有客户报修,无法访问网盘,昨天下班还是正常的。 这里据说说的网盘,是文件服务器上用组策略自动映射的网络驱动器。 首先怀疑是客户端DNS设置问题,检查后发现,IP地址和DNS服务器都是自动获取的,并且全部正确。 ping 文件服务器名称,也正常。 在“运行”中输入 \\文件服务器名称,显示没有权限。 但是,在“运行”中输入 \\文件服务器IP地址,即可以访问共享文件夹。 基本上排除了客户端的问题,用一台测试用的win10虚拟机测试,发现同样的故障现象,并且gpupdate /force,更新组策略失败。 很明显,是文件服务器的问题了,顺便说明,这台也是DC。 马上就想到,这台服务器是之前因为崩溃了,用一周前的群晖active backup for business里面的备份恢复而来的,间隔一周,可能丢失了某些信息,导致两台DC不同步了。 在这台文件服务器上执行命令:dcdiag,发现KnowsOfRoleHolders测试没能通过,错误为:-2146893022,目标主要名称不正确。 显然,两台AD之间的复制出现问题了,用repadmin /showrepl 命令显示AD复制问题,也是同样原错误信息。 那就尝试手动复制吧: net stop KDC repadmin /replicate fs.test.cn dc1.test.cn "DC=test,DC=cn" 复制成功后,重启KDC服务,net start KDC 再次执行dcdiag命令,KnowsOfRoleHolders测试顺利通过,但是SystemLog测试还是没能通过,EventID:0x40000004 看提示,貌似Keyberos密钥中心配置的密码不同,可能是恢复出来的服务器密码没有同步吧,那也要手动重置一下了: net stop KDC netdom resetpwd /server:dc1.test.cn /userd:test.cn\administrator /password:"PwdOfAdministrator" 重置成功后,重启KDC服务,net start KDC 再次执行命令:repadmin /showreps,全部尝试成功,小小地松了一口气。 又一次执行:dcdiag,全部测试通过! 回到客户端Win10 PC,gpupdate /force,更新组策略成功,网盘自动映射成功,访问没问题了。 总算松了口气,晚上把过程写出来,也就几百字而已,实际上折腾了2小时。 实操经验,码字不易,敬请转发和关注。 |
|