我有以下简单配置:4 个 MS Windows Server 2008 SP2 虚拟机,其中一个是小型域林的 PDC,一个是林中的辅助 DC,两个是域的成员。最初 DNS 运行良好,但从过去的某个时间点(大约 2 个月)开始,辅助 DC 已停止正确解析域名。
我怀疑,发生这种情况的原因是某些 Windows 更新已更新 AD 服务,从那时起,PDC 和 SDC 之间就无法进行同步,而且 DF 和此辅助 DC 之间没有直接(通过 DNS)连接......但这不是主要问题。
主要问题是,其中一个域成员在登录时开始发出错误“服务器上的安全数据库没有此工作站信任关系的计算机帐户”(大约 2 个月前)。最初,我通过断开并重新加入工作站来解决这个问题,但由于此错误不止一次出现,我尝试了提到的解决方案这里。
显然我做错了什么,然后我的 PDC 在登录时开始发出相同的错误...由于 PDC 没有本地管理帐户,我只能通过 DSRM 访问该机器(在 DSRM 中启动 PDC 并使用 DSRM 管理员帐户,允许我登录服务器)。
但在 DSRM 中,PDC 充当普通工作站,无法访问 AD DS(dcdiag、setspn 和 netdom 不起作用,告诉我 AD DS 已关闭编辑:- LDAP 错误 (49/52e) 登录失败或 LDAP 错误 81 (0x51) - 服务器关闭)。
请注意,我的域管理员帐户仍然有效并且可以工作(当我脱离并重新加入工作站时),我不能仅在 PDC 上使用它。我的 SDC 有 DNS 故障,因此我无法从 SDC 修复 AD DS 数据库,因为我没有找到如何使用 IP 地址而不是 FQDN 的 DS 工具...
建议的处理这里也没有太大帮助——我无法使用任何 AD DS 工具。
在事件查看器中查找到 AD DS 配置中有一个重复的 HOST 条目(错误 11),所以现在我的问题是这样:
我如何才能重新获得对 PDC 的域级控制?除了明显的解决方案,即放弃当前操作系统安装,然后重新安装服务器之外,我还能如何重新获得对机器的控制?
答案1
我在微软的 TechNet 页面上找到了这文章 - 修改 DSRM 本地管理帐户的登录行为使我能够在 AD DS 执行时登录服务器。从那时起,我很容易追踪重复项(使用设置spn-x-F)并将其从 PDC 的 AD DS 配置中删除(使用setspn -D SPN PDC_服务器)。
返回登录屏幕,域管理帐户被允许再次登录。删除有关 DSRM 本地管理帐户登录权限的注册表修改是可选任务,但 Microsoft 强烈建议这样做。
就这样吧——我现在可以积极寻找解决不同步 SDC 的次要问题的解决方案。