none
GPO之登入指令檔套用問題 RRS feed

  • 問題

  • 各位老師好 :
    
    目前使用者PC在套用登入指令檔會有時套用的到及時套用不到的問題~事件檢視器中也有
    相關的錯誤訊息~所以想請問各位老師要如何處理~
    
    至 使出者端測試 :
    
    1. Client PC 的 DNS 設定正確
    2. Client PC 可以連到 DNS
    3. Client PC 可以查的到 Netlogon
    4. Client PC 可以查的到 A Record
    5. Client PC 可以連到 A Record 所指的 DC IP
    6. DC 的 Netlogon Serivce 正常執行
    7. Client 的 Netlogon Server 在登入後的40-60秒才正常執行
    8. 什麼是站台與子網路是否設定正確 ?
    
    上述步驟 1-7 經確認可正常執行 , 但是登入指令檔還是時套用的到時套用不到 ~ 事件檢視器中還是有以下錯誤訊息 : 
    
    1.來源:NETLOGON 事件 ID : 5719
       描述:
       網域 ESONIEE 沒有可用的網域控制站,因為下列原因: 
       目前無可用的登入伺服器來服務登入請求。 。 
       請檢查電腦是否連線到網路, 然後重試。如果問題持續存在,請連絡您的網域系統管理員。
    
    2.來源:Usernc 事件 ID : 1054
       描述:
       Windows 無法取得電腦所屬網域的網域控制站名稱。(指定的網域可能不存在或無法連線。 )。
        群組原則處理已中止。
    
    
    我們公司有 VLan 的環境 ~ 我去使用者端測試一些方式 ~ 但是相關指令都正常執行 ~
    
    但是登入指令檔還是時套用的到時套用不到 ~ 事件檢視器中還是有錯誤訊息 ~
    
    Domain Controller 的 網段是 192.168.48.0
    Client PC         的 網段是 192.168.47.0
    
    我將其中一台Client PC 的 IP 改成 192.168.48.0 的網段後錯誤訊息完全消失 ~
    
    所以想請問老師 ~ Vlan 會影響 DC 與 Client 的連繫嗎 ? 
    
    那如果我的 DC 有兩張網卡我可以一張設 48 的網段 一張設 47 的網段嗎 ? 會有影響嗎 ? 需要改那裡的設定嗎 ? 還是
    
    只要在 AD Site and Service 中做設定就好呢 ?
    
    請老師幫我解答~謝謝!!
    2006年11月8日 上午 05:56

解答

  • 在同一個LAN基本上就不太需要再切另一個AD Site出來

    你只需要將另一個IP網段加入到現有的AD Site中即可

    請參考:

    1. 打開AD站台及服務
    2. 找到Subnet右鍵新增IP子網路
    3. 輸入你的另一個IP Subnet網段
    4. 並將此網段指定到你現有的AD站台及服務
    5. 如果你有許多個IP網段,則建議將所有IP網段加進來
    2006年11月8日 上午 09:12
  • 您可以參考以下步驟切子網路 :

    1. Open up the Active Directory Sites and Services Microsoft Management Console (MMC) snap-in.
    2. Double-click the sites container.
    3. Right-click the subnets container.
    4. Click New Subnet.
    5. Type the Internet Protocol (IP) address and mask for that you are going to use.
    6. Select a site object for this subnet.
    7. Click OK.

    並建議在每個子網路都有網域控制站提供目錄服務。
    2006年11月8日 上午 09:28

所有回覆

  • 首先請確認你的VLAN之間沒有做任何的封包Filter

    另外請確認你有將你的Client IP網段加入到適當的AD站台中,而此站台中建議至少包含一台DC

    此外也要先弄清楚你的GPO定義的套用範圍是Domain ?OU? or Site?

    最後請參考是否為下列的問題:

    http://support.microsoft.com/kb/306602/en-us

    http://support.microsoft.com/kb/870987/en-us

    2006年11月8日 上午 07:33
  • 您有替 VLAN 加上靜態路由了嗎?
    2006年11月8日 上午 07:36
  • 我想應該是有加上靜態路由的~

    因為兩個網段是互相 Ping 的到的~請

    問可以兩個site可以共用一台 DC 嗎 ? 因為這兩個 Site 同在一個 LAN !

    2006年11月8日 上午 08:38
  • 請問我的環境要如何新增兩個 Site ~ 我沒有將 Client IP 加入適當的 AD 站台中~

    我的OU是套用在OU層級上~只是我不知道我的環境是否是真的需要SITE的

    麻煩老師幫我解釋~謝謝

     

     Jammy-MVP 寫信:

    首先請確認你的VLAN之間沒有做任何的封包Filter

    另外請確認你有將你的Client IP網段加入到適當的AD站台中,而此站台中建議至少包含一台DC

    此外也要先弄清楚你的GPO定義的套用範圍是Domain ?OU? or Site?

    最後請參考是否為下列的問題:

    http://support.microsoft.com/kb/306602/en-us

    http://support.microsoft.com/kb/870987/en-us

    2006年11月8日 上午 08:43
  • 在同一個LAN基本上就不太需要再切另一個AD Site出來

    你只需要將另一個IP網段加入到現有的AD Site中即可

    請參考:

    1. 打開AD站台及服務
    2. 找到Subnet右鍵新增IP子網路
    3. 輸入你的另一個IP Subnet網段
    4. 並將此網段指定到你現有的AD站台及服務
    5. 如果你有許多個IP網段,則建議將所有IP網段加進來
    2006年11月8日 上午 09:12
  • 您可以參考以下步驟切子網路 :

    1. Open up the Active Directory Sites and Services Microsoft Management Console (MMC) snap-in.
    2. Double-click the sites container.
    3. Right-click the subnets container.
    4. Click New Subnet.
    5. Type the Internet Protocol (IP) address and mask for that you are going to use.
    6. Select a site object for this subnet.
    7. Click OK.

