部分电脑无法访问网盘,组策略更新失败,真正的原因远比想象复杂

IT狂人日志 2023-07-25 20:16:57

有客户报修,无法访问网盘,昨天下班还是正常的。

这里据说说的网盘,是文件服务器上用组策略自动映射的网络驱动器。

首先怀疑是客户端DNS设置问题,检查后发现,IP地址和DNS服务器都是自动获取的,并且全部正确。

ping 文件服务器名称,也正常。

在“运行”中输入 \\文件服务器名称,显示没有权限。

但是,在“运行”中输入 \\文件服务器IP地址,即可以访问共享文件夹。

基本上排除了客户端的问题,用一台测试用的win10虚拟机测试,发现同样的故障现象,并且gpupdate /force,更新组策略失败。

很明显,是文件服务器的问题了,顺便说明,这台也是DC。

马上就想到,这台服务器是之前因为崩溃了,用一周前的群晖active backup for business里面的备份恢复而来的,间隔一周,可能丢失了某些信息,导致两台DC不同步了。

在这台文件服务器上执行命令:dcdiag,发现KnowsOfRoleHolders测试没能通过,错误为:-2146893022,目标主要名称不正确。

显然,两台AD之间的复制出现问题了,用repadmin /showrepl 命令显示AD复制问题,也是同样原错误信息。

那就尝试手动复制吧:

net stop KDC

repadmin /replicate fs.test.cn dc1.test.cn "DC=test,DC=cn"

复制成功后,重启KDC服务,net start KDC

再次执行dcdiag命令,KnowsOfRoleHolders测试顺利通过,但是SystemLog测试还是没能通过,EventID:0x40000004

看提示,貌似Keyberos密钥中心配置的密码不同,可能是恢复出来的服务器密码没有同步吧,那也要手动重置一下了:

net stop KDC

netdom resetpwd /server:dc1.test.cn /userd:test.cn\administrator /password:"PwdOfAdministrator"

重置成功后,重启KDC服务,net start KDC

再次执行命令:repadmin /showreps,全部尝试成功,小小地松了一口气。

又一次执行:dcdiag,全部测试通过!

回到客户端Win10 PC,gpupdate /force,更新组策略成功,网盘自动映射成功,访问没问题了。

总算松了口气,晚上把过程写出来,也就几百字而已,实际上折腾了2小时。

实操经验,码字不易,敬请转发和关注。

0 阅读:10

IT狂人日志

简介:网络工程师,从事IT行业20年,写点原创技术类文章