我在 Windows 域中遇到了问题。关于这个域的创建,我不能透露太多 - 我上个月得到了这份工作,由于主管理员生病,没有进行适当的移交。我知道的是:我们有一个域 contoso-5.contoso-hq.old(contoso-hq 不受我们控制 - 与其他公司建立的广域网),有两个域控制器,dc01 和 dc02(Windows Server 2003)。我的前任开始构建一个新的域 contoso.new,域控制器为 dc04、dc05(均为 Windows Server 2012R2,物理服务器)和 dc06(Windows Server 2008r2,在 VMware esx 上虚拟化)。我们在两个域之间配置了信任关系。
dc05 是 PDC、DHCP 和 DNS,dc4 是基础设施主机,也是 DNS 和故障转移 DHCP。
启动监控系统后,我看到域控制器上出现了很多错误。我仍然无法解决的一个错误只出现在 dc04 上,但每 4 小时 4 分钟出现一次:
此计算机无法与域 CONTOSO.NEW 中的域控制器建立安全会话,原因如下:当前没有可用于处理登录请求的登录服务器。这可能会导致身份验证问题。请确保此计算机已连接到网络。如果问题仍然存在,请联系您的域管理员。
附加信息 如果此计算机是指定域的域控制器,它将与指定域中的主域控制器模拟器建立安全会话。否则,此计算机将与指定域中的任何域控制器建立安全会话。
运行 dcdiag 显示两个错误:
Starting test: Advertising
Warning: dc04 is not advertising as a time server.
......................... dc04 failed test Advertising
和
Starting test: LocatorCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... contoso.new failed test LocatorCheck
(所有其他测试均通过)。
对于第一个错误:我们与世界的网络连接非常受限:我们有一个仅允许端口 80 和 443 的代理服务器,所有其他端口都需要在 Contoso HQ 处请求。因此从未与外部源进行时间同步。现在我已将 dc05 (PDC) 配置为从 Contoso HQ-NTP-Server 获取时间。所有其他客户端和服务器都从 dc05 获取新时间,但 dc04 没有。w32tm /query /status 显示:
跳跃指示器:3(最后一分钟有61秒)
层数:0(未指定)
精度:-6(每刻 15.625 毫秒)
根延迟:0.0000000 秒
根散度:0.0000000 秒
ReferenceId:0x00000000(未指定)
上次成功同步时间:未指定
来源:本地 CMOS 时钟
轮询间隔:6(64 秒)
我已经比较了 dc4 和 dc6(他正在从 dc05 获取时间,这是理所应当的)的注册表项,它们看起来一样。还尝试了 w32tm 取消注册、重新同步,但没有任何改变。
dc04 似乎甚至无法将 dc05 识别为域控制器。dns 和 dhcp 复制工作正常,我可以从 dc04 ping dc05,nslookup 可以从两个 dc 到内部和外部目标运行。nslookup contoso.new 显示 dc4、dc5 和 dc6 的 ip 地址。
在 dc04 上我有另一个错误,我不确定这是否与它有关:
“由于所有配置的 DNS 服务器均未响应,因此名称 2.0.0.2.ip6.arpa 的名称解析超时。”
dc04 上的 DNS 配置与 dc05 上的相同。
经过几个小时的互联网搜索,我现在唯一的选择是从域中删除 DC04 并重新安装它。但如果有人能帮我解决这个麻烦并知道我的系统发生了什么,我会很高兴……
至于为什么,如果你问自己 dc03 发生了什么……我也会问自己同样的问题……未干净地删除 DC03 是否会导致这些问题?
谢谢你的帮助!
