修改了域控制器时间。导致整个域无法登陆。终于搞定了。

  故障经过

  1、前台一直抱怨考勤机器时间不对。考勤机器跟其他前台的电脑连接的。时间受到域服务器的控制,无法z自行修改。

  2、问题出来了。 我就去服务器上把域服务器的时间进行了外网时间服务器同步。(之前有修改过系统时间。没出现过问题。所以没备份。)

  3、周六周日休息。周一刚上班。就有同事叫我说是打印机。共享的服务器。网络都无法登陆。有些可以。我马上查看病毒服务器,发现没异常。我又去查看交换机。没异常。查看ISA出现拒绝访问。列表上都没有进行身份验证提交。我马上想到DC出问题了。但是Dc上的邮件正常接收。这下迷糊le。。

  我就去查看各个服务器上的日志。发现出现无法联系域。备份域无法复制主域。KCC终止连接。再后来看到DNS无法解析域服务器。这下死了。修改时间导致DNS出错。检查所有DNS纪录。没问题。

  4、微软上说明

  Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。

  为确保合理地使用公共时间,Windows 时间服务使用层级关系来控制授权,并且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级: 所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。

  所有成员服务器都遵循与客户端桌面计算机相同的过程。

  域中的所有域控制器都提名主域控制器 (PDC) 操作主机作为其入站时间伙伴。

  所有 PDC 操作主机都遵循域的层级来选择其入站时间伙伴。

  在此层级中,位于林根的 PDC 操作主机成为组织的权威时间服务器。我们极力建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间和更高的安全性

  也就是说我修改时间导致身份验证出问题了。

  我就往这个思路上去看。如何让DNS识别我们的服务器。这是个问题。现在就是DNS正常但是无法解析服务器名字。也就是说因为身份验证。

  过程曲折中……

  知识恶补中……

  看遍了所有的关于w32tm的资料。Dc登陆过程资料,身份验证资料。Dc故障修复命令资料

  后来一个命令搞定了 Netdiag /fix 要修复 Active Directory DNS 记录注册