因为我想在本地域中测试 SSL,所以我安装了企业证书颁发机构,使用这教程。
安装成功,安装后我重新启动了 DC。启动时需要很长时间才能通过“设置用户设置”信息屏幕,启动后查看服务器管理器时,由于延迟和 CA 中的一个错误,我看到了各种警告:
ID:91 - 无法连接到 Active Directory。当处理需要 Active Directory 访问时,Active Directory 证书服务将重试。
有人知道我可能错过了什么导致现在启动延迟的原因吗?任何有关故障排除的提示都将不胜感激。
更多信息:我只是遵循了所有提示这文章。一切都很好,但在“确认基本 AD DS 容器和对象的权限”部分,我缺少他们在公钥服务节点中提到的 2 个文件夹:
- NTAuthCertificates 对象
- 域计算机和域用户容器。
我不确定这是否是个问题,只是想提一下。
再次了解更多信息:我发现另一个警告:WinRM 服务无法创建以下 SPN
我在 ADSIEDIT.MSC 中通过为网络服务提供正确的 CN 权限修复了这个问题。此后,服务器启动速度更快了。(必须重新启动更多次并尝试修复更多警告)
另一项修改:再次重启后,延迟又回来了,因此 SPN 修复并没有解决启动缓慢的问题
另一项编辑:开始建议构建辅助 DC/DNS 服务器,看看它是否有助于解决启动缓慢的问题。好消息是,它肯定会对许多其他事情有所帮助!
最后编辑!Ryan 的建议非常正确!添加第二个 DC/DNS 服务器后,这个问题立刻就解决了!
答案1
好吧,根据您发布的信息,我得到一个提示,即 DC 正在尝试在启动期间访问 Active Directory,但它无法访问,因为它是唯一的 DC,因此 Active Directory 尚未启动。我敢打赌,如果您向域中添加另一个 DC,问题就会消失。
WinRM 错误只是一个副作用......再次,它无法注册 SPN,因为注册 SPN 需要 Active Directory,而 Active Directory 尚未准备好。