最近在做整個公司的DC整合工作,上週五將一個子公司的DC降級爲成員服務器後,域管理員賬戶就再也無法登陸。今天經過分析找到了問題故障點並加以解決,留個記錄
分析過程:
故障表現爲,當前任何域賬戶都無法登陸此DC,反覆提示“Windows cannot determine the user or computer name. (The specified domain either does not exist or could not be contacted. )”,且登錄到列表中還出現了以前被拆掉的子域名稱。由於不知道本機管理員賬戶,導致也無法通過登陸到本機來解決問題。
此DC上安裝了AD/DHCP/FILE/PRINT/DNS等服務,之前所做的操作主要是遷移file/print/dhcp,然後降級了DC。之前此DC的網絡配置信息如下:
今天看到上圖中的DNS配置過後,立即想到了問題的節點---DNS。
由於這臺DC上的DNS採用的是集成到AD數據庫的方式,所以當DC完成降級操作後,AD的數據庫此機器上已經木有了,進一步DNS的數據文件也木有了。因此當用戶發起登陸驗證的需求時,本機聯繫本機DNS請求解析,木有數據的DNS解析失敗,也就導致了用戶無法登陸。
解決辦法:
遠程在另外一臺DC上用DNS管理工具連接到此DC,然後修改此DNS的轉發器到另外一個可用的域DNS,再次登陸故障就排除了。
唯一不解的是:爲啥在最開始登陸到選項裏面會出現以前被拆除的子域名稱。
思考:其實可以在日常使用時將輔助DNS設置爲另外一臺可用的DNS,這樣就可以避免這樣的情況發生。
