在更新到 2012 之前,旧的 DC 名称是:SERVER1
现在主 DC 名称为:SERVER2
SERVER1 已作为 DNS-CNAME 别名添加到计算机
然后我们安装了辅助 DC:SERVER3,并尝试通过更新 DNS-CNAME 别名将 SERVER1 名称切换到该名称。
目前 PING 命令有效,\\[IP]、\\SERVER2 和 \\SERVER3 有效
问题:\\SERVER1 -磁盘共享仅有的当名称链接到 SERVER2 时有效
当 SERVER1 链接到 SERVER3 时出现错误消息:
- You do not have permission to access \\SERVER1. Contact your network administrator to request access.
- \\SERVER1 is not accessible. You might not have permission to use this network resource.
使用远程桌面:
- The connection cannot be completed because the remote computer that was reached is not the one you specified.
连接到 \\SERVER1 确实有效一些COMPUTER\USER1
计算机,如果我使用登录而不是DOMAIN\USER1
(当然是相同的密码), 它似乎可以工作。
因此看起来,“AD 以某种方式将 SERVER1 识别为 SERVER2 的名称”,并且当 SERVER3 连接时,它怀疑存在 DNS 欺骗等。
我们与 SERVER1 有很多链接,因此如果您能提供任何修复方法,我将不胜感激。
(哦,SERVER2 目前不可靠 - 这就是 SERVER3 出现的原因)
答案1
看来,该(一个)问题出在 Kerberos SPN 上。
解决方案来自以下页面:https://support.microsoft.com/en-us/kb/2706695
提升的命令似乎可以修复 \\SERVER1 -shares,它是:
setspn -A cifs/SERVER1 SERVER3
远程桌面仍然不起作用,但这并不是真正的问题。