各位大大
小弟我是MIS的初學者,又有問題請教大家了
小弟的公司架構為
server2000為PDC,server2003 r2為BDC
最近發生了一件怪事
禮拜一的一大早到公司就接到電話,說某台電腦無法登入
一開始以為是帳戶被鎖定,出發前就先查了該電腦的帳戶..恩...正常
到現場之後,該主機為"WIN98",當輸入帳密的時候
會出現"密碼不正確跟登入的網域有誤"之類的訊息
我先按取消,然後再登出登入,又突然可以進去
進去後發現,怎麼會無法讀取server2003上的資料,但其他的server又正常
想說重開機試試看,這次登入的時候,要多登幾次才可以登入了
不過就算登進去了,還是無法讀取server2003上的檔案,直接輸入IP去找也沒辦法
一開始我還以為是server2003的問題,可是還ping的到server2003
所以馬上就用旁邊的XPP做實驗,卻完全沒有任何問題
之後就很黯然的走回辦公室,隨即就有人反應讀取不到server2003的資料
一看到是NT那台,就知道不單純了...果然,全公司的win98都是一樣的狀況
讀不到server2003那台,第一個想到的是wins server,可是我看不出來是哪裡有問題
需要重建wins嗎?那有標準步驟嗎?我怕我亂用會出問題...
之後我在研究wins sercer的時候,無意間發現server2003的某一連線顯示"有問題的連線"
我就先停用再啟用,原本DHCP抓的是192.168.X.35,現在就突然變成192.168.X.22
這會有影響嗎?
禮拜一爬文爬到我眼睛都花了,就是沒有個所以然,可能沒有找到關鍵字吧
今天在使用server2003的時候,卻突然發現他自己沒辦法再網芳瀏覽網域內的電腦
就是在選擇網域名稱的時候,會出現"無法存取XX,你可能沒有使用這網路資源的權限。......"
可是直接指定位置又可以,例如:直接輸入\\server2000\ 可以正常的進去看到所有的檔案
這跟win98無法連線會有關係嗎?
再麻煩大家的解答了
PS 原本一切都很美好,萬聖節過了之後才出現問題...並不是一開始就有問題的喔
已邀請的邦友 {{ invite_list.length }}/5
您的 Directory Service (AD DS) 出了問題, 可能是萬聖節沒給糖果....
但是您給的資料太少, 隔空看診有很大的難度, 小弟只能隨便瞎猜試試看:
先說明一下, PDC/BDC 是以前 NT 4.x 的舊觀念, 從 Server 2000 的 Active Directory (AD) 開始, 已經取消這樣的配置, 所以目前你的 Server 2000 和 2003 是平均分擔所有的網域工作, 並不是「2000 為主/2003 為輔」的狀態.
因此, 這兩台伺服器只要有一台出問題, 就可能造成整個網域出問題.
先請在任何一台 DC 上面, 輸入以下指令:
<pre class="c" name="code">netdom query fsmo /server <dc1>
netdom query fsmo /server <dc2>
請自行將: <dc1>, <dc2>替換成您那兩台 Server 的電腦名稱(記得把<>拿掉).
前後兩個指令的輸出結果, 應該要一模一樣才對. 如果上面 query 兩台 Server 出現不同結果的話, 代表您兩台 DC 之間的協調仲裁出問題了, 而且問題很大, 必須先解決, 下面就不用看了.
接下來, 請在任何一台 DC Server 上輸入下面指令:
[repadmin /options *](repadmin /options *)
他應該會把您那兩台 Server 的名稱都列出來, 如果沒有全部列出來的話, 代表 DC 之間失去聯繫.
然後請觀察一下上面的輸出, 每台 Server 下面應該都會附帶一行:
目前 DSA 選項
看看這行後面有沒有跟著一個選項叫: IS_GC ? 並記下哪幾台 Server 是有 IS_GC 選項的?
接下來到 Client 電腦上, 輸入以下指令:
<pre class="c" name="code">nslookup -type=srv _ldap._tcp.gc._msdcs.<your DNS domain name>
請自行把<your DNS domain name> 替換成你的 DNS 網域.(不是 NetBIOS 網域喔!)
