错误
在 2018 年 5 月的 Windows 安全更新之后,当尝试 RDP 到 Windows 10 Pro 工作站时,在成功输入用户凭据后显示以下错误消息:
发生身份验证错误。不支持请求的功能。
这可能是由于 CredSSP 加密 oracle 修复
截屏
调试
我们已确认用户凭据是正确的。
重新启动工作站。
确认本地目录服务正常运行。
尚未应用 May 安全补丁的隔离工作站不受影响。
可以临时管理永久主机,但关注基于云的服务器访问。Server 2016 上还没有出现。
谢谢
问题
当尝试从同一域上的任何 Windows 10 工作站或来自外部源的任何 Windows 客户端进行 RDP 时,域成员服务会报告以下内容:
远程桌面无法验证远程计算机的身份,因为您的计算机与远程计算机之间存在时间或日期差异。确保您的计算机时钟设置为正确的时间,然后再次尝试连接。如果问题再次出现,请联系您的网络管理员或远程计算机的所有者。
成员服务器事件日志包含:
EVENTID 5719。由于以下原因,此计算机无法与域中的域控制器建立安全会话:RPC 服务器不可用。
EVENTID 1054。组策略处理失败。Windows 无法获取域控制器的名称。这可能是由名称解析失败引起的。验证您的域名系统 (DNS) 是否已配置并正常工作。
环境
会员服务器
- 这是唯一出现此问题的服务器。
- Windows Server 2012 标准 R2。
- 文件服务器。
- SQL 服务器。
- 事件日志报告上述错误。
- 出现问题时无法 RDP 到服务器。
- DNS 地址设置为 PDC 和 SDC IP 地址。
数据中心
- 视窗服务器 2012。
- 拥有所有 FSMO 角色。
- GC。
- 禁用 Windows 防火墙以进行测试。
- 没有错误报告,运行正常。
- 广告服务。
- DNS 服务。
- 赢服务。
- 可以 RDP 到所有节点并使用域用户凭据进行身份验证。
SDC
- 视窗服务器 2016。
- GC。
- 禁用 Windows 防火墙以进行测试。
- 没有错误报告,运行正常。
- 广告服务。
- DNS 服务。
- 赢服务。
- 可以 RDP 到所有节点并使用域用户凭据进行身份验证。
交换服务器
- 视窗服务器 2008。
- 交换服务器 2007
- 也添加为成员服务器。
- 没有错误报告,运行正常。
- 可以 RDP 到所有节点并使用域用户凭据进行身份验证。
WINDOWS 10 客户端
- 所有 Windows 10 客户端运行正常。
- 可以 RDP 到所有节点并使用域用户凭据进行身份验证。
一些可能重要的进一步信息:
我有另一个域控制器死了(vserver)。它是使用正确的程序(元数据删除、转移角色、从 DNS 中删除等)手动从域中删除的。满足这不再是问题。服务器名称未出现在任何错误日志中。现有域控制器(PDC、SDC)上的 DCDIAG 报告没有错误。这是好几个月前的事了。
当域控制器 (vserver) 死机时,工作站报告时间同步问题。几个月前,所有客户端工作站都使用下面详述的 W32TM 命令解决了这个问题。此 W32TM 尚未解决尚未解决此处记录的有问题的成员服务器问题。
调试
会员服务器
- 出现问题时,我可以在服务器上以本地用户身份进行 RDP 和身份验证。
- 出现问题时,我无法以服务器上的域用户身份进行 RDP 和身份验证。
- 如果我重新启动服务器,问题会在大约 24 小时内得到解决。
- 确保网络防火墙允许对外部源进行时间查询。
- W32tm /resync /rediscover(全部执行提升)。
- W32tm /查询/配置。
- W32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update。
- w32tm /config /syncfromflags:domhier.
