locked
子網域建置問題 RRS feed

  • 問題

  • DEAR ALL

    因公司想在大陸建立網域架構進行管控pc。台灣這邊為母公司,大陸為子公司。

    預計規劃為圖示:


    台灣這邊使用hyperv虛擬機器進行建置dc(子網域),這部分沒問題。

    但在大陸子網域要架成rodc主機,出現以下錯誤

    已成功查询 DNS,获取服务位置(SRV)资源记录(此资源记录用于查找域“lihe.sm”的域控制器):

     

    此查询用于查找 _ldap._tcp.dc._msdcs.lihe.sm SRV 记录

     

    下列域控制器由查询识别:

    lihedc01.lihe.sm.tech

     

     

    但是无法连接到域控制器。

     

    此错误的常见原因包括:

     

    - 将域控制器的名称映射到其 IP 地址的主机(A)或主机(AAAA)记录丢失或包含错误地址。

     

    - DNS 中注册的域控制器没有连接到网络上,或没有运行。

    ping台灣的DC ip 及 機器名稱都可以。

    nslookup 解析DNS也是正常。

    可以麻煩各位先進協助。找了好幾天,找不出解決方式。




    2014年2月17日 上午 06:03

解答

所有回覆

  • 事件檢視器中有何錯誤另外用dcdiag跑一下看看有沒有其他的資訊

    小白技術沒關係 金錢的力量 決定服務的高低

    2014年2月17日 上午 06:53
  • 正在執行初始化設置:

       正在嘗試查找主要伺服器...

       主要伺服器 = LIHEDC01

       * 已識別的 AD 林。

       已完成收集初始化資訊。

    正在進行所需的初始化測試

       正在測試伺服器: Default-First-Site-Name\LIHEDC01

          開始測試: Connectivity

             ......................... LIHEDC01 已通過測試 Connectivity

    正在執行主要測試

       正在測試伺服器: Default-First-Site-Name\LIHEDC01

          開始測試: Advertising

             ......................... LIHEDC01 已通過測試 Advertising

          開始測試: FrsEvent

             ......................... LIHEDC01 已通過測試 FrsEvent

          開始測試: DFSREvent

             ......................... LIHEDC01 已通過測試 DFSREvent

          開始測試: SysVolCheck

             ......................... LIHEDC01 已通過測試 SysVolCheck

          開始測試: KccEvent

             ......................... LIHEDC01 已通過測試 KccEvent

          開始測試: KnowsOfRoleHolders

             ......................... LIHEDC01 已通過測試 KnowsOfRoleHolders

          開始測試: MachineAccount

             ......................... LIHEDC01 已通過測試 MachineAccount

          開始測試: NCSecDesc

             ......................... LIHEDC01 已通過測試 NCSecDesc

          開始測試: NetLogons

             [LIHEDC01] 用戶憑據沒有許可權執行該操作。

             該測試使用的帳戶必須具有該電腦的域的

             網路登入許可權。

             ......................... LIHEDC01 沒有通過測試 NetLogons

          開始測試: ObjectsReplicated

             ......................... LIHEDC01 已通過測試 ObjectsReplicated

          開始測試: Replications

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC03 LIHEDC01

                命名內容: DC=ForestDnsZones,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

                失敗發生在 2014-02-17 15:10:01

                上次成功發生在 2014-02-17 14:59:51

                自從上次成功已發生 1 次失敗。

                Kerberos 錯誤。

                沒有找到對調用進行身份驗證的 KDC

                請檢查是否有足夠的網域控制站可用。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC03

             複製。

             在下次同步時將自動校正該問題。

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC02 LIHEDC01

                命名內容: DC=ForestDnsZones,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

                失敗發生在 2014-02-17 15:10:01

                上次成功發生在 2014-02-17 14:59:51

                自從上次成功已發生 1 次失敗。

                Kerberos 錯誤。

                沒有找到對調用進行身份驗證的 KDC

                請檢查是否有足夠的網域控制站可用。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC02

             複製。

             在下次同步時將自動校正該問題。

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC03 LIHEDC01

                命名內容: CN=Schema,CN=Configuration,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

