none
公司域控的事件查看器里,有1864的报错,还有大量审核错误,导致需要域认证的系统无法登录 RRS feed

  • 问题

  • 公司的域隶属于总公司,本地有两台只读域控,操作系统为windows server2008 r2,最近在事件查看器里的目录服务上有时出现1864的报错,还有大量审核错误,导致需要域认证的系统无法登录,初步判断是局域网中的客户机有WORM_DOWNAD.AD蠕虫病毒,一直不停的发送身份认证包对本地域控进行攻击,也进行了杀毒的操作,但是成效不大,不能确定这就是问题根源。

    用dcdiag检测结果如下:


    目录服务器诊断


    正在执行初始化设置:

       正在尝试查找主服务器...

       主服务器 = SEYADS01

       * 已识别的 AD 林。
       已完成收集初始化信息。


    正在进行所需的初始化测试

      
       正在测试服务器: EY\SEYADS01

          开始测试: Connectivity

             ......................... SEYADS01 已通过测试 Connectivity

     

    正在执行主要测试

      
       正在测试服务器: EY\SEYADS01

          开始测试: Advertising

             警告: 当我们尝试访问 SEYADS01 时,DsGetDcName 返回了 \\S00ads03.crecg.com 的信息。

             服务器没有响应或被认为不适合。

             ......................... SEYADS01 没有通过测试 Advertising

          开始测试: FrsEvent

             ......................... SEYADS01 已通过测试 FrsEvent

          开始测试: DFSREvent

             ......................... SEYADS01 已通过测试 DFSREvent

          开始测试: SysVolCheck

             ......................... SEYADS01 已通过测试 SysVolCheck

          开始测试: KccEvent

             ......................... SEYADS01 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             [S00ADS02] DsBindWithSpnEx() 失败,错误为 1722,

             RPC 服务器不可用。.
             警告: S00ADS02 为 Schema Owner,但不对 DS RPC 绑定作出响应。

             警告: S00ADS02 为 Domain Owner,但不对 DS RPC 绑定作出响应。

             警告: S00ADS02 为 PDC Owner,但不对 DS RPC 绑定作出响应。

             警告: S00ADS02 为 Rid Owner,但不对 DS RPC 绑定作出响应。

             [SQJADS02] DsBindWithSpnEx() 失败,错误为 1722,

             RPC 服务器不可用。.
             警告: SQJADS02 为 Infrastructure Update Owner,但不对 DS RPC 绑定作出响应。

             服务器 SQJADS02 上的 Ldap 搜索功能属性搜索失败,返回值 = 81
             警告: SQJADS02 为 Infrastructure Update Owner,但不对 LDAP 绑定作出响应。

             ......................... SEYADS01 没有通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             ......................... SEYADS01 已通过测试 MachineAccount

          开始测试: NCSecDesc

             ......................... SEYADS01 已通过测试 NCSecDesc

          开始测试: NetLogons

             [SEYADS01] 用户凭据没有权限执行该操作。

             该测试使用的帐户必须具有该计算机的域的

             网络登录权限。

             ......................... SEYADS01 没有通过测试 NetLogons

          开始测试: ObjectsReplicated

             ......................... SEYADS01 已通过测试 ObjectsReplicated

          开始测试: Replications

             [复制检查,SEYADS01] DsReplicaGetInfo(PENDING_OPS, NULL)失败,错误是

             0x2105“复制访问被拒绝。”

             ......................... SEYADS01 没有通过测试 Replications

          开始测试: RidManager

             ......................... SEYADS01 没有通过测试 RidManager

          开始测试: Services

             ......................... SEYADS01 已通过测试 Services

          开始测试: SystemLog

             已发生 Warning 事件。EventID: 0x80000008

                生成时间: 07/22/2013   17:05:17

                事件字符串: 打印机 Fax (已重定向 4) 的打印队列中的作业已删除。不需要用户操作。


             已发生 Warning 事件。EventID: 0x80000004

                生成时间: 07/22/2013   17:05:17

                事件字符串: 打印机 Fax (已重定向 4) 将被删除。不需要用户操作。


             已发生 Warning 事件。EventID: 0x80000003

                生成时间: 07/22/2013   17:05:17

                事件字符串: 打印机 Fax (已重定向 4) 已删除,用户将不再能够打印到这台打印机。不需要用户操作。


             已发生 Warning 事件。EventID: 0x80000008

                生成时间: 07/22/2013   17:05:17

                事件字符串:

                打印机 Microsoft XPS Document Writer (已重定向 4) 的打印队列中的作业已删除。不需要用户操作。


             已发生 Warning 事件。EventID: 0x80000004

                生成时间: 07/22/2013   17:05:17

                事件字符串: 打印机 Microsoft XPS Document Writer (已重定向 4) 将被删除。不需要用户操作。


             已发生 Warning 事件。EventID: 0x80000003

                生成时间: 07/22/2013   17:05:17

                事件字符串:

