(以下計算機名均為方便而改為簡單的名字)
首先,說一下該問題出現的源頭,之前公司買了一臺群暉服務器,命名為PDC,而主域控的服務器名也為PDC,但是當時也沒注意就將其命名為PDC的群暉服務器加入到了域中,這肯定會產生沖突,雖然馬上將群暉服務器名改成了其他名字,但是主域控已經出現了問題。
首先群輝服務器無法與域控正常連接,并且無法與其他域控服務器,這里稱之為GC(異地的域控服務器,與PDC相互復制)、IM(輔域控)進行同步,并且域控中逐漸有些用戶出現了脫域的狀態,此時在對客戶機進行重新入域時會發生一些問題:
1.在入域時鍵入正確的PDC管理員用戶密碼時,始終提示用戶名密碼錯誤;
2.即使成功入域,在登錄用戶的賬號密碼時,會顯示:“目前沒有可用的登錄服務器處理登錄請求” 或 “此作業站和主域間的信任關系失敗”;
3.用戶在自己更新密碼后,會出現還是只能用舊密碼登錄計算機,但是訪問PDC服務器共享又需要新的密碼才行。
但是在上述情況下,對于PDC的檔案服務器訪問又能通過域賬號密碼來訪問,沒有問題,
后來通過一個同事的方法,暫時讓這些用戶能正常登錄電腦與共享了,在這里也分享一下:
1.將DNS設定指向到PDC的IP地址(DNS服務器也裝在PDC上);
2.對該用戶在PDC上進行密碼重置;
3.洗掉該用戶所用電腦的計算機名,并重新入域,即可正常使用。
這一步完了之后我發現一個問題,PDC上無法顯示剛進行入域的這臺計算機的名稱,不知道是否有關系,這里就沒有深究了。
這里,我將在PDC上查詢的各項資訊貼出來給大佬們看下,跪求解決問題!
1.netdom query FSMO
C:\Users\Administrator>netdom query FSMO
架構主機 PDC.DOMAIN.COM
域命名主機 PDC.DOMAIN.COM
PDC PDC.DOMAIN.COM
RID 池管理器 PDC.DOMAIN.COM
結構主機 IM.DOMAIN.COM
命令成功完成。
2.nslookup
C:\Users\Administrator>nslookup
默認服務器: localhost
Address: 127.0.0.1
> set type=all
> _ldap._tcp.dc._msdcs.domain.com
服務器: localhost
Address: 127.0.0.1
_ldap._tcp.dc._msdcs.domain.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = PDC.domain.com
_ldap._tcp.dc._msdcs.domain.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = IM.domain.com
_ldap._tcp.dc._msdcs.domain.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = GC.domain.com
PDC.domain.com internet address = 192.168.110.6
IM.domain.com internet address = 192.168.110.2
GC.domain.com internet address = 192.168.220.6
3.repadmin /syncall /force
C:\Users\Administrator>repadmin /syncall /force
回撥訊息: 正在進行以下復制:
從: 01._msdcs.DOMAIN.COM
到: 02._msdcs.DOMAIN.COM
回撥訊息: 發出復制命令發生錯誤: 8453 (0x2105):
復制訪問被拒絕。
從: 01._msdcs.DOMAIN.COM
到: 02._msdcs.DOMAIN.COM
回撥訊息: 正在進行以下復制:
從: 03._msdcs.DOMAIN.COM
到: 02._msdcs.DOMAIN.COM
回撥訊息: 發出復制命令發生錯誤: 8453 (0x2105):
復制訪問被拒絕。
從: 03._msdcs.DOMAIN.COM
到: 02._msdcs.DOMAIN.COM
回撥訊息: SyncAll 已完成。
SyncAll 報告以下錯誤:
發出復制命令發生錯誤: 8453 (0x2105):
復制訪問被拒絕。
從: 01._msdcs.DOMAIN.COM
到: 02._msdcs.DOMAIN.COM
發出復制命令發生錯誤: 8453 (0x2105):
復制訪問被拒絕。
從: 03._msdcs.DOMAIN.COM
到: 02._msdcs.DOMAIN.COM
4.repadmin /replsummary
C:\Users\Administrator>repadmin /replsummary
復制摘要開始時間: 2019-08-02 13:38:39
正在開始用于復制摘要的資料收集,此操作可能需要一段時間:
......