- 净停止 w32time && 净开始 w32time。
- GPUPDATE 不能解决问题。
- NIC 设置将 DNS 和 WINS 地址设置为 PDC 和 SDC 服务器 IP 地址。
- 从域中删除,使用向导工具再次加入域。
- 当问题发生时,NSLOOKUP 将解析内部 sever.internal.com 域地址。
- 当问题发生时,NSLOOKUP 将解析内部外部域地址。
- 当问题发生时,部署在服务器上的谷歌浏览器将不会显示网页。DNS 通过 NSLOOKUP 确认运行。我已经从部署了应用程序 FIDDLER 的工作站看到了这种行为,因为 IE 代理地址设置为机器环回 IP。确认此成员服务器上未安装 FIDDLER。
- 见REF1。测试MMC,连接电脑,加载安全日志。
- 将 GROUP POLICY 设置为允许
Allow Remote Administration Exception和Allow File and Printer Sharing Exception。 - 确认
Windows Management Instrumentation服务运行域控制器和成员服务器。 - 确认
TCP/IP NetBIOS Helper服务正在域控制器和成员服务器上运行。 - 确认
Remote Procedure Call服务正在域控制器和成员服务器上运行。 - 见REF2。在服务器管理的交换机端口上启用了“FAST LINK”。
会员服务器w32tm /query /configuration结果
[Configuration]
EventLogFlags: 2 (Local)
AnnounceFlags: 10 (Local)
TimeJumpAuditOffset: 28800 (Local)
MinPollInterval: 10 (Local)
MaxPollInterval: 15 (Local)
MaxNegPhaseCorrection: 4294967295 (Local)
MaxPosPhaseCorrection: 4294967295 (Local)
MaxAllowedPhaseOffset: 300 (Local)
FrequencyCorrectRate: 4 (Local)
PollAdjustFactor: 5 (Local)
LargePhaseOffset: 50000000 (Local)
SpikeWatchPeriod: 900 (Local)
LocalClockDispersion: 10 (Local)
HoldPeriod: 5 (Local)
PhaseCorrectRate: 1 (Local)
UpdateInterval: 30000 (Local)
[TimeProviders]
NtpClient (Local)
DllName: C:\Windows\system32\w32time.DLL (Local)
Enabled: 1 (Local)
InputProvider: 1 (Local)
CrossSiteSyncFlags: 2 (Local)
AllowNonstandardModeCombinations: 1 (Local)
ResolvePeerBackoffMinutes: 15 (Local)
ResolvePeerBackoffMaxTimes: 7 (Local)
CompatibilityFlags: 2147483648 (Local)
EventLogFlags: 1 (Local)
LargeSampleSkew: 3 (Local)
SpecialPollInterval: 3600 (Local)
Type: AllSync (Local)
NtpServer: time.windows.com (Local)
NtpServer (Local)
DllName: C:\Windows\system32\w32time.DLL (Local)
Enabled: 0 (Local)
InputProvider: 0 (Local)
VMICTimeProvider (Local)
DllName: C:\Windows\System32\vmictimeprovider.dll (Local)
Enabled: 0 (Local)
InputProvider: 1 (Local)
会员服务器w32tm /query /status结果:
Leap Indicator: 0(no warning)
Stratum: 3 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.1455078s
Root Dispersion: 0.0777873s
ReferenceId: 0x0D4FEF45 (source IP: 13.79.239.69)
Last Successful Sync Time: 05/07/2017 13:31:40
Source: time.windows.com
Poll Interval: 12 (4096s)
会员服务器RPCping结果:
Completed 1 calls in 15 ms
66 T/S or 15.000 ms/T
假设上述这些测试是在问题尚未再次发生的情况下在重新启动后几个小时执行的。我可以重复测试并在再次发生时发布结果。
数据中心
- DCDIAG 报告没有问题。
- NSLOOKUP 解析内部和外部地址。
PDCw32tm /query /status结果:
Leap Indicator: 0(no warning)
Stratum: 3 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.1517181s
Root Dispersion: 0.0426882s
ReferenceId: 0x338D2033 (source IP: 51.141.32.51)
Last Successful Sync Time: 05/07/2017 13:18:51
Source: time.windows.com
Poll Interval: 10 (1024s)
SDC
- DCDIAG 报告没有问题。
- NSLOOKUP 解析内部和外部地址。
概括
似乎很清楚它的时间同步问题。我相信这是我迄今为止尝试调试和解决此问题的所有内容,如果我还记得其他任何内容,我将进行编辑。感谢您的任何帮助(桌子/头/砰)。热衷于了解根本原因。
斯科特
参考
参考 2。在 Windows/BOOTP 中生成树阻止 DHCP 请求
参考 2。https://nchrissos.wordpress.com/2013/04/26/configuring-time-on-windows-2008-r2-servers/
更新-1
根据 Joeqwerty 的评论进行编辑(谢谢乔)。
当前状态
- 迄今为止,该问题没有再次出现,距离本文发布大约 24 小时。
- 没有重新启动。
修正案
但是,现在已在有问题的 MEMBER SERVER 上应用了以下更改(请参阅REF3 ):
Reg Key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type=NTP从 NTP 修改为 NT5DSWindows 时间服务重新启动..
