Последние 3 месяца потратил на обновление домена 2003 до домена 2008R2. наш последний DC был перестроен (всего 5) и запущен. После того, как он был запущен, у нас есть несколько серверов 2008 и 2008 R2 (сейчас их 10), которые регистрируют эти ошибки в журналах событий.
ОШИБКИ Описание: Ошибка обработки групповой политики. Windows не смогла разрешить имя пользователя. Это может быть вызвано одной из следующих причин: a) Ошибка разрешения имен на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена). \ Может дублировать это, если мы перейдем в командную строку и запустим GPUPDATE вручную
Когда наши пользователи пытаются сделать \ каталог \ общий доступ к общему диску на затронутом сервере, получают эту ошибку. - «В настоящее время НЕ ДОСТУПНО СЕРВЕРА ВХОДА ДЛЯ ПОЛУЧЕНИЯ ЗАПРОСА ВХОДА.
Это влияет только на ОС 2008 года, и это случайный набор из примерно 10 серверов с этой ОС.
Службы на машинах работают ОК и войдите. Возможность входа с доменом / пользователем в консоли и через RDP. МЫ можем войти на затронутую машину, попасть в \ domainname \ sysvol и увидеть объекты групповой политики.
Проверили топологию репликации домена, и она утверждает, что все серверы могут реплицироваться без ошибок. Мы вернулись к последнему DC, понизили его, удалили DNS, а затем удалили его из домена и ждали 24 часа, и проблема все еще сохраняется. Выбрал один сервер, удалил его из домена, перезагрузил и снова добавил в домен без проблем, но все еще имеет такое поведение.
Суть в том, что у нас есть некоторые серверы, на которых домен не будет пропускать какие-либо приложения UDP / клиент-сервер или процесс GPO, но элементы, связанные с tcp, кажутся работающими нормально, http, tcp-вызовы, sql и oracle dbs соединяются и обрабатываются.
Любые сведения о некоторых возможных причинах этой проблемы и исправлениях. Это влияет только на серверы 2008 в домене 2008R2.
Один забавный момент, который всегда приходит на ум, когда UDP выходит из строя, а TCP работает: Kerberos MaxPacketSize.
http://support.microsoft.com/kb/244474
Аналогичная проблема может существовать с DNS, который по умолчанию использует UDP, если ответ не слишком велик для одного пакета UDP (например, получение списка записей SRV). Обычно клиенту следует повторить попытку с DNS через TCP, но если это заблокировано, могут возникнуть странные ошибки.
Проверьте DNS через TCP с помощью: «nslookup -vc domain.name [DNS server]». Если это не удается, у вас могут быть сетевые ACL, правила брандмауэра и т. Д., Которые блокируют TCP DNS.
Одна последняя ошибка, которую я видел, вызывает аналогичные проблемы: черные дыры маршрутизации, когда маршрутизаторы / брандмауэры незаметно отбрасывают трафик по разным причинам.
http://support.microsoft.com/kb/314825
Надеюсь это поможет!
Проблема заключалась в брандмауэре ISA 2006 Enterprise, связанном с NRPC, который используется в 64-битной ОС 2008 года.
Мы обнаружили, что ISA не хватает КБ плюс исправление, рекомендованное службой поддержки MS по электронной почте.
Действия UCR 3 февраля 2012 г.
ISA 2006 KB 949314 ПРИМЕНЯЕТСЯ
ИСПОЛЬЗУЕТСЯ ISA 2006 KB968078
Помощь команды MS помогла сузить проблему до новых портов NRPC, блокируемых системой ISA. После применения исправления и отсутствующего КБ мы смогли перезагрузить рядовые серверы, и он обработал объект групповой политики домена без ошибок.