這問題有點急 卡了很久
說明一下架構, 網域內共兩台DC, 運作一直正常,
最近要加入網域就出現這問題,
爬文看多是SID重覆的問題, 結果我用另一台電腦也一樣,
用了NewSID軟體產生新SID也一樣, 所以排除是SID問題,
還有個奇怪的點就是,
我觀察了一下client都是去找副DC驗證身份, 我就想把驗證權拉回主DC
但我把副DC關掉以後, client就不去找主DC, 而顯示"找不到網域控制站"
備註:
1.主DC的NTDS setting 通用類別目錄有打開
2.RID、PDC、基礎結構主機設定為主DC
3.SRV record 原本權值都為10,
我把主DC權值設為0 不過依然沒改變client去找副DC的結果...
總結兩個問題:
1.解決無法加入網域問題
2.可以拉回主DC驗證控制權
有大大可以協助我釐清這問題嗎,說實在設定了這麼多也不知到哪些是關鍵..
20點奉上
已邀請的邦友 {{ invite_list.length }}/5
1.Client端的DNS是否有指向兩台DC
2.移轉PDC可參考http://support.microsoft.com/kb/324801/zh-tw
提供FSMO轉移失敗的過程(其實這是我想問的第三個問題,但先能加入網域比較重要ㄒ^ㄒ)
S1:在主DC開啟Active Directory 使用者和電腦嵌入式管理單元
S2:連線到副DC
S3:點網域右鍵 > 操作主機 , 就會看到三個tab, 分別是RID、PDC、基礎結構
操作主機內容是現在的主DC, 表示設定正確, 按下變更後應會換成副DC
但卻出現錯誤訊息:
無法執行操作主機轉移,因為:要求的FSMO操作失敗,無法連接目前的FSMO持有人。
imcbdcbd提到:
而顯示"找不到網域控制站"
詳細資料中有列出兩台AD的FQDN嗎
有
以下為顯示訊息:
查詢服務位置 (SRV) 資源記錄用來尋找網域 fxxxxxxn.com.tw
網域控制站的 DNS 的操作已成功
這是 _ldap._tcp.dc._msdcs.formosan.com.tw 的 SRV 記錄查詢
查詢已識別出下列網域控制站:
fxxxxx2.formosan.com.tw <<<副DC
fxxxc.formosan.com.tw <<<主DC
你的兩台DC恐怕已經失去聯繫了...請分別在兩台DC上, 用以下指令檢查:
<pre class="c" name="code">dcdiag
repadmin /showrepl /all
正常狀況, 這兩個指令不應該出現任何錯誤, 如果有錯誤, 請逐一將每個問題修正, 兩台DC才能恢復正常. 最壞狀況下, 您可能要犧牲一台DC, 強制demote, 然後把 FSMO 全部移轉到正常的那台 DC, 在重新將另外一提 promote 上來.
您可以用這個指令查看, 目前哪一台DC的資料是比較新的:
<pre class="c" name="code">repadmin /showobjmeta <DC name> <Name Context>
其中:
<DC name> 請用您的DC 電腦名稱取代, 兩台DC都要測
<Name Context> 請代換成您的網域 LDAP 表示法, 例如您的AD網域是: abc.local, 則請帶入: dc=abc,dc=local
舉例:
<pre class="c" name="code">repadmin /showobjmeta DC1 dc=abc,dc=local
repadmin /showobjmeta DC2 dc=abc,dc=local
iT邦幫忙MVPraytracy提到:
兩台DC恐怕已經失去聯繫
+1
我常先用這個指令:FSMO角色檢查:netdom query fsmo
回應RAY大
錯誤1:
Testing server: Default-First-Site-Name\主DC名
Starting test: Replications
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source 副DC名
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
錯誤2:
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
錯誤3:
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 04/07/2014 18:43:23
下略...都是同一個EventID
以上是dcdiag後全部有錯誤的部分
看起來複寫真的有問題
有沒有建議的排除步驟呢?
想請問
有沒有可以讓Clients 只去找主DC驗證身份,不要透過副DC
我想測測看主DC是不是好的,
請問要到哪設定呢?
imcbdcbd提到:
有沒有可以讓Clients 只去找主DC驗證身份,不要透過副DC
我想測測看主DC是不是好的,
這個簡單, 把第二台關機就好了...如果不能關, 把下面幾個服務停掉:
AD DS
NetLogon
DNS Server
但這些關掉, 他自己上面的AP也會不正常, 所以其實跟關機沒兩樣...
EventID: 0x00000457 比較像是Printer驅動程式的問題, 通常發生在 RDP 登入之後, 你查一下事件檢視看, 看看是否真的這樣? 若是的話可以忽略. 否則就要查事件檢視器, 看詳細的原因.
此外, 請特別去這兩台檢查事件檢視器的 FRS 相關事件, 從裡面找相關的事件, 會有詳細說明. dcdiag 只能提供查修方向, 沒有詳細內容.
RAY大您好
這我之前有試過
imcbdcbd提到:
我觀察了一下client都是去找副DC驗證身份, 我就想把驗證權拉回主DC
但我把副DC關掉以後, client就不去找主DC, 而顯示"找不到網域控制站"
所以不確定是Client這邊是不是有 某種SRV的紀錄 告訴電腦要去副DC這
或是主DC失去驗證身份的能力了
Dear All
無法登網域的問題解決了,
I Reset DC machine password through this cmd:
netdom resetpwd /s:peerdc /ud:domain\user /pd:*
但其實還是一知半解
這個DC password是網域控制站管理員密碼?
還是replication所用到的帳號'密碼'?
為什麼我重設以後,就不會跳"登入失敗:目標帳戶名稱不正確。"錯誤了?
稍後我再來研究怎麼重設replication 如果有推薦的教學網站可以貼一下 感謝
不小心選錯最佳解 是要給Ray大,... 洽詢客服中
iThome鐵人賽
看影片追技術