数日前からかなり大きな問題が発生しています。何が起こったのかを正確に説明させてください。また、私はこの環境を引き継いだので、その点に留意してください。
1 番目のドメイン コントローラ - Windows Server 2003 R2 Std
2 番目のドメイン コントローラ - Windows Server 2008 R2 Ent
ここ数日、ユーザーが起動して、最近新しくインストールしたワークステーションからログインしようとすると、ログイン時に信頼エラーが発生します。そこで、ローカル管理者としてログインし、ドメインに再参加しましたが、複数のマシンで信頼が複数回失敗したため、さらに詳しく調査しました。
ワークステーションの 1 つでイベント ビューアーをチェックしたところ、次の内容が見つかりました。
Log Name: System
Source: NETLOGON
Date: 5/16/2013 12:06:07 PM
Event ID: 3210
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: WIN7-2083.Domain.DomainName.com
Description:
This computer could not authenticate with \\BDCName.Domain.DomainName.com, a Windows domain controller for domain DOMAIN, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">3210</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-05-16T17:06:07.000000000Z" />
<EventRecordID>52991</EventRecordID>
<Channel>System</Channel>
<Computer>WIN7-2083.Domain.DomainName.com</Computer>
<Security />
</System>
<EventData>
<Data>DOMAIN</Data>
<Data>\\BDCName.Domain.DomainName.com</Data>
<Binary>220000C0</Binary>
</EventData>
</Event>
そのため、何らかの理由で、このワークステーションは 1 番目の DC ではなく 2 番目の DC に直接認証しているのではないかと考えました。
1 番目の DC イベント ビューアーを見ると、次のエラーが見つかりました。
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
CN=Configuration,DC=Domain,DC=DomainName,DC=com
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
- Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
- Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
に続く:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
そこで、1 番目の DC を調べたところ、ほぼ同じエラーが見つかりました。
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Jackson,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
いくつかの解決策を検討しましたが、その多くは DNS エントリの検索などに関するものでしたが、このエラーが最近発生し始めたため、どこにエラーがあるのかよくわかりません。環境内のルーティングに変更はありません。文字通り、ここ数日で発生しています。現時点では、両方の DC が適切に通信していないのではないかと思います。1 つの DC に変更を加えると、もう 1 つの DC にも反映されるはずですよね? たとえば、1 つの DC でユーザー プロパティを変更すると、すぐに 2 番目の DC にも反映されるはずですよね? 現時点では、これは発生していません。
これを本当に解決するには、どのような手順を踏めばよいでしょうか?