none
我新建了一台辅助DC,但是无法打开组策略? RRS feed

  • 问题

  • 我新建了一台辅助server 2008 DC,但是无法打开组策略?右击显示域,报错:该目录服务不可用。
    2019年6月13日 3:47

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    1. 根据我们的描述,请问林/域功能级别是多少?我们的域里有几台域控制器,分别是什么服务器版本?

    2. 其他域控制器是否可以正常打开这些工具,例如Active Directory 用户和计算机,Active Directory 站点和服务,组策略等等。

    3. 能否提供具体详细的报错信息?


    这个报错可能是提升域控制器的时候出现了问题。请问我们在加入这一台辅助域控制器之前是否检查了每一个域控制器是否正常工作(在每一台域控上运行Dcdiag /v命令检查),我们是否还检查了域控制器之间的AD复制是否正常(在每一台域控上运行repladmin /showreplrepladmin /replsummary命令检查,即使以前只有一台域控制器也要检查)。如果之前没有检查,那我们现在用以上命令检查一下。

    如果以上命令检查有问题,建议最快最好的方法是,移除此台域控制器,即按照正常的提升步骤移除,移除角色,降级为成员服务器,然后退出域。重新按以上命令检查环境是否正常,如果一切正常,我们在把这台服务器重新加域(最好更改计算机名字),然后再重新提升为域控制器,然后再检查AD环境是否正常, 是否可以打开组策略。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月13日 8:28
    版主
  • 之前有两台域控中毒,现在已经不存在了,但是站点中还是有,是否只能强制删除,组策略失效是否和这个问题相关?
    2019年6月14日 0:38
  • 尊敬的客户,您好!

    我们说的之前的两台域控制器中毒,我们是否在确保之前的AD环境一切正常,然后再加入其他的域控制器。如果之前的域控制器有任何问题,新加入的域控制器会自动复制环境中的存在的域控制器,也会有问题。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月14日 3:59
    版主
  • 是因为那两台域控制器都中毒无法使用,所以才新搭建的域控,目前除了组策略之外其他都正常,现在应该怎么操作(那两台之前中毒的域控已经不存在了。)
    2019年6月14日 5:39
  • 尊敬的客户,您好!
    我们是在以前有问题的环境中加入这台服务器,然后提升为域控制器的吗?还是新建的域环境,跟之前的域环境没有任何关系?

    在这台域控制器上运行Dcdiag /v命令看是否正常。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月14日 7:27
    版主
  • 是之前的域环境,我这是单林单域多站点的,之前中毒的两个辅助域控挂了,所以新建了两个,还是在之前的域环境里

    2019年6月14日 8:13
  • 尊敬的客户,您好!

    失败的 SYSVOL 复制问题了导致组策略问题。

    请问现在环境有几个域控制器?是下面这三个吗?

    NJ-DC01N (主域控制器)
    NJ-DC02N (辅助域控制器)
    SZ-DC01 (辅助域控制器)


    主域控制器是否正常?运行Dcdiag /v检查。然后在主域控制器的以下路径\\a.local\SYSVOL\a.local\Policies创建新的测试文件或者文件夹,看是否可以同步到其他的域控制器相同的路径下。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月14日 9:16
    版主
  • 目前域环境域控

    SZ-DC01(主域控制器)

    SZ-DC02(辅助域控制器)

    SZ-DC03(辅助域控制器)

    HZ-DC01(辅助域控制器)

    HZ-DC02(辅助域控制器)

    NJ-DC01N(辅助域控制器,提权不成功,DNS不能使用,目前已经关机)

    NJ-DC02N(辅助域控制器)

    NJ-DC03N(辅助域控制器)

    主域控制器是组策略正常的,只有我这边的NJ-DC02和03打不开。另外之前有两台(NJ-DC01VM和NJ-DC02VM之前中毒已删除了,现在已经没有了)

    2019年6月17日 1:46
  • 尊敬的客户,您好!

    在有问题的域控制器上,查看SYSVOl是否已经共享了,使用net share命令检查。

    在主域控制器(或者这两台有问题的域控制器上)的以下路径\\域名\SYSVOL\域名\策略文件夹下创建新的测试文件或者文件夹,看是否可以同步到其他的域控制器相同的路径下。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月17日 8:56
    版主
  • 测试了,命令检查是正常的,并且测试文件夹可以同步到其他域控制器相同的路径。
    2019年6月18日 8:47
  • 尊敬的客户,您好!
    我们尝试在有问题的域控制器上,检查是否与AD相关的所有端口都正常开了呢?


    AD所需的端口我们可以参考以下文档:

    How to configure a firewall for Active Directory domains and trusts
    https://support.microsoft.com/en-sg/help/179442/how-to-configure-a-firewall-for-domains-and-trusts

    Service overview and network port requirements for Windows
    https://support.microsoft.com/en-sg/help/832017/service-overview-and-network-port-requirements-for-windows



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月19日 2:06
    版主
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快!


     
    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月21日 7:35
    版主
  • 服务器防火墙都是关了的,端口应该都开了
    2019年6月21日 9:29
  • 尊敬的客户,您好!

