我有一台运行 IIS 6 的 Windows Server 2003 成员服务器,它在我们的测试环境中。它是一台虚拟机,已恢复到大约 4 天前的快照。执行此操作后,尝试登录域失败,并显示系统事件 ID 3210:
此计算机无法通过 %dcin.mydomain.com(域 %MY_DOMAIN 的 Windows DC)进行身份验证,因此此计算机可能会拒绝登录请求。无法进行身份验证可能是由于同一网络上的另一台计算机使用相同的名称或无法识别此计算机帐户的密码所致。如果此消息再次出现,请联系您的系统管理员。
所有网络和 DNS 问题均已排除。
经过一番研究,我猜测问题在于默认每 30 天更改一次的计算机帐户密码不同步。从 ADUC 发出“重置帐户”命令对解决问题没有帮助。
使用以下方法重置帐户的尝试也会失败:
NetDom reset svrname /d:mydomain.com /uo:[email protected] /po:*
登录失败的结果是:目标帐户名不正确。
如果这是任何其他未运行 IIS 的服务器……我会将其从域中删除并重新加入,然后继续我的生活。但我不知道这样做会对 IIS 产生什么影响。
完成此操作后,我将把 HKLM/system/currentcontrolset/services/netlogon/paramerters/DisablePasswordChange 设置为“1”,但在此之前,我不确定“NetDom reset”命令是否是正确的操作,除了将服务器重新添加到域。
有什么想法吗?
答案1
您已经有了该机器的快照。如果将其取消加入域并重新加入域会以某种方式破坏 IIS(我怀疑不会),您仍然可以将其恢复。您还说这是一个测试环境,它有点被破坏了(在某种意义上)。我只需取消加入域并重新加入域即可。
答案2
This inability to authenticate might be caused by another computer on the same network using the same name
这可能不是开玩笑,因为来自旧实例的缓存的 Kerberos 信息可能会干扰您“激活”恢复的快照的能力。
恢复之前你关闭了虚拟机吗?它崩溃了吗?
答案3
该计算机现在肯定有问题,因为在 AD 用户和计算机中重置计算机帐户会断开该计算机与域的连接并要求其重新加入域。