在 2003 域/林功能级别的域中推广 Windows 2012 R2 服务器时遇到一个特殊问题。
构建了一个新的 2012 R2 服务器,添加了以下软件(labtech、appassure、eset A/V 和 Teamviewer)。它已激活并且似乎运行良好。我添加了 Active Directory 域服务角色,并完成了配置(域/林准备和 DC 升级)。一切似乎都很顺利。我重新启动了服务器,奇怪的事情就从这里开始了。我注意到服务器指示它需要再次激活;但不接受密钥。我验证了密钥是有效的。就在那时,我注意到软件保护服务(以及许多其他核心服务 - 基本过滤引擎、DHCP 客户端、防火墙等)无法启动。所有这些服务的错误消息都是“拒绝访问”。
我打电话给 MS,他们想在服务层面上进行故障排除。他们的解决办法是使用 procmon 并识别需要权限的资源(注册表项、文件或文件夹)并添加具有完全控制权的“所有人”)。这样就可以启动服务;但重启后问题又出现了。
我认为问题可能出在升级过程中的防病毒软件包上,因此我从头开始重建了 DC,并从 AD 中删除了元数据(因为我无法将机器降级为“rpc 服务器不可用”)。
我尝试再次升级新构建的机器。对全新机器的唯一更改是关键更新。再次升级似乎运行良好;但重新启动后(并等待很长时间才能进行复制),类似的问题开始再次出现。
我已验证架构更新正确(架构版本为 69 - 适用于 Windows 2012 R2)。
通过我自己的搜索,我没有找到太多关于这个问题的信息,所以我想发布这篇文章,看看是否有其他人也见过类似的情况……
答案1
我刚刚遇到了这种情况:
我们发现该问题是由于默认域控制器策略中定义的许多文件系统和注册表权限设置引起的。虽然似乎没有人能解释为什么这些设置在该 GPO 中,但这确实有助于解释为什么 2012 R2 成员服务器运行良好;但在升级后开始出现问题。我们最终不得不将此策略重置为默认值(在 MS 支持的帮助下)。花了相当多的时间才将注册表项和目录权限恢复到所有服务都可以启动的程度。– Cybersylum 2014 年 6 月 23 日 11:38