    並建議在每個子網路都有網域控制站提供目錄服務。
    2006年11月8日 上午 09:28
  • 非常感謝兩位老師的細心解釋與解答~

    我已經照兩位老師的方式去做~明天在觀察會不有相同的問題及錯誤訊息發生~5719及1054!!

    最後我在請問兩位老師~

    我有一台DC server ~ Server 上有兩張網卡!請問我可以將一張設成48網段一張設成47網段嗎 ?然後在改Client的DNS指向同網段的DC網卡IP

    可是我總覺得好像那裡會出問題!!是DNS會出問題還是其他地方呢?請兩位老師幫我解答一下!!

    是否可以使用一台DC兩張網卡~各連至兩個網段呢?

    謝謝

    2006年11月8日 上午 10:21
  • 如沒有特殊義意,千萬不要在DC Server BIND兩個IP

    以免造成Client的查詢衝突

    2006年11月8日 下午 01:06
  • 昨天在 AD Site and Service 的 subnet 中 新增了兩個網段 ~ 分別是 192.168.48.0/24 和 192.168.47.0/24 !

    可是今天早上觀察使用者登入 AD 後套用 GPO 的狀況還是登入指令檔套用不到 ~ 事件檢視器中的錯誤碼還是一樣 !!

    想請問老師在 AD Site and Service 中新增兩個 Subnet 的作用是什麼 ? 而它是以什麼依據來判斷我的 Client 是來自那個網

    段 ?

    我有做一個測試 ~ 就是把其中的一台 Client 電腦搬到與 DC 同個 VLAN ~ 然後測試關機後開機登入 AD ~ 結果一切正常!

    連在事件檢視器中的錯誤訊息都沒有了 ~ 屢試不爽 !把它調回原 VLAN 問題又出現 !!

    那這樣的環境我要如何去設定呢 ?

    2006年11月9日 上午 12:17
  • 剛剛好相反,是由Client去找到DC而不是由DC來判斷Client來自那裡

    當Client要求驗證的時候會依據Client TCP/IP中所指定的DNS Server去發出查詢封包

    然後DNS會回給Client記錄在DNS Server上的SRV Record

    而Client會依據此回覆得知所有DC的位置,並依據自身的IP網段找到相同的AD Site

    若相同AD Site有GC存在便會向其提出驗證要求,若相同Site無GC存在便會向其它Site中的DC提出要求

    但如果Client的IP網段並未定義到任何的AD Site中,則此時Client會優先向Default-First-Site的AD Site嚐試查詢並提出要求.

    而你的問題我在猜可能原因如下:

    1. 你的VLAN與VLAN間可能有做封包的過濾所以導致登入套用問題,你可以透過Network monitor去抓取封包檢查看看下列通訊封包是否正常:- UDP 53 for DNS
      - TCP 135 for RPC
      - TCP 445 for SMB (part of File and Printer Sharing)
      - TCP 1025
      - TCP 389 LDAP

    2. 你的Client DNS IP並沒有指向AD DNS Server IP
    3. DC如果用的是Gigabit網卡則要注意其驅動程式及BIOS是否已更新到最新,請參考http://support.microsoft.com/kb/326152/en-us
    4. 請確認你的Client or DC都沒有啟用網卡的Firewall
    5. 更多資訊請參考: http://www.eventid.net/display.asp?eventid=5719&eventno=104&source=NETLOGON&phase=1  
    2006年11月9日 上午 01:13
  • 還是非常感謝老師的回答~

    讓我更了解整個運作的機制~

    那我想請問老師 ~ 那我的 DNS 在反向對應區域中要有兩個區域 !  一個是 192.168.48.0 一個是 192.168.47.0

    因為我有這樣設定~但是不確定是否是正確的設定~

     

    2006年11月9日 上午 01:49
  • 正常是應該如你現在的設定

    DNS的反向區域是需與註冊上來的Client網段相互配合的

    2006年11月9日 上午 03:15
  • 謝謝~

    我測試加了 WINS 之後問題好像解決了  !!

    只是我不懂為什麼有 WINS 就正常呢 ?

    希望老師可以解答讓更多人了解~

    2006年11月9日 上午 05:40
  • 2006年11月9日 上午 08:58
  • 您好:

    根據您的問題 提供下列解決方案和可能出錯原因

    VLAN 的設定就是避免廣播 但是當您要JOIN DOMAIN的時候 CLIENT會使用NBT產生所謂廣播來詢問網段內是否有DOMAIN存在.而無法從GATEWAY送出,所以一定會發生找不到DC的存在...。 = =||

    A.建立LMHOST FILE.....(由CLIENT直接解析DOMAIN及DC存在位置)

    B.建立WINS SERVICE....(產生CLIENT 詢問時所產生的NBT 廣播封包回應)

    C.建立子網域....(不過應該沒有公司可以大到有需要一個VLAN架設一台DC.....)

    以上如有任何疑問 歡迎提出^^討論

                                                         Albert Lin

     

     

    2006年11月14日 下午 09:01