主页 / server / 问题 / 669653
Accepted
Tobias
Asked: 2015-02-17 22:43:53 +0800 CST

Windows 域的问题

  • 772

我在 Windows 域中遇到问题。关于这个域的创建我不能说太多 - 我上个月得到了这份工作,由于主要管理员生病而没有适当的移交。我所知道的是:我们有一个域 contoso-5.contoso-hq.old(contoso-hq 不在我们的控制之下 - 一种与其他公司的广域网),有两个域控制器,dc01 和 dc02(Windows服务器 2003)。我的前任开始使用域控制器 dc04、dc05(Windows Server 2012R2,物理服务器)和 dc06(Windows Server 2008r2,在 VMware esx 上虚拟化)构建一个新的域 contoso.new。我们在两个域之间配置了信任关系。

dc05 是 PDC、DHCP 和 DNS,dc4 是基础设施 Master,也是 DNS 和故障转移 DHCP。

启动监控系统后,我在域控制器上看到了很多错误。我仍然无法解决的问题是仅在 dc04 上出现,但每 4 小时 4 分钟出现一次:

由于以下原因,此计算机无法与域 CONTOSO.NEW 中的域控制器建立安全会话: 当前没有可用于处理登录请求的登录服务器。这可能会导致身份验证问题。确保这台计算机已连接到网络。如果问题仍然存在,请联系您的域管理员。

附加信息 如果此计算机是指定域的域控制器,它会设置与指定域中的主域控制器模拟器的安全会话。否则,此计算机将与指定域中的任何域控制器建立安全会话。

运行 dcdiag 显示两个错误:

 Starting test: Advertising

     Warning: dc04 is not advertising as a time server.

     ......................... dc04 failed test Advertising


  Starting test: LocatorCheck

     Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

     A Primary Domain Controller could not be located.

     The server holding the PDC role is down.

     ......................... contoso.new failed test LocatorCheck

(所有其他测试均通过)。

第一个错误:我们与世界的网络连接非常受限:我们有一个代理服务器只允许端口 80 和 443,所有其他端口都需要在 Contoso 总部请求。所以从来没有与外部源的时间同步。现在我已将 dc05 (PDC) 配置为从 Contoso HQ-NTP-Server 获取时间。所有其他客户端和服务器都从 dc05 获取新时间,但不是 dc04。w32tm /query /status 显示:

跳跃指示器:3(最后一分钟有 61 秒)

层数:0(未指定)

精度:-6(每滴答声 15.625 毫秒)

根延迟:0.0000000s

根色散:0.0000000s

ReferenceId:0x00000000(未指定)

上次成功同步时间:未指定

来源:本地 CMOS 时钟

轮询间隔:6 (64s)

我已经比较了 dc4 和 dc6 的注册表项(他应该像他应该的那样从 dc05 获取时间),它们看起来是一样的。还尝试了 w32tm 注销,重新同步,没有任何改变。

似乎 dc04 甚至不将 dc05 识别为域控制器。dns 和 dhcp 复制工作正常,我可以从 dc04 ping dc05,nslookup 可以从 dc 到内部和外部目标。nslookup contoso.new 将 dc4、dc5 和 dc6 的 IP 地址显示为地址。

在 dc04 我有另一个错误,我不确定这是否与它有关:

“在没有配置的 DNS 服务器响应后,名称 2.0.0.2.ip6.arpa 的名称解析超时。”

dc04 上的 DNS 配置与 dc05 上的相同。

经过数小时的互联网搜索,我现在唯一的选择是从域中删除 DC04 并重新安装它。但如果有人能帮我解决这个麻烦并知道我的系统发生了什么,我会很高兴……

至于为什么,如果你问自己 dc03 发生了什么……我也在问自己同样的问题……不干净的移除 DC03 会导致这些问题吗?

感谢您的帮助!

编辑

根据 STTR 的要求,以下是普通客户端(win7)的 cmd 结果(它是德语系统,如果您需要任何翻译,请告诉我):

“ipconfig /全部”

Windows-IP-配置

主机名 。. . . . . . . . . . . : GPO-TEST-TH

Prim„res DNS 后缀。. . . . . . : 域名.com

记号。. . . . . . . . . . . : 杂交种

IP 路由活动。. . . . . : 宁

WINS-代理 aktiviert 。. . . . . : 宁

DNS-Suffixsuchliste 。. . . . . . : 域名.com

以太网适配器 LAN-Verbindung:

Verbindungsspezifisches DNS 后缀:domain.com

请注意。. . . . . . . . . . : Intel(R) 以太网连接 I217-LM

物理地址。. . . . . : xx-xx-xx-xx-xx-xx

DHCP 激活。. . . . . . . . . : 贾

自动配置活动。. . : 贾

Verbindungslokale IPv6 地址。: xxxx::xxxx:e24c:xxxx:xxxx%13(贝沃祖格特)