现在的输出
w32tm /query /configuration显示:[TimeProviders] NtpClient (Local) DllName: C:\Windows\system32\w32time.DLL (Local) Enabled: 1 (Local) InputProvider: 1 (Local) CrossSiteSyncFlags: 2 (Local) AllowNonstandardModeCombinations: 1 (Local) ResolvePeerBackoffMinutes: 15 (Local) ResolvePeerBackoffMaxTimes: 7 (Local) CompatibilityFlags: 2147483648 (Local) EventLogFlags: 1 (Local) LargeSampleSkew: 3 (Local) SpecialPollInterval: 3600 (Local) Type: NT5DS (Local)已应用 GPUPDATE
Type: NT5DS (Local)检查时仍然显示w32tm /query /configuration。
我需要将其放置几天并尝试重新启动,然后才能确认问题已解决。
更新-2
- 刚刚再次出现问题。在我运行任何测试之前,管理员重新启动了它。
- 重新启动时
w32tm /query /configuration仍然显示Type: NT5DS (Local) - 周一回来汇报。
供参考
w32tm /query /statusLeap Indicator: 0(no warning) Stratum: 4 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.1827698s Root Dispersion: 7.8574884s ReferenceId: 0xC0A80103 (source IP: 192.168.1.3) Last Successful Sync Time: 06/07/2017 16:29:58 Source: PDC.MYDOMAIN.COM Poll Interval: 10 (1024s)
对不起所有的文字。
更新-3
上述 RDP 错误文档尚未再次出现,但发布了更新以强调在 0200 UTC 时会员服务器事件日志再次开始报告此线程开头记录的 EVENTID 错误,主要是:
- 来源网络。由于以下原因,此计算机无法与域中的域控制器建立安全会话: RPC 服务器不可用。
- 源集团政策。组策略处理失败。Windows 无法获取域控制器的名称。这可能是由名称解析失败引起的。验证您的域名系统 (DNS) 是否已配置并正常工作。
在过去,我发现这是 RDP 连接/时间同步问题的前兆,只要有足够的时间。
作为回应,我从遇到问题的 MEMBER SERVER 执行以下所有操作:
w32tm /查询 /状态
Leap Indicator: 0(no warning) Stratum: 4 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.8504282s Root Dispersion: 0.3015940s ReferenceId: 0xC0A80103 (source IP: 192.168.1.3) Last Successful Sync Time: 07/07/2017 06:08:58 Source: PDC.MYDOMAIN.COM Poll Interval: 13 (8192s)w32tm /查询/配置
[Configuration] EventLogFlags: 2 (Local) AnnounceFlags: 10 (Local) TimeJumpAuditOffset: 28800 (Local) MinPollInterval: 10 (Local) MaxPollInterval: 15 (Local) MaxNegPhaseCorrection: 4294967295 (Local) MaxPosPhaseCorrection: 4294967295 (Local) MaxAllowedPhaseOffset: 300 (Local) FrequencyCorrectRate: 4 (Local) PollAdjustFactor: 5 (Local) LargePhaseOffset: 50000000 (Local) SpikeWatchPeriod: 900 (Local) LocalClockDispersion: 10 (Local) HoldPeriod: 5 (Local) PhaseCorrectRate: 1 (Local) UpdateInterval: 30000 (Local) [TimeProviders] NtpClient (Local) DllName: C:\Windows\system32\w32time.DLL (Local) Enabled: 1 (Local) InputProvider: 1 (Local) CrossSiteSyncFlags: 2 (Local) AllowNonstandardModeCombinations: 1 (Local) ResolvePeerBackoffMinutes: 15 (Local) ResolvePeerBackoffMaxTimes: 7 (Local) vCompatibilityFlags: 2147483648 (Local) EventLogFlags: 1 (Local) LargeSampleSkew: 3 (Local) SpecialPollInterval: 3600 (Local) Type: NT5DS (Local) NtpServer (Local) DllName: C:\Windows\system32\w32time.DLL (Local) Enabled: 0 (Local) InputProvider: 0 (Local) VMICTimeProvider (Local) DllName: C:\Windows\System32\vmictimeprovider.dll (Local) Enabled: 0 (Local) InputProvider: 1 (Local)RPCping
Completed 1 calls in 1 ms 1000 T/S or 1.000 ms/T净时间/Domain:mydomain.com.com
Current time at \\PDC.MYDOMAIN.COM is 07/07/2017 06:51:29w32tm /查询 /源
PDC.MYDOMAIN.COMW32tm /monitor /domain:mydomain.com
PDC.MYDOMAIN.COM *** PDC ***[192.168.1.3:123]: ICMP: 0ms delay NTP: +0.0000000s offset from PDC.MYDOMAIN.COM RefID: (unknown) [0x33208D33] Stratum: 3 SDC.MYDOMAIN.COM.COM[192.168.1.1:123]: ICMP: 0ms delay NTP: -0.0013367s offset from PDC.MYDOMAIN.COM RefID: PDC.MYDOMAIN.COM [192.168.1.3] Stratum: 4 Warning: Reverse name resolution is best effort. It may not be correct since RefID field in time packets differs across NTP implementations and may not be using IP addresses.
