다음과 같은 간단한 구성을 사용했습니다. 4개의 MS Windows Server 2008 SP2 가상 머신 중 하나는 작은 도메인 포리스트의 PDC이고, 하나는 포리스트의 보조 DC이고 두 개는 도메인의 구성원입니다. 처음에는 잘 작동하는 DNS가 있었지만 지난 어느 시점(약 2개월)부터 도메인 이름을 올바르게 확인하기 위해 보조 DC가 중지되었습니다.
내 용의자는 일부 Windows 업데이트가 AD 서비스를 업데이트했고 그 시점부터 PDC와 SDC 간의 동기화가 발생할 수 없고 DF와 이 보조 DC 간에 직접(DNS별) 연결이 없기 때문에 이런 일이 발생했다는 것입니다. 그러나 이것이 주요 문제는 아닙니다.
주요 문제는 도메인 구성원 중 한 명이 로그온 시 "서버의 보안 데이터베이스에 이 워크스테이션 신뢰 관계에 대한 컴퓨터 계정이 없습니다"라는 오류가 발생하기 시작했다는 것입니다(다시 약 2개월 전). 처음에는 Workstation을 연결 해제했다가 다시 연결하여 이 문제를 해결했지만 이 오류가 두 번 이상 발생했기 때문에 언급된 해결 방법을 시도해 보았습니다.여기.
분명히 내가 뭔가 잘못한 후 로그인 시 PDC에서 동일한 오류가 발생하기 시작했습니다... PDC에 로컬 관리 계정이 없기 때문에 컴퓨터에 대한 유일한 액세스는 DSRM(PDC 시작)을 통해서입니다. DSRM에서 DSRM 관리자 계정을 사용하면 서버에 로그온할 수 있습니다.
그러나 DSRM에서 PDC는 일반 워크스테이션처럼 작동하며 AD DS에 액세스할 수 없습니다(dcdiag, setspn 및 netdom이 작동하지 않아 AD DS가 다운되었음을 알려줍니다)편집하다:- LDAP 오류(49/52e) 로그인 실패 또는 LDAP 오류 81(0x51) - 서버 다운).
내 도메인 관리자 계정은 여전히 유효하고 작동하지만(워크스테이션에 가입했다가 다시 가입하면) PDC에서만 사용할 수 없습니다. 내 SDC에 DNS 오작동이 있어 SDC에서 AD DS 데이터베이스를 수정할 수 없습니다. FQDN 대신 IP 주소로 DS 도구를 사용하는 방법을 찾지 못했기 때문입니다...
제안된 처리여기또한 별로 도움이 되지 않습니다. AD DS 도구를 사용할 수 없습니다.
이벤트 뷰어를 살펴보면 AD DS 구성(오류 11)에서 중복된 HOST 항목이 표시되었으므로 이제 내 질문은 다음과 같습니다.
PDC에 대한 도메인 수준 제어권을 다시 얻으려면 어떻게 해야 합니까? 현재 OS 설치를 폐기하고 서버를 다시 설치하는 확실한 솔루션 외에 시스템에 대한 제어권을 다시 얻을 수 있는 다른 방법은 무엇입니까?
답변1
Microsoft의 TechNet 페이지에서 찾았습니다.이것기사 - DSRM 로컬 관리 계정의 로그온 동작을 수정하면 AD DS가 실행되는 동안 서버에 로그인할 수 있게 되었습니다. 그 시점부터 중복 항목을 추적하는 것이 쉬웠습니다(다음을 사용하여setspn -x -F) 및 PDC의 AD DS 구성에서 제거하려면(사용setspn -D SPN PDC_Server).
로그온 화면으로 돌아가서 도메인 관리 계정으로 다시 로그인이 허용되었습니다. DSRM 로컬 관리 계정의 로그인 권한과 관련된 레지스트리 수정 제거는 Microsoft에서 강력히 권장하는 선택적 작업입니다.
그게 전부입니다. 이제 동기화되지 않은 SDC와 관련된 두 번째 문제에 대한 솔루션을 적극적으로 검색할 수 있습니다.