大約半年前,發現印表機都無法使用主機名稱連線,要用IP去連結,就像以下
\\ps01(無法使用)
\\192.168.0.100(只能使用這個)
我當時還以為是微軟又在更新什麼安全性的東西,
結果,後來,我看到Server中的“事件檢視器“中有網域同步的錯誤。
在公司的網路中,有一個Domain,有三台Domain Controller,
有二台是實體主機,另一台是Virtual Server,上面有Printer / DNS /DHCP Server 三種服務,
因為在虚擬主機上可以還原到某個備份過的還原點,
結果,有幾次還原後,可能主機上的Key和在其他Domain Controller上的Key不同,
所以,就開始無法同步Domain上的資料,這也是難怪新增使用者,而使用者一直沒有權限使用Printer Server。
在事件檢視器中出現了以下三種的錯誤:
這台電腦無法通過 \\FS03.xxx.tw (網域 xxx 的 Windows 網域 控制站) 的驗證,所以這台電腦的登入要求可能會被拒絕。
無法驗證的原因可能是因為網域上有 其他電腦使用相同名稱,或是無法識別 這台電腦帳戶的密碼。
如果這個訊息重複出現, 請連絡您的系統管理員。
Kerberos 用戶端從伺服器 fs01$ 收到 KRB_AP_ERR_MODIFIED 錯誤。
使用的目標名稱為 ldap/NTFS01.xxx.tw。這表示目標伺服器無法解密用戶端所提供的票證。
當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時,就會發生此情形。
請確定目標 SPN 已在 (且僅在) 伺服器所使用的帳戶上登錄。
當目標服務為目標服務帳戶使用的密碼與 Kerberos 金鑰發佈中心 (KDC) 所擁有之目標服務帳戶的密碼不同時,也會發生此情形。
請確定伺服器上的服務與 KDC 皆已更新為使用正確的密碼。
若伺服器名稱不是完整合格名稱,且目標網域 (xxx.TW) 與用戶端網域 (xxx.TW) 不同,請檢查這兩個網域中是否有同名的伺服器帳戶,或是使用完整合格名稱來識別該伺服器。
群 組原則處理失敗。Windows 嘗試從網域控制站讀取檔案 \\xxx.tw\sysvol\xxx.tw\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini 失敗。解決此事件之前,可能無法套用群組原則設定。這可能是下列其中一個或多個原因造成的暫時性問題:
a) 到目前網域控制站的名稱解析/網路連線問題。
b) 檔案複寫服務延遲 (在其他網域控制站建立的檔案尚未複寫到目前的網域控制站)。
c) 分散式檔案系統 (DFS) 用戶端已被停用。
這看起來是 ps01被另外二台Domain Controller給抛棄了,所以,要把ps01從Domain Controller的角色給拉下來成為一般電腦,但是,試過了幾種方式,ps01都會顯示“無法連繫fs01主機“。
後來,找到一個指令,在要降級的主機上輸入後,即可強迫降級,説是降級下來,但這台主機卻不在Domain中了,是在Workgroup中,需要再去Domain Controller主機把這台ps01刪除,再重新加入Domain中即可。
在dos mode中輸入“depromo /forceremoval"
會出現警告視窗警告原有的DNS服務會被移除,還好,我還有二台主機也有DNS服務
再來是警告AD的視窗
AD精靈
這個是設定這台電腦的Administrator的密碼,因為整個步驟結束就是單機了,不在Domain裏面了。
提醒視窗,再按下一步即會開始進行。
在跑完上面的步驟後就己經從AD上移除了。
要記得,再把這台主機加入到Domain中,只是這次這台主機就當成一般主機就好,不要再當成Domain Controller的角色了。
留言列表
