我们无法在一台服务器上以域管理员身份登录,但在其他服务器上却可以。当我查看 Active Directory 时,我发现我们无法登录的服务器不存在计算机对象。但是,有一个具有正确计算机名称的 DNS 记录。
我不知道它是否已被删除,但我检查了 ldp.exe 已删除的对象,没有看到它。如果它在域中,它以前一定存在过。
我现在已经用计算机名称重新创建了此计算机对象,但仍然无法登录并出现相同的错误。既然计算机存在,我是否应该能够登录,或者该对象是否具有与机器不对应的不同 SID?
另外,我尝试将此服务器添加到 Server 2012 中的服务器组,但由于某种原因,在 Active Directory 中尚未找到它。然而,我在“添加服务器”中通过 DNS 找到了它,但收到“kerberos 目标解析错误”的 kerberos 错误。详细信息显示“找不到计算机 xxxxxx.domain.local”,尽管在添加时通过 DNS 找到了它。
所以我的问题是...如果我在 Active Directory 中重新创建了这台机器,为什么它无法进行身份验证?
答案1
为什么如果我在 Active Directory 中重新创建了这台机器,它将无法进行身份验证?
嗯,因为你实际上并没有在 Active Directory 中创建它。真的,创建得并不正确。你只是创建了一个具有相同名称的不同 Active Directory 对象,该对象实际上并未与相关计算机链接或相关。
为了正确将其加入到您的域,您需要登录(此时可能使用本地凭据)并实际将其加入到域。