我在域“DC”中拥有 2 台 Windows 2000 服务器,它们在“DC\Task-User”帐户下运行大量 Windows 计划任务。这些任务在过去几年中一直运行顺利,无需修改任何帐户/密码。
昨天,任务进入“无法启动”状态。我自己有一个管理员帐户,能够使用我的凭据运行这些任务。今天,我再次在 DC\Task-User 帐户下运行这些任务,它们似乎运行良好,没有任何问题。
过去也发生过这种情况。我不熟悉网络,所以不太了解根本问题。这与域控制器帐户身份验证有关吗?
任何指点都将非常有用!
答案1
这听起来确实像是出于某种原因无法验证帐户。域控制器的安全事件日志将为您提供更多信息。此外,本地服务器的系统事件日志可能给出线索,但我会押注于 DC。这里唯一的问题是您需要检查所有 DC 日志。但是,如果您知道作业失败的日期/时间,那么诊断应该不难。
最后要考虑的是,您的成员服务器是否显示出时钟漂移的迹象。它是否与域控制器同步。询问的原因是 Kerberos(底层身份验证机制)依赖于客户端/成员服务器和 DC 之间的一致时间。我不确定 Windows 2000 Server 是否如此,但在 Win2k3 上,默认情况下最多为 5 分钟。
在 Win2k3 及更高版本中,时钟问题将在系统事件日志中看到,其来源是(我认为)W32时间。
答案2
使用 Server 2008 及更高版本时,有时您需要先登录 svc 帐户以创建配置文件。检查您的事件日志,看看是否有事件引用使用临时配置文件登录您的 svc 帐户。如果是这种情况,请使用 svc 帐户登录,您应该就可以开始了。
答案3
您是否拥有强制在 X 次登录尝试失败时锁定帐户的组策略?如果所有任务在某一时刻运行然后停止,则可能是最近在域中的某个地方使用错误密码设置了新任务,并导致帐户被锁定。我见过这种情况发生多次,并且不会影响任何当前正在运行的服务。