活動目錄同步、dns不能創建[困难]
AD的主服务器不能和辅助域复制。并且有严重DNS问题。我先说说我的网络的环境吧!
两台都是windows server 2003 sp2的服务器,已经打了最新的补丁。2000混合模式。
server1:AD主控(角色都在server1上)、dns服务器、moss2007。
server2:AD辅控、exchange
由于前几天被某软件,修改了两台server的时间。(这个是题外话)
而且造成了长时间不同步。但是昨天刚弄好,可以进行同步了。
今天使用ghost备份server1重新启动了下,发现DNS中的数据不见了。
重新启动server1也无效,重新启动server1中的dns server和net logon服务也无效。
server1的IP是192.168.2.20 DNS是指向自己的(192.168.2.20)
server2的IP是192.168.2.21DNS是指向server1的(192.168.2.20)。两台都有相互信任关系。仔细检查过,域环境内没有计算机和server1\server2中同名。
下面我说说我在操作中所遇见的错误提示:
在“AD站点和服务”中手动进行同步,出现:在尝试联系域控制器server1\server2时发生下列错误:RPC服务器不可用。该状况可能是是 一个DNS查找问题引起的。(我也知道是DNS问题)
手动创建DNS出现报错提示:
因为所需应用程序目录分区不存在,无法复制此区域到(null)Active Directory域中的所有DNS服务器。只有企业管理员有合适的权限创建应用程序目录分区。(可是我已经是有企业管理员组的,当前登陆的用户是administrator)
在此分区创建之后,要在域容器中存储此区域。请关闭此消息消息,然后单击“复制到 Active Directory域中所有域控制器”选项。(不能创建DNS,所以重新启动server1中的dns server和net logon服务也无效。)
在运行里输入\\server1后出现错误提示:\\server1不可访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登陆失败:该目标帐户名称不正确。但是可以输入\\192.168.2.20可以进入访问共享。(我感觉是Kerberos验证的问题)
我在baidi、google中搜索了,可是没有什么相关的资料。
下面帖出server1的错误日志:
应用程序日志:
来源:userenv 事件:1053 描述:Windows 不能确定用户或计算机名称(拒绝访问。 )。组策略处理中止。
来源:userenv 事件:1058 描述:Windows 无法访问 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=office,DC=net 的文件 gpt.ini。此文件必须在 <\\office.net\sysvol\office.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>。(登录失败: 该目标帐户名称不正确。 )。组策略处理中止。
目录服务日志:
来源:NTDS General 事件:1126 描述:Active Directory 无法建立与全局编录的连接。
额外数据
错误值:
8430 目录服务遇到一个内部故障。
内部 ID:
3200c89
用户操作:
请确定在林中有可用的全局编录,并且可以从此域控制器访问。 您可以使用 nltest 实用工具来诊断此问题。
DNS服务器日志:
来源:DNS 事件:4000 描述:DNS 服务器无法打开 Active Directory。这台 DNS 服务器配置成为这个区域获得并 使用目录中信息并且没有它便不能加载区域。请检查 Active Directory 操作正常并 重新加载区域。记录数据包含错误状态。 事件数据是错误代码。
DNS的警告日志
来源DNS 事件:4013 描述:DNS 服务器未能打开 Active Directory。 这个 DNS 服务器被配置来使用目录服务信息。 如果没有目录访问权,则不能操作。 DNS 服务器会等目录启动。如果已启动 DNS 服务器, 但还没有记录适当的事件;那么,DNS 服务器还在等待目录 启动。
文件复制服务的警告日志
来源:NTFRS 事件:13508 描述:文件复制服务有困难启用复制: 从 SERVER2 到 SERVER1 为 c:\windows\sysvol\domain 用 DNS 名称 server2.office.net。FRS 将继续重试。
以下是您看到此警告的一些原因。
FRS 不能从此计算机正确解析此 DNS 名称 server2.office.net。
FRS 不在 server2.office.net 上运行。
Active Directory 里此副件的拓扑信息还没有复制到所有域控制器。
这个事件纪录消息将每个连接出现一次。问题解决后,您将看到另一个事件日志消息, 它表明连接被建立。
系统警告日志:
来源:LSASRV 事件:40960 描述:安全系统检测到一个对服务器 cifs/SERVER1 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "登录无效。可能原因为无效的用户名或验证信息。
(0xc000006d)"。
来源:netlogon 事件:5774 描述:在下列 DNS 服务器上动态注册 DNS 记录 '_kerberos._tcp.Default-First-Site-Name._sites.office.net. 600 IN SRV 0 100 88 server1.office.net.' 失败:
DNS 服务器 IP 地址: 192.168.2.210
返回的响应码 (RCODE): 5
返回的状态码: 9017
对于要定位此域控制器的计算机和用户,这个记录必须 在 DNS 中注册。
用户操作
确定造成这一错误的原因,解决问题并由域控制器启动 DNS 记录的注册。要确定造成这一错误的原因,运行 DCDiag.exe。 您可以在 Windows Server 2003 安装 CD 上的 Support\Tools\support.cab 中找到此程序。要了解有关 DCDiag.exe 的详细信息,请参阅“帮助和支持中心”。要 通过此域控制器启动 DNS 记录的注册,请在域控制器上的 命令提示符运行 'nltest.exe /dsregdns'或重新启动Net Logon 服务。Nltest.exe 可以在 Microsoft Windows Server Resource Kit CD 中找到。
或者,您可以手动添加 记录到 DNS,但不建议这么做。
其他数据
错误值: DNS 不正确密钥。
我所做过的操作,重新安装DNS服务器,可是还是不能建立DNS查询。报一样的错提示。
运行kerbtray.exe,右键点击右下脚的绿色图标,选择Purge Tickets,然后,重启系统。重新启动Kerberos Key Distribution Center服务。访问\\server1还是报一样的错误提示。
手动重命名C:\WINDOWS\system32\config中的netlogon.dns和netlogon.dnb,再重新启动dns server和net logon服务也无效。
ps:假如主域服务器名是server的话,AD中就有一个server$隐藏用户.这个用户是自动生成的吧!假如改了这个用户的密码又有什么问题.改了这个隐藏用户的密码哪有怎么使它还原为默认的密码.
我现在想解决这个问题。至少也要先解决dns问题。请达人帮助我解决DNS,活动目錄同步问题。 若你没有选择与AD集成的话,或许system32\DNS\backup
有旧的备份,恢复之.... AD上的DNS哪會不和AD集成。
沒有備份。
我現在只要可以創建域就OK了!
主要是連域都不能創建。
先謝謝斑竹能囘我的貼 你的ghost是指备份现有系统还是恢复ghost?
为何不用NTBACKUP定时备份系统状态.使用ghost?
现在整个域中有没有一个DC是正常的?
从你的文字看得出.你将GC强行转移到另一台DC上,然后断掉原先的DC,重启后,能不能运行AD
若要行,再想办法,角色抢过来...最后咨询一下微软工程师,提供更准确的维护. 謝謝斑竹
微軟工程師是提議進行角色搶奪.
已經完成了.
謝謝 哎有时间真得多学习学习才行啊
页:
[1]
