Sonicwallファイアウォールユーザー認証システム過去2か月からアクティブになっています。約1400のユーザーアカウントが作成されたWindows2012 ActiveDirectoryサーバーがセットアップされています。これらのアカウントは、次のPowerShellスクリプトを使用して作成されました
Import-Module ActiveDirectory
#Import CSV
$csv = @()
$csv = Import-Csv -Path C:\Users\Administrator\Desktop\"College User Ac Password Details"\FE\civil.csv
FOREACH ($Person in $csv) {
$name = $Person.UserName
$displayname = $Person.Name
$path = "OU=here,DC=comp,DC=com"
$password = $Person.Password
$enabled = $True
$changePW = $False
$description="CIVIL"
new-ADUser -SamAccountName $name -Name $name -Description $description -DisplayName $displayname -Path $path -AccountPassword (ConvertTo-SecureString $password -AsPlainText -force) -Enabled $enabled -ChangePasswordAtLogon $changePW -PassThru
}
上記のスクリプトは、ユーザー名とパスワードを含むCSVファイルを読み取り、ActiveDirectoryにユーザーアカウントを作成します。
しかし、今日以来、認証プロセス中に問題に直面しています。ディレクトリサーバーにログオンできません。 Sonicwallファイアウォールがユーザーを認証しようとすると、同じユーザーがログアウトしました。 Windows Active Directoryサーバーでイベントロガーをチェックすると、次のメッセージが表示されます。
The dynamic registration of the DNS record 'ForestDnsZones.comp.com. 600
IN A 192.168.0.12' failed on the following DNS server:
DNS server IP address: (removed)
Returned Response Code (RCODE): 5
Returned Status Code: 9017
For computers and users to locate this domain controller, this record must be registered in DNS.
USER ACTION
Determine what might have caused this failure, resolve the problem, and initiate
registration of the DNS records by the domain controller. To determine what might have
caused this failure, run DCDiag.exe. To learn more about DCDiag.exe, see Help and
Support Center. To initiate registration of the DNS records by this domain
controller, run 'nltest.exe /dsregdns' from the command Prompt on the domain
controller or restart Net Logon service. Or, you can manually add this record to DNS,
but it is not recommended.
ADDITIONAL DATA
Error Value: DNS bad key.
上記のログエントリは、DNSの問題について説明しています。しかし、私はこのマシンでDNSサーバーを構成していませんでした。認証は過去2か月間正常に機能していましたが、今日から突然、上記の問題に直面しています。この問題の解決にご協力ください。
EDIT1
DNSサーバーログに次の警告が表示される
DNSサーバーは、Active Directoryドメインサービス(AD DS)がディレクトリの初期同期が完了したことを通知するのを待機しています。重要なDNSデータがこのドメインコントローラーにまだ複製されていない可能性があるため、最初の同期が完了するまでDNSサーバーサービスを開始できません。 AD DSイベントログのイベントがDNSネーム解決に問題があることを示している場合は、このドメインの別のDNSサーバーのIPアドレスをインターネットプロトコルプロパティのDNSサーバーリストに追加することを検討してください。このイベントは、AD DSが初期同期が正常に完了したことを通知するまで、2分ごとにログに記録されます。
このケースには2つの問題がありました
1)ドメインコントローラーのプライマリDNSはアドレスをループバックする必要があります。
2)2番目の問題は非常に些細なことでした。ログオンしようとしたユーザーのパスワードが期限切れになりました。 :-)
Colyn1337にご協力いただきありがとうございます。