none
域转移后,新域控制器上提示(未能从域控制器读取配置信息,或者因为机器不可使用,或者是访问被拒绝。)事件ID 1030/1058/2021/8003 RRS feed

  • 问题


  • 域名:kt.com

    M(win 2003 SP2):ISA,用于共享上网

    ser1(win2003 SP1) :PDC,DNS,IIS,DHCP

    ser2(win3002 sp2) :BDC,DNS,IIS,文件服务器,打印服务器

         由于PDC(ser1)硬盘出问题,市面上已经没有配件,所以决定把AD转到BDC(ser2)上,已经成功用转移的方式把所有角色转移,但原ser1还没删,因为转移后发现ser2上的SYSVOL里为空的,dcpromo删ser1出现

    身份验证错误,后来按微软的方式重建SYSVOL并加入正确权限,重启动后,原PDC可以用dcpromo正常删除AD并转为普通客户端。

         转移期间一直出现下面几点错误直到现在(服务器日志部份),我按微软方法操作,权限和相关服务都已经启动了,nslookup ser2和kt.com的IP地址是正确的,但就到了验证\\kt.com\sysvol这一步是走不下去的

    ,提示机器不可使用,或者是访问被拒绝。但是我用\\ser2\sysvol却能访问正常,其中微软在SYSVOL文件恢复中说到的几点操作,ser2做不下去,因为根本就打不开组策略编辑器(微软SYSVOL恢复操作不能

    进行部份)

     

    ==========================微软SYSVOL恢复操作不能进行部份(头)==============================

    4.
     在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。
    注意:如果安装了组策略管理控制台,则“编辑”按钮不可用。在这种情况下,单击“打开”以启动组策略管理控制台,展开“domain name”,展开“域控制器”,右键单击“默认域控制器策略”,然后单击“编辑”。
     (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)
     
    5.
     展开下面的文件夹:

    计算机配置
    Windows 设置
    安全设置
    本地策略
     
    6.
     单击“用户权限分配”,然后双击“跳过遍历检查”。应该出现下列默认设置:

    经身份验证的用户
    所有人
    管理员

    如果没有出现,而您又需要添加这些组,请单击“添加用户或组”,然后单击“浏览”。
     
    7.
     单击“开始”,单击“运行”,键入 gpupdate,然后单击“确定”。
     
    8.
     请验证 sysvol 共享权限设置是否正确,如下所示:

    管理员 = 完全控制
    经身份验证的用户 = 完全控制
    所有人 = 读取

    ===========================微软SYSVOL恢复操作不能进行部份(尾)==============================

    --------------------------------------------------------服务器日志(头)---------------------------------------------------------

    事件类型: 错误
    事件来源: Userenv
    事件种类: 无
    事件 ID: 1030
    日期:  2014-2-15
    事件:  10:48:32
    用户:  NT AUTHORITY\SYSTEM
    计算机: ser2
    描述:
    Windows 不能查询组策略对象列表。请查看事件日志,从中寻找策略引擎以前可能记录的描述此原因的消息。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

    ------------------------------------------------------------------------------------------------------------------------

    事件类型: 错误
    事件来源: Userenv
    事件种类: 无
    事件 ID: 1058
    日期:  2014-2-15
    事件:  10:48:32
    用户:  NT AUTHORITY\SYSTEM
    计算机: ser2
    描述:
    Windows 无法访问 GPO CN={GUID},CN=Policies,CN=System,DC=kt,DC=com 的文件 gpt.ini。此文件必须在 \\ kt.com\sysvol\kt.com\Policies\{GUID}gpt.ini器读取配置信息,或者因为机器不

    可使用,或者是访问被拒绝。 )。组策略处理中止。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

    ------------------------------------------------------------------------------------------------------------------------

    事件类型: 错误
    事件来源: MRxSmb
    事件种类: 无
    事件 ID: 8003
    日期:  2014-2-18
    事件:  8:30:54
    用户:  N/A
    计算机: ser2
    描述:
    主浏览器从计算机 M上收到 一个服务器宣告,认为它是传输 NetBT_Tcpip_{E4E392BF-16F5-44A2-A3D4 上的域主浏览器。 主浏览器已停止或一个主浏览器选举已开始。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
    数据:
    0000: 00 00 00 00 03 00 54 00   ......T.
    0008: 00 00 00 00 43 1f 00 c0   ....C..À
    0010: 00 00 00 00 00 00 00 00   ........
    0018: 11 00 00 00 00 00 00 00   ........
    0020: 00 00 00 00 00 00 00 00   ........

    ------------------------------------------------------------------------------------------------------------------------

    事件类型: 警告
    事件来源: Srv
    事件种类: 无
    事件 ID: 2021
    日期:  2014-2-18
    事件:  8:44:40
    用户:  N/A
    计算机: ser2
    描述:
    服务器无法在最近的 60 秒内分配工作项目 5904 次。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
    数据:
    0000: 00 00 00 00 03 00 48 00   ......H.
    0008: 00 00 00 00 e5 07 00 80   ....å..€
    0010: 00 00 00 00 9a 00 00 c0   ....š..À
    0018: 00 00 00 00 00 00 00 00   ........
    0020: 00 00 00 00 00 00 00 00   ........

