公司域控的事件查看器里，有1864的报错，还有大量审核错误，导致需要域认证的系统无法登录

• 问题

• 

  

  0

  登录进行投票

  公司的域隶属于总公司，本地有两台只读域控，操作系统为windows server2008 r2，最近在事件查看器里的目录服务上有时出现1864的报错，还有大量审核错误，导致需要域认证的系统无法登录，初步判断是局域网中的客户机有WORM_DOWNAD.AD蠕虫病毒，一直不停的发送身份认证包对本地域控进行攻击，也进行了杀毒的操作，但是成效不大，不能确定这就是问题根源。

  用dcdiag检测结果如下：

  
  目录服务器诊断

  
  正在执行初始化设置:

     正在尝试查找主服务器...

     主服务器 = SEYADS01

     * 已识别的 AD 林。
     已完成收集初始化信息。

  
  正在进行所需的初始化测试

    
     正在测试服务器: EY\SEYADS01

        开始测试: Connectivity

           ......................... SEYADS01 已通过测试 Connectivity

   

  正在执行主要测试

    
     正在测试服务器: EY\SEYADS01

        开始测试: Advertising

           警告: 当我们尝试访问 SEYADS01 时，DsGetDcName 返回了 \\S00ads03.crecg.com 的信息。

           服务器没有响应或被认为不适合。

           ......................... SEYADS01 没有通过测试 Advertising

        开始测试: FrsEvent

           ......................... SEYADS01 已通过测试 FrsEvent

        开始测试: DFSREvent

           ......................... SEYADS01 已通过测试 DFSREvent

        开始测试: SysVolCheck

           ......................... SEYADS01 已通过测试 SysVolCheck

        开始测试: KccEvent

           ......................... SEYADS01 已通过测试 KccEvent

        开始测试: KnowsOfRoleHolders

           [S00ADS02] DsBindWithSpnEx() 失败，错误为 1722，

           RPC 服务器不可用。.
           警告: S00ADS02 为 Schema Owner，但不对 DS RPC 绑定作出响应。

           警告: S00ADS02 为 Domain Owner，但不对 DS RPC 绑定作出响应。

           警告: S00ADS02 为 PDC Owner，但不对 DS RPC 绑定作出响应。

           警告: S00ADS02 为 Rid Owner，但不对 DS RPC 绑定作出响应。

           [SQJADS02] DsBindWithSpnEx() 失败，错误为 1722，

           RPC 服务器不可用。.
           警告: SQJADS02 为 Infrastructure Update Owner，但不对 DS RPC 绑定作出响应。

           服务器 SQJADS02 上的 Ldap 搜索功能属性搜索失败，返回值 = 81
           警告: SQJADS02 为 Infrastructure Update Owner，但不对 LDAP 绑定作出响应。

           ......................... SEYADS01 没有通过测试 KnowsOfRoleHolders

        开始测试: MachineAccount

           ......................... SEYADS01 已通过测试 MachineAccount

        开始测试: NCSecDesc

           ......................... SEYADS01 已通过测试 NCSecDesc

        开始测试: NetLogons

           [SEYADS01] 用户凭据没有权限执行该操作。

           该测试使用的帐户必须具有该计算机的域的

           网络登录权限。

           ......................... SEYADS01 没有通过测试 NetLogons

        开始测试: ObjectsReplicated

           ......................... SEYADS01 已通过测试 ObjectsReplicated

        开始测试: Replications

           [复制检查，SEYADS01] DsReplicaGetInfo(PENDING_OPS, NULL)失败，错误是

           0x2105“复制访问被拒绝。”