修改后的 NT5DS 设置仍然存在。给它几个小时,RDP 问题将再次发生。不知道从这里去哪里对不起。
更新-4
响应 Drifter104 ,请在下面找到每个节点的 IPCONFIG/ALL 输出:
会员服务器
Windows IP Configuration
Host Name . . . . . . . . . . . . : memberserver
Primary Dns Suffix . . . . . . . : mydomain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.com
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP Ethernet 1Gb 2-port 330i Adapter
Physical Address. . . . . . . . . : 28-80-23-90-ED-D8
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.25
DNS Servers . . . . . . . . . . . : 192.168.1.1
192.168.1.3
Primary WINS Server . . . . . . . : 192.168.1.1
Secondary WINS Server . . . . . . : 192.168.1.3
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{C78DD9B1-685E-4DB0-BE2C-79D92494D094}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
数据中心
Windows IP Configuration
Host Name . . . . . . . . . . . . : PDC
Primary Dns Suffix . . . . . . . : mydomian.COM
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.COM
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP Ethernet 1Gb 2-port 332i Adapter #2
Physical Address. . . . . . . . . : 64-51-06-0D-EE-C9
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::2440:bffc:b999:f930%12(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.3(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::217:c5ff:fe28:91cc%12
192.168.1.25
DHCPv6 IAID . . . . . . . . . . . : 207900934
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1C-53-B2-D2-64-51-06-0D-EE-C9
DNS Servers . . . . . . . . . . . : 192.168.1.3
192.168.1.1
127.0.0.1
Primary WINS Server . . . . . . . : 192.168.1.1
Secondary WINS Server . . . . . . : 192.168.1.3
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{0C6841BD-69AB-491B-819B-9167B188139A}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
SDC
Windows IP Configuration
Host Name . . . . . . . . . . . . : SDC
Primary Dns Suffix . . . . . . . : mydomain.COM
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.COM
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP Ethernet 1Gb 2-port 332i Adapter
Physical Address. . . . . . . . . : 64-51-06-0D-EA-B8
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::e006:41b6:be7c:e580%2(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::217:c5ff:fe28:91cc%2
192.168.1.25
DHCPv6 IAID . . . . . . . . . . . : 56905990
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-20-E6-6B-A7-64-51-06-0D-EA-B8
DNS Servers . . . . . . . . . . . : ::1
192.168.1.1
192.168.1.3
Primary WINS Server . . . . . . . : 192.168.1.3
Secondary WINS Server . . . . . . : 192.168.1.1
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{0A5E9C3A-B92E-4114-B0BF-5A30BCA821D7}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
会员服务器
在回复评论时删除了 WINS 地址。
Windows IP Configuration
Host Name . . . . . . . . . . . . : memberserver
Primary Dns Suffix . . . . . . . : mydomain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.com
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP Ethernet 1Gb 2-port 330i Adapter
Physical Address. . . . . . . . . : 28-80-23-90-ED-D8