    --------------------------------------------------------服务器日志部份(尾)-----------------------------------------------------------------

    2014年2月18日 2:25

答案

  • 问题已经解决了,按微软http://support.microsoft.com/kb/935918的操作,建议大家发生这两种报错的时候,解决这种问题还是按一定顺序检查以保证下面几点:

    1. \\Pc Name\Sysvol 的共享设置,可参考微软sysvol权限设置和sysvol重建(我记得里面有一个步骤是要修改域策略,这一步对于我现在的情况,是完全操作不了,因为PDC原本就提示不能访问域策略,还要怎么做下去,大家先别管,能做的步骤你就先做);当你设置好之后,访问共享文件时或许有很多人像我一样,\ \Pc Name\sysvol  完全没问题,\ \Domin或者\ \Pc Name.domin.com能进,但子文件不能进,但最少你要net share里看到;

    2. Nslookup下面的名称

        Pc Name

        domin.com

        FQDN.Domin.com

        GUID.Domin.com   这些要看到正确IP,如果不对你去检查首选DNS和Dns服务器里面的设置(Dns建议你装在PDC上,我转移AD后,因为没及时删旧的PDC,ping Domin.com在不同时间会解析为其中一个IP,如果你旧的PDC转为BDC,只要DNS只是解析为这两个IP应该是不影响的(关于这一点是否正确,我并没验证));

    3.相关服务设置自动启动并且已经启动,本地连接里的Microsoft 网络文件和打印机共享勾选,Windows防火墙开端口(这些有点不太记了,需要了解的可在网上找找AD需要开的端口);

    4.SP补丁,打补丁这一点,建议大家用WINDOWS自动更新,微软提供的补丁不好下载也不确定能否正常安装,返正你就把这一份工作交给自动更新去完成;

    5.下面的操作就是我解决我服务器的最后一个操作,出自微软(http://support.microsoft.com/kb/935918

        最后我有番感概,其他作为MIS,首先不能急,一急你就什么都乱了,当发生问题的时候,错误日志已经提供了最准确的信息,只要细心的一步一步来,问题还是可以解决的。              

                                                                                                                             祝:新年快乐,事事如意

    原因

    如果您使用了要创建在 Active Directory 域的域控制器和 $ 信任之间的信任关系的域目录林的域控制器的 fqdn,可能会发生此问题。

    解决方案

    若要解决此问题,删除从 Active Directory 域和信任的域控制器条目。若要这样做,请按照下列步骤操作:
    1. 单击 开始,键入 domain.msc,然后单击 确定 以打开 Active Directory 域和信任。
    2. 在控制台树中用鼠标右键单击包含要删除,该信任项域,然后单击 属性
    3. 单击 信任 选项卡并单击要删除,一个域控制器信任项然后单击 删除
    4. 按屏幕中删除域的信任条目的说明。
    5. 对其他域控制器信任项重复步骤 3 和 4。
    6. 单击 确定 以关闭域属性对话框。
    7. 退出 Active Directory 域和信任。
    8. 重新启动删除信任条目的所有域控制器。
    • 已标记为答案 kinki-y 2014年2月21日 6:04
    2014年2月21日 6:01

全部回复

  • 你好,

    根据我的理解,在把角色转移到ser2上之后,降级了ser1成为了一个普通的member server,现在域里应该只存在一台域控制器也就是ser2, 我建议运行一下dcdiag,检查一下域的健康状态。

    Regards,

    Yan Li


    Regards, Yan Li

    2014年2月19日 5:33
    版主
  • dcdiag后,其他都PASSD,就这两个报错,上面提示GUID DNS名称不能解析IP,我查了DNS,看到“正向查找区\kt.com\msdcs”下面有“别名”的记录,请问还有什么地方需要有这个记录?

    C:\Documents and Settings\administrator.KT.000>dcdiag

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\ser2
          Starting test: Connectivity
             The host 3cd1716b-67e5-4d0c-afa4-24f23092b76a._msdcs.kt.com could no
    t be resolved to an
             IP address.  Check the DNS server, DHCP, server name, etc
             Although the Guid DNS name
             (3cd1716b-67e5-4d0c-afa4-24f23092b76a._msdcs.kt.com) couldn't be
             resolved, the server name (ser2.kt.com) resolved to the IP
             address (192.168.1.5) and was pingable.  Check that the IP address is
             registered correctly with the DNS server.
             ......................... ser2 failed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\ser2
          Skipping all tests, because server ser2 is
          not responding to directory service requests

    ser2 failed test systemlog



    • 已编辑 kinki-y 2014年2月19日 9:26
    2014年2月19日 5:55
  • 我在DNS里重新建别名记录,nslookup 3cd1716b-67e5-4d0c-afa4-24f23092b76a._msdcs.kt.com可以正常解析,现在只剩systemlog没启动,这是对应哪服务里面哪一项?这服务对于域来说是不是必要的?


