Estamos começando a aplicar os GPOs ao nosso domínio ativo e estamos nos defrontando com alguns problemas que o nosso domínio de teste não fez.
Todas as máquinas locais estão sendo executadas no Windows 7 pro.
Quando eu executo a Diretiva de Grupo usando gpupdate / force, tudo funciona bem no DC, mas quando vou para a máquina local, recebo o seguinte erro quando executo gpupdate / force: Falha na chamada de função de ligação LDAP com código de erro 49
Então eu fiz algumas pesquisas sobre este erro para descobrir que a Microsoft diz que este é um problema de perfil. Então eu prossigo para investigar. Eu encontrei uma ferramenta do sysinternals para verificar se eu tinha algum perfil corrompido: Usando PSTools eu corri isso de um prompt de cmd elevado: PsExec.exe -i -s cmd.exe rundll32.exe keymgr.dll, KRShowKeyMgr Nenhum perfil corrompido, como eu suspeitava, é uma nova instalação em uma máquina local.
Em seguida, verifiquei se tinha os Usuários Authenicados na guia Delegação e sim o que faço. Em seguida, tentei reiniciar o serviço Netlogon. Isso ainda não funcionou. Eu tentei reiniciar o servidor também e isso não funcionou.
Eu testei meus canais seguros seguindo este artigo:
Eu verifiquei os serviços para o netlogon e eles estão configurados para a conta do sistema local padrão no servidor. (Iniciando automaticamente)
O único forwarder que temos é 8.8.8.8.
Não há servidores DNS externos.
Temos apenas um servidor DNS.
A política do Kerberos está definida para 5 minutos.
Eu corri um ticket de klist e só tenho um ticket de volta e era meu. O Guid._msdcs.DomanName.com não pôde ser resolvido para um endereço IP.
Eu executei o DCDiag / test: DNS e ele retornou com um erro:
Resumo do resultado do teste de DNS:
Auth = Pass, Basc = Falha, Forw = Passar, Del = Passar, Dyn = Avisar, RReg = Falhar, Ext = n / a
Eu também executei dcdiag / test: registerindns /dnsdomain:DomainName.com
resultado: a configuração do DNS é suficiente para permitir que este controlador de domínio registre dinamicamente os registros do localizador do controlador de domínio no DNS DcDiag não pode chegar a um resultado conclusivo porque não pode interpretar a seguinte mensagem que foi retornada: 9003
Eu também executei nltest / dsregdns e ainda estou tendo problemas de DNS.
Eu deletei o registro CNAME na pasta DNS do DC e o adicionei novamente à pasta DNS, e ainda não há resultados diferentes.
Seguindo este artigo aqui: link
O firewall está no lado de fora da rede, protegendo o computador dentro do domínio. Portanto, não há DC entre o firewall que eu conheço.
Corrigimos um problema de tempo em que o servidor estava recebendo a hora do servidor local. Nós mudamos isso para ser uma fonte externa dos endereços IP do pool e agora todas as máquinas locais estão rodando na hora correta.
Eu chequei até mesmo com wireshark e vejo erros, mas não tenho certeza se essa é a fonte do meu problema.
Então decidi fazer mais pesquisas e descobri que isso poderia ser um erro de DNS. Então eu pensei em tentar deixar o domínio e adicionar novamente, isso não funcionou. Eu até olhei para ver se tinha algum arquivo host adicional que eu não deveria ter. Não, nada.
Eu sinceramente não sei o que fazer a seguir.
Descobri que tínhamos alguns subcontratantes em nosso controlador de domínio e parece que eles podem ter atrapalhado algumas coisas, por exemplo, não estávamos recebendo nenhuma pesquisa reversa e, agora, isso foi corrigido. Há dois nomes de arquivos do servidor NS em que ainda estão lá, mas não acho que precisamos de dois. Eu vou dizer que quando eu estava olhando através de logs de eventos eu vi o código de erro 1222 ao lado do código de erro 49 e estou querendo saber se os dois estão relacionados ou não? Embora este computador nunca tenha saído do nosso domínio, não tenho certeza de como ele obteria o código de erro 1222. Isso também aconteceu em um novo computador de instalação.
Alguém mais se deparou com esta questão? Eu fiz muita pesquisa e parece haver um monte de problemas de ligação LDAP entre outros usuários, mas aqueles pareciam ser corrigidos de forma relativamente fácil. Então não tenho certeza do que mais fazer. Estou aberto a sugestões e ideias.
Estou a pensar que esta é uma questão do DNS. Mas por alguma razão ainda não consigo resolver isso. Eu não estou vendo nada fora do comum na função de DNS no servidor.
Obrigado!