У меня следующая простая конфигурация: 4 виртуальных машины MS Windows Server 2008 SP2, одна из них — PDC небольшого леса доменов, одна — вторичный DC в лесу и две — члены домена. Изначально DNS работал хорошо, но с какого-то момента в прошлом (около 2 месяцев) вторичный DC перестал правильно разрешать доменные имена.
Я подозреваю, что это произошло из-за того, что какой-то Центр обновления Windows обновил службы AD, и с этого момента синхронизация между PDC и SDC не могла происходить, также нет прямого (через DNS) соединения между DF и этим вторичным DC... Но это не главная проблема.
Основная проблема заключается в том, что один из членов домена начал выдавать ошибку «База данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции» при входе в систему (снова около 2 месяцев назад). Изначально я решил это отключением и повторным подключением к рабочей станции, но поскольку эта ошибка возникала не один раз, я попробовал упомянутое решениездесь.
Очевидно, я сделал что-то не так, и после этого мой PDC начал выдавать ту же ошибку при входе в систему... Поскольку у PDC нет учетной записи локального администратора, мой единственный доступ к машине осуществляется через DSRM (запуск PDC в DSRM и использование учетной записи администратора DSRM позволяет мне войти на сервер).
Но в DSRM PDC действует как обычная рабочая станция, и нет доступа к AD DS (dcdiag, setspn и netdom не работают, сообщая мне, что AD DS не работает)Редактировать:- Ошибка LDAP (49/52e) Ошибка входа или ошибка LDAP 81(0x51) - Сервер не работает).
Обратите внимание, что моя учетная запись администратора домена все еще действительна и работает (когда я отключаюсь и подключаюсь снова к рабочим станциям), я не могу использовать ее только на PDC. У моего SDC есть сбои в работе DNS, поэтому я не могу исправить базу данных AD DS из SDC, потому что я не нашел, как использовать инструменты DS с IP-адресами вместо FQDN...
Предлагаемое обращениездесьтоже не особо помогает - я не могу использовать ни один из инструментов AD DS.
Просмотр событий указал мне на дублирующуюся запись HOST в конфигурации AD DS (ошибка 11), поэтому вот мой вопрос:
Как мне восстановить контроль над PDC на уровне домена? Помимо очевидного решения сбросить текущую установку ОС и затем переустановить сервер, как еще я могу восстановить контроль над машиной?
решение1
Я нашел на страницах Microsoft TechNetэтотстатья - изменение поведения входа в систему локальной учетной записи администратора DSRM позволило мне войти на сервер во время работы AD DS. С этого момента мне было легко отслеживать дубликаты (используяsetspn -x -F) и удалить их из конфигурации AD DS PDC (используяsetspn -D SPN PDC_Server).
Возвращаясь к экрану входа, учетная запись администратора домена снова получила разрешение на вход. Удаление модификации реестра, касающейся прав входа учетной записи локального администратора DSRM, является необязательной задачей, хотя и настоятельно рекомендуется корпорацией Microsoft.
Вот и все — теперь я могу активно искать решение моей вторичной проблемы с рассинхронизацией SDC.