加入MyDomain.local域失败的故障排查求助(域搭建半年,此前可正常加入)
各位好,最近在给计算机加入MyDomain.local域的时候遇到了棘手的问题,折腾了好几天还是没找到根因,想请大家帮忙分析下。先把整个情况和我已经做的排查整理出来:
故障现象
尝试将计算机加入域MyDomain.local时,系统弹出错误:
An Active Directory Domain Controller (AD DC) for the domain
"mydomain.local" could not be contacted. Ensure that the domain name
is typed correctly. If the name is correct, click Details for
troubleshooting information.
查看详情后得到的信息:
DNS was successfully queried for the service location (SRV) resource
record used to locate a domain controller for domain "MyDomain.local":
The query was for the SRV record for_ldap._tcp.dc._msdcs.MyDomain.local
The following domain controllers were identified by the query:
dc02.MyDomain.local
dc01.MyDomain.local
However no domain controllers could be contacted.错误常见原因:
- 映射域控制器名称到IP地址的Host (A)或(AAAA)记录缺失或地址错误。
- DNS中注册的域控制器未连接到网络或未运行。
已完成的排查步骤
- 在尝试加入域失败的计算机上,执行了
ping、nslookup以及DNS缓存刷新操作,结果显示域名和IP匹配,域网络可达,DNS解析正常。 - 检查了DC01和DC02的DNS配置,未发现明显异常。
- 在两台DC上运行
dcdiag.exe进行诊断,发现DC02存在报错:Running enterprise tests on : mydomain.local
Starting test: LocatorCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
............................. mydomain.local failed test LocatorCheck
而在DC01上运行dcdiag则没有任何错误。 - 尝试将PDC角色从DC01转移到DC02,测试后问题依旧——不管哪台DC担任PDC,DC02上的
dcdiag都会出现上述LocatorCheck错误。 - 在DNS管理器中检查了
MSDCS.mydomain.local下的_tcp.dc记录,主机名与IP地址匹配,名称服务器列表配置正确。 - 执行
nltest /dsgetdc:mydomain.local未返回错误,使用Resolve-DnsName也能正常解析到两台DC的信息。
域环境背景信息
MyDomain.local域搭建于半年前,当时测试一切正常,且可以顺利将计算机加入域。- 搭建后发生的变更:
- DC从原VLAN迁移到当前VLAN,IP地址未变,但子网掩码从
/22改为/16 - 两台DC的网关IP已修改
- 与另一个域建立了双向林信任,为此做了DNS变更:添加了辅助区域,并入了信任域的DC记录
- 本域与信任域位于同一子网
- 本域已禁用DHCP服务
- 当前本域暂无任何已加入的计算机
- DC从原VLAN迁移到当前VLAN,IP地址未变,但子网掩码从
现在我已经折腾了好一阵,有些测试步骤可能记混了。目前不确定问题出在PDC的通信层面,还是DNS的某个隐藏配置上,想请大家指点下接下来该从哪些方向继续排查?
备注:内容来源于stack exchange,提问作者TRS-80
