故障現(xiàn)象

單位網(wǎng)絡(luò)部署了活動(dòng)目錄域環(huán)境，域控使用的是Windows Server 2012系統(tǒng)。網(wǎng)絡(luò)運(yùn)行一直比較穩(wěn)定。

近日一些客戶反映，在和域控制器進(jìn)行連接時(shí)，出現(xiàn)“無(wú) 法 與 域xxx.com的Active Directory域控制器（AD DC）連接，請(qǐng)確保鍵入的域名正確”的提示信息，造成無(wú)法使用域中資源的問(wèn)題。

筆者以本地管理員身份登錄，使用ping命令檢測(cè)，發(fā)現(xiàn)客戶端和域控制器之間的連通性是沒(méi)有問(wèn)題，但是卻無(wú)法正常加入域環(huán)境。

故障排查

筆者運(yùn)行“services.msc”程序，在服務(wù)管理器中選擇“Workstation”服務(wù)，右擊“重新啟動(dòng)”項(xiàng)，重啟該服務(wù)，因?yàn)樵摲?wù)的作用是使用SMB協(xié)議創(chuàng)建并維護(hù)客戶端網(wǎng)絡(luò)與遠(yuǎn)程服務(wù)器間的連接，但問(wèn)題依然沒(méi)有解決。

因?yàn)檫€有一些服務(wù)和加域操作有關(guān)聯(lián)，為此在服務(wù)管理器中查看了諸如TCP/IP NetBIOS Helper，Computer Browser、Server、Remote R e g i s t r y、Windows Time、Netlogn等 服務(wù)，確保其全部處于自動(dòng)運(yùn)行狀態(tài)，之后重啟系統(tǒng)，依然無(wú)法連接域控。

打開(kāi)“網(wǎng)絡(luò)連接”窗口，雙擊“本地連接”項(xiàng)目，在狀態(tài)窗口中點(diǎn)擊“屬性”按鈕，發(fā)現(xiàn)在“此連接使用下列項(xiàng)目”列表中的“Microsoft網(wǎng)絡(luò)客戶端”項(xiàng)沒(méi)有處于選中狀態(tài)，該組件是加入域所必須的，不選擇該項(xiàng)，本地計(jì)算機(jī)就沒(méi)有訪問(wèn)Microsoft網(wǎng)絡(luò)的可用工具，將該項(xiàng)選中后重新連接，發(fā)現(xiàn)問(wèn)題依舊。因?yàn)樵摍C(jī)之前可以順利進(jìn)入域，所有使用的域賬戶應(yīng)該不存在什么問(wèn)題。運(yùn)行“eventvwr.msc”程序，在事件管理器中查看相關(guān)的記錄信息，果然發(fā)現(xiàn)了一些相關(guān)的提示信息。

例如系統(tǒng)提示“查詢DNS以獲取服務(wù)位置（SRV）資源記錄，此資源記錄用于查找域xxx.com的活動(dòng)目錄域控制器（AD DC）是遇到錯(cuò)誤”，“錯(cuò)誤是沒(méi)有為本地系統(tǒng)配置DNS服務(wù)器，錯(cuò)誤代碼0x0000267C DNS_ERROR_NO_DNS_SERVERS。 此 查 詢用于查找 _ldap._tcp_dc_msdcs.xxx.comde SRVjil ”等內(nèi)容。因?yàn)樵谟蚩刂胁渴鹆思蓞^(qū)域DNS服務(wù)，此故障應(yīng)該和SRV記錄有關(guān)。我們知道，SRV記錄是服務(wù)器資源記錄的縮寫，其作用是說(shuō)明一個(gè)服務(wù)器能夠提供什么樣的服務(wù)。

SRV記錄在微軟的Active Directory中起著重要作用，域中的主機(jī)需要依賴DNS的SRV記錄來(lái)定位域控制器。服務(wù)位置記錄SRV是Windows DNS實(shí)現(xiàn)的重要組成部分，如果沒(méi)有DRV記錄，客戶端和服務(wù)器就不能定位域控，自然無(wú)法和域控建立連接。在CMD窗口中執(zhí)行“nslookup”命令來(lái)驗(yàn)證加入域所需的SRV記錄是否正常。在“>”提示符下執(zhí)行“set q=srv”，“_ldap.tcp.dc._msdcs.xxx.com”命令，執(zhí)行查詢操作。

其 中“xxx.com” 為 實(shí)際的域名。如果查詢成功，在返回信息中會(huì)顯示相關(guān)SRV資源記錄信息，并確定Active Directory中的所有域控是否包含在內(nèi)，并已經(jīng)使用有效的IP地址，例如在“priority”欄中會(huì)顯示優(yōu)先級(jí)信息，該值越低優(yōu)先級(jí)越高，默認(rèn)為100。在“weight”欄會(huì)顯示權(quán)重信息，默認(rèn)為0表示不關(guān)心負(fù)載均衡，在“port”欄中顯示服務(wù)可用的TCP/UDP端口，在“srv hostname”欄中顯示服務(wù)器名稱。在該機(jī)上的檢測(cè)卻沒(méi)有顯示可用的SRV資源記錄信息。在域控上打開(kāi)DNS管理器檢測(cè)其存儲(chǔ)結(jié)構(gòu)正常，未發(fā)現(xiàn)丟失“_msdcs”子域等情況，因此沒(méi)有必要對(duì)DNS進(jìn)行重建區(qū)域之類的操作。

故障解決

根據(jù)以上分析，可以判斷問(wèn)題根源在于SRV記錄丟失，導(dǎo)致客戶端無(wú)法定位域控，從而出現(xiàn)連接失敗的情況。對(duì)于該故障，解決的方法在域控中重新注冊(cè)所需的DNS記錄信息。以域管理員身份登錄域控，在命令提示符下執(zhí)行“net stop NTDS”和“net start NTDS”命令，來(lái)重啟啟動(dòng)AD SD域服務(wù)。之后執(zhí)行“dnscms /clearcache”，“ipconfig /flushdns”命令，清除緩存中的DNS記錄信息。執(zhí)行“net stop netlogon”、“net stop dns”，“net start dns”、“net start netlogon”命令，重啟指定的服務(wù)。

執(zhí) 行“ipconfig /registerdns”命令，刷新客戶端名稱注冊(cè)。經(jīng)過(guò)以上操作，即可重新注冊(cè)域控的DNS記錄信息。在域控上進(jìn)入“%systemroot%system32config”目錄，打開(kāi)其中的“netlogon.dns”文件，查看LDAP服務(wù)記錄信息，可正常顯示SRV記錄。在客戶端執(zhí)行“nslookup”命令，按照以上方法再次查看SRV記錄信息，終于發(fā)現(xiàn)可以正確定位域控信息。經(jīng)過(guò)以上操作，客戶機(jī)終于可以和域控順利建立連接，并加入到域環(huán)境中。