    我们是按照以下的方法打开组策略管理器,但是无法打开,对吗?


    可以把具体的报错截图给我吗?


    请在有问题的域控上和好的域控上分别运行以下命令:
    dfsrmig /getglobalstate
    dfsrmig /getmigrationstate



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月24日 8:53
    版主
  • 在问题域控上运行了这两个命令,提示无法与主DC的AD连接,请确保PDC可以访问。另外,无法上传图片,需要验证账户?怎么进行验证?

    2019年6月25日 3:42
  • 尊敬的客户,您好!

    我们检查这个有问题的域控和主域控之间的信任关系是否正常。

    在有问题的域控上运行:nltest /sc_query:域名




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月25日 11:19
    版主
  • 运行结果:
    标志: 30 HAS_IP  HAS_TIMESERV
    受信任的 DC 名称 \\SZ-DC01.域名
    受信任的 DC 连接状态Status = 0 0x0 NERR_Success
    此命令成功完成
    2019年6月26日 0:57
  • 尊敬的客户,您好!

    我们是否可以在有问题的域控制器上ping 主域控?尝试运行以下的命令看是否有报错:
    ping+主域控的IP地址
    ping+主域控制器的机器名
    ping+主域控制器的机器名.domain.com(也就是ping+FQDN)

    nslook+主域控制器的IP地址


    以上详细的报错就是:提示无法与主DC的AD连接吗?


    提示:可能是新用户,所以无法上传图片。我们可以用文字把详细的报错贴在这里。




    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月26日 10:15
    版主
  • ping命令测试都是正常的

    使用nslookup命令结果如下:

    C:\Users\aotoroot>nslookup 200.200.200.201
    服务器:  UnKnown
    Address:  200.200.212.245

    名称:    sz-dc01.aoto.szaoto.com.cn
    Address:  200.200.200.201

    使用dfsrmig /getglobalstate
    dfsrmig /getmigrationstate这两个命令结果均为:

    C:\Users\aotoroot>dfsrmig /getglobalstate

    无法与主 DC 的 AD 连接。请确保 PDC 可
    以访问,稍后重试该命令。

    C:\Users\aotoroot>dfsrmig /getmigrationstate

    无法与主 DC 的 AD 连接。请确保 PDC 可
    以访问,稍后重试该命令。

    2019年6月27日 0:31
  • 尊敬的客户,您好!

    我们尝试检查有问题的域控是否有复制的伙伴:




    我们把有问题的域控和主域控手动复制 (在主域控和在有问题的域控上都运行试试),看是否可以正常复制:

    例如,假设有问题的域控的名字叫vchzho0280VM,主域控的名字叫vchzho720VM

    手动复制域分区的命令:

    repadmin /replicate vchzho0280VM vchzho720VM "DC=a,DC=local"
    repadmin /replicate vchzho720VM vchzho0280VM "DC=a,DC=local"

    手动复制配置分区的命令:

    repadmin /replicate vchzho0280VM vchzho720VM "CN=Configuration,DC=a,DC=local"
    repadmin /replicate vchzho720VM vchzho0280VM "CN=Configuration,DC=a,DC=local"


    手动复制架构分区的命令:

    repadmin /replicate vchzho0280VM vchzho720VM "CN=Schema,CN=Configuration,DC=a,DC=local"
    repadmin /replicate vchzho720VM vchzho0280VM "CN=Schema,CN=Configuration,DC=a,DC=local"

    手动复制应用程序分区的命令:

    repadmin /replicate vchzho0280VM vchzho720VM "DC=DomainDnsZones,DC=a,DC=local"
    repadmin /replicate vchzho720VM vchzho0280VM "DC=DomainDnsZones,DC=a,DC=local"

    repadmin /replicate vchzho0280VM vchzho720VM "DC=ForestDnsZones,DC=a,DC=local"
    repadmin /replicate vchzho720VM vchzho0280VM "DC=ForestDnsZones,DC=a,DC=local"









    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月27日 14:03
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?如果已经解决了,我们可以在此分享一下方案。如果还没解决,我们可以在此更新一下。

    感谢您的理解和支持!



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月1日 9:53
    版主
  • C:\Users\aotoroot>repadmin /replicate sz-dc01 nj-dc03n "DC=a,DC=local"
    错误: LDAP 查找操作失败,错误如下:

        LDAP 错误 81(0x51): 服务器不在工作
        服务器 Win32 错误 0(0x0):
        扩展信息:

    2019年7月2日 0:45
  • 今天又检查了一下,发现操作主机(PDC,RID,架构主机)显示错误,基础结构和域命名操作主机是正确的
    2019年7月4日 5:34
  • 尊敬的客户,您好!

    感谢您的更新信息。

    请问我们是怎么检查的?具体是什么错误呢?


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月5日 2:14
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?如果已经解决的话,我们可以在此更新一下信息。

    如果使用我们自己的方法解决的话,我们可以分享一下解决方案。如果使用以上提供的方法解决的,我们可以把有用的回复标记为答案。

    如果有任何不清楚的地方,欢迎您随时咨询。

    感谢您的理解和支持。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月8日 10:02
    版主