Ich habe ein ziemliches Problem, das vor ein paar Tagen begann. Lassen Sie mich genau darlegen, was passiert ist. Außerdem habe ich diese Umgebung geerbt, bitte bedenken Sie das.
1. Domänencontroller – Windows Server 2003 R2 Std
2. Domänencontroller - Windows Server 2008 R2 Ent
In den letzten Tagen ist beim Versuch eines Benutzers, sich von einer Workstation aus anzumelden, die ich gerade neu installiert habe, ein Vertrauensfehler aufgetreten. Ich habe mich also als lokaler Administrator angemeldet und bin der Domäne erneut beigetreten. Als das Vertrauensproblem jedoch auf mehreren Rechnern mehrfach fehlschlug, habe ich mich näher damit befasst.
Auf einer der Arbeitsstationen habe ich die Ereignisanzeige überprüft und Folgendes gefunden:
Log Name: System
Source: NETLOGON
Date: 5/16/2013 12:06:07 PM
Event ID: 3210
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: WIN7-2083.Domain.DomainName.com
Description:
This computer could not authenticate with \\BDCName.Domain.DomainName.com, a Windows domain controller for domain DOMAIN, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">3210</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-05-16T17:06:07.000000000Z" />
<EventRecordID>52991</EventRecordID>
<Channel>System</Channel>
<Computer>WIN7-2083.Domain.DomainName.com</Computer>
<Security />
</System>
<EventData>
<Data>DOMAIN</Data>
<Data>\\BDCName.Domain.DomainName.com</Data>
<Binary>220000C0</Binary>
</EventData>
</Event>
Aus irgendeinem Grund kam ich zu der Annahme, dass sich diese Arbeitsstation direkt beim 2. DC und nicht beim 1. DC authentifizierte.
Beim Betrachten der ersten DC-Ereignisanzeige habe ich diesen Fehler gefunden:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
CN=Configuration,DC=Domain,DC=DomainName,DC=com
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
- Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
- Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
Gefolgt von:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Also habe ich mir den 1. DC angesehen und fast identische Fehler gefunden:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Jackson,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Ich habe mir mehrere Lösungen angesehen und viele davon beziehen sich auf das Nachschlagen von DNS-Einträgen und anderen Dingen. Ich bin mir jedoch nicht ganz sicher, wo der Fehler liegt, da dies gerade erst aufgetreten ist. Es wurden keine Änderungen an der Weiterleitung in der Umgebung vorgenommen. Das ist buchstäblich in den letzten Tagen passiert. Ich vermute an diesem Punkt, dass beide nicht richtig miteinander kommunizieren. Wenn ich eine Änderung an einem DC vornehme, sollte sie doch auf dem anderen DC angezeigt werden, oder? Wenn beispielsweise Benutzereigenschaften auf einem DC geändert werden, sollte dies bald auch auf dem zweiten DC angezeigt werden? Dies geschieht derzeit nicht.
Welche Schritte kann ich unternehmen, um das Problem wirklich zu lösen?