輸入結果應該會類似下面的畫面:
請核對一下, 凡是之前查出有 IS_GC 標記的電腦, 都應該會被列在 nslookup 輸出的結果中才對.
如果沒有的話, 有幾種可能:
再來, 請到每一台具有 IS_GC 身分的 DC Server 上面, 輸入以下指令:
<pre class="c" name="code">net share
您必須要能看到: SYSVOL 和 LOGON 這兩個分享資料夾, 如下圖:
如果沒有的話, 代表您的 DC 登入功能有問題.
如果不是每一台 IS_GC Server 都有的話, 代表您的 DC Server 之間複寫有問題.
接下來請安裝 Server Support Tools:
放入 Server 光碟片, 找到 \SUPPORT\TOOLS 目錄, 在 SUPTOOLS.MSI 上面點兩下, 啟動安裝程式. (請注意! 2000 要從 2000 的光碟片安裝; 2003 要從 2003 的光碟片安裝)
安裝完之後, 請在每一台 DC 上, 輸入以下指令:
<pre class="c" name="code">netdiag /l
dcdiag /a /f:dcdiag.log
這兩個指令會在當時的資料夾內, 留下: netdiag.log 和 dcdiag.log 兩個檔案, 請用 Notepad 查看這兩個檔案的內容, 找出任何標示有 failed 的項目, 同時檢查所有的 DC, 看看每一台輸出的 log 檔內容是否相同?
接下來, 查看您 DC 上的事件檢視器, 將: 系統/目錄服務/DNS 伺服器/檔案複寫服務, 這四個紀錄內所有的紅黃色警示事件訊息, 通通找出來, 逐一將其排除. 目標是: 完全沒有紅黃色警告.
除非您可以提出更多的訊息線索, 否則目前我只能提供這些建議.
如果以上檢查都 OK, 沒有任何錯誤 (這才奇怪咧...我會很想去現場見見這個萬聖節的鬼怪), 請:
1.將所有電腦都先退出網域回到 Workgroup
2.在 DC 上將所有電腦名稱都刪除掉
3.然後再將每台電腦重新加入網域......
健康的 DC Server, 事件檢視器內應該不會有任何紅黃色警告:
ps. 最後的 DFRS 會出現黃色警示, 是因為那個時間點正好是該主機的每日定時備份, 備份執行時會將檔案鎖定, 導致 DFRS 無法複寫. 但這是「受控制的警示」, 因為只要備份結束, DFRS 就會恢復正常.
總之, 這裡面不能出現「無法修正的警示或錯誤」.
不好意思,小弟我真的是新手,也不知道該提供什麼資訊,主要也是我完全沒有頭緒...
回應1:
netdom query fsmo /server <dc1>
正常,都是顯示server2000那台的電腦名稱
回應2:
輸入repadmin /options * 會出現 Cannot open LDAP connection to *.
如果把星號拿掉則會出現 Current options: IS_GC
如果後面指定 server2003那台的電腦名稱則會出現 Current options:<NONE>
至於 nslookup -type=srv _ldap._tcp.gc._msdcs.<your DNS domain name>
只會出現 server2000那台的,理論上應該是正常的,不過前面會先出現一段文字
*** Can't find server name for address 192.168.X.Y : Non-existent domain
*** Can't find server name for address 192.168.X.Z : Non-existent domain
*** Default servers are not available
Server: UnKnown
第一行是2000的位置,第二行是2003的位置
回應三:
net share
正常,即使在沒有IS_GC的DC上,也能看到該資料夾
回應四:
netdiag /l
dcdiag /a /f:dcdiag.log
dcdiag裡面有
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 11/03/2010 07:53:08
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000452
Time Generated: 11/03/2010 07:53:08
(Event String could not be retrieved)
An Error Event occured. EventID: 0x80000252
Time Generated: 11/03/2010 08:15:28
(Event String could not be retrieved)
......................... SERVER3 failed test systemlog
Starting test: Services
RPCLOCATOR Service is stopped on [SERVER1]
TrkWks Service is stopped on [SERVER1]
TrkSvr Service is stopped on [SERVER1]
......................... SERVER1 failed test Services
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 11/03/2010 08:11:54
(Event String could not be retrieved)
......................... SERVER1 failed test systemlog
Netdiag 裡面有
GetStats failed for '直接平行連接埠'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'WAN 迷你連接埠 (PPTP)'. [ERROR_GEN_FAILURE]
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥出) #4' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥出) #3' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥出) #2' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥出)' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥入) #5' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥入) #4' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥入) #3' may not be
working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥入) #2' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (NetBEUI 撥入)' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (IP)' may not be working because it has not received any packets.
