我正在尝试弄清楚为什么我的服务器 2(域控制器)在尝试访问组策略管理时会收到“拒绝访问”错误。我已检查过,它给出了某种 Kerberos 错误。我不确定如何修复拒绝访问错误。Active Directory 似乎正在运行。当我执行 NLTEST 时,它说它将自己视为它正在从中获取信息的 DC。
事情开始变得奇怪了。在经历了一些错误之后,我发现当我尝试访问 Server1(我的完全合格域服务器或主域控制器)时,我无法访问任何东西。当我尝试从 BDC 转到 PDC 上的文件共享时,它说我没有访问权限。当我朝相反的方向走时,一切都正常了。现在,当我检查事件日志时,它说从 Server1 到 Server2 的复制已经进行了很长时间了。据我所知,Server2 无权访问 Server1。我被难住了。哦,更糟糕的是,在 Server2 上设置的组策略不允许编辑注册表。
正如之前所提到的,我认为这是 Kerberos 的问题,但我不知道如何重置甚至同步 Kerberos 密码,因为这个访问被拒绝的问题。整个混乱都是因为我们的一台服务器时钟因为 CMOS 电池坏了而混乱的。因此,Server1 的时间设置正确,Server2 的时间设置也正确,但仍然出现问题。
我收到此错误 -> Kerberos 客户端收到 KRB_AP_ERR_MODIFIED 错误我做了一些研究,但我没有任何办法解决这个问题。有人能帮我或给我一些指导吗,因为我没有同时处理 FQDN 和 2 个 DC。而且更麻烦的是,我无法编辑注册表,或者它正在将自己视为引用域。有人能帮我解决复制问题吗?
答案1
Kerberos 依赖于时间同步。您确定时间和日期都正确吗?我见过这样的问题:小时和分钟是正确的,但人们忽略了不正确的日期部分。
从 comptuer1 调用
w32tm.exe /stripchart /computer:computer2 /samples:1 /dataonly
它将报告两台机器之间的时钟差异。
听起来好像您有一个 GPO 来禁用注册表修改?这个 GPO 中还有什么?有什么可以限制文件共享的吗?如果您有某种锁定 GPO,请将其删除,看看是否是它导致了问题。
每个服务器的“dcdiag”结果是什么?编辑原始帖子以显示结果。