原本公司只有一台Windows Server 2003的Domain Controler,後來將另外一台Windows Server 2008 R2也升級為Domain Controler,然後開始將FSMO五大角色移轉到新的DC上,後來發現在2008上面所設定GPO沒有作用,在2008上面增加的使用者也沒有出現在2003的DC上,而Client端的認證都還是由2003來負責,看過事件檢視器以及dcdiag所檢測的結果,發現都顯示是因為2003 Server的帳戶有問題。
在2003 Server上可以看到類似的事件:
|
事件類型: 錯誤
事件來源: NETLOGON
事件類別目錄: 無
事件識別碼: 5721
日期: 2013/7/5
時間: 上午 08:02:07
使用者: N/A
電腦: STW01
描述:
在 Windows NT 或 Windows 2000 網域控制站 \\SRVT0202.anser-u2.com設定網域 ANSER-U2 的工作階段失敗,因為網域控制 站沒有這台電腦 STW01 所需以設定工作階段的帳戶 STW01$。
|
而在dcdiag的結果中,則會出現NO TRUST SAM ACCOUNT的訊息。
查看AD使用者及電腦管理工具,發現2003 Server的電腦雖然存在於Domain Controllers容器,但是他的類型是工作站或伺服器,查了一下網路資料,總算找到一篇符合我的情況,依照內容進行處理,總算是解決了這個問題。
處理過程如下:
1. 登入到沒有出現SAM Account問題的DC。
2. 開啟AD使用者及電腦管理工具,將有問題的DC電腦帳戶移動到Domain Controllers容器中(因為我的案例本來就在該容器內,所以省略這一步)。
3. 使用ADSI編輯工具,連線到沒有問題的DC,展開到Domain Controllers這個OU
4. 找到帳號有問題的DC,按右鍵選內容
5. 找到userAccountControl屬性,雙擊開啟編輯視窗
6. 將數值設定為532480(意思就是變更為Server_Trust_Account,我的案例原本是593920)
7. 設定完成後,按確定儲存。
8. 登入到有問題的DC
9. 開啟命令提示視窗
10. 執行nltest /sc_change_pwd:<你的網域名稱>
11. 重啟有問題的DC
重啟完成後,重新執行DCDIAG,果然MACHINEACCOUNT測試通過。
參考資料:"Replication Access Was Denied" Error Messages Occur After You Promote a Server to Domain Controller
留言列表
