我有一个我最近configuration的testing域。 突然间,没有用户可以login,除了拥有caching凭据的用户。 该域包含两个域控制器,这两个域控制器都是全局目录,可以相互复制。
在调查了这个问题之后,我发现所有的_mcdcs域logging在两台DNS服务器上都完全没有了。 这使得无法find域控制器,因为像_ldap和_kerberos这样的SRVlogging是无法parsing的。
我不太清楚这是怎么发生的…这是清除DNScaching或DNS清理会导致什么?
在这一点上,我需要以某种方式恢复logging。 我查看了另一个域的设置,看起来他们可以手动重新创build…但是我注意到一些DNSlogging似乎在其中包含SID名称…我不知道标识符需要什么被用来重新创build它们。
有没有更好的过程,可以用来摆脱这样的情况?
1.在其中一个域控制器上重新启动Netlogon服务
要么
2.运行DCDiag /修复
要么
3.从一个域控制器的netlogon.dns文件手动创buildlogging
DNSlogging被删除是非常的(除非有人删除它们)。 通常它们是dnsTombstoned,所以如果使用其他工具(如ADSIEdit),即使在DNSpipe理器或nslookup中不可见,logging也可能会出现。
有边缘的情况下,清理可以造成这种情况(如果清理没有正确configuration,还有很多其他问题)。
http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx
我确实重启了NetLogon服务并运行了dcdiag /fix但没有运气。 经过3-4个小时的search和阅读,我决定卸载Active Directory服务并重新安装,但安装失败了!
然后,我决定根据这个和这个手动添加DNSlogging,所以我删除了域的区域,并再次添加,当添加区域,我注意到只允许安全的dynamic更新 ,我记得从某个地方应该启用此设置,所以我检查了这个checkbox,然后重新启动了netlogon服务和tadaaa! 它添加了所有的logging。 我也运行了dcdiag /fix ,然后运行了dcdiag 。 所有的testing都通过了,但我忽略了一个(SystemLog我想)。 之后,我可以join其他电脑的域名。 这可能是其他人的情况。 只需在我的网域上启用安全的dynamic更新。
希望这可以防止别人经历我去的所有麻烦。