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.25
DNS Servers . . . . . . . . . . . : 192.168.1.1
192.168.1.3
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{C78DD9B1-685E-4DB0-BE2C-79D92494D094}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
将很快重新启动机器。
UPDATE-5 2017 年 10 月 7 日
自上次更新后 72 小时,该问题再次出现。RDP 并尝试使用域管理员用户进行身份验证会导致:
远程桌面无法验证远程计算机的身份,因为您的计算机与远程计算机之间存在时间或日期差异。确保您的计算机时钟设置为正确的时间,然后再次尝试连接。如果问题再次出现,请联系您的网络管理员或远程计算机的所有者。
以本地会员服务管理员身份登录成功。
w32tm /查询 /状态
Leap Indicator: 0(no warning) Stratum: 4 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.1826172s Root Dispersion: 0.1925883s ReferenceId: 0xC0A80103 (source IP: 192.168.1.3) Last Successful Sync Time: 10/07/2017 04:27:51 Source: PDC.MYDOMAIN.COM Poll Interval: 15 (32768s)w32tm /查询/配置
[Configuration] EventLogFlags: 2 (Local) AnnounceFlags: 10 (Local) TimeJumpAuditOffset: 28800 (Local) MinPollInterval: 10 (Local) MaxPollInterval: 15 (Local) MaxNegPhaseCorrection: 4294967295 (Local) MaxPosPhaseCorrection: 4294967295 (Local) MaxAllowedPhaseOffset: 300 (Local) FrequencyCorrectRate: 4 (Local) PollAdjustFactor: 5 (Local) LargePhaseOffset: 50000000 (Local) SpikeWatchPeriod: 900 (Local) LocalClockDispersion: 10 (Local) HoldPeriod: 5 (Local) PhaseCorrectRate: 1 (Local) UpdateInterval: 30000 (Local) [TimeProviders] NtpClient (Local) DllName: C:\Windows\system32\w32time.DLL (Local) Enabled: 1 (Local) InputProvider: 1 (Local) CrossSiteSyncFlags: 2 (Local) AllowNonstandardModeCombinations: 1 (Local) ResolvePeerBackoffMinutes: 15 (Local) ResolvePeerBackoffMaxTimes: 7 (Local) CompatibilityFlags: 2147483648 (Local) EventLogFlags: 1 (Local) LargeSampleSkew: 3 (Local) SpecialPollInterval: 3600 (Local) Type: NT5DS (Local) NtpServer (Local) DllName: C:\Windows\system32\w32time.DLL (Local) Enabled: 0 (Local) InputProvider: 0 (Local) VMICTimeProvider (Local) DllName: C:\Windows\System32\vmictimeprovider.dll (Local) Enabled: 0 (Local) InputProvider: 1 (Local)RPCping
Exception 1722 (0x000006BA) Number of records is: 10 ProcessID is 65644 System Time is: 7/10/2017 6:7:3:935 Generating component is 18 Status is 0x6BA, 1722 Detection location is 1442 Flags is 0 NumberOfParameters is 1 Unicode string: ProcessID is 65644 System Time is: 7/10/2017 6:7:3:935 Generating component is 18 ETC .... (large result)净时间/Domain:mydomain.com.com
The service has not been started.w32tm /查询 /源
PDC.mydomain.COMW32tm /monitor /domain:mydomain.com
GetDcList failed with error code: 0x800706BA. Exiting with error 0x800706BA
各种进展。
PDC 上的 DCDIAG。有一个不相关的“指针设备”异常并将清除。
Directory Server Diagnosis Performing initial setup: Trying to find home server... Home Server = PDC * Identified AD Forest. Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\PDC Starting test: Connectivity ......................... PDC passed test Connectivity Doing primary tests Testing server: Default-First-Site-Name\PDC Starting test: Advertising ......................... PDC passed test Advertising Starting test: FrsEvent ......................... PDC passed test FrsEvent Starting test: DFSREvent ......................... PDC passed test DFSREvent Starting test: SysVolCheck ......................... PDC passed test SysVolCheck Starting test: KccEvent ......................... PDC passed test