IPv4 地址。. . . . . . . . . : xxx.xxx.43.4(贝沃祖格特)

子网掩码。. . . . . . . . . : 255.255.255.0

租赁 erhalten。. . . . . . . . . : Dienstag, 17. Februar 2015 09:27:00

租赁 l„uft ab. . . . . . . . . . : Freitag,2015 年 2 月 20 日 09:27:00

标准网关。. . . . . . . . : xxx.xxx.43.254

DHCP 服务器。. . . . . . . . . . : xxx.xxx.182.69

DHCPv6-IAID。. . . . . . . . . . : 277879566

DHCPv6-客户端-DUID。. . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-18-B6-30

DNS 服务器。. . . . . . . . . . : xxx.xxx.182.67 xxx.xxx.182.66 xxx.xxx.80.51

NetBIOS ber TCP/IP 。. . . . . . : 活动

隧道适配器 isatap.domain.com:

中间状态。. . . . . . . . . . : 中等 getrennt

Verbindungsspezifisches DNS 后缀:domain.com

请注意。. . . . . . . . . . : Microsoft-ISATAP-适配器

物理地址。. . . . . : xx-xx-xx-xx-xx-xx

DHCP 激活。. . . . . . . . . : 宁

自动配置活动。. . : 贾

隧道适配器 LAN-Verbindung* 3:

中间状态。. . . . . . . . . . : 中等 getrennt

Verbindungsspezifisches DNS 后缀:

请注意。. . . . . . . . . . : Microsoft-6zu4-适配器

物理地址。. . . . . : 00-00-00-00-00-00-00-E0

DHCP 激活。. . . . . . . . . : 宁

自动配置活动。. . : 贾

隧道适配器 LAN-Verbindung* 9:

中间状态。. . . . . . . . . . : 中等 getrennt

Verbindungsspezifisches DNS 后缀:

请注意。. . . . . . . . . . : Microsoft-Teredo-Tunneling-Adapter

物理地址。. . . . . : 00-00-00-00-00-00-00-E0

DHCP 激活。. . . . . . . . . : 宁

自动配置活动。. . : 贾

“nslookup domain.com”

服务器:dc04.domain.com

地址:xxx.xxx.182.67

名称:domain.com

地址:xxxx:xxxx:xxxx::c1c5:b648 xxxx:xxxx:xxxx::c1c5:b645 xxxx:xxxx:xxxx::c1c5:b643 xxx.xxx.182.72 xxx.xxx.182.69 xxx.xxx.182.67

"net view domain.com"
Freigegebene Ressourcen auf domain.com

Freigabename Typ Verwendet 饰演 Kommentar

NETLOGON Platte 登录服务器共享

SYSVOL Platte 登录服务器共享

Der Befehl wurde erfolgreich ausgefhrt。

“cd \domain.com\”

"cd \domain.com\SYSVOL\domain.com\"

"cd \domain.com\SYSVOL\domain.com\Policies"

“dsquery 服务器-domain domain.com -isgc”

“nslookup gc._msdcs.domain.com”

服务器:dc04.domain.com

地址:xxx.xxx.182.67

名称:gc._msdcs.domain.com

地址:xxxx:xxxx:xxxx::c1c5:b643 xxxx:xxxx:xxxx::c1c5:b645 xxx.xxx.182.67 xxx.xxx.182.69

domain

2 个回答

  1. 请在域中的工作站测试命令,并在答案中添加输出,将 dns suffics 更改为domain.com输出:

    • ipconfig /all

    • nslookup %USERDNSDOMAIN%

    • net view %USERDNSDOMAIN%

    • cd \\%USERDNSDOMAIN%\

    • cd \\%USERDNSDOMAIN%\SYSVOL\%USERDNSDOMAIN%\

    • cd \\%USERDNSDOMAIN%\SYSVOL\%USERDNSDOMAIN%\Policies

    • dsquery server -domain %USERDNSDOMAIN% -isgc

    • nslookup gc._msdcs.%USERDNSDOMAIN%
    • 2
  2. Best Answer

    经过很长时间并向我们的官方微软支持站提出支持请求(他们对此问题没有解释),我意外地解决了这个问题:

    我更换了一台没有出现任何问题的 DC,但该服务器最初是为其他目的而构建的,因此它被放置在错误的子网中。然后,显示与上面相同的错误,以及更多关于域连接错误的错误。所以我将服务器放置在正确的子网中,这解决了大部分错误,但不是全部。

    所以只是为了测试,我在 PDC 防火墙上设置了一个入站规则,以允许来自新 DC 的所有连接 - 所有错误都消失了。然后我对 DC 做了同样的事情,导致我打开这个线程,同样的事情发生在那里:错误停止了。

    所以这似乎是 PDC 上某种错误的防火墙设置。我将尝试找到导致此错误的端口(默认端口域控制器通信已打开),如果我找到小坏蛋,请报告!

    • 1

相关问题