我在让用户正确登录我的域时遇到了一些实际问题。我今天安装了一台新交换机,并提前关闭了我的 PDC;这是自几周前我们夺取了一些角色以来它第一次启动。我们有三个 DC - DC1、DC2 和 DC3。DC1 拥有 RID、PDC 和基础设施操作主机,我们将它们切换到 DC2(它也是域的主要 DNS 服务器)。该域控制器变得无法使用,我们将其关闭,然后继续夺取其角色并执行元数据清理(我们认为我们已经成功完成了)。今天,当我在移动 DC2 后重新启动工作站时,我无法访问我的 Qnap 驱动器,也无法重新映射驱动器 - 错误是“..组织的安全策略阻止未经身份验证的访客访问”。这让我认为我没有被 DC 登录,并且检查事件查看器时出现 NETLOGON (5719) 错误 - “此计算机无法与域 mydomain 中的域控制器建立安全会话...我们无法使用此凭据让您登录,因为您的域不可用”
在 DC2 上运行“dcdiag”命令会给我一大堆警告和错误,我认为这些警告和错误是在重启后出现的,这个非常显眼!
Name resolution for the name _ldap._tcp.dc._msdcs.mydomain.co.uk. timed out after none of the configured DNS servers responded.
我认为这可能与 DC1 的删除有关,因此我返回到 ntdsutil > 元数据清理并运行命令“删除选定的服务器 dc1”,但这给了我以下错误:
Unable to determine the domain hosted by the Active Directory Domain Controller (5). Please use the connection menu to specify it.
如果我在 ntdstuil 中列出站点中的服务器,我可以看到我的域和 DC2 和 DC3,但 DC1 没有出现,所以我无法进一步进行元数据清理。
有人知道我下一步可以尝试什么吗?非常感谢
答案1
您是否已进入 DNS 控制台并检查是否有实际的 SRV 条目_ldap._tcp.dc._msdcs.mydomain.co.uk?
nslookup从每个 DC验证您的 LDAP SRV:nslookup -type=SRV _ldap._tcp.dc._msdcs.mydomain.co.uk
如果记录存在,但无法从一个或另一个 DC 解析,那么 DC 的网络适配器上的 DNS 客户端设置中配置了哪些 IP?也许它们指向已退役的 DC。我建议对 DC 上的 DNS 客户端配置进行以下操作(当然,确保您的远程 DC 通过 nslookup 响应您正在配置的 DC 的查询):
[Remote DC IP]
[Local DC IP]
127.0.0.1
如果适配器上的 DNS 配置看起来正常,但缺少 SRV,请尝试重新启动该Netlogon服务。
如果 SRV 在几分钟内没有注册(请重做nslookup或确保刷新 DNS 控制台),您的 DC 是否在 Azure 中?每个 DC 是否都注册了 PTR 记录?
如果服务在注册 SRV 和相关 DNS 记录时出现问题,则 SYSTEM 日志系统事件日志将包含来自 NETLOGON 源的条目。如果 A/PTR 记录注册失败,则将出现 DNS 客户端错误事件。
最后,为了解决 SRV 注册失败的问题(如果您在系统日志中看到这些情况),您可以启用 Netlogon 调试日志记录
- 运行
Nltest /DBFlag:2080FFFF以启用 netlogon 服务的调试日志记录 - 重新启动 NETLOGON
- 检查 C:\Windows\debug\netlogon.log 文件是否存在错误
- 运行 Nltest /DBFlag:0x0 以在完成后禁用调试日志记录并重新启动服务
如果它们是 Azure 托管的 DC,则可能需要其他 DNS 客户端配置。