У меня возникла проблема, которая началась несколько дней назад. Позвольте мне просто изложить, что именно произошло - также я унаследовал эту среду, пожалуйста, имейте это в виду.
1-й контроллер домена — Windows Server 2003 R2 Std
2-й контроллер домена — Windows Server 2008 R2 Ent
За последние пару дней, когда пользователь загружается и пытается войти с любой рабочей станции, которую я недавно установил, при входе возникает ошибка Trust. Поэтому я вошел как локальный администратор и снова присоединился к домену - однако, когда Trust несколько раз не удалось установить на нескольких машинах, я копнул глубже.
На одной из рабочих станций я проверил просмотр событий и обнаружил следующее:
Log Name: System
Source: NETLOGON
Date: 5/16/2013 12:06:07 PM
Event ID: 3210
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: WIN7-2083.Domain.DomainName.com
Description:
This computer could not authenticate with \\BDCName.Domain.DomainName.com, a Windows domain controller for domain DOMAIN, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">3210</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-05-16T17:06:07.000000000Z" />
<EventRecordID>52991</EventRecordID>
<Channel>System</Channel>
<Computer>WIN7-2083.Domain.DomainName.com</Computer>
<Security />
</System>
<EventData>
<Data>DOMAIN</Data>
<Data>\\BDCName.Domain.DomainName.com</Data>
<Binary>220000C0</Binary>
</EventData>
</Event>
Поэтому по какой-то причине я решил, что эта рабочая станция аутентифицировала себя напрямую на 2-м DC, а не на 1-м DC.
Просматривая 1st DC Event Viewer, я обнаружил следующую ошибку:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
CN=Configuration,DC=Domain,DC=DomainName,DC=com
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
- Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
- Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
С последующим:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Поэтому я посмотрел на 1-й DC и обнаружил почти идентичные ошибки:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Jackson,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Я рассмотрел несколько решений, и многие из них ссылаются на поиск записей DNS и другие вещи, однако я не совсем уверен, где именно кроется ошибка, поскольку это только что начало происходить. Никаких изменений в маршрутизации в среде не было. Это было буквально в последние несколько дней. Я предполагаю, что на данный момент они оба не взаимодействуют друг с другом должным образом. Если я внесу изменение на одном DC, оно должно отобразиться на другом DC, верно? Например, изменение свойств пользователя на одном DC должно вскоре отобразиться и на втором DC? В настоящее время этого не происходит.
Какие шаги я могу предпринять, чтобы действительно решить эту проблему?