KccEvent Starting test: KnowsOfRoleHolders ......................... PDC passed test KnowsOfRoleHolders Starting test: MachineAccount ......................... PDC passed test MachineAccount Starting test: NCSecDesc ......................... PDC passed test NCSecDesc Starting test: NetLogons ......................... PDC passed test NetLogons Starting test: ObjectsReplicated ......................... PDC passed test ObjectsReplicated Starting test: Replications ......................... PDC passed test Replications Starting test: RidManager ......................... PDC passed test RidManager Starting test: Services ......................... PDC passed test Services Starting test: SystemLog A warning event occurred. EventID: 0x80000109 Time Generated: 07/10/2017 07:15:13 Event String: A pointer device did not report a valid unit of angular measurement. A warning event occurred. EventID: 0x80000101 Time Generated: 07/10/2017 07:15:13 Event String: A pointer device reported a bad angular physical range. ......................... PDC passed test SystemLog Starting test: VerifyReferences ......................... PDC passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Running partition tests on : DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Running partition tests on : Schema Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Running partition tests on : Configuration Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Running partition tests on : MYDOMAIN Starting test: CheckSDRefDom ......................... MYDOMAIN passed test CheckSDRefDom Starting test: CrossRefValidation ......................... MYDOMAIN passed test CrossRefValidation Running enterprise tests on : MYDOMAIN.com Starting test: LocatorCheck ......................... MYDOMAIN.com passed test LocatorCheck Starting test: Intersite ......................... MYDOMAIN.com passed test Intersite
简短的问题
从 Windows 10 工作站到 PEER NSA 240 的 SonicWall Global VPN 客户端报告出现错误:
对等方未响应阶段 1 ISAKMP 请求。
VPN客户端日志
The connection has been enabled.
Starting ISAKMP phase 1 negotiation.
An error occured.
The peer is not responding to phase 1 ISAKMP requests.
Starting ISAKMP phase 1 negotiation.
etc...
测试环境
问题仅从今天开始仅针对 Windows 10 工作站。在失败之前没有对 NSA 对等体进行任何更改。
Yesterday 19/11/15 all OS nodes:
- 3 x windows 10
- 4 x windows 8.1
- 6 x windows 7
Connected without exception.
Today 20/11/15
- 3 x windows 10 fails with exception above.
- 4 x windows 8.1 operational
- 6 x windows 7 operational
请注意,在输入用户凭据之前以及在输入预共享密钥之前进行新安装时会生成此异常。
尝试的修复
- 升级到最新的 NSA 240 固件
- 部署最新版本的 Global VPN 客户端
- 将 NSA WAN MTU 设置为 1450(原为 1500)
- 允许数据包分段
- 在客户端禁用窗口防火墙
- 在客户端禁用 Windows Defender
- 检查 Windows 更新之前/失败后(后卫定义仅从 19 日开始更改)
- 测试了多个用户
- 卸载VPN客户端
- 运行 GVC Cleaner 工具(从注册表中完全删除客户端)
- 10 上使用的已确认客户端凭据可从 Windows 8.1 运行
- 报告异常的 3 个 Windows 10 客户端在家庭位置的单独网络上完全隔离,具有唯一的客户端凭据,2 个共享相同的 ADSL 交换但不同的 ISP。1 关于独特的交换。
- 运行 Windows 8.1 的笔记本电脑插入与 Windows 10 客户端连接的同一交换机。排除客户端和对等方之间的任何硬件设置。
- 还将在 Windows 10 主机上尝试 win 7 VM(还没有时间部署)。很确定它会运行。
- 通常在每次测试时重新启动。
99.9% 确定这是 Windows 10 的问题。
版本信息
Dell SonicWall NSA 240 running:
- firmware version Sonic OS Enhanced 5.9.1.1-390
- Safemode verison 5.0.1.11
- ROM version 5.0.2.7
Client Global VPN Client version is:
- GVCSetup64 4.9.9.1016.
