故障現(xiàn)象

單位網(wǎng)絡(luò)部署了活動目錄域環(huán)境，域控使用的是Windows Server 2012系統(tǒng)。網(wǎng)絡(luò)運行一直比較穩(wěn)定。

近日一些客戶反映，在和域控制器進行連接時，出現(xiàn)“無 法 與 域xxx.com的Active Directory域控制器（AD DC）連接，請確保鍵入的域名正確”的提示信息，造成無法使用域中資源的問題。

筆者以本地管理員身份登錄，使用ping命令檢測，發(fā)現(xiàn)客戶端和域控制器之間的連通性是沒有問題，但是卻無法正常加入域環(huán)境。

故障排查

筆者運行“services.msc”程序，在服務管理器中選擇“Workstation”服務，右擊“重新啟動”項，重啟該服務，因為該服務的作用是使用SMB協(xié)議創(chuàng)建并維護客戶端網(wǎng)絡(luò)與遠程服務器間的連接，但問題依然沒有解決。

因為還有一些服務和加域操作有關(guān)聯(lián)，為此在服務管理器中查看了諸如TCP/IP NetBIOS Helper，Computer Browser、Server、Remote R e g i s t r y、Windows Time、Netlogn等 服務，確保其全部處于自動運行狀態(tài)，之后重啟系統(tǒng)，依然無法連接域控。

打開“網(wǎng)絡(luò)連接”窗口，雙擊“本地連接”項目，在狀態(tài)窗口中點擊“屬性”按鈕，發(fā)現(xiàn)在“此連接使用下列項目”列表中的“Microsoft網(wǎng)絡(luò)客戶端”項沒有處于選中狀態(tài)，該組件是加入域所必須的，不選擇該項，本地計算機就沒有訪問Microsoft網(wǎng)絡(luò)的可用工具，將該項選中后重新連接，發(fā)現(xiàn)問題依舊。因為該機之前可以順利進入域，所有使用的域賬戶應該不存在什么問題。運行“eventvwr.msc”程序，在事件管理器中查看相關(guān)的記錄信息，果然發(fā)現(xiàn)了一些相關(guān)的提示信息。

例如系統(tǒng)提示“查詢DNS以獲取服務位置（SRV）資源記錄，此資源記錄用于查找域xxx.com的活動目錄域控制器（AD DC）是遇到錯誤”，“錯誤是沒有為本地系統(tǒng)配置DNS服務器，錯誤代碼0x0000267C DNS_ERROR_NO_DNS_SERVERS。 此 查 詢用于查找 _ldap._tcp_dc_msdcs.xxx.comde SRVjil ”等內(nèi)容。因為在域控中部署了集成區(qū)域DNS服務，此故障應該和SRV記錄有關(guān)。我們知道，SRV記錄是服務器資源記錄的縮寫，其作用是說明一個服務器能夠提供什么樣的服務。

SRV記錄在微軟的Active Directory中起著重要作用，域中的主機需要依賴DNS的SRV記錄來定位域控制器。服務位置記錄SRV是Windows DNS實現(xiàn)的重要組成部分，如果沒有DRV記錄，客戶端和服務器就不能定位域控，自然無法和域控建立連接。在CMD窗口中執(zhí)行“nslookup”命令來驗證加入域所需的SRV記錄是否正常。在“>”提示符下執(zhí)行“set q=srv”，“_ldap.tcp.dc._msdcs.xxx.com”命令，執(zhí)行查詢操作。

其 中“xxx.com” 為 實際的域名。如果查詢成功，在返回信息中會顯示相關(guān)SRV資源記錄信息，并確定Active Directory中的所有域控是否包含在內(nèi)，并已經(jīng)使用有效的IP地址，例如在“priority”欄中會顯示優(yōu)先級信息，該值越低優(yōu)先級越高，默認為100。在“weight”欄會顯示權(quán)重信息，默認為0表示不關(guān)心負載均衡，在“port”欄中顯示服務可用的TCP/UDP端口，在“srv hostname”欄中顯示服務器名稱。在該機上的檢測卻沒有顯示可用的SRV資源記錄信息。在域控上打開DNS管理器檢測其存儲結(jié)構(gòu)正常，未發(fā)現(xiàn)丟失“_msdcs”子域等情況，因此沒有必要對DNS進行重建區(qū)域之類的操作。

故障解決

根據(jù)以上分析，可以判斷問題根源在于SRV記錄丟失，導致客戶端無法定位域控，從而出現(xiàn)連接失敗的情況。對于該故障，解決的方法在域控中重新注冊所需的DNS記錄信息。以域管理員身份登錄域控，在命令提示符下執(zhí)行“net stop NTDS”和“net start NTDS”命令，來重啟啟動AD SD域服務。之后執(zhí)行“dnscms /clearcache”，“ipconfig /flushdns”命令，清除緩存中的DNS記錄信息。執(zhí)行“net stop netlogon”、“net stop dns”，“net start dns”、“net start netlogon”命令，重啟指定的服務。

執(zhí) 行“ipconfig /registerdns”命令，刷新客戶端名稱注冊。經(jīng)過以上操作，即可重新注冊域控的DNS記錄信息。在域控上進入“%systemroot%system32config”目錄，打開其中的“netlogon.dns”文件，查看LDAP服務記錄信息，可正常顯示SRV記錄。在客戶端執(zhí)行“nslookup”命令，按照以上方法再次查看SRV記錄信息，終于發(fā)現(xiàn)可以正確定位域控信息。經(jīng)過以上操作，客戶機終于可以和域控順利建立連接，并加入到域環(huán)境中。