在更新到 2012 之前,旧的 DC 名称是:SERVER1
现在主 DC 名称为:SERVER2
SERVER1 已作为 DNS-CNAME 别名添加到计算机
然后我们安装了辅助 DC:SERVER3,并尝试通过更新 DNS-CNAME 别名将 SERVER1 名称切换到该名称。
目前 PING 命令有效,\\[IP]、\\SERVER2 和 \\SERVER3 有效
问题:\\SERVER1 -磁盘共享仅有的当名称链接到 SERVER2 时有效
当 SERVER1 链接到 SERVER3 时出现错误消息:
- You do not have permission to access \\SERVER1. Contact your network administrator to request access.
- \\SERVER1 is not accessible. You might not have permission to use this network resource.
使用远程桌面:
- The connection cannot be completed because the remote computer that was reached is not the one you specified.
连接到 \\SERVER1 确实有效一些COMPUTER\USER1计算机,如果我使用登录而不是DOMAIN\USER1(当然是相同的密码), 它似乎可以工作。
因此看起来,“AD 以某种方式将 SERVER1 识别为 SERVER2 的名称”,并且当 SERVER3 连接时,它怀疑存在 DNS 欺骗等。
我们与 SERVER1 有很多链接,因此如果您能提供任何修复方法,我将不胜感激。
(哦,SERVER2 目前不可靠 - 这就是 SERVER3 出现的原因)
答案1
看来,该(一个)问题出在 Kerberos SPN 上。
解决方案来自以下页面:https://support.microsoft.com/en-us/kb/2706695
提升的命令似乎可以修复 \\SERVER1 -shares,它是:
setspn -A cifs/SERVER1 SERVER3
远程桌面仍然不起作用,但这并不是真正的问题。