며칠 전부터 시작된 심각한 문제가 있습니다. 무슨 일이 일어났는지 정확히 설명하겠습니다. 또한 저는 이 환경을 물려받았습니다. 이를 염두에 두시기 바랍니다.
첫 번째 도메인 컨트롤러 - Windows Server 2003 R2 Std
두 번째 도메인 컨트롤러 - Windows Server 2008 R2 Ent
지난 며칠 동안 사용자가 부팅하고 최근에 새로 설치한 워크스테이션에서 로그인을 시도하면 로그인 시 신뢰 오류가 발생했습니다. 그래서 로컬 관리자로 로그인하고 도메인에 다시 가입했습니다. 그러나 여러 컴퓨터에서 신뢰가 여러 번 실패했을 때 더 깊이 파고들었습니다.
워크스테이션 중 하나에서 이벤트 뷰어를 확인한 결과 다음과 같은 내용을 발견했습니다.
Log Name: System
Source: NETLOGON
Date: 5/16/2013 12:06:07 PM
Event ID: 3210
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: WIN7-2083.Domain.DomainName.com
Description:
This computer could not authenticate with \\BDCName.Domain.DomainName.com, a Windows domain controller for domain DOMAIN, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">3210</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-05-16T17:06:07.000000000Z" />
<EventRecordID>52991</EventRecordID>
<Channel>System</Channel>
<Computer>WIN7-2083.Domain.DomainName.com</Computer>
<Security />
</System>
<EventData>
<Data>DOMAIN</Data>
<Data>\\BDCName.Domain.DomainName.com</Data>
<Binary>220000C0</Binary>
</EventData>
</Event>
그래서 어떤 이유에서인지 이 워크스테이션이 첫 번째 DC가 아닌 두 번째 DC에 직접 인증하고 있다고 믿게 되었습니다.
첫 번째 DC 이벤트 뷰어를 살펴보면 다음 오류가 발견되었습니다.
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
CN=Configuration,DC=Domain,DC=DomainName,DC=com
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
- Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
- Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
다음은 다음과 같습니다.
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
그래서 첫 번째 DC에서 거의 동일한 오류를 찾았습니다.
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Jackson,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
여러 솔루션을 살펴보았는데 그 중 상당수가 DNS 항목 조회 및 기타 사항을 참조하고 있지만 이것이 막 발생하기 시작했기 때문에 오류가 어디에 있는지 완전히 확신할 수 없습니다. 환경의 라우팅에는 변경 사항이 없습니다. 말 그대로 지난 며칠 동안 그랬습니다. 지금은 둘 다 제대로 소통을 안 하고 있는 것 같아요. 한 DC를 변경하면 다른 DC에도 표시되어야 겠죠? 예를 들어 한 DC에서 사용자 속성을 변경하면 두 번째 DC에도 곧 표시되어야 합니까? 지금은 이런 일이 일어나지 않습니다.
이 문제를 실제로 해결하려면 어떤 조치를 취해야 합니까?