)并上线。上线后,我们有一些 2008 和 2008R2 服务器(现在有 10 个)在事件日志中收到这些错误。

错误描述:组策略处理失败。Windows 无法解析用户名。这可能是由以下一个或多个原因造成的:a) 当前域控制器上的名称解析失败。b) Active Directory 复制延迟(在另一个域控制器上创建的帐户尚未复制到当前域控制器)。\ 如果我们转到命令提示符并手动运行 GPUPDATE,则可以复制此内容

当我们的用户尝试对受影响的服务器上的共享驱动器进行 \directory\shared 访问时,会出现此错误——“当前没有可用的登录服务器来处理登录请求。

这仅影响 2008 操作系统,并且是使用该操作系统的 30 台服务器中的随机一组,大约有 10 台服务器受到影响。

机器上的服务运行正常并登录。能够使用域/用户登录控制台并通过 RDP。我们可以登录受影响的机器,可以访问 \domainname\sysvol 并查看 GPO

已检查域的复制拓扑,它表明所有服务器都可以无错误地复制。我们回到最后一个 DC,将其降级,删除 DNS,然后将其从域中删除,等待 24 小时,问题仍然存在。选择一台服务器,将其从域中删除,重新启动,然后重新添加到域中,没有任何问题,但仍然有这种行为。

底线是我们有一些服务器,域不会让任何 UDP/客户端服务器应用程序或 GPO 进程运行,但 tcp 相关项目似乎运行良好,http、tcp 调用、sql 和 oracle dbs 的连接和进程。

对此问题可能的原因和修复方法有任何建议吗?它仅影响 2008R2 域上的 2008 服务器。

答案1

当 UDP 失败而 TCP 正常工作时,总会想到一个有趣的事情:Kerberos MaxPacketSize

http://support.microsoft.com/kb/244474

DNS 也存在类似的问题,默认情况下,DNS 使用 UDP,除非响应对于单个 UDP 数据包来说太大(例如获取 SRV 记录列表)。通常,客户端应该通过 TCP 重试 DNS,但如果被阻止,则可能会出现奇怪的错误。

使用“nslookup -vc domain.name [dns server]”通过 TCP 测试 DNS。如果失败,则可能是网络 ACL、防火墙规则等阻止了 TCP DNS。

我见过的最后一个故障会导致类似的问题:路由黑洞,由于各种原因,流量被路由器/防火墙悄悄丢弃。

http://support.microsoft.com/kb/314825

希望这可以帮助!

答案2

该问题在于 ISA 2006 Enterprise 防火墙与 64 位 2008 操作系统中使用的 NRPC 有关。

我们发现 ISA 缺少 KB 以及 MS 支持通过电子邮件推荐的修补程序。

2012 年 2 月 3 日 UCR 行动

ISA 2006 KB 949314 已应用

ISA 2006 KB968078 已应用

在 MS 团队的帮助下,我们将问题缩小到 ISA 系统阻止的新 NRPC 端口。应用修补程序和缺失的 KB 后,我们能够重新启动成员服务器,并且它可以无错误地处理域 GPO。

相关内容