编辑
正如 STTR 所要求的,以下是来自普通客户端(win7)的 cmd 的结果(这是一个德语系统,如果您需要任何翻译请告诉我):
“ipconfig /all”
Windows-IP 配置
主机名....。....。....。....:GPO-TEST-TH
主要 DNS 后缀 . . . . . . : domain.com
结节类型。 。 。 。 。 。 。 。 。 。 。 。 : 杂交种
IP 路由活动。 。 。 。 。 。 :不
WINS-Proxy 活动。 。 。 。 。 。 :不
DNS 后缀列表.... . . . . . : domain.com
以太网适配器 LAN 连接:
绑定特定的 DNS 后缀:domain.com
描述。 。 。 。 。 。 。 。 。 。 。 :英特尔(R) 以太网连接 I217-LM
物理地址。 。 。 。 。 。 :xx-xx-xx-xx-xx-xx
DHCP 激活。 。 。 。 。 。 。 。 。 。 :贾
自动配置活动。 。 。 :贾
绑定位置 IPv6 地址。:xxxx::xxxx:e24c:xxxx:xxxx%13(前置)
IPv4 地址 . . . . . . . . . . . : xxx.xxx.43.4 (以前)
子网掩码。 。 。 。 。 。 。 。 。 。 :255.255.255.0
租赁已开始。 。 。 。 。 。 。 。 。 。 : 星期二, 2015 年 2 月 17 日 09:27:00
租赁期限。 。 。 。 。 。 。 。 。 : 星期五, 20. 二月 2015 09:27:00
标准网关....。...。...。...:xxx.xxx.43.254
DHCP 服务器 . . . . . . . . . . . : xxx.xxx.182.69
DHCPv6-IAID。 。 。 。 。 。 。 。 。 。 。 :277879566
DHCPv6-客户端-DUID。。。。。。。。。:xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-18-B6-30
DNS 服务器 . . . . . . . . . . . . . : xxx.xxx.182.67 xxx.xxx.182.66 xxx.xxx.80.51
TCP/IP 上的 NetBIOS。 。 。 。 。 。 。 : 活动
Tunneladapter isatap.domain.com:
媒体地位。 。 。 。 。 。 。 。 。 。 。 : 中等收入
绑定特定的 DNS 后缀:domain.com
描述。 。 。 。 。 。 。 。 。 。 。 :Microsoft-ISATAP 适配器
物理地址。 。 。 。 。 。 :xx-xx-xx-xx-xx-xx
DHCP 激活。 。 。 。 。 。 。 。 。 。 :不
自动配置活动。 。 。 :贾
隧道适配器 LAN 连接* 3:
媒体地位。 。 。 。 。 。 。 。 。 。 。 : 中等收入
绑定特定的 DNS 后缀:
描述。 。 。 。 。 。 。 。 。 。 。 :Microsoft-6zu4-适配器
物理地址。 。 。 。 。 。 :00-00-00-00-00-00-00-E0
DHCP 激活。 。 。 。 。 。 。 。 。 。 :不
自动配置活动。 。 。 :贾
隧道适配器 LAN 连接* 9:
媒体地位。 。 。 。 。 。 。 。 。 。 。 : 中等收入
绑定特定的 DNS 后缀:
描述。 。 。 。 。 。 。 。 。 。 。 :Microsoft-Teredo-隧道适配器
物理地址。 。 。 。 。 。 :00-00-00-00-00-00-00-E0
DHCP 激活。 。 。 。 。 。 。 。 。 。 :不
自动配置活动。 。 。 :贾
“nslookup 域名.com”
服务器:dc04.domain.com
地址:xxx.xxx.182.67
名称:domain.com
地址:xxxx:xxxx:xxxx::c1c5:b648 xxxx:xxxx:xxxx::c1c5:b645 xxxx:xxxx:xxxx::c1c5:b643 xxx.xxx.182.72 xxx.xxx.182.69 xxx.xxx.182.67
“net view domain.com”
domain.com 上的免费资源自由名称类型用作评论
NETLOGON Platte 登录服务器共享
SYSVOL Platte 登录服务器共享
受害者将受到应有的惩罚。
“cd \域名.com\”
“cd \domain.com\SYSVOL\domain.com\”
“cd \domain.com\SYSVOL\domain.com\Policies”
“dsquery 服务器 -domain domain.com -isgc”
“nslookup gc._msdcs.domain.com”
服务器:dc04.domain.com
地址:xxx.xxx.182.67
名称:gc._msdcs.domain.com
地址:xxxx:xxxx:xxxx::c1c5:b643 xxxx:xxxx:xxxx::c1c5:b645 xxx.xxx.182.67 xxx.xxx.182.69
答案1
domain.com请在域中的工作站上测试命令,并在答案中添加输出,在输出中将dns 后缀更改为:
ipconfig /allnslookup %USERDNSDOMAIN%net view %USERDNSDOMAIN%cd \\%USERDNSDOMAIN%\cd \\%USERDNSDOMAIN%\SYSVOL\%USERDNSDOMAIN%\cd \\%USERDNSDOMAIN%\SYSVOL\%USERDNSDOMAIN%\Policiesdsquery server -domain %USERDNSDOMAIN% -isgcnslookup gc._msdcs.%USERDNSDOMAIN%
答案2
经过很长时间并向我们的官方微软支持站提出支持请求(他们没有对该问题做出解释)后,我意外地解决了该问题:
我更换了其中一个 DC,这没有造成任何问题,但服务器最初是为其他目的而构建的,因此放置在错误的子网中。然后,出现了与上述相同的错误,以及更多关于域连接错误的错误。因此,我将服务器放置在正确的子网中,这解决了大多数错误,但不是全部。
因此,仅出于测试目的,我在 PDC 防火墙上设置了一条入站规则,以允许来自新 DC 的所有连接 - 所有错误都消失了。然后,我对 DC 做了同样的事情,这导致我打开了这个线程,并且发生了同样的事情:错误停止了。
因此,这似乎是 PDC 上的某种错误的防火墙设置。我将尝试找到导致此错误的端口(默认端口域控制器通信已打开),并报告是否找到了小问题!