[WARNING] The net card 'WAN 迷你連接埠 (AppleTalk)' may not be working because it has not received any packets.
GetStats failed for 'WAN 迷你連接埠 (L2TP)'. [ERROR_NOT_SUPPORTED]
以上為server2000那台所抓的,server2003那台尚未安裝 SUPTOOLS.MSI
回應五:
因為有問題的全都是win98(總共5台),所以重新退出加入網域那招應該沒用吧?
win98本來就無法加入網域,只能存取網域上的資料,所以DC上本來就不會有電腦名稱
應該是這樣吧@@?我恨win98...每次出問題,我都招架不住。
回應六:
我的事件檢視器上面本身就一堆警告跟錯誤,不過都是之前就發生過了,當時也不會影響win98的運作,所以還需要整理,看有沒有新的錯誤。
raytracy大大,我先提供這些資訊,先幫我看看是否有問題,我再繼續整理事件檢視器上的錯誤
補充回應8 Server1為2003 server3為2000
您的 DC 之間複寫同步似乎有問題, 請用:
<pre class="c" name="code">repadmin /showreps
確認一下複寫是否有 Error?
不過, 複寫問題可以先擱著, 因為 Client 端的問題應該是肇因於 NetBIOS 問題, 要先查:
請查 2000 上面的這些服務是否正常啟動?
Computer Browser
Kerberos Key Distribution Center
Fire Replication Service
NetLogon
RPC
RPC Locator
Server
TCP/IP NetBIOS Helper Services
請查所有 Client, Server 網路設定中, 是否有勾選 NetBIOS over TCP/IP?
請查所有電腦, 時間是否同步? (誤差不可超過 5 分鐘)
請試著將 Computer Browser 服務重新啟動, 且在啟動成功後, 馬上進行網路芳鄰的瀏覽, 看看是否正常?
我擔心你的環境中, 有多台電腦試圖將自己宣告成 Browser Master (正常應該是只有 2000 這台可以成為 Master), 請在 2000 上面輸入:
<pre class="c" name="code">browstat status
看看結果是甚麼?
然後在事件檢視器中, 尋找任何跟 Browser 有關的黃紅色訊息, 並告知 Event ID.
無意間發現,server2003那台好像出現名稱的衝突,只是我不知道怎麼排除...
我感覺這是問題點,NetBIOS出現衝突,而win98/NT是靠NETBIOS做通訊才有辦法存取網域上的資料(就我的認知拉)...所以win98才無法抓到server2003的資料。
區域連線 2:
Node IpAddress: [] Scope Id: []
NetBIOS Local Name Table
SERVER2003 <00> UNIQUE Conflict
TK <00> GROUP Registered
TK <1C> GROUP Registered
SERVER2003 <20> UNIQUE Registered
TK <1E> GROUP Registered
SERVER2003 <01> UNIQUE Registered
SERVER2003 <03> UNIQUE Registered
區域連線:
Node IpAddress: [] Scope Id: []
NetBIOS Local Name Table
SERVER2003 <20> UNIQUE Registered
那簡單, 先把 2003 關機, 等 15 分鐘之後, 大家重開機(但不要開2003), 看看是否可正常?
如果以上測試可正常的話, 代表 2003 和 2000 之間的 DS 服務已經失去協調 (這點跟前面的推測接近), 如此一來, 2000 和 2003 都會透過 NetBIOS 宣告自己是網域的 Master Browser, 造成強奪 master 的問題, 也就是您目前的現象.
如果以上推測都成立的話, 您可以先嘗試解除 2003 的 DC 角色 (透過 dcpromo 指令降級), 降級後若一切正常, 再重新升級成 DC.
iThome鐵人賽
看影片追技術