                失敗發生在 2014-02-17 15:10:00

                上次成功發生在 2014-02-17 14:59:51

                自從上次成功已發生 1 次失敗。

                Kerberos 錯誤。

                沒有找到對調用進行身份驗證的 KDC

                請檢查是否有足夠的網域控制站可用。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC03

             複製。

             在下次同步時將自動校正該問題。

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC02 LIHEDC01

                命名內容: CN=Schema,CN=Configuration,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

                失敗發生在 2014-02-17 15:10:01

                上次成功發生在 2014-02-17 14:59:51

                自從上次成功已發生 1 次失敗。

                Kerberos 錯誤。

                沒有找到對調用進行身份驗證的 KDC

                請檢查是否有足夠的網域控制站可用。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC02

             複製。

             在下次同步時將自動校正該問題。

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC03 LIHEDC01

                命名內容: CN=Configuration,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

                失敗發生在 2014-02-17 15:10:00

                上次成功發生在 2014-02-17 14:59:51

                自從上次成功已發生 1 次失敗。

                Kerberos 錯誤。

                沒有找到對調用進行身份驗證的 KDC

                請檢查是否有足夠的網域控制站可用。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC03

             複製。

             在下次同步時將自動校正該問題。

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC02 LIHEDC01

                命名內容: CN=Configuration,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

                失敗發生在 2014-02-17 15:10:01

                上次成功發生在 2014-02-17 14:59:51

                自從上次成功已發生 1 次失敗。

                Kerberos 錯誤。

                沒有找到對調用進行身份驗證的 KDC

                請檢查是否有足夠的網域控制站可用。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC02

             複製。

             在下次同步時將自動校正該問題。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC03

             複製。

             在下次同步時將自動校正該問題。

             複製延遲警告

             錯誤: 缺少期望的通知連結。

             將延遲新更改和該路徑的源 DC02

             複製。

             在下次同步時將自動校正該問題。

             ......................... LIHEDC01 沒有通過測試 Replications

          開始測試: RidManager

             ......................... LIHEDC01 已通過測試 RidManager

          開始測試: Services

             ......................... LIHEDC01 已通過測試 Services

          開始測試: SystemLog

             發生了一個警告事件。EventID: 0x80040022

                生成時間: 02/17/2014   15:09:15

                事件字串: 驅動程式已經禁用設備 \Device\Harddisk0\DR0 上的寫入高速

    緩存。

             發生了一個警告事件。EventID: 0x80040022

                生成時間: 02/17/2014   15:09:15

                事件字串: 驅動程式已經禁用設備 \Device\Harddisk0\DR0 上的寫入高速

    緩存。

             發生了一個警告事件。EventID: 0x80040022

                生成時間: 02/17/2014   15:09:15

                事件字串: 驅動程式已經禁用設備 \Device\Harddisk0\DR0 上的寫入高速

    緩存。

             發生了一個錯誤事件。EventID: 0xC00038D6

                生成時間: 02/17/2014   15:09:59

                事件字串: DFS 命名空間服務無法初始化該網域控制站上的跨林信任資訊,但

    該服務將定期重試該操作。返回代碼位於記錄資料中。

             發生了一個警告事件。EventID: 0x0000008E

                生成時間: 02/17/2014   15:16:41

                事件字串: 時間服務已停止作為時間源播發,原因是本地時鐘未同步。

             發生了一個警告事件。EventID: 0x000727AA

                生成時間: 02/17/2014   15:18:30

                事件字串:

