最近在移动平台内遇到一个问题,只有域管理员才可以登录,其它帐户不可以登录,新建的帐户并将其将如Domain Admins组也无法登录。在创建先帐户是提示“Windows无法验证用户名的唯一性,因为在与全局编录联系时发生下列错误:该服务器不可操作。Windows将创建此用户帐户,但用户只有在验证其唯一性后才可以登录。请确保全局编录可用。“此域服务器为GC。

回答:根据您描述,您在创建用户的时候,收到提示信息:Windows无法验证用户名的唯一性,因为在与全局编录联系时发生下列错误:该服务器不可操作。Windows将创建此用户帐户,但用户只有在验证其唯一性后才可以登录。请确保全局编录可用。并且用户没法登陆。就您的这个情况我有几个问题:

1、您的环境中有几台DC?这些DC都是属于一个站点的吗?属于一个域的吗?所有DC都是GC吗?
2、您的环境中就只有一个域吗?就一个森林?
3、在其他的DC上创建用户有没有这个问题?
4、您的这台DC上装有其他应用程序或角色吗,例如exchange等?您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

据我所知,当我们在ADUC中去创建用户的时候,会向森林中任何一台GC执行一个LDAP调用来检查这个用户的唯一性,这个过程需要去查询到一台GC,而要找到这台GC,我们需要通过SRV记录来找到它。如果您确认这台DC也是GC的话,我认为可能会有下面这2个可能:1、DNS服务器上GC的SRV记录可能有问题 2、查询的端口出现了问题,导致查询失败。

因此,我建议您检查这几个方面的问题:

1、DNS服务器上GC的SRV记录是否完整,如果不完整,建议用如下的步骤来重新注册DNS服务器上的SRV记录:
a、检查DNS服务器上的IP地址配置正确
b、停止DC上的netlogon服务,并把%systemroot%\system32\config下的netlogon.dnb和netlogon.dns这两个文件重命名一下,然后再启动netlogon服务。

c、检查netlogon.dns中包含有正确的SRV记录,并检查DNS服务器是否已经更新了这些记录
d、检查DNS区域是否配置成了动态更新

2、卸载这台DC上的所有安全软件,如杀毒软件,并且关闭防火墙再来测试这个问题。

3、尝试把其他的DC也提升为GC来解决这个问题。

发现这个问题是由于错误的配置了GC所导致的。关于全局编录,我在这里想给您提供以下这些文档以供您参考: 

How the Global Catalog Works
http://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(WS.10).aspx#w2k3tr_gcatg_how_dfdl

Understanding the Global Catalog
http://technet.microsoft.com/en-us/library/cc730749.aspx

朱一峰 微软全球技术支持中心

为了临时解决其它用户登录的问题,已经在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 注册表项下新建注册表项IgnoreGCFailures,键值为1。来禁用了全局编录服务用于验证用户登录的请求。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

1、检查站点下子NTDS站点设置对象是存在的。
2、不知道现在禁用了GC的验证用户请求是否会影响日志收集。
3、我先将禁用后的日志进行收集,请查看。

在启用了这个注册表之后可以创建域用户,并且可以登录。目前原因已经找出,是由于根域的GC配置错误,导致林中域之间GC复制出错。现在通过修改注册表绕过GC验证来缓解该问题,待修复林根域GC故障后再恢复本域中GC功能。再次感谢您的帮助。

---sansboy

转载于:https://blog.51cto.com/gnaw0725/682415