Windows 10 version:
- pro 64-bit (10.0, build 10240)
没有想法了。
谢谢
斯科特
26 年 1 月 25 日编辑
答:从新的 Windows 10 笔记本电脑:
- 连接到我的 VPN 终端网络外部的新 WIFI 网络 (WIFI X)。供参考的ISP是BT。独立的ADSL线路。
- 下载并部署 GVPN Clinet 4.9.9.1016。
- 输入预共享密钥
- 输入的用户凭据。连接的。
这是第一个 Windows 10 成功连接。
B:来自同一台 Windows 10 笔记本电脑:
- 断开连接的 VPN。
- 断开WIFI
- 连接到另一个外部 WIFI 网络 (WIFI Y)。同样BT是ISP,独立的ADSL线路,注意这和WIFI X不是同一条ADSL线路。
- 尝试 VPN 连接。
- 对等方未响应阶段 1 ISAKMP 请求。
这似乎表明在全新安装 Windows 10 时初始 VPN 连接是成功的。
C:来自同一台 Windows 10 笔记本电脑:
- 断开WIFI Y
- 连接到 WIFI X。
- 连接到 VPN 端点。
- 传递用户凭据。
- 连接成功。
所以问题是为什么。请注意,根据原始帖子,所有其他 Windows 10 客户端仍然失败。
值得注意的一件事。所有成功的客户端连接,无论是 7、8 还是 10 都报告starting aggressive mode Phase1 exchange。我应该指出 VPN 终端位于 NAT 设备后面。在 Windows 10 之前,这一直不是问题。此设备当前启用了以下支持:
- PPTP 直通
- IPSec 直通
- 组播直通
- 端口转发 500 UDP
- 端口转发 4500 UDP
今天感觉离解决这个问题又近了一步。在部署专线的过程中。我想部署新的 SonicWall NSA 硬件,在这种情况下,VPN 将在托管外部 IP 的设备上终止(即没有 NAT)。怀疑这将解决我使用 Windows 10 客户端的问题。
附加测试
此外,所有端口 1-65534 TCP/UDP 都已转发到 VPN 终止端点进行测试。
从测试笔记本电脑中删除了防病毒软件。
尝试更改笔记本电脑上的协议绑定顺序并重新启动,但没有帮助。当时的想法是,Windows 10 在安全/绑定方面处理的方式有所不同,因此通常需要查看其他用户在通信方面遇到的问题。 参考
谢谢你。斯科特
当前配置
Windows 2003 服务器标准版-域控制器角色(nodeB)
Windows 2008 server R2 标准版-域控制器角色(nodeV)
Windows 2008 server (R1) 标准版-exchange server 2007
Windows 2008 server (R1) 标准版-终端服务角色
Windows 7 客户端
Windows 8.1 客户端
域功能级别是Windows 2003 server
Forrest 功能级别是 Windows 2003 server
提议
支持windows 2003 server域控制器nodeB的硬件将替换为nodeC,下面将安装2012 server R2标准版:
PowerEdge R210 II 机箱,2x3.5" 有线硬盘,LED 诊断
Intel® Core™ 处理器 I3-3240, 2C/4T, 3.40GHz, 3M cache, 55W TDP
8GB 内存 (4x2GB) 1600Mhz
2x1TB、SATA、3.5 英寸、7.2K RPM 硬盘驱动器/RAID 1,带 PERC H200
PERC H200 RAID 控制器,用于 3.5" 有线高清配置(兼容 2012 服务器)
UEFI BIOS
16X DVD+/-RW ROM 驱动器 SATA 带 SATA 电缆
问题
确认硬件组件和构成节点C 的服务器2012 之间的兼容性。
我需要帮助的地方是关于与上述现有服务器的 Active Directory 兼容性支持以及 2012 DC 升级/降级 2003 DC 的角色输出程序。
问题 1. 考虑到我当前的配置,如果将 2012 域控制器添加到此组合中,是否存在任何软件/操作系统/域兼容性问题?(域功能级别域/森林在 2003 年保持不变)。
问题 2。与问题 1 相同,但域/林功能级别提升到 2008 年?