                打印机 Microsoft XPS Document Writer (已重定向 4) 已删除,用户将不再能够打印到这台打印机。不需要用户操作。


             已发生 Error 事件。EventID: 0x00000457

                生成时间: 07/22/2013   17:05:19

                事件字符串:

                打印机 GoldGrid Virtual Printer 所需的驱动程序 GoldGrid Virtual Printer Driver 未知。登录之前,请与管理员联系,安装驱动程序。

             已发生 Warning 事件。EventID: 0x825A0086

                生成时间: 07/22/2013   17:07:56

                事件字符串:

                NtpClient 无法将手动对等设置为用作时间源,因为“ad-server.rybb.com,0x6”上出现 DNS 解析错误。NtpClient 将在 60 分钟后重试,此后重试间隔增加一倍。错误为: 不知道这样的主机。 (0x80072AF9)

             ......................... SEYADS01 没有通过测试 SystemLog

          开始测试: VerifyReferences

             ......................... SEYADS01 已通过测试 VerifyReferences

      
      
       正在 ForestDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... ForestDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... ForestDnsZones 已通过测试 CrossRefValidation

      
       正在 DomainDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... DomainDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... DomainDnsZones 已通过测试 CrossRefValidation

      
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

      
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

      
       正在 crecg

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... crecg 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... crecg 已通过测试 CrossRefValidation

      
       正在 crecg.com

        上运行企业测试
          开始测试: LocatorCheck

             ......................... crecg.com 已通过测试 LocatorCheck

          开始测试: Intersite

             ......................... crecg.com 已通过测试 Intersite

     

    2013年7月23日 0:46

答案

  • 您好!

    根据您提供的错误信息分析,该问题可能与tombstone 生存时间有关,我们建议您尝试以下步骤进行排错:

    1. DC上打开“Active Directory站点和服务”,查看是否每个都有连接对象,确认所有DCSRV记录在DNS中被注册了。

    2. 请在出现1864错误信息的DC上修改以下注册表键值:

    HKLM\System\CurrentControlSet\Services\NTDS\Parameters,将"Allow Replication With Divergent and Corrupt Partner"的值设置为1

    3. 在修改了注册表键值后,关闭或者重启这些DC

    4. 打开“Active Directory站点和服务”,强制复制所有DC

    a. 打开Active Directory 站点和服务/Sites/包含复制目录信息时需要经由的连接的站点/Servers/需要强行复制的服务器/NTDS 设置 b. 在详细信息窗格中,右键单击您要复制目录信息时借助的连接,然后单击“立即复制副本”。

    5. DC的命令提示符下输入“repadmin /showrepl”,检查DC之间的复制是否正常。

    更多信息请您参考以下文章:

    Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042)

    http://technet2.microsoft.com/WindowsServer/en/library/4a1f420d-25d6-417c-9d8b-6e22f472ef3c1033.mspx?mfr=true

    How the Active Directory Replication Model Works

    http://technet2.microsoft.com/WindowsServer/en/library/1465d773-b763-45ec-b971-c23cdc27400e1033.mspx?mfr=true

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年7月23日 9:04
    版主

全部回复

  • 您好!

    根据您提供的错误信息分析,该问题可能与tombstone 生存时间有关,我们建议您尝试以下步骤进行排错:

    1. DC上打开“Active Directory站点和服务”,查看是否每个都有连接对象,确认所有DCSRV记录在DNS中被注册了。

    2. 请在出现1864错误信息的DC上修改以下注册表键值:

    HKLM\System\CurrentControlSet\Services\NTDS\Parameters,将"Allow Replication With Divergent and Corrupt Partner"的值设置为1

    3. 在修改了注册表键值后,关闭或者重启这些DC

    4. 打开“Active Directory站点和服务”,强制复制所有DC

    a. 打开Active Directory 站点和服务/Sites/包含复制目录信息时需要经由的连接的站点/Servers/需要强行复制的服务器/NTDS 设置 b. 在详细信息窗格中,右键单击您要复制目录信息时借助的连接,然后单击“立即复制副本”。

    5. DC的命令提示符下输入“repadmin /showrepl”,检查DC之间的复制是否正常。

    更多信息请您参考以下文章:

    Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042)

    http://technet2.microsoft.com/WindowsServer/en/library/4a1f420d-25d6-417c-9d8b-6e22f472ef3c1033.mspx?mfr=true

    How the Active Directory Replication Model Works

    http://technet2.microsoft.com/WindowsServer/en/library/1465d773-b763-45ec-b971-c23cdc27400e1033.mspx?mfr=true

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年7月23日 9:04
    版主
  • 我们单位的局域网还有其他的一些故障现象,例如:出现对同一台服务器,不能访问共享文件夹,但是能够通过远程桌面连接进入的情况。如果重启一次域控,问题能够缓解,几个小时后,同样的问题会再次出现。

    请问也是这个原因吗?

    2013年7月24日 0:31