none
主域控失效后,只读备域控不能实现相应功能 RRS feed

  • 问题

  • 测试环境08server r2.主域控dc1,只读备域控dc2,成员服务器e1。
    故障现象:
    dc1关机,dc2,启动的情况下:
    1、e1上输入在dc1创建的用户名:域名\e1,密码后,出现欢迎界面,然后就弹出“此工作站和主域间的信任关系失败”
    2、e1上输入在域管理员用户名:域名\administrator,密码后,出现欢迎界面,弹出“目前没有可用的登陆服务器处理登陆请求”
    3、dc2上输入在域管理员用户名:域名\administrator,密码后,出现欢迎界面,弹出“目前没有可用的登陆服务器处理登陆请求”。
    dc1,dc2启动情况下:
    e1上输入在dc1创建的用户名:域名\e1,密码后,出现欢迎界面,然后就弹出“您无法登陆,因为您使用的登陆方法再此计算机上不被允许”
    请问是dc1,dc2上有什么配置不正确么?
    2013年8月17日 1:53

答案

  • 問題在於你只有一台 RWDC (DC1), 並且沒有在 RODC(DC2) 上緩存指定計算機和指定用戶憑據的情況下, 是會出現這個問題.

    對於 AD 建議至少要有兩台 RWDC, 一台作為主 DC, 一台作為額外 DC.

    關於這方面的建議, 你可以通過管理方式運行 Powerhell 模塊並執行命令

    invoke-bpamodel 'microsoft/windows/directoryservices'
    get-bparesult 'microsoft/windows/directoryservices' | where {$_.severity -ne '信息'} | fl | more 
    
    看到系統給出的建議.

    Folding@Home

    2013年8月17日 6:04
  • RODC为了安全起见默认是不会缓存计算机和用户密码的,所以验证的时候还是需要通过DC1进行验证。

    如果需要达到效果,请为相应的计算机和用户账号设置密码复制策略

    2013年8月18日 6:52

全部回复

  • 問題在於你只有一台 RWDC (DC1), 並且沒有在 RODC(DC2) 上緩存指定計算機和指定用戶憑據的情況下, 是會出現這個問題.

    對於 AD 建議至少要有兩台 RWDC, 一台作為主 DC, 一台作為額外 DC.

    關於這方面的建議, 你可以通過管理方式運行 Powerhell 模塊並執行命令

    invoke-bpamodel 'microsoft/windows/directoryservices'
    get-bparesult 'microsoft/windows/directoryservices' | where {$_.severity -ne '信息'} | fl | more 
    
    看到系統給出的建議.

    Folding@Home

    2013年8月17日 6:04
  • RODC为了安全起见默认是不会缓存计算机和用户密码的,所以验证的时候还是需要通过DC1进行验证。

    如果需要达到效果,请为相应的计算机和用户账号设置密码复制策略

    2013年8月18日 6:52
  • 已经在rodc上缓存了用户和管理员密码,但是在主rwdc关闭的情况下,仍然出现之前列出的4点,但是如果是换成另外一台备rwdc,同样是在主rwdc关闭的情况下,可以正常登陆,但是,有报错和警告信息,如下:

    ____________________________________________

    日志名称:          Application
    来源:            Microsoft-Windows-Winlogon
    日期:            2013/8/21 15:51:07
    事件 ID:         6006
    任务类别:          无
    级别:            警告
    关键字:           经典
    用户:            暂缺
    计算机:           DC3.xxx.xxx

    描述:
    winlogon 通知订户 <GPClient> 耗费了 376 秒钟时间处理此通知事件(CreateSession)。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
        <EventID Qualifiers="32768">6006</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-08-21T07:51:07.000000000Z" />
        <EventRecordID>534</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>DC3.xxx.xxx</Computer>
        <Security />
      </System>
      <EventData>
        <Data>GPClient</Data>
        <Data>376</Data>
        <Data>CreateSession</Data>
        <Binary>04000000</Binary>
      </EventData>
    </Event>

    ____________________________________________

    日志名称:          Active Directory Web Services
    来源:            ADWS
    日期:            2013/8/20 13:10:44
    事件 ID:         1400
    任务类别:          ADWS 证书事件
    级别:            警告
    关键字:           经典
    用户:            暂缺
    计算机:           DC3.xxx.xxx

    描述:
    Active Directory Web 服务找不到具有指定证书名称的服务器证书。需要证书才能使用 SSL/TLS 连接。若要使用 SSL/TLS 连接,请验证是否在此计算机上安装了来自受信任证书颁发机构(CA)的有效服务器身份验证证书。
     
     证书名称: DC3.xxx.xxx

    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="ADWS" />
        <EventID Qualifiers="32768">1400</EventID>
        <Level>3</Level>
        <Task>5</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-08-20T05:10:44.000000000Z" />
        <EventRecordID>4</EventRecordID>
        <Channel>Active Directory Web Services</Channel>
        <Computer>DC3.xxx.xxx</Computer>
        <Security />
      </System>
      <EventData>
        <Data>DC3.xxx.xxx</Data>
      </EventData>
    </Event>

    ————————————————————————————————————————

    日志名称:          Active Directory Web Services
    来源:            ADWS
    日期:            2013/8/21 16:02:22
    事件 ID:         1202
    任务类别:          ADWS 实例事件
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           DC3.xxx.xxx
    描述:
    现在该计算机正在托管指定的目录实例,但 Active Directory Web 服务无法为其服务。Active Directory Web 服务将定期重试该操作。
     
     目录实例: NTDS
     目录实例 LDAP 端口: 389
     目录实例 SSL 端口: 636

    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="ADWS" />
        <EventID Qualifiers="49152">1202</EventID>
        <Level>2</Level>
        <Task>3</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-08-21T08:02:22.000000000Z" />
        <EventRecordID>47</EventRecordID>
        <Channel>Active Directory Web Services</Channel>
        <Computer>DC3.xxx.xxx</Computer>
        <Security />
      </System>
      <EventData>
        <Data>NTDS</Data>
        <Data>389</Data>
        <Data>636</Data>
      </EventData>
    </Event>

    ——————————————————————————————————

    另外,我在配置备rwdc的时候,有如图提示,要收到创建对dns的委派,我当时没有例会,是需要在哪里操作么?

    2013年8月26日 8:47
  • 同时为计算机账号缓存,将客户端的DNS指向RODC

    2013年8月27日 13:27