|
|
在Windows Server 2008 R2中,微软增加了1000多个Windows Server 2008 R2和Windows 7特有的组策略对象及多个新组件,用来扩大 Windows 活动目录组策略管理的中心 能力。但组策略的基本功能没有变化,但具有更多的选项和设置。下面的一例事情 是我在日常工作中遇到的Windows 2003和Windows 2008域控制器共存时出现的问题。 事情的原因 是这样的:
公司需要. 将现有Windows Server 2003域环境切换到Windows Server 2008域环境,遂需要. 进行域升级,具体就是将Windows Server 2008逐渐 加入现有环境,替代现有Windows Server 2003 域控制器提供服务。
合理 我满心欢欣 的将Windows Server 2008提升为域控制器,并攫取 5个FSMO成为GC后,问题来了。
环境拓扑:
问题:
从Windows Server 2008域控制器安装好正式上线,事情 查看器里就不停地报如下错误:
看到这个错误,我被雷住了:不会是Windows Server 2008加入的新特性导致的与Windows Server 2003不兼容吧?
在查看提示中的"详细信息"选项卡,如下:
Code highlighting produced by Actipro CodeHighlighter (freeware)
http://www.CodeHighlighter.com/
- System
- Provider
[ Name] Microsoft-Windows-GroupPolicy
[ Guid] {aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}
EventID 1006
Version 0
Level 2
Task 0
Opcode 1
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2009-06-02T05:52:00.756Z
EventRecordID 1294
- Correlation
[ ActivityID] {61BEE069-2BC8-4CB5-87B5-FE33D9A1495D}
- Execution
[ ProcessID] 272
[ ThreadID] 3152
Channel System
Computer XXX
- Security
[ UserID] S-1-5-18
- EventData
SupportInfo1 1
SupportInfo2 4934
ProcessingMode 0
ProcessingTimeInMilliseconds 6022
ErrorCode 81
ErrorDescription 服务器不在工作
DCName
看了详细信息,似乎有了些头绪 ,"ErrorDescription 服务器不在工作",猜测 或许 是由于 DNS解析问题? 切换到目录服务中,发现了如下正告 信息:
Code highlighting produced by Actipro CodeHighlighter (freeware)
http://www.CodeHighlighter.com/
在过去的 24 小时内,某些客户端尝试了执行以下几品种 型的 LDAP 绑定:
(1) 未恳求 签名(完整性验证)的 SASL (协商式、Kerberos、NTLM 或摘要式) LDAP 绑定,或
(2) 在明文(非 SSL/TLS 加密的)连接上执行的 LDAP 简单绑定
当前未将此目录服务器配置为回绝 这样的绑定。通过将此目录服务器配置为回绝 这样的绑定,可显着加强 该服务器 的安全性。有关如何对服务器进行此配置更改的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkID=87923。
过去 24 小时内收到的关于这些绑定数量的摘要信息如下。
您可以启用其他日志记录以在每次客户端进行这样的绑定时记录一个事情 ,其中包括关于哪个客户端进行该绑定的 信息。要执行此操作,请将“LDAP 界面事情 ”事情 日志记录类别的设置提升至级别 2 或更高。
没有 SSL/TLS 而执行的简单绑定的数量: 1
未签名而执行的协商式/Kerberos/NTLM/摘要式绑定的数量: 0
看上去还是跟LDAP的验证问题关系,没什么思路,只能讨教 巨大 的搜索引擎了。
PS:通过屡次 排错搜索问题的经历 来看,微软官方的帮助和支持中心精确 率相对较高,建议在排除微软产品错误时使用。
通过查找关键字,搜到一篇类似错误的文章:
http://support.microsoft.com/kb/939820/zh-cn#mtDisclaimer
虽然有一模一样的错误信息,但看上去跟我这个问题不太搭调,无法 又找不到其他方法 ,做好系统备份,将域内的Windows Server 2003装上此KB,重启DCs后,和我想的一样,错误提示并没有停止。
看来还是跟LDAP验证有关系,换了关键字后,找到Windows 2008KB一篇:
http://support.microsoft.com/kb/957072/zh-cn#mtDisclaimer
这个比较契合 我的思路,不过适用于非Windows LDAP客户端的验证问题,还是有点小担忧 ,做好备份,装好KB,重启,错误仍然 在闪。
峰回路转:
在继续搜索无果后,我使出了杀手锏,给专家(就是岳教师 )打电话,哈哈,要不说姜是老的辣呢,岳教师 一针见血 天机,说老胡写了两篇关于Windows 2008组策略排错的文章。立即 翻看老胡博客,发现此文: 描绘 与我的环境极为类似 ,大受启示 ,特别是此句:"我觉得我们在学习和理解 WinSrv08的过程中,不能带着对以前产品的惯性思想 来对待 它,而应该把我们脑子里的那桶水全部倒掉,重新审视这个全新的产品。由于 它跟以前完全不一样了。"相当经典。
继而直奔主题页面:http://support.microsoft.com/kb/943729/zh-cn 发现其实是Windows Server 2008添加了新的组策略首选项,而Windows 2008以下的操作系统默认是没有这些首选项的,所以需要. 在域内相关系统中安装补丁,以支持这些新的首选项。
在火速打完补丁,重启之后,本以为万事大吉,没想到万恶的错误提示又出现了,我这个郁闷,重复 考虑 着,经董君朋友 指点Windows Server 2008有些服务默认是不启动的,顺藤摸瓜,在系统服务里折腾半天,仍然 无果。
解决计划 :
就在接近晕菜的时候,我又重新回味了老胡的话,偶尔 想起网络连接里IPV6让我禁用了,因不对此报有希望,也就试试,没想到竟然 启用IPV6之后,错误提示竟然 消失了。想到在Windows 2008中IPV6地址的优先级是高于IPV4地址的,于是Windows 2008 就不停的使用自身 IPV6地址来与Windows 2003进行通讯 ,由于当前环境没有任何协议 转换服务,所以两种通讯 协议 无法正常通讯 ,就形成 了上面的问题。 |
|
|
|
|
|
|
|
|
|