           ......................... SEYADS01 没有通过测试 Replications

        开始测试: RidManager

           ......................... SEYADS01 没有通过测试 RidManager

        开始测试: Services

           ......................... SEYADS01 已通过测试 Services

        开始测试: SystemLog

           已发生 Warning 事件。EventID: 0x80000008

              生成时间: 07/22/2013   17:05:17

              事件字符串: 打印机 Fax (已重定向 4) 的打印队列中的作业已删除。不需要用户操作。

  
           已发生 Warning 事件。EventID: 0x80000004

              生成时间: 07/22/2013   17:05:17

              事件字符串: 打印机 Fax (已重定向 4) 将被删除。不需要用户操作。

  
           已发生 Warning 事件。EventID: 0x80000003

              生成时间: 07/22/2013   17:05:17

              事件字符串: 打印机 Fax (已重定向 4) 已删除，用户将不再能够打印到这台打印机。不需要用户操作。

  
           已发生 Warning 事件。EventID: 0x80000008

              生成时间: 07/22/2013   17:05:17

              事件字符串:

              打印机 Microsoft XPS Document Writer (已重定向 4) 的打印队列中的作业已删除。不需要用户操作。

  
           已发生 Warning 事件。EventID: 0x80000004

              生成时间: 07/22/2013   17:05:17

              事件字符串: 打印机 Microsoft XPS Document Writer (已重定向 4) 将被删除。不需要用户操作。

  
           已发生 Warning 事件。EventID: 0x80000003

              生成时间: 07/22/2013   17:05:17

              事件字符串:

              打印机 Microsoft XPS Document Writer (已重定向 4) 已删除，用户将不再能够打印到这台打印机。不需要用户操作。

  
           已发生 Error 事件。EventID: 0x00000457

              生成时间: 07/22/2013   17:05:19

              事件字符串:

              打印机 GoldGrid Virtual Printer 所需的驱动程序 GoldGrid Virtual Printer Driver 未知。登录之前，请与管理员联系，安装驱动程序。

           已发生 Warning 事件。EventID: 0x825A0086

              生成时间: 07/22/2013   17:07:56

              事件字符串:

              NtpClient 无法将手动对等设置为用作时间源，因为“ad-server.rybb.com,0x6”上出现 DNS 解析错误。NtpClient 将在 60 分钟后重试，此后重试间隔增加一倍。错误为: 不知道这样的主机。 (0x80072AF9)

           ......................... SEYADS01 没有通过测试 SystemLog

        开始测试: VerifyReferences

           ......................... SEYADS01 已通过测试 VerifyReferences

    
    
     正在 ForestDnsZones

      上运行分区测试
        开始测试: CheckSDRefDom

           ......................... ForestDnsZones 已通过测试 CheckSDRefDom

        开始测试: CrossRefValidation

           ......................... ForestDnsZones 已通过测试 CrossRefValidation

    
     正在 DomainDnsZones

      上运行分区测试
        开始测试: CheckSDRefDom

           ......................... DomainDnsZones 已通过测试 CheckSDRefDom

        开始测试: CrossRefValidation

           ......................... DomainDnsZones 已通过测试 CrossRefValidation

    
     正在 Schema

      上运行分区测试
        开始测试: CheckSDRefDom

           ......................... Schema 已通过测试 CheckSDRefDom

        开始测试: CrossRefValidation

           ......................... Schema 已通过测试 CrossRefValidation

    
     正在 Configuration

      上运行分区测试
        开始测试: CheckSDRefDom

           ......................... Configuration 已通过测试 CheckSDRefDom

        开始测试: CrossRefValidation

           ......................... Configuration 已通过测试 CrossRefValidation

    
     正在 crecg

      上运行分区测试
        开始测试: CheckSDRefDom

           ......................... crecg 已通过测试 CheckSDRefDom

        开始测试: CrossRefValidation

           ......................... crecg 已通过测试 CrossRefValidation

    
     正在 crecg.com

      上运行企业测试
        开始测试: LocatorCheck

           ......................... crecg.com 已通过测试 LocatorCheck

        开始测试: Intersite

           ......................... crecg.com 已通过测试 Intersite

   

  2013年7月23日 0:46

  回复

  |

  引用