locked
兩台GC並存AD,但其中一台關機後,部份服務無法登入 RRS feed

  • 問題

  • 各位高手好,小弟遇到一個測不出來的問題,請各位協助:

    我公司有三台DC,分別叫Main1(2003)、Main2(2003)、Main3(2008),
    其中Main1與Main3都具有GC,FSMO五角色都在Main3身上。

    最近因為準備讓Main1退役,因此我做了把Main1關機,看看Main3是否可順利接手網域的運作,但是當我將Main1關機後,網域中有些服務就無法登入,例如:

    一台Konica C253 MFP事務機(採用AD認證,網域有設定,DNS均直接指向Main3的IP)
    一台Mail Server,採用雷電Maild,帳號是網域帳號(沒有特別指定給那一台DC)
    目前發現以上兩者在Main1關機後都無法登入。

    但是其它的像一般Client電腦登入都沒有問題。
    當我再將Main1開機後,這些不能都入的又可以登入了,我懷疑是AD問題,但我做過 dcdiag、repadmin 的幾項檢查都報告AD是正常的,檢測DNS設定也沒問題,實在是想不出還有什麼地方可能有問題,實在很擔心萬一老舊的Main1故障後公司AD就完了,所以想請高手協助...

    謝謝您
    2009年12月25日 上午 03:48

所有回覆

  • 是指無法登入到網域?  還是什麼狀況?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月25日 上午 10:07
  • 你的網域環境是否有切站台?
    如果先拔掉Main1的GC,是否還會有同樣的狀況?

    試試用「netdom query fsmo」這個指令在Main3 主機上執行,
    確認FSMO 五大角色是否都在Main3 主機上。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2009年12月25日 上午 11:41
    版主
  • 首先謝謝您的回覆。 您好,我先前已有做過確認,確定fsmo均於main3身上: C:\Users\jason>netdom query fsmo 架構主機 main3.xxx.com.tw 網域命名主機 main3.xxx.com.tw PDC main3.xxx.com.tw RID 集區管理員 main3.xxx.com.tw 基礎結構主機 main3.xxx.com.tw 命令成功完成。 仍期待您為小弟解惑,謝謝您
    2009年12月28日 上午 06:58
  • 如果關掉Main1 主機後,
    只有你上述提到事務機及雷電郵件伺服器有問題,
    我會建議詢問原廠看看,
    說不定是有什麼需要特別修改的小設定。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2009年12月28日 上午 07:03
    版主
  • 您好:

    我均已確認過,這兩個都只有設定網域的地方,沒有其它AD相關設定..
    所以應不是這兩個的問題,可以排除.

    另外新發現,有一台4Bay的NAS也是如此
    2009年12月29日 上午 07:14
  • Askasu 您好,關於此問題我已搜集資料另發於這個主題..

    您提到的文章是指在server變更登錄檔嗎?

    2009年12月29日 上午 08:01
  • Main1是 2000? 還是2003? 這篇跟另一篇寫的有衝突..

    AD環境中的DNS Server是架設在DC上面(AD整合模式)? 還是不是

    如果是的話..有沒有確認Domain中的每一台Client端DNS Server的IP都是指向剩下的兩台DC?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月29日 上午 08:16
  • 您好,另一主題是另一個情境,跟此問題不同~

    1.此篇主題是Main1是2003。
    2.DC上都有DNS,都是AD整合模式。
    3.確認每一台Client都指向剩下的DC

    2009年12月29日 上午 09:17
  • 你一開始提到的沒有辦法登入是怎樣一個狀況..可否在描述一下? 看不懂什麼是"目前發現以上兩者在Main1關機後都無法登入"
    是指Client端無法連到事務機? 無法使用Email? 還是Server本身無法登入Domain? 還是??
    而無法使用的時候是否有錯誤訊息? 有的話也麻煩提供一下

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月29日 上午 09:22
  • 謝謝您熱心幫忙..

    「目前發現以上兩者在Main1關機後都無法登入」解說如下:
    如果關閉Main1(也就是只開著Main2、Main3),

    會發生很多服務無法通過AD驗證,如下:
    1.事務機無法登入(事務機有設定要輸帳密透過AD驗證通過才可使用)
    2.郵件伺服器無法登入(郵件伺服器有設定要輸帳密透過AD驗證通過才可使用)
    3.NAS網路磁碟機無法登入(NAS有加AD,要輸帳密透過AD驗證通過才可使用)

    錯誤訊息都是該設備自己的錯誤...
    但AD事件有錯誤,跟另外一篇的錯誤是完全一樣的。

    不好意思,前面說明的不清楚請見諒囉。
    2009年12月29日 上午 09:33
  • 另外一篇你是說有些人可以登入...有些人不行..是嗎?

    如果可以的話..麻煩你找一台無法登入的機器..在上面進行Network Monitor的封包錄製
    蒐集登入那三台其中一台(事務機,郵件伺服器,NAS)的過程

    然後麻煩提供一下Client端的IP & 三台DC的IP

    封包檔案可以上傳到網路上(如http://www.badongo.com)給大家看看

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月29日 上午 09:57
  • Askasu 您好,關於此問題我已搜集資料另發於這個主題..

