有客户报修,无法访问网盘,昨天下班还是正常的。
这里据说说的网盘,是文件服务器上用组策略自动映射的网络驱动器。
首先怀疑是客户端DNS设置问题,检查后发现,IP地址和DNS服务器都是自动获取的,并且全部正确。
ping 文件服务器名称,也正常。
在“运行”中输入 \\文件服务器名称,显示没有权限。
但是,在“运行”中输入 \\文件服务器IP地址,即可以访问共享文件夹。
基本上排除了客户端的问题,用一台测试用的Win10虚拟机测试,发现同样的故障现象,并且gpupdate /force,更新组策略失败。
很明显,是文件服务器的问题了,顺便说明,这台也是DC。
马上就想到,这台服务器是之前因为崩溃了,用一周前的群晖active backup for business里面的备份恢复而来的,间隔一周,可能丢失了某些信息,导致两台DC不同步了。
在这台文件服务器上执行命令:dcdiag,发现KnowsOfRoleHolders测试没能通过,错误为:-2146893022,目标主要名称不正确。
显然,两台AD之间的复制出现问题了,用repadmin /showrepl 命令显示AD复制问题,也是同样原错误信息。
那就尝试手动复制吧:
net stop KDC
repadmin /replicate fs.test.cn dc1.test.cn "DC=test,DC=cn"
复制成功后,重启KDC服务,net start KDC
再次执行dcdiag命令,KnowsOfRoleHolders测试顺利通过,但是SystemLog测试还是没能通过,EventID:0x40000004
看提示,貌似Keyberos密钥中心配置的密码不同,可能是恢复出来的服务器密码没有同步吧,那也要手动重置一下了:
net stop KDC
netdom resetpwd /server:dc1.test.cn /userd:test.cn\administrator /password:"PwdOfAdministrator"
重置成功后,重启KDC服务,net start KDC
再次执行命令:repadmin /showreps,全部尝试成功,小小地松了一口气。
又一次执行:dcdiag,全部测试通过!
回到客户端Win10 PC,gpupdate /force,更新组策略成功,网盘自动映射成功,访问没问题了。
总算松了口气,晚上把过程写出来,也就几百字而已,实际上折腾了2小时。
实操经验,码字不易,敬请转发和关注。