    • 已编辑 kinki-y 2014年2月19日 9:30
    2014年2月19日 9:29
  • 只要 systemlog 日誌反應的錯誤是之前那些錯誤, 沒有新增錯誤日誌, 那麼就可以暫時忽略該錯誤.

    Folding@Home

    2014年2月19日 11:15
  • dcdiag报错如下,查了下论坛,0X00000457因为我用远程连接服务器,但服务器没驱动所以报错,可以忽略,但0xC0000037就不清楚,目前ser2还是有1030、1058的报错,以上的问题依然存在,都找了一星期都还没解决。

          昨晚装了客户端的系统XP,加域是没问题的,只是访问:\\kt.com\sysvol或者:\\ser2.kt.com\sysvol提示没权限,但打印机共享能进,\\ser2\sysvol能进,这明显是权限没应该到DNS的访问方式上,只应用到局域网的访问方式上,会不会是DNS上还缺点什么东西,或者端口问题,还有就是域权限(如:domin\user)没加到哪个地方,如果按我这思路,应该怎么走,我是小白,不在会操作

    Starting test: systemlog
        An Error Event occured.  EventID: 0x00000457
           Time Generated: 02/20/2014   08:37:00
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0x00000457
           Time Generated: 02/20/2014   08:37:03
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0x00000457
           Time Generated: 02/20/2014   08:37:03
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0x00000457
           Time Generated: 02/20/2014   08:37:03
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0x00000457
           Time Generated: 02/20/2014   08:37:11
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0x00000457
           Time Generated: 02/20/2014   08:37:12
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0xC0000037
           Time Generated: 02/20/2014   08:37:12
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0xC0000037
           Time Generated: 02/20/2014   08:37:12
           (Event String could not be retrieved)
        ......................... ser2 failed test systemlog

    2014年2月20日 1:37
  • 问题已经解决了,按微软http://support.microsoft.com/kb/935918的操作,建议大家发生这两种报错的时候,解决这种问题还是按一定顺序检查以保证下面几点:

    1. \\Pc Name\Sysvol 的共享设置,可参考微软sysvol权限设置和sysvol重建(我记得里面有一个步骤是要修改域策略,这一步对于我现在的情况,是完全操作不了,因为PDC原本就提示不能访问域策略,还要怎么做下去,大家先别管,能做的步骤你就先做);当你设置好之后,访问共享文件时或许有很多人像我一样,\ \Pc Name\sysvol  完全没问题,\ \Domin或者\ \Pc Name.domin.com能进,但子文件不能进,但最少你要net share里看到;

    2. Nslookup下面的名称

        Pc Name

        domin.com

        FQDN.Domin.com

        GUID.Domin.com   这些要看到正确IP,如果不对你去检查首选DNS和Dns服务器里面的设置(Dns建议你装在PDC上,我转移AD后,因为没及时删旧的PDC,ping Domin.com在不同时间会解析为其中一个IP,如果你旧的PDC转为BDC,只要DNS只是解析为这两个IP应该是不影响的(关于这一点是否正确,我并没验证));

    3.相关服务设置自动启动并且已经启动,本地连接里的Microsoft 网络文件和打印机共享勾选,Windows防火墙开端口(这些有点不太记了,需要了解的可在网上找找AD需要开的端口);

    4.SP补丁,打补丁这一点,建议大家用WINDOWS自动更新,微软提供的补丁不好下载也不确定能否正常安装,返正你就把这一份工作交给自动更新去完成;

    5.下面的操作就是我解决我服务器的最后一个操作,出自微软(http://support.microsoft.com/kb/935918

        最后我有番感概,其他作为MIS,首先不能急,一急你就什么都乱了,当发生问题的时候,错误日志已经提供了最准确的信息,只要细心的一步一步来,问题还是可以解决的。              

                                                                                                                             祝:新年快乐,事事如意

    原因

    如果您使用了要创建在 Active Directory 域的域控制器和 $ 信任之间的信任关系的域目录林的域控制器的 fqdn,可能会发生此问题。

    解决方案

    若要解决此问题,删除从 Active Directory 域和信任的域控制器条目。若要这样做,请按照下列步骤操作:
    1. 单击 开始,键入 domain.msc,然后单击 确定 以打开 Active Directory 域和信任。
    2. 在控制台树中用鼠标右键单击包含要删除,该信任项域,然后单击 属性
    3. 单击 信任 选项卡并单击要删除,一个域控制器信任项然后单击 删除
    4. 按屏幕中删除域的信任条目的说明。
    5. 对其他域控制器信任项重复步骤 3 和 4。
    6. 单击 确定 以关闭域属性对话框。
    7. 退出 Active Directory 域和信任。
    8. 重新启动删除信任条目的所有域控制器。
    • 已标记为答案 kinki-y 2014年2月21日 6:04
    2014年2月21日 6:01