我有以下簡單設定:4台MS Windows Server 2008 SP2虛擬機,其中一台是小型網域林的PDC,一台是林中的輔助DC,兩台是網域成員。最初,DNS 運作良好,但從過去的某個時間點(大約 2 個月)起,輔助 DC 已停止正確解析網域名稱。
我懷疑,發生這種情況是因為某些Windows 更新更新了AD 服務,從那時起PDC 和SDC 之間就不會發生同步,而且DF 和此輔助DC 之間也沒有直接(每個DNS)連接……但這不是主要問題。
主要問題是,網域成員之一在登入時開始發出錯誤「伺服器上的安全資料庫沒有用於此工作站信任關係的電腦帳戶」(同樣是在大約 2 個月前)。最初我透過斷開並重新加入工作站來解決此問題,但由於此錯誤多次出現,我嘗試了提到的解決方案這裡。
顯然我做錯了什麼,然後我的 PDC 開始在登入時發出相同的錯誤...由於 PDC 沒有本地管理帳戶,我對電腦的唯一存取是透過 DSRM (啟動 PDC在DSRM 中並使用DSRM 管理員帳戶,允許我登入伺服器)。
但在 DSRM 中,PDC 充當普通工作站,無法存取 AD DS(dcdiag、setspn 和 netdom 不起作用,告訴我 AD DS 已關閉編輯:- LDAP 錯誤 (49/52e) 登入失敗或 LDAP 錯誤 81(0x51) - 伺服器關閉)。
請注意,我的網域管理員帳戶仍然有效並且可以工作(當我斷開並重新加入工作站時),我不能僅在 PDC 上使用它。我的 SDC 發生 DNS 故障,因此我無法從 SDC 修復 AD DS 資料庫,因為我不知道如何使用帶有 IP 位址而不是 FQDN 的 DS 工具...
建議的處理方式這裡也沒有太大幫助 - 我無法使用任何 AD DS 工具。
查看事件檢視器時,我發現 AD DS 配置中存在重複的主機條目(錯誤 11),所以現在我的問題是:
如何重新獲得對 PDC 的域級控制?除了廢棄當前作業系統安裝然後重新安裝伺服器的明顯解決方案之外,我還能如何重新獲得對機器的控制權?
答案1
我在 Microsoft 的 TechNet 頁面上找到了這文章 - 修改 DSRM 本機管理帳號的登入行為可以讓我在 AD DS 執行時登入伺服器。從那時起,我很容易找到重複項(使用setspn-x-F)並從 PDC 的 AD DS 配置中刪除它們(使用setspn -D SPN PDC_伺服器)。
返回登入畫面,網域管理帳戶已被允許再次登入。儘管 Microsoft 強烈建議,但刪除與 DSRM 本機管理帳戶的登入權限相關的註冊表修改是可選任務。
就這樣 - 我現在能夠主動尋找解決方案來解決 SDC 不同步的第二個問題。