Мы начинаем применять GPO к нашему действующему домену и сталкиваемся с некоторыми проблемами, которых не было в нашем тестовом домене.
Все локальные машины работают под управлением Windows 7 pro.
Когда я применяю групповую политику с помощью gpupdate / force, все работает нормально на контроллере домена, но когда я перехожу на локальный компьютер, при запуске gpupdate / force я получаю следующую ошибку: Ошибка вызова функции привязки LDAP с кодом ошибки 49
Итак, я провел небольшое исследование этой ошибки и выяснил, что Microsoft говорит, что это проблема профиля. Итак, я приступаю к расследованию. Я нашел инструмент от sysinternals, чтобы проверить, есть ли у меня какие-либо поврежденные профили: Используя PSTools, я запустил его из командной строки с повышенными правами: PsExec.exe -i -s cmd.exe rundll32.exe keymgr.dll, KRShowKeyMgr Нет поврежденных профилей как Я подозревал, что это новая установка на локальном компьютере.
Затем я проверил, есть ли у меня авторизованные пользователи на вкладке «Делегирование», и да, да. Затем я попытался перезапустить службу Netlogon. Это все еще не сработало. Я тоже попытался перезапустить сервер, но это не сработало.
Я протестировал свои защищенные каналы, следуя этой статье:
Я проверил службы для входа в сеть, и они настроены на локальную системную учетную запись по умолчанию на сервере. (Запускается автоматически)
Единственный экспедитор, который у нас есть - 8.8.8.8.
Нет внешних DNS-серверов.
У нас только один DNS-сервер.
Политика Kerberos установлена на 5 минут.
Я запустил команду klist tickets, и у меня вернулся только один билет, и он был моим. Guid._msdcs.DomanName.com не может быть преобразован в IP-адрес.
Я запустил DCDiag / test: DNS, и он вернулся с ошибкой:
Сводка результатов теста DNS:
Auth = Pass, Basc = Fail, Forw = Pass, Del = Pass, Dyn = Warn, RReg = Fail, Ext = n / a
Я также запустил dcdiag / test: registerindns /dnsdomain:DomainName.com
результат: конфигурации DNS достаточно, чтобы позволить этому контроллеру домена динамически регистрировать записи локатора контроллера домена в DNS. DcDiag не может достичь окончательного результата, потому что он не может интерпретировать следующее возвращенное сообщение: 9003
Я также запустил nltest / dsregdns, и у меня все еще возникают проблемы с DNS.
Я удалил запись CNAME в папке DNS для контроллера домена и повторно добавил ее в папку DNS, но результаты все еще не отличаются.
После этой статьи здесь: https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that-are-required-for-proper-functionality-of-active-directory/
Брандмауэр находится вне сети и защищает компьютер внутри домена. Так что между брандмауэром нет DC, о котором я знаю.
Мы исправили ошибку времени, когда сервер получал время с локального сервера. Мы изменили его на внешний источник из IP-адресов пула, и теперь все локальные машины работают в правильное время.
Я даже проверил с wirehark и вижу ошибки, но не уверен, что это источник моей проблемы.
Поэтому я решил провести дополнительное исследование и обнаружил, что это могла быть ошибка DNS. Поэтому я подумал, что попробую покинуть домен и добавить его заново, но это не сработало. Я даже посмотрел, есть ли у меня какие-нибудь дополнительные файлы хоста, которых у меня быть не должно. Нет, нада.
Честно говоря, не знаю, что делать дальше.
Я действительно обнаружил, что у нас есть несколько субподрядчиков в нашем контроллере домена, и похоже, что они, возможно, испортили некоторые вещи, например, мы вообще не получали никаких обратных запросов, и теперь, когда это исправлено, есть два имени файла сервера NS, в которых все еще там, но я не думаю, что нам нужны два. Я скажу, что когда я просматривал журналы событий, я увидел код ошибки 1222 рядом с кодом ошибки 49, и мне интересно, связаны ли они между собой или нет? Хотя этот компьютер никогда не выходил из нашего домена, я не уверен, как он получит код ошибки 1222. Это случилось даже на новом установочном компьютере.
Кто-нибудь еще сталкивался с этой проблемой? Я провел много исследований, и, похоже, у других пользователей есть много проблем с привязкой LDAP, но они, казалось, были исправлены относительно легко. Так что я не знаю, что еще делать. Я открыт для предложений и идей.
Я думаю, что это проблема DNS. Но по какой-то причине я все еще не могу решить эту проблему. Я не вижу ничего необычного в роли DNS на сервере.
Спасибо!