locked
在PDC上執行命令:dsquery * 出現dsquery 失敗:無法操作伺服器。 RRS feed

  • 問題

  • 狀況描述:

    在擁有五大角色的PDC上操作以下動作

    以命令提示字元執行dsquery * 出現錯誤訊息如下:

    dsquery 失敗:無法操作伺服器。

    ---------------------------------------------------------------------

    圖形化界面開啟"Active Directory使用者和電腦"跳出錯誤訊息如下:

    Active Directory 使用者和電腦

    ---------------------------------------------------------------------

    圖形化界面開啟"Active Directory 站台及服務"跳出錯誤訊息如下:

    Active Directory 站台及服務

    ---------------------------------------------------------------------

    圖形化界面開啟"ADSI 編輯器"跳出錯誤訊息如下:

    ADSI 編輯器


    以上。但"DNS"開啟可以看到正常畫面,且有跟其他DC做複寫

    (有測試在其他台DC的DNS上加入新的記錄,PDC可以成功複寫),

    另外我有測試強制指定client端在Logging時去找這台PDC做認證,測試結果正常

    (我是用nltest /dsgetdc:DomainName驗證的,確實是去找PDC做認證。接著我又刻意從別台DC修改測試帳號的密碼,再使用新的密碼登入電腦,一樣是找PDC做認證,結果可以正常登入)。

    另外還有一個問題點是,在PDC上原本網域最高權限帳號Administrator的profile資料夾,檔名變成“我的音樂",如下圖:

    UserProfile

    總結:看起來目前PDC的LDAP服務正常,複寫也沒有錯誤出現,只是dsquery相關指令不能使用,且GUI無法開啟,

    再麻煩各位專業的大大提供意見,好讓小弟我解決這個天大的麻煩…

    非常感謝~




    • 已編輯 Bagao 2016年12月6日 上午 08:40
    2016年12月6日 上午 08:34

解答

  • 建議先用微軟的複寫指令或複寫檢查工具 Active Directory Replication Status Tool
    對網域控制站間的複寫進行檢查

    建議除了 PDC 上執行檢查外,
    也嘗試從非 PDC 上進行,
    因為也有可能是 PDC 本身異常


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 Bagao 2016年12月13日 上午 10:39
    2016年12月6日 下午 01:57
    版主
  • 您好,

    我認為您的PDC應該有問題.

    方案一:

    建議您重新建立一台DC,並且加入現有網域控制站,

    然後將五大角色及GC移轉至此新DC中,並且用戶端DNS IP指向New DC IP.

    最後,將舊有的PDC dcpromo降級為網域伺服器成員後,測試用戶端登入及其它DC複寫狀況是否正常.

    方案二:

    移轉或強制奪取五大角色+GC 至其它DC中,並且用戶端DNS IP指向此 DC IP.

    最後,將舊有的PDC dcpromo降級為網域伺服器成員後,測試用戶端登入及其它DC複寫狀況是否正常.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 Bagao 2016年12月13日 上午 10:38
    2016年12月7日 上午 05:16

所有回覆

  • 用命令提示字元 ,輸入 netdom query fsmo 

    確認一下你的FSMO 到底在那台。


    Lusheng

    2016年12月6日 上午 10:35
  • Lusheng您好:

    FSMO剛好是此台PDC,正是五大角色的主機,所以問題處理起來會比較棘手,

    所以想請問各位專業人士有沒有什麼建議的解決方案,再麻煩指點小弟一下!

    非常感謝~



    • 已編輯 Bagao 2016年12月8日 上午 06:31
    2016年12月6日 下午 12:29
  • 建議先用微軟的複寫指令或複寫檢查工具 Active Directory Replication Status Tool
    對網域控制站間的複寫進行檢查

    建議除了 PDC 上執行檢查外,
    也嘗試從非 PDC 上進行,
    因為也有可能是 PDC 本身異常


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 Bagao 2016年12月13日 上午 10:39
    2016年12月6日 下午 01:57
    版主
  • 您好,

    我認為您的PDC應該有問題.

    方案一:

    建議您重新建立一台DC,並且加入現有網域控制站,

    然後將五大角色及GC移轉至此新DC中,並且用戶端DNS IP指向New DC IP.

    最後,將舊有的PDC dcpromo降級為網域伺服器成員後,測試用戶端登入及其它DC複寫狀況是否正常.

    方案二:

    移轉或強制奪取五大角色+GC 至其它DC中,並且用戶端DNS IP指向此 DC IP.

    最後,將舊有的PDC dcpromo降級為網域伺服器成員後,測試用戶端登入及其它DC複寫狀況是否正常.

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 Bagao 2016年12月13日 上午 10:38
    2016年12月7日 上午 05:16
  • 檢查確認複寫正常!謝謝你~
    2016年12月13日 上午 10:40
  • 已架了一台全新的DC,順利轉移五大角色,謝謝你!
    2016年12月13日 上午 10:40