マルチサイト構成での間違ったADサーバーに対するワークステーション認証
以前に見た問題の解決策がまだ見つかっていないため、1つのドメインに複数のADサイトがあり、異なるサブネットとADサイトによって物理的に分離され論理的に分離されています。
あるサイトで無効状態になってからユーザーアカウントを有効にしてから(そのサイトの)ワークステーションにログインしようとすると、アカウントがまだ無効になっているというログインメッセージが表示されます。
すべてのDCに対してチェックすると、ローカルDCはユーザーが有効になっていると述べていますが、レプリケーションがまだ行われていないため、他のすべてはまだ無効になっています。有効なユーザーが間違ったパスワードを入力してテストすると、間違ったパスワードイベントが表示されます。ローカルDCと、ドメインのプライマリDC(ただし、ユーザーサイトではない))にぶつかる私はまだ正しいものを見つけることができませんでしたWin2k8のイベントIDは間違ったパスワードの試行であるため、どのDC間違ったpw要求が発信されたのかまだわかりません。
すべてのサブネットが正しく、ローカルDCの%systemroot\debug\netlogon.logにエラーはありません。サーバーは正しいサイトに戻り、ワークステーションは正しいサイトに戻り、ログオンサーバーはローカルDCです。 DFSパスはローカルDFSホストに戻り、ログオン後、別のDCへのトラフィックを確認できません。ドメイン名にpingを実行すると、ローカルDCにも解決されます。また、ローカルDCのみを指すようにDNSを設定します。
アカウントのロックを解除するために、この設定でローカルDC以外のDCが必要になる理由を誰かが知っていますか?ユーザーはすぐにアカウントを使用したいので、これの解決は非常に役立ちます。
Win 7クライアント、Win 2k8 r2サーバー、マルチADサイト構成の2003機能ドメイン
したがって、問題は、アカウントが有効になっているローカルDCが存在する場合でも、認証プロセスが最初にリモートDCに接続していると考えることです。
ここでは、観察されているよりも多くのことが起こっているのではないかと思います。
詳細情報を収集するためにできることがいくつかあります。
-ワークステーションでNetlogonデバッグロギングを有効にします。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DBFlag"=dword:24401F04
"MaximumLogFileSize"=dword:3200000
これにより、C:\ Windows\debug\netlogon.logに非常に詳細なログが作成され、認証およびサイト/ DCロケータープロセス中に発生するほとんどのアクティビティと決定が示されます。
-ワークステーションを再起動した直後に、症状を再現できるワークステーションでテストを実行します。
-スケジュールされたタスクを使用して、ワークステーションの起動時にコンピュータで実行されるようにNetMonパケットキャプチャを設定します。最高の特権を持つSYSTEMとして実行するようにタスクを構成します。コマンドは次のようになります。
cd /d "C:\Program Files\Microsoft Network Monitor 3"
nmcap /network * /capture /DisableConversations /file c:\temp\test.cap:20M /StopWhen /TimeAfter 5 min /MinDiskQuota 100M
キャプチャを使用する前に、5分の終わりにキャプチャが正常に終了するのを待ちます。ログオンテストは、再起動してから5分以内に完了する必要があります。
これにより、ローカルDCにまったく接続されていないことを確認できます。リモートDCへの紹介がある場合は、理由を判断するための追加情報がある可能性があります。
最近再起動されたワークステーションでは認証プロセスが成功したが、認証が最近失敗したワークステーションでは失敗した場合、それは有用な情報になります。