目標 DSA 最大增量 失敗/總數 %% 錯誤
PDC 36d.13h:50m:09s 10 / 10 100 (8453) 復制訪問被拒絕。
IM 42d.18h:40m:59s 10 / 10 100 (2148074274) 目標主要名稱不
正確。
GC 46m:03s 0 / 10 0
5.dcdiag
C:\Users\Administrator>dcdiag|more
目錄服務器診斷
正在執行初始化設定:
正在嘗試查找主服務器...
主服務器=PDC
*已識別的AD林。
已完成收集初始化資訊。
正在進行所需的初始化測驗
正在測驗服務器:Default-First-Site-Name\PDC
開始測驗:Connectivity
.........................PDC已通過測驗Connectivity
正在執行主要測驗
正在測驗服務器:Default-First-Site-Name\PDC
開始測驗:Advertising
.........................PDC已通過測驗Advertising
開始測驗:FrsEvent
.........................PDC已通過測驗FrsEvent
開始測驗:DFSREvent
.........................PDC已通過測驗DFSREvent
開始測驗:SysVolCheck
.........................PDC已通過測驗SysVolCheck
開始測驗:KccEvent
.........................PDC已通過測驗KccEvent
開始測驗:KnowsOfRoleHolders
.........................PDC已通過測驗KnowsOfRoleHolders
開始測驗:MachineAccount
*當前DC不在域控制器的OU中
帳戶PDC不是DC帳戶。該帳戶無法復制。
警告:PDC的屬性userAccountControl為:
0x91000=(WORKSTATION_TRUST_ACCOUNT|DONT_EXPIRE_PASSWD|TRUSTED_FO
R_DELEGATION)
DC的典型設定為0x82000=(SERVER_TRUST_ACCOUNT|TRUSTED_FOR_DELEGATI
ON)
這可能會影響復制?
.........................PDC沒有通過測驗MachineAccount
開始測驗:NCSecDesc
.........................PDC已通過測驗NCSecDesc
開始測驗:NetLogons
.........................PDC已通過測驗NetLogons
開始測驗:ObjectsReplicated
.........................PDC已通過測驗ObjectsReplicated
開始測驗:Replications
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從GC到PDC
命名背景關系:DC=ForestDnsZones,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:46。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生883次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源GC
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從IM到PDC
命名背景關系:DC=ForestDnsZones,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:46。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生883次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源IM
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從GC到PDC
命名背景關系:DC=DomainDnsZones,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:45。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生883次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源GC
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從IM到PDC
命名背景關系:DC=DomainDnsZones,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:45。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生883次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源IM
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從IM到PDC
命名背景關系:CN=Schema,CN=Configuration,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:42。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生883次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從GC到PDC
命名背景關系:CN=Schema,CN=Configuration,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:45。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生883次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從IM到PDC
命名背景關系:CN=Configuration,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:41。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生892次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源IM
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從GC到PDC
命名背景關系:CN=Configuration,DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:42。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生892次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源GC
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從IM到PDC
