在我们的 Windows Server 2008R2 企业域控制器上运行 DCDIAG 时,我发现两个 DC 上都出现了以下错误消息。
这些域控制器在一年前就从 Windows Server 2003 迁移到了 Windows Server 2008R2,并且 SYSVOL 也成功从 FRS 迁移到了 DFSR。
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL_DFSR\sysvol\xxx.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL_DFSR\sysvol Logon server share
The command completed successfully.
两个多月前添加了一个只读域控制器,但直到现在才发现这个错误消息。
Virtual Domain Controller
Starting test: VerifyReferences
Some objects relating to the DC EDISON-DC0 have problems:
[1] Problem: Missing Expected Value
Base Object: CN=EDISON-DC0,OU=Domain_ControllersOU_(WSUS_Notify),OU=Domain Controllers,DC=xxx,DC=local
Base Object Description: "DC Account Object"
Value Object Attribute Name: frsComputerReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862
......................... EDISON-DC0 failed test VerifyReferences
Physical Domain Controller
Starting test: VerifyReferences
Some objects relating to the DC BABBAGE have problems:
[1] Problem: Missing Expected Value
Base Object: CN=BABBAGE,OU=Domain_ControllersOU_(WSUS_Notify),OU=Domain Controllers,DC=xxx,DC=local
Base Object Description: "DC Account Object"
Value Object Attribute Name: frsComputerReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862
......................... BABBAGE failed test VerifyReferences
Windows Server 2012 标准只读域控制器
Windows PowerShell 版权所有 (C) 2012 Microsoft Corporation。保留所有权利。
注意:C:\Windows\system32> dcdiag
目录服务器诊断
正在执行初始设置:尝试查找主服务器...主服务器 = xxx-RODC0 * 已识别 AD 林。已完成收集初始信息。
进行初步必需的测试
测试服务器:xxx\xxx-RODC0 开始测试:连接性.............................. xxx-RODC0 已通过测试连接性
进行主要测试
测试服务器:xxx\xxx-RODC0 开始测试:Advertising ......................... xxx-RODC0 通过测试 Advertising 开始测试:FrsEvent ......................... xxx-RODC0 通过测试 FrsEvent 开始测试:DFSREvent ......................... xxx-RODC0 通过测试 DFSREvent 开始测试:SysVolCheck ......................... xxx-RODC0 通过测试 SysVolCheck 开始测试:KccEvent ......................... xxx-RODC0 通过测试 KccEvent 开始测试:KnowsOfRoleHolders ......................... xxx-RODC0 通过测试 KnowsOfRoleHolders 开始测试:MachineAccount ......................... xxx-RODC0 通过测试 MachineAccount 开始测试:NCSecDesc ......................... xxx-RODC0 通过测试 NCSecDesc 开始测试:NetLogons ......................... xxx-RODC0 通过测试 NetLogons 开始测试:ObjectsReplicated ......................... xxx-RODC0 通过测试 ObjectsReplicated 开始测试:Replications ......................... xxx-RODC0 通过测试 Replications 开始测试:Services ......................... xxx-RODC0 通过测试服务开始测试:SystemLog ......................... xxx-RODC0 通过测试 SystemLog 开始测试:VerifyReferences ......................... xxx-RODC0 通过测试 VerifyReferences
正在运行分区测试:ForestDnsZones 正在开始测试:CheckSDRefDom ......................... ForestDnsZones 通过了测试 CheckSDRefDom 正在开始测试:CrossRefValidation ......................... ForestDnsZones 通过了测试 CrossRefValidation
正在运行分区测试:DomainDnsZones 开始测试:CheckSDRefDom ......................... DomainDnsZones 通过测试 CheckSDRefDom 开始测试:CrossRefValidation ......................... DomainDnsZones 通过测试 CrossRefValidation
正在运行分区测试:架构开始测试:CheckSDRefDom .........................架构通过测试 CheckSDRefDom 开始测试:CrossRefValidation .........................架构通过测试 CrossRefValidation
正在运行分区测试:配置开始测试:CheckSDRefDom .........................配置通过测试 CheckSDRefDom 开始测试:CrossRefValidation .........................配置通过测试 CrossRefValidation
正在运行分区测试:xxx 开始测试:CheckSDRefDom ......................... xxx 通过测试 CheckSDRefDom 开始测试:CrossRefValidation ......................... xxx 通过测试 CrossRefValidation
正在运行企业测试:xxx.local 开始测试:LocatorCheck ......................... xxx.local 通过测试 LocatorCheck 开始测试:Intersite ......................... xxx.local 通过测试 Intersite PS C:\Windows\system32>
该错误消息仅显示在 Windows Server 2008R2 域控制器上。
因此,我决定从 Domain_ControllersOU_(WSUS_Notify) OU 中删除 BABBAGE 和 EDISON-DC0,并将它们放回域控制器 OU,然后重新运行 DCDIAG 命令。这次,BABBAGE 或 EDISON-DC0 上的 VerifyReferences 测试失败没有出现问题。
该问题似乎与使用域控制器 OU 内的其他 OU 为域控制器配置 WSUS 有关。
我在域控制器 OU 中有两个 OU
域控制器OU_(WSUS_Notify)-BABBAGE 和 EDISON-DC0 域控制器OU_(WSUS_Schedule)-RODC
如果您能就如何解决此问题提出任何想法,以便我可以使用两个单独的 WSUS 策略来手动修补 DC,并按计划在 03:00 修补 RODC,我将不胜感激。
答案1
这是 2008 R2 RODC 和相关修补程序中的一个已知错误在此处找到。
升级后,RODC 无法为其自己的计算机帐户创建 DFSR 设置对象(因为它是只读的),因此必须请求另一个 DC 来创建它。
如果 RODC 随后尝试将属性值写入新创建的对象但(使用无服务器绑定)连接到另一个尚未从第一个可写 DC 复制新创建的 DFSR 设置对象的可写 DC,则最终会出现缺少反向链接等不一致的情况。