有一个我以前见过但尚未find解决scheme的问题,我有一个域中的多个AD站点在物理上分开,逻辑上由不同的子网和AD站点隔开。
在一个站点处于禁用状态后启用用户帐户,然后尝试login工作站(在该站点)时,将收到一条login消息,表明其帐户仍处于禁用状态。
当检查所有DC的本地DC状态时,用户已启用,但由于复制尚未发生,所有其他DC仍然被禁用。 启用用户input错误的密码进行testing显示不正确的密码事件是击中本地DC,也是该域的主DC(但不是在用户的网站),我还没有能够find正确的事件ID在Win2k8对于错误的密码尝试,所以我不能build议哪个DC不正确的pw请求源自。
所有子网都是正确的,本地DC上%systemroot \ debug \ netlogon.log没有错误,服务器返回正确的站点,工作站返回正确的站点,其login服务器是本地DC DFSpath返回到本地DFS主机,login后我看不到任何stream量到另一个DC。 Ping的域名也parsing到本地DC。 我们也设置DNS只指向本地DC。
有没有人有一个想法,为什么这个设置将需要一个比本地DC以外的一个DC来解锁账户? 用户想立即使用他们的帐户,所以这个解决scheme是非常有帮助的。
Win 7客户端,Win 2k8 r2服务器,2003多function网站configurationfunction域
所以问题是,您认为身份validation过程首先与远程DC联系,即使启用了该帐户的本地DC也是如此。
我怀疑这里发生的事情比观察到的要多。
以下是一些可以收集更多信息的方法:
在工作站上启用Netlogondebugging日志logging:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] "DBFlag"=dword:24401F04 "MaximumLogFileSize"=dword:3200000 这将在C:\ Windows \ debug \ netlogon.log中创build一个非常详细的日志,其中包含身份validation期间发生的大部分活动和决策以及站点/ DC定位器进程。
– 在工作站重新启动之后,在可以复制症状的工作站上执行testing。
– 设置一个NetMon数据包捕获在工作站启动时使用计划任务在计算机上运行。 将任务configuration为以最高权限以SYSTEM身份运行。 这些命令会是这样的:
cd /d "C:\Program Files\Microsoft Network Monitor 3" nmcap /network * /capture /DisableConversations /file c:\temp\test.cap:20M /StopWhen /TimeAfter 5 min /MinDiskQuota 100M
在尝试使用之前,等待捕捉在五分钟结束时正常结束。 logintesting将需要在重新启动的五分钟内完成。
这应该使您能够确认本地DC根本没有被联系。 如果有远程DC的推荐,可能会有额外的信息来确定原因。
如果身份validation过程在最近重新启动的工作站上成功,但在最近身份validation失败的工作站上失败,那么这将是有用的信息。