    您提到的文章是指在server變更登錄檔嗎?


    如果你有網域環境,可以從GPO裡面查目前設定的NTLM驗證模式為何?
    從Default Domain Controllers Policy 的GPO 設定檢查
    電腦設定 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 安全性選項 裡面,
    找 [網路安全性:「LAN 管理員」驗證層級] 的目前設定為何?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2009年12月29日 上午 10:32
    版主
  • 您指的使用Network Monitor,是要我在Client PC上做這件事嗎?

    因這些事件都發生在:事務機<-->DC 、 MailServer<-->DC,驗證不發生於Client PC
    我若利用port mirror搭配wireshark擷取封包再分析,是否會有較多線索呢?


    2009年12月30日 上午 08:33
  • Askasu您好:
    該GPO設定為預設值,沒有特別定義

    2009年12月30日 上午 09:16
  • 您指的使用Network Monitor,是要我在Client PC上做這件事嗎?

    因這些事件都發生在:事務機<-->DC 、 MailServer<-->DC,驗證不發生於Client PC
    我若利用port mirror搭配wireshark擷取封包再分析,是否會有較多線索呢?



    可以..只要能擷取到驗證那段過程的封包..什麼方法都OK
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月30日 上午 09:25
  • 您好,已擷取封包,已過濾到只剩下這些資料:
    172.16.1.251=>事務機
    172.16.1.249=>Main3 (DC+FSMO+GC+DNS)
    172.16.1.248=>Main1 (DC+DNS)
    172.16.1.244=>Main2 (DC+GC+DNS)

    擷取中間有用 "yuri" 這個帳號測試登入,有成功也有失敗

    檔案位於這裡

    要麻煩您了~
    2009年12月30日 上午 10:01
  • 因為這個錄製的時間應該有2-3分鐘
    可否大概說明一下是先成功?  還是先失敗?

    如果可以的話..把成功 & 失敗的封包分開來比較好做判斷...麻煩了

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月30日 上午 11:58
  • 謝謝您的協助..

    已重新擷取,檔案在此

    內有兩個檔案,說明如下:
    cap_yuri_fail.pcap = 登入失敗
    cap_yuri_ok.pcap = 登入成功

    再請您看看是否可看出問題,失敗的那一個,他進行到第八個步驟
    8 0.003065 172.16.1.249 172.16.1.251 DNS Standard query response A 172.16.1.248
    就沒有再繼續了
    2009年12月31日 上午 06:52
  • 感謝上傳

    先問個問題...是不是相同的情況下有時候會失敗有時候會成功??

    從你傳上來的兩個封包來看..狀況大概下面這樣

    先透過DNS Server (Main3)去做查詢DC的資訊
    傳回來的結果通常都是先傳Main1的IP..然後事務機就會去找此IP做驗證...但是會沒有回應 (在第一次上傳的封包內有出現..一直有Retransmit的狀況)

    之後成功的狀況都是在查詢DC時..回傳的是Main3 or Main2
    才得以成功做驗證

    至於為什麼會有這樣的狀況出現...我在想會不會是事務機的問題..因為一般來說應該是這台DC沒回應的話就會找下一台DC才對
    但是從封包的狀況看起來似乎一次只有找一台..所以會造成這問題發生..可以的話提供一下型號..看可否查到相關資料


    另外...你可以測試下面動作..去將DNS Server裡面的DC資訊(Main1)暫時刪除...我想無法驗證的問題應該就不會出現

    在DNS Server的下面四個地方..把Main1的資訊暫時刪除(如有需要之後可以手動加回去)

    _kerberos._tcp.xxx.com
    _ldap._tcp.xxx.com
    _kerberos._udp.xxx.com
    _ldap._udp.xxx.com


    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月31日 上午 07:14
  • 您好,我的想法與您一樣..

    機器的型號為:Konica Minolta bizhub C253
    該機器沒有可以查詢system log的地方,很不容易找問題。

    您提的方法應該可以暫解此問題,但我擔心的是萬一某台DC掛掉時,多台DC容錯的功能不能應用在該機器上,是比較可惜的地方
    2009年12月31日 上午 09:05
  • 找不到什麼相關資訊
    你要不要按造要官方提供的Document去重新設定一下AD驗證的部分

    下面網址裡面有個 bizhub_c353_c253_c203_fe3_1-0-0_nwadmin.pdf , 設定是在 1-103 頁
    http://download6.konicaminolta.eu/konmin/servlet/KonMinMaster;jsessionid=BC732B55FA0D274EB68E1A12AB28C98D.node02?path=../search.jsp&mode=show&document=33194

    另外
    如果可以的話...你可以建立一個測試環境(兩台DC)...然後看看這台事務機在其中一台DC關機的狀況下是否會有相同情形
    不過這個測試方法滿麻煩的就是了..

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月31日 上午 09:30
  • 照說明書與我之前設定的都沒有問題..

    最近沒再發生了,我有做以下幾件事:

    1.將樹系提升為 Windows Server 2003
    2.啟用舊式密碼演算法
    2010年1月8日 上午 07:07