none
網域使用者無法授權 RRS feed

  • 一般討論

  • 各位好:

    小弟公司由於AD主要是拿來當應用系統身分驗證之用,因此並未強制所有使用者一定要加入AD,目前AD的架構是ROOT兩台DC,然後旗下有一個子網域THQ,也是兩台DC,目前主要是使用THQ網域,ROOT網域沒有使用,四台DC皆為Server 2003,長久以來在授權member server的使用者時,會發生一些很奇怪的現象,以下是現象的描述

    當想要授權某個網域使用者如AAA,可以讀寫某個目錄的資料,當使用GUI設定時,輸入完AAA按下檢查名稱時,正常會出現AAA@THQ.abc.com,但是有時會發生奇怪的現象,就是原本檢查名稱會出現AAA@THQ.abc.com會變成AAA@__________然後按下確定時,會出現從  從物件AAA的物件選取器傳回的資訊不完整,無法處理物件,然後就沒辦法設定了,以下是歸納發生現象的一些資訊:

    1-發生問題的當時,不管任何一個帳號AAA、BBB、CCC都是傳回一樣的錯誤資訊,所以應該不是帳號的問題。

    2-發生問題的電腦,不是一直都有問題,有的時候是正常,有的時候不正常(但不正常居多)。

    3-發生問題的電腦,都有嘗試退出網域並在DC刪除該電腦物件後,重新加入網域之後,狀況依舊。

    4-所有發生問題的電腦,若不使用GUI而是使用指令來授權,都可以成功設定。

    由於目前發生問題的機器並非1-2台,而是先後已經累積有超過10台,所以覺得應該是問題的根源應該是AD比較可能,但是之前跟微軟開CASE問,也是無法根除這個問題,所以不知道各位有沒有好辦法可以讓我縮小問題的根源,不然老是要幫人家授權也不是辦法,謝謝

    • 已變更類型 AChange 2013年1月21日 上午 02:35
    2013年1月15日 上午 01:07

所有回覆

  • 有點怪 @@ 都跟微軟開 Case 了為什麼沒有解決問題,
    當初處理過程有做過什麼動作嗎?
    否則在論壇上重新討論,可能還是讓大家請你做一樣的事情。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2013年1月15日 上午 03:11
    版主
  • 當初請微軟開CASE時,因為首先發生問題的機器大多是檔案伺服器或資料庫伺服器(且都不是MIS部門的機器),微軟在第一時間是先搜集資訊,因為問題不是很明確,因此先上了幾個PATCH,後來還是無法解決,後來說有看到類似的CASE跟網卡與網路設定有關,因此調整有問題機器的網路卡與網路設定(調整5-10項),但是依然還是無法解,最後只剩下抓網路封包一途,但因機器不是MIS部門的機器,加上檔案伺服器與資料庫伺服器比較敏感,也因為問題是時好時壞(在測試過程中有變正常,但是不久後依然又發生),加上用指令方式就沒有問題,因此其他單位也不想讓微軟抓封包,因此這個CASE後來就先結案了,過程中微軟工程師相當的熱心,這點是給予肯定的,只是問題雖不嚴重,但是3不5時發生,總是希望能縮小問題的範圍,因為自己管轄的機器都沒發生問題,其他單位對要抓網路封包又是相當的敏感,若是自己的機器有問題就可以請微軟抓封包解了。不過我觀察到一個有趣的現象

    1-這個CASE出現兩次高峰期,一個在DC未升級到2003 SP2時,當DC全部升到SP2時,這個CASE就消失了好長一段時間

    2-目前新發生的CASE有8成都是Server 2008 R2 Enterprise x64的版本

    2013年1月15日 上午 03:48
  • 說實話,抓封包會比較容易了解狀況,
    因為可以從封包的來往得知整個驗證個過程哪個環節出問題。

    一般這種怪異的狀況,都會先從防火牆或防毒軟體懷疑起,
    假使有裝防毒軟體,建議是試著「移除」看狀況有無改善。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2013年1月15日 上午 06:11
    版主