                WinRM 服務無法創建以下 SPN: WSMAN/LIHEDC01.lihe.SM.tech; WSMAN/LIHED

    C01

             ......................... LIHEDC01 沒有通過測試 SystemLog

          開始測試: VerifyReferences

             ......................... LIHEDC01 已通過測試 VerifyReferences

       正在 DomainDnsZones

        上運行分區測試

          開始測試: CheckSDRefDom

             ......................... DomainDnsZones 已通過測試 CheckSDRefDom

          開始測試: CrossRefValidation

             ......................... DomainDnsZones 已通過測試 CrossRefValidation

       正在 lihe

        上運行分區測試

          開始測試: CheckSDRefDom

             ......................... lihe 已通過測試 CheckSDRefDom

          開始測試: CrossRefValidation

             ......................... lihe 已通過測試 CrossRefValidation

       正在 ForestDnsZones

        上運行分區測試

          開始測試: CheckSDRefDom

             ......................... ForestDnsZones 已通過測試 CheckSDRefDom

          開始測試: CrossRefValidation

             ......................... ForestDnsZones 已通過測試 CrossRefValidation

       正在 Schema

        上運行分區測試

          開始測試: CheckSDRefDom

             ......................... Schema 已通過測試 CheckSDRefDom

          開始測試: CrossRefValidation

             ......................... Schema 已通過測試 CrossRefValidation

       正在 Configuration

        上運行分區測試

          開始測試: CheckSDRefDom

             ......................... Configuration 已通過測試 CheckSDRefDom

          開始測試: CrossRefValidation

             ......................... Configuration 已通過測試 CrossRefValidation

       正在 SM.tech

        上運行企業測試

          開始測試: LocatorCheck

             ......................... SM.tech 已通過測試 LocatorCheck

          開始測試: Intersite

             ......................... SM.tech 已通過測試 Intersite


    2014年2月17日 上午 07:42
  • Hi kto13,

    從您原本給的問題描述,會先建議您先在台灣這端建一台子網域RODC,

    若遇到一樣的問題,代表此問題與網路的相關性可能較低,

    而是要在發生問題的lihedc02中,從log去看它的dcrpomp過程遇到的問題(位置:%systemroot%\debug),

    再去lihedc01檢查這些地方的運作是否正常~

    您下面給的dcdiag的診斷結果可以看到lihedc01可能有些問題~

    因為NetLogons和Replications皆沒有正常運作

    所以您應該先提供lihedc02的dcpromo.log,謝謝您

    =====================

    開始測試: NetLogons

             [LIHEDC01] 用戶憑據沒有許可權執行該操作。

             該測試使用的帳戶必須具有該電腦的域的

             網路登入許可權。

             ......................... LIHEDC01 沒有通過測試 NetLogons

    開始測試: Replications

             [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC03 LIHEDC01

                命名內容: DC=ForestDnsZones,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

    [Replications CheckLIHEDC01] 最近的複製嘗試失敗:

                DC02 LIHEDC01

                命名內容: DC=ForestDnsZones,DC=SM,DC=tech

                複製生成一個錯誤(1908):

                找不到此域的網域控制站。

    ======================

    2014年2月18日 上午 02:44
  • 請嘗試參照微軟文件檢查及解決Event ID 1908的錯誤.

    http://support.microsoft.com/kb/2712026


    邊幫助, 邊鍛鍊

    2014年2月18日 上午 03:07
  • lihedc02是我在台灣這邊測試RODC主機可以加入。

    NetLogons和Replications皆沒有正常運作

    NetLogons服務我確定有開啟。

    Replications這個我找不到!!

    2014年2月18日 上午 04:32
  • 先參考 TechNet 文件庫的資料確認防火牆沒有擋到使用的服務埠:
    Active Directory and Active Directory Domain Services Port Requirements

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年2月18日 上午 05:27
    版主
  • 從大陸 telnet port: 369 88 464 這三個PORT是通的,是從台灣telnet 這三個PORT不通。

    2014年2月18日 上午 06:57
  • 請先嘗試開放中國及台灣兩邊的 DC 溝通,
    文件中也有提到不是只有這三個 Port 做服務,
    還有 UDP 埠

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年2月18日 上午 08:21
    版主
  • 後來檢測大陸到台灣的UDP389沒通,再請VPN廠商測試。

    2014年2月19日 上午 01:13
  • Hi kto13

    那就等你測試後在回來分享心得

    因為問題果然還是在細節上面

    所以當你下次還有網域控制站相關的問題的話

    建議你可以先使用 dcdiag 指令操作

    在去找相關的問題點會比較有效

    2014年2月19日 上午 02:53