设置
我有一个本地 Active Directory 域。该域配置了 3 个 AD 站点,每个站点都有一个全局目录域控制器。站点 A 是主枢纽,站点 B 和站点 C 是卫星。我位于站点 A。
问题
我无法使用域凭据登录站点 B 上任何服务器上的 RDP 会话。RDP 连接成功,但我使用的凭据无法登录。
除此以外,没有其他错误消息the credentials that were used to connect to ... did not work。
我可以通过 RDP 毫无问题地连接到站点 C 的任何服务器(DC 或成员)。
站点 B 上的用户均未遇到与域资源的连接问题。同样,从站点 A 前往站点 B 的用户均未遇到任何访问或权限问题。通常不会让用户以相反的方式前往站点 B。
站点 B 的域控制器最近被降级并退役。此后不久便出现了问题。
重新启动站点 B 的 DC 和成员服务器可以修复此问题。但问题通常会在一周后再次出现。
调查(迄今为止)
使用的域凭据正确。该帐户未被锁定或禁用,并且具有适当的 RDP 权限。
DNS 将所有站点 B 服务器主机名解析为正确的 IP 地址。我可以 ping 站点 B 的所有服务器。我可以通过端口 53、135、139、389、3389 telnet 到站点 B 的所有服务器。
我可以通过 RDP 登录到站点 B 的成员服务器,但是仅有的使用本地服务器凭据而不是域凭据时。并且,登录到站点 B 的成员服务器后,我可以使用域凭据打开并登录到该站点的所有其他服务器(包括 DC)的 RDP 会话 - 但只能从该成员服务器登录。
我觉得这可能与 AD 复制有关,因此我从站点 B 域控制器运行了repadmin和。并且没有返回任何错误。同样,也没有返回任何错误。dcdiagrepadmin.exe /replsummaryrepadmin.exe /showrepldcdiag.exe /v /i /c /s:<Site-B-DC>
我觉得这与已退役的 DC 有关,于是我检查了 AD 站点和服务。旧 DC 未包含在任何 DC 连接器中。我检查了 DNS 正向查找区域,发现降级服务器也没有留下任何 NS 或 _msdcs 记录。
我接下来要去哪里?
每周重启服务器的计划在未来是不可行的,特别是当公司产量再次增加并且业务有效地全天候运行时。
请帮忙。
答案1
但这听起来很合乎逻辑,你需要使用站点 B 中的服务器作为垫脚石,然后跳转到站点 B 中的其他服务器。可能是站点 B 中的 rdp 端口被防火墙或 vpn 限制到某个子网或 ip 范围