我们开始将 GPO 应用到我们的实时域,并且遇到了我们的测试域没有遇到的一些问题。
所有本地机器均运行 Windows 7 pro。
当我使用 gpupdate /force 强制执行组策略时,DC 上一切都运行良好,但是当我转到本地计算机时,运行 gpupdate /force 时出现以下错误:LDAP 绑定函数调用失败,错误代码为 49
因此,我对这个错误进行了一些研究,发现微软表示这是一个配置文件问题。因此,我继续调查。我从 sysinternals 找到了一个工具来检查是否有任何损坏的配置文件:使用 PSTools,我从提升的 cmd 提示符运行此命令:PsExec.exe -i -s cmd.exe rundll32.exe keymgr.dll, KRShowKeyMgr 没有损坏的配置文件,正如我所怀疑的那样,因为这是本地计算机上的全新安装。
接下来,我检查了“委派”选项卡中是否有经过身份验证的用户,结果确实有。接下来,我尝试重新启动 Netlogon 服务。但仍然没有用。我也尝试重新启动服务器,但还是没有用。
我按照这篇文章测试了我的安全渠道:
我检查了 netlogon 的服务,这些服务被设置为服务器上的默认本地系统帐户。(自动启动)
我们唯一的转发器是 8.8.8.8。
没有外部 DNS 服务器。
我们只有一个 DNS 服务器。
Kerberos 策略设置为 5 分钟。
我运行了 klist tickets cmd,只返回了一张票,而且是我的。Guid._msdcs.DomanName.com 无法解析为 ip 地址。
我已经运行了 DCDiag /test:DNS 但返回了错误:
DNS测试结果摘要:
Auth=Pass, Basc=Fail, Forw=Pass, Del=Pass, Dyn=Warn, RReg=Fail, Ext= n/a
我还运行了 dcdiag /test:registerindns /dnsdomain:DomainName.com
结果:DNS 配置足以允许此域控制器动态注册 DNS 中的域控制器定位器记录 DcDiag 无法得出结论,因为它无法解释返回的以下消息:9003
我也运行了 nltest /dsregdns,但仍然存在 DNS 问题。
我已删除 DC 的 DNS 文件夹中的 CNAME 记录,并将其重新添加到 DNS 文件夹,但仍然没有不同的结果。
防火墙位于网络外部,保护域内的计算机。所以据我所知,防火墙之间没有 DC。
我们确实纠正了服务器从本地服务器获取时间的问题。我们将其更改为从池 IP 地址获取外部源,现在所有本地计算机都按正确的时间运行。
我甚至用 wireshark 检查过并且确实看到了错误,但我不确定这是我的问题的根源。
所以我决定做更多的研究,我发现这可能是 DNS 错误。所以我想我会尝试离开域名并重新添加,但没有成功。我甚至查看了是否有任何我不应该有的额外主机文件。没有。
说实话我不知道下一步该做什么。
我确实发现我们的域控制器中有一些分包商,看来他们可能把一些事情搞砸了,例如,我们根本没有进行任何反向查找,现在这个问题已经得到纠正,其中有两个 NS 服务器文件名仍然存在,但我认为我们不需要两个。我要说的是,当我查看事件日志时,我看到错误代码 49 旁边就是错误代码 1222,我想知道这两者是否相关?虽然这台电脑从未离开过我们的域,所以我不确定它是如何得到 1222 错误代码的。这甚至发生在全新安装的电脑上。
有其他人遇到过这个问题吗?我做了很多研究,其他用户似乎确实存在很多 LDAP 绑定问题,但这些问题似乎相对容易解决。所以我不知道还能做什么。我愿意接受建议和想法。
我认为这是一个 DNS 问题。但出于某种原因,我似乎仍然无法解决这个问题。我没有看到服务器上的 DNS 角色有任何异常。
谢谢!