次のようなシンプルな構成になっています: 4 台の MS Windows Server 2008 SP2 仮想マシン。そのうち 1 台は小さなドメイン フォレストの PDC、1 台はフォレスト内のセカンダリ DC、2 台はドメインのメンバーです。当初は DNS は正常に動作していましたが、過去のある時点 (約 2 か月) からセカンダリ DC がドメイン名を正しく解決できなくなりました。
ここでの私の疑念は、何らかの Windows Update によって AD サービスが更新され、その時点から PDC と SDC 間の同期が行われなくなったこと、また DF とこのセカンダリ DC 間に直接 (DNS ごとに) 接続がなかったことが原因で発生したということです... ただし、これが主な問題ではありません。
主な問題は、ドメインメンバーの1人がログオン時に「サーバーのセキュリティデータベースには、このワークステーションの信頼関係のコンピュータアカウントがありません」というエラーを出し始めたことです(これも約2か月前です)。最初はワークステーションを切断して再参加することでこれを解決しましたが、このエラーが何度も発生したため、前述の解決策を試しました。ここ。
明らかに何か間違ったことをしたのですが、その後、PDC はログイン時に同じエラーを発行し始めました... PDC にはローカル管理アカウントがないため、マシンへの唯一のアクセスは DSRM 経由です (DSRM で PDC を起動し、DSRM 管理者アカウントを使用すると、サーバーにログオンできます)。
しかし、DSRMではPDCは通常のワークステーションとして動作し、AD DSにアクセスできません(dcdiag、setspn、netdomは機能せず、AD DSがダウンしていると表示されます)。編集:- LDAP エラー (49/52e) ログイン失敗または LDAP エラー 81(0x51) - サーバーがダウンしています。
注意: 私のドメイン管理者アカウントは有効で動作しますが (ワークステーションを切断して再度参加する場合)、PDC でのみ使用することはできません。私の SDC には DNS の誤動作があるため、SDC から AD DS データベースを修正できません。これは、FQDN ではなく IP アドレスで DS ツールを使用する方法がわからなかったためです...
推奨される処理ここあまり役に立ちません。AD DS ツールを一切使用できません。
イベント ビューアーを見ると、AD DS 構成に重複した HOST エントリがあることが示されました (エラー 11)。そこで、次の質問をさせていただきます。
PDC に対するドメイン レベルの制御を取り戻すにはどうすればよいですか? 現在の OS インストールを破棄してサーバーを再インストールするという明白な解決策以外に、マシンに対する制御を取り戻すにはどうすればよいでしょうか?
答え1
マイクロソフトのTechNetページで見つけたこれ記事 - DSRMローカル管理アカウントのログオン動作を変更することで、AD DSの実行中にサーバーにログインできるようになりました。その時点から、重複したアカウントを簡単に追跡できました(setspn -x -F)およびPDCのAD DS構成から削除します(setspn -D SPN PDC_Server)。
ログオン画面に戻ると、ドメイン管理アカウントは再度ログインできるようになりました。DSRM ローカル管理アカウントのログイン権限に関するレジストリの変更を削除することはオプションのタスクですが、Microsoft によって強く推奨されています。
以上です。これで、同期していない SDC に関する二次的な問題に対する解決策を積極的に探すことができるようになりました。