问题3.粗滚我们的程序:
- A. 在新nodeC上部署Windows 2012 server R2标准版。
- B.添加域控制器角色/提升。
- C. 用现有的 2008 DC nodeV 确认 AD 复制
- D. 降级 nodeB (2003 DC) 并从域中删除。
- E. 提升域功能等级至2008服务器。
问题:
在 Windows Server 2003 上打开窗口“QUEUE MESSAGES”时,我收到了错误消息
"The list of messages cannot be retrieved. Error: Access is denied"
为什么?
按照以下步骤重新创建:
- Windows Server 2003 标准 64 位
- 右击我的电脑
- 选择管理
- 服务
- 消息队列
- 私有队列
- 我的服务
- 队列消息
显示的错误消息:
"The list of messages cannot be retrieved. Error: Access is denied."
当前部署的设置/配置:
- 以本地管理员身份登录。
- 机器是独立的。
- WCF 服务正在运行(使用 WCF 特定用户)
- WCF 用户帐户是本地 ADMIN 组的成员。
- 点网 4.0。
- Messing 队列服务正在运行(本地系统)
- 可能是创建错误的权限问题。
问题
从我们托管在 Windows 2008 Server 上的 WCF 服务调用由 ISP 托管的 asp web 服务显示超时/web 服务无响应。
诊断
使用 Windows 网络监视器来捕获数据包并隔离发送到 Web 服务的数据包,我可以看到:
TLS 握手你好
TCP传输
TCP重传
TCP重传
TCP重传
TCP重传
TCP重传
TCP 协商比例因子
不支持 TCP 比例因子
这似乎没有显示对 TCP 负载的响应,这意味着 IP 块。
解决方案
联系网络服务提供商后,他们建议没有 IP 块,这个问题特定于 Microsoft Windows 2008 Server、动态 TCP 帧大小及其特定负载平衡器。
经过一些进一步的研究,我相信下面会解决。
要查看 autoTuningLevel 参数的当前配置,请执行以下步骤:
点击开始
单击所有程序,然后单击附件。
右键单击命令提示符,然后单击以管理员身份运行。
如果系统提示您输入管理员密码或进行确认,请键入密码,或单击继续。
在命令提示符下,键入以下命令,然后按 ENTER:netsh interface tcp show global
autoTuningLevel 参数的值列为接收窗口自动调整级别。
我们希望将其设置为正常
在命令提示符下,键入以下命令,然后按 ENTER:netsh interface tcp set global autotuninglevel=disabled
以下列表包括 autoTuningLevel 参数的所有可能值:
/disabled:将接收窗口设置为默认值。
/highlyrestricted:让接收窗口增长到超过默认值,但这样做非常保守。
/restricted:让接收窗口增长到超过默认值,但在某些情况下限制这种增长。
/normal:让接收窗口增长以适应大多数情况。
/experimental:让接收窗口增长以适应极端情况。
注意 实验值可能会降低常见场景中的性能。此值应仅用于研究目的。
问题
只需从独立来源寻找有关此问题的更多信息。
希望它会在某个时候被 MS 修补。
谢谢斯科特
参考: http: //support.microsoft.com/kb/935400
我可以telnet 192.168.10.10 3389和得到一个连接。但是 192.168.10.10 的 RDP 客户端立即退出(不到 1 秒)“连接”按钮短暂变灰,RDP 应用程序仍保留在屏幕上。从子网上的其他节点到 192.168.10.10 尝试了这些,结果相同。
在 192.168.10.10 上启用了允许远程桌面。在 192.168.10.10 windows firemall 已关闭。我从同一个子网连接,即没有防火墙硬件/路由器。已安装 AV 软件,但同一子网上的其他节点允许使用完全相同的 AV 设置(网络组配置文件)进行 RDP 连接 检查 192.168.10.10 是否有任何附加的 AV 软件或本地防火墙产品。我确定不存在。检查注册表以确保 3389 是为侦听设置的端口。
似乎是XP问题(SP3)。我的 LAN 上的 2 个节点有这个问题,但许多其他节点工作正常。