Estou tendo um problema que começou há alguns dias. Deixe-me explicar exatamente o que aconteceu - também herdei esse ambiente, por favor, tenha isso em mente.
1º Controlador de Domínio - Windows Server 2003 R2 Std
2º Controlador de Domínio - Windows Server 2008 R2 Ent
Nos últimos dias, quando um usuário inicializa e tenta fazer login em qualquer estação de trabalho que instalei recentemente, encontra um erro de confiança no login. Então, entrei como administrador local e voltei ao domínio - no entanto, quando o Trust falhou várias vezes em várias máquinas, fui mais fundo.
Em uma das estações de trabalho, verifiquei o visualizador de eventos e encontrei isto:
Log Name: System
Source: NETLOGON
Date: 5/16/2013 12:06:07 PM
Event ID: 3210
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: WIN7-2083.Domain.DomainName.com
Description:
This computer could not authenticate with \\BDCName.Domain.DomainName.com, a Windows domain controller for domain DOMAIN, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">3210</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-05-16T17:06:07.000000000Z" />
<EventRecordID>52991</EventRecordID>
<Channel>System</Channel>
<Computer>WIN7-2083.Domain.DomainName.com</Computer>
<Security />
</System>
<EventData>
<Data>DOMAIN</Data>
<Data>\\BDCName.Domain.DomainName.com</Data>
<Binary>220000C0</Binary>
</EventData>
</Event>
Então, por algum motivo, isso me levou a acreditar que esta estação de trabalho estava autenticando diretamente no segundo controlador de domínio versus o primeiro controlador de domínio.
Olhando para o 1st DC Event Viewer, encontrei este erro:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
CN=Configuration,DC=Domain,DC=DomainName,DC=com
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
- Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
- Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
Seguido pela:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Então procurei no primeiro DC para encontrar erros quase idênticos:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Jackson,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Examinei várias soluções e muitas delas referem-se à pesquisa de entradas DNS e outras coisas, mas não tenho certeza de onde está o erro, pois isso começou a acontecer. Não houve alterações em nenhum roteamento no ambiente. Literalmente aconteceu nos últimos dias. Suponho que neste momento os dois não estão se comunicando adequadamente. Se eu fizer uma alteração em um DC, ela deverá aparecer no outro DC, certo? Por exemplo, alterar as propriedades do usuário em um controlador de domínio também deve aparecer em breve no segundo controlador de domínio? Isso não está acontecendo neste momento.
Que etapas posso seguir para realmente resolver isso?