修改了域控制器時間導致整個域無法登陸

　　修改了域控制器時間。導致整個域無法登陸。終於搞定了。

　　故障經過

　　1、前臺一直抱怨考勤機器時間不對。考勤機器跟其他前臺的電腦連接的。時間受到域服務器的控制，無法z自行修改。

　　2、問題出來了。 我就去服務器上把域服務器的時間進行了外網時間服務器同步。（之前有修改過系統時間。沒出現過問題。所以沒備份。）

　　3、週六週日休息。週一剛上班。就有同事叫我說是打印機。共享的服務器。網絡都無法登陸。有些可以。我馬上查看病毒服務器，發現沒異常。我又去查看交換機。沒異常。查看ISA出現拒絕訪問。列表上都沒有進行身份驗證提交。我馬上想到DC出問題了。但是Dc上的郵件正常接收。這下迷糊le。。

　　我就去查看各個服務器上的日誌。發現出現無法聯繫域。備份域無法複製主域。KCC終止連接。再後來看到DNS無法解析域服務器。這下死了。修改時間導致DNS出錯。檢查所有DNS紀錄。沒問題。

　　4、微軟上說明

　　Windows 包含 W32Time，它是 Kerberos 身份驗證協議所需的時間服務工具。Windows 時間服務的目的是確保組織中運行 Microsoft Windows 2000 或更高版本的所有計算機都使用同一個時間。

　　爲確保合理地使用公共時間，Windows 時間服務使用層級關係來控制授權，並且不允許出現循環。默認情況下，基於 Windows 的計算機使用下面的層級： 所有客戶端桌面計算機都提名身份驗證域控制器作爲其入站時間夥伴。

　　所有成員服務器都遵循與客戶端桌面計算機相同的過程。

　　域中的所有域控制器都提名主域控制器 (PDC) 操作主機作爲其入站時間夥伴。

　　所有 PDC 操作主機都遵循域的層級來選擇其入站時間夥伴。

　　在此層級中，位於林根的 PDC 操作主機成爲組織的權威時間服務器。我們極力建議您將權威時間服務器配置爲從硬件源收集時間。當您將權威時間服務器配置爲與 Internet 時間源同步時，不會有任何身份驗證。我們還建議您降低服務器和獨立客戶端的時間校準設置。這些建議可以爲您的域提供更準確的時間和更高的安全性

　　也就是說我修改時間導致身份驗證出問題了。

　　我就往這個思路上去看。如何讓DNS識別我們的服務器。這是個問題。現在就是DNS正常但是無法解析服務器名字。也就是說因爲身份驗證。

　　過程曲折中……

　　知識惡補中……

　　看遍了所有的關於w32tm的資料。Dc登陸過程資料，身份驗證資料。Dc故障修復命令資料

　　後來一個命令搞定了 Netdiag /fix 要修復 Active Directory DNS 記錄註冊