我有一台运行 Windows Server 2008 Enterprise SP1 的服务器,该服务器有一个 Hyper-V 管理器,其中有两个虚拟机。我面临的问题是,在任何一天,其中任何一个虚拟机都会与我们的域断开连接。这是一个反复出现的问题,有时一天会发生多次。
对于如何排除故障并解决此问题您有什么想法吗?
更新
虚拟机会随机丢失与域控制器的连接。例如,在使用域凭据的虚拟机之一上重新启动 Windows 服务时,该服务无法启动。
解决办法是,我们必须将虚拟机加入本地计算机域,重新启动,将其加入域,然后再次重新启动。这个过程非常混乱且耗时。
更新2
从技术上讲,重新启动虚拟机并不能解决问题,只有将其重新加入域后才能解决问题。
我将检查当虚拟机再次断开连接时是否仍可从 AD 中看到它。
事件日志没有显示太多有用信息。它们显示 Windows 服务因域凭据不起作用而停止的时间。
更新 3
我在事件日志中发现了这个有趣的条目。此条目是在 Windows 服务停止和域身份验证停止之前创建的:
事件 ID:1006
来源:GroupPolicy
错误:组策略处理失败。Windows 无法对域控制器上的 Active Directory 服务进行身份验证。(LDAP 绑定函数调用失败)。在详细信息选项卡中查找错误代码和描述。
更新 4
看起来,当任一虚拟机与域脱离时,它在域控制器上的 AD 中是不可见的。
更新 5
经过进一步调查,当发生这种“分离”时,虚拟机确实在 DC 上的 AD 中可见。然而,这个问题似乎困扰着我们的其他服务器。
此“脱离”问题的一个常见症状是使用域凭据登录时收到以下错误,例如使用 DOMAIN\username 而不是 LOCAL\username:
此工作站和主域之间的信任关系失败。
答案1
更新 4
看起来,当任一虚拟机与域脱离时,它在域控制器上的 AD 中是不可见的。
这意味着某人或某物正在从您的 AD 中删除计算机对象。检查计划任务、“清理”脚本、其他管理员等。除非具有特权凭据的人将计算机从域中退出,否则客户端问题不会从 AD 中删除对象。
如果情况变得更糟,你可以打开审计并查看使用哪个帐户删除这些对象。
答案2
无需更多信息,这听起来确实像是 VM 来宾相互克隆导致的问题。如果您关闭其中一个来宾 VM 一段时间(如果可以的话),看看另一个是否遇到问题会很有趣。