NETLOGON错误，用户无法访问NAS驱动器

Question

我有一些真正的问题，让我的用户登录到我的域名正确。我今天放了一个新的开关，并提前关闭了我的PDC；这是自从我们几周前获得一些角色以来，它第一次被引导。我们有三个DC1 DC1，DC2和DC3。DC1拥有RID、PDC和基础设施运营主程序，我们将它们切换到DC2 (它也是域的主要DNS服务器)。域控制器变得不可用，我们关闭了它，并开始捕获它的角色并执行元数据清理(我们认为我们已经成功地完成了这一任务)。今天，当我在移动DC2之后重新启动我的工作站时，我无法访问Qnap驱动器，我也无法重新映射驱动器--错误是“.组织的安全策略阻止未经身份验证的来宾访问”。这使我认为我没有被DC登录，并检查事件查看器我有NETLOGON (5719)错误-“这台计算机无法与域控制器在域mydomain...We中设置安全会话，因为您的域不可用”

在DC2上运行'dcdiag‘命令会给我一堆警告和错误，我认为这些警告和错误都是自重启以来出现的，这个命令非常突出！

Name resolution for the name _ldap._tcp.dc._msdcs.mydomain.co.uk. timed out after none of the configured DNS servers responded.

我认为这可能与删除DC1有关，所以我回到ntdsutil >元数据清理，运行命令‘RemoveSelectedserverDC1’，但这给了我以下错误：

Unable to determine the domain hosted by the Active Directory Domain Controller (5). Please use the connection menu to specify it.

如果我在ntdstuil中列出站点中的服务器--我可以看到我的域以及DC2和DC3，DC1就不会出现，所以我不能进一步清理元数据。

有谁知道我下一步可以尝试什么吗？非常感谢

Answer 1

您是否已进入DNS控制台并检查是否在_ldap._tcp.dc._msdcs.mydomain.co.uk中有实际的SRV条目？

从每个DC验证LDAP的nslookup：nslookup -type=SRV _ldap._tcp.dc._msdcs.mydomain.co.uk

如果记录存在，但没有从一个或其他DC解析，那么在DC的网络适配器上的DNS客户端设置中配置了哪些If？也许他们被指到退役的DC。对于DC上的DNS客户端配置，我建议如下(当然，确保远程DC通过正在配置的DC的nslookup响应查询)：

[Remote DC IP]
[Local DC IP]
127.0.0.1

如果适配器上的DNS配置看起来正常，但SRVs丢失了，请尝试重新启动Netlogon服务。

如果SRV没有在几分钟内注册(再次执行nslookup或确保刷新DNS控制台)，那么do在Azure中吗？是否为每个DC注册了PTR记录？

如果服务存在注册SRV和相关DNS记录的问题，系统日志系统事件日志将包含来自NETLOGON源的条目。如果A/PTR记录注册失败，它将发生DNS客户端错误事件。

最后，要对不成功的SRV注册进行故障排除(如果您在系统日志中获得这些注册)，可以启用新的Netlogon调试日志记录

• 运行更高级别的Nltest /DBFlag:2080FFFF以启用netlogon服务的调试日志记录
• 重启NETLOGON
• 检查C:\Windows\debug\netlogon.log文件中是否有错误
• 运行新测试/DBFlag:0x0 to时禁用调试日志记录并重新启动服务

如果它们是Azure托管的DC，可能还需要其他DNS客户端信任。