命名背景關系:DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:41。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生885次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源IM
復制。
在下次同步時將自動更正該問題。
[ReplicationsCheck,PDC]最近的復制嘗試失敗:
從GC到PDC
命名背景關系:DC=DOMIAN,DC=COM
復制生成一個錯誤(8453):
復制訪問被拒絕。
失敗發生在2019-08-0212:46:45。
上次成功發生在2019-06-2623:48:30。
自從上次成功已發生888次失敗。
目標PDC的計算機帳戶
配置錯誤。
請檢查userAccountControl欄位。
Kerberos錯誤。
該計算機帳戶不存在,或者與
目標、源或KDC服務器不匹配。
請驗證KDC的域磁區是否與企業的其他磁區同步。
工具repadmin/syncall可以用于該目的。
復制延遲警告
錯誤:缺少期望的通知鏈接。
將延遲新更改和該路徑的源GC
復制。
在下次同步時將自動更正該問題。
.........................PDC沒有通過測驗Replications
開始測驗:RidManager
.........................PDC已通過測驗RidManager
開始測驗:Services
無效的服務啟動型別:PDC上的EventSystem,當前值為DEMAND_STA
RT,要求的值為
AUTO_START
無效的服務啟動型別:PDC上的IsmServ,當前值為DEMAND_START,
要求的值為AUTO_START
.........................PDC沒有通過測驗Services
開始測驗:SystemLog
發生了一個錯誤事件。EventID:0x40000004
生成時間:08/02/201913:22:47
事件字串:
Kerberos客戶端收到了一個來自服務器ABC$的KRB_AP_ERR_MODIFIED錯
誤。使用的目標名稱為cifs/IT07.DOMIAN.COM。這表明目標服務器無法解密客戶端提供的
票證。當不是在目標服務正在使用的帳戶上注冊目標服務器主體名稱(SPN)時會出現這種情
況。請確保目標SPN是在(并且僅在)服務器使用的帳戶上注冊的。當目標服務正在使用目
標服務帳戶的其他密碼而不是Kerberos密鑰發行中心(KDC)的密碼時也會出現這種錯誤。
請確保服務器和KDC上的服務均已更新為使用當前密碼。如果服務器名稱未完全限定,并
且目標域(DOMIAN.COM)與客戶端域(DOMIAN.COM)不同,則請檢查這兩個域中是否有相同名
稱的服務器帳戶,或使用完全限定的名稱標識
.........................PDC沒有通過測驗SystemLog
開始測驗:VerifyReferences
一些與DCPDC相關的物件存在問題:
[1]問題:缺少要求的數值
基本物件:CN=PDC,CN=Computers,DC=DOMIAN,DC=COM
基本物件描述:“DC帳戶物件”
值物件屬性名稱:frsComputerReferenceBL
值物件描述:“SYSVOLFRS成員物件”
建議操作:請參閱知識庫文章:Q312862
.........................PDC沒有通過測驗VerifyReferences
正在ForestDnsZones
上運行磁區測驗
開始測驗:CheckSDRefDom
.........................ForestDnsZones已通過測驗CheckSDRefDom
開始測驗:CrossRefValidation
.........................ForestDnsZones已通過測驗CrossRefValidation
正在DomainDnsZones
上運行磁區測驗
開始測驗:CheckSDRefDom
.........................DomainDnsZones已通過測驗CheckSDRefDom
開始測驗:CrossRefValidation
.........................DomainDnsZones已通過測驗CrossRefValidation
正在Schema
上運行磁區測驗
開始測驗:CheckSDRefDom
.........................Schema已通過測驗CheckSDRefDom
開始測驗:CrossRefValidation
.........................Schema已通過測驗CrossRefValidation
正在Configuration
上運行磁區測驗
開始測驗:CheckSDRefDom
.........................Configuration已通過測驗CheckSDRefDom
開始測驗:CrossRefValidation
.........................Configuration已通過測驗CrossRefValidation
正在DOMIAN
上運行磁區測驗
開始測驗:CheckSDRefDom
.........................DOMIAN已通過測驗CheckSDRefDom
開始測驗:CrossRefValidation
.........................DOMIAN已通過測驗CrossRefValidation
正在DOMIAN.COM
上運行企業測驗
開始測驗:LocatorCheck
.........................DOMIAN.COM已通過測驗LocatorCheck
開始測驗:Intersite
.........................DOMIAN.COM已通過測驗Intersite
先把這些貼出來請大佬們看一下,折騰好久了,網上也查了好多資料有類似情況但是又不完全相同,在這個理先感謝大佬了。
uj5u.com熱心網友回復:
沖突造成的bug? 沒遇過,最壞情況,全部重置?uj5u.com熱心網友回復:
這個樣子啊,還有其它的域控嗎?把PDC從AD里洗掉,然后重新提升域控如果沒有的話,我也不知道怎么辦了。
uj5u.com熱心網友回復:
問題解決了嗎?情況比較復雜,無法三言兩語說清,可以遠程瞄一下uj5u.com熱心網友回復:
現有PDC(主域控)IM(輔域控)GC(異地域控)
主要的檔案就在PDC上,如果洗掉PDC域控的話,檔案權限需要重新做么
直接洗掉的話,域控中沒有主域控是不行的吧
你的意思是先退出域控,再進去域控升級為主域控?
現在后兩者是可以互通同步的,就是主域控有問題
uj5u.com熱心網友回復:
檢查下DNS中的各條記錄uj5u.com熱心網友回復:
檔案權限是基于檔案系統的,即使系統重裝,加回域里面,權限依然可以作業。建議把PDC從AD里清除,然后重新提升成域控制器
uj5u.com熱心網友回復:
我覺得Transfer FSMO role 到其他DC。 一共5個roleFlush DNS Client Cache
uj5u.com熱心網友回復:
主要看 PDC Emulatorin power shell;
Move-ADDirectoryServerOperationMasterRole -Identity "yourWorkingDCName" -OperationMasterRole 0,1,2 -Force
以上命令 seize PDC Emulator, RID master, and Infrastructure Master Roles 然后把他們assign給主機 “yourWorkingDCName"
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/59770.html
上一篇:bat檔案運行問題