重设secure channel 解决 DFS及AD同..
时间:2010-10-20 来源:Huangchao2005
有台在澳洲的服务器,由于一些原因离线很久,最近恢复上线。客户反映DFS不能与国内的服务器同步。赶快远程登录看看,日志中一堆的报错,如图:
看来DFS不仅不能同步,AD也有同样问题(此服务器也是DC)。
试着访问国内的DC得到报错信息:logon failure the target account name is incorrect,但用IP地址访问正常。在服务器上手动启动AD复制,也得到类似报错信息。
最初以为TCP/IP NetBIOS Helper服务被关闭了,因为之前曾经遇到过类似问题(顺便说一下,当时服务是被360自动关掉的,号称加快系统速度。各位IT Pro在办公环境用360,千万慎重!)。检查后此服务没问题。
检查nslookup,nbtstat没有异常。
赶快Google一下,问题很快找到。
http://support.microsoft.com/kb/288167/en-us
简单的说就是机器离线时间过久,导致同步问题,需要重新设置secure channel。
解决的步骤如下:
- 1.netdom query fsmo 找到PDC,记下地址。
- 2.运行 services.msc 停止KDC(Kerberos Key Distribution Center)服务。
- 3.运行 klist purge ,删除所有的票据。
- 4.重新设置 "secure channel":
- netdom resetpwd /s:pdcname /ud:domain\administrator /pd:password
这里的pdcname就是第1步中找到的,我第一次用服务器名没有成功,用了IP才通过。如果你碰到类似问题可以注意一下。
重设之后,AD与DFS的同步都恢复了。
相关阅读 更多 +
