Я пытаюсь понять, почему мой Сервер 2, который является контроллером домена, выдает сообщение об ошибке «Доступ запрещен», когда я пытаюсь получить доступ к управлению групповой политикой. Я проверил и выдает какую-то ошибку Kerberos. Я не уверен, как исправить ошибку «Доступ запрещен». Кажется, что активный каталог работает. Когда я провожу NLTEST, он говорит, что видит себя как DC, от которого получает информацию.
Вот где это становится странным. Войдя в некоторые из ошибок, я обнаружил, что не могу получить доступ ни к чему, когда пытаюсь получить доступ к серверу Server1, который является моим сервером полностью квалифицированного домена или основным контроллером домена. Когда я пытаюсь перейти к общим файлам на PDC из BDC, он сообщает, что у меня нет доступа. Когда я иду в обратном направлении, все работает правильно. Теперь, когда я проверил журналы событий, выяснилось, что репликация Server2 с Server1 прошла очень давно. Насколько я могу судить, Server2 не имеет доступа к Server1. Я в тупике. ОН И ЧТОБЫ УДОВЛЕТВОРЕНИЕ, групповая политика, установленная на Server2, не позволяет редактировать реестр.
Как и раньше, я думаю, что это вещь Kerberos, но я не могу понять, как сбросить или даже синхронизировать пароли Kerberos с этой проблемой отказа в доступе. И весь этот беспорядок начался, когда часы на одном из наших серверов испортились из-за плохой батареи CMOS. Таким образом, время Server1 установлено правильно, как и Server2, но проблема все еще возникает.
Я получаю эту ошибку -> Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED. Я провел некоторое исследование, и у меня нет никакого способа обойти это. Может ли кто-нибудь помочь мне или дать мне какое-то руководство, поскольку я не возился с FQDN и 2 DC одновременно. И это еще больше усугубляет то, что я не могу редактировать реестр или тот факт, что он рассматривает себя как домен для ссылок. Может ли кто-нибудь помочь мне с моей проблемой репликации?
Kerberos зависит от времени синхронизации. Вы уверены, что дата и время указаны правильно? Я встречал проблемы, когда часы и минуты были правильными, но люди упускали из виду неправильную часть даты.
Из comptuer1 вызвать
w32tm.exe /stripchart /computer:computer2 /samples:1 /dataonly
Он сообщит о разнице часов между двумя машинами.
Похоже, у вас есть GPO для отключения модов реестра? Что еще есть в этом GPO? Есть что-нибудь, чтобы ограничить обмен файлами? Если вы используете какой-то блокирующий объект групповой политики, удалите его и посмотрите, не вызывает ли это проблема.
Каковы результаты "dcdiag" с каждого сервера? Отредактируйте исходный пост, чтобы показать результаты.