Windows Server 2003及Active Directory故障排除经验汇总
1.AutoEnrollment Error ID 13
Windows Server 2003的DC,在安装SP1后,有可能出现来自"AutoEnrollment"的,Error ID为13的报错。
内容为:
本地系统 的自动证书注册在注册一个 域控制器 证书 (0x80070005)时失败。拒绝访问。
Automatic certificate enrollment for failed to enroll for one certificate ().
这个错误来自W2k3的SP1改变了认证的安全机制导致。
解决方法:
在ADU&C(Active Directory User & Computer)中找到由SP1新建的名为"CERTSVC_DCOM_ACCESS"组,将Domain Controller组加入其中,然后重启MS-DTC服务,即可。注意,必须在所有域控制中重启该服务。
Add the Domain Controller's OU to the newly created CERTSVC_DCOM_ACCESS domain group in Active Directory and restart the MS-DTC service.
2.Userenv Error ID 1030 & 1058
如果你使用Windows server 2003 的活动目录,很有可能会在DC的应用程序日志里看到有规律的Userenv报错,内容大致是:
Windows 不能查询组策略对象列表。请查看事件日志,从中寻找策略引擎以前可能记录的描述此原因的消息。
Windows cannot query for the list of Group Policy objects. A message that describes the reason for this was previously logged by the policy engine.Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=com. The file must be present at the location <\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (The network path was
not found. ).
其原因和winlogon、DFS、DNS都可能有关,从目前的情况来看,微软已经认为是一个bug,并会在win2k3的下一个SP中解决,如果你是windows的付费支持用户,可以从微软那里得到解决这个问题的hotfix,如果这个问题没有对你的应用造成严重影响,微软会建议你等待包含此修复程序的下一个 Windows Server 2003 Service Pack。而如果你真的不愿意看到这样整页的红叉出现,你不访试试以下操作:
a.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
中新建名为 WaitForNetwork的DWORD键,并将其设为1。
b.在cmd下运行dfsutil /PurgeMupCache (在下次启动后失效,要重打)
详情可参见:Microsoft Article KB842804
3. DNS Warning ID 4515
如果你的dns系统在每次启动时报4515的警告。内容为:
区域 domain.msft 上一次从目录分区 MicrosoftDNS 加载,但是在 目录分区 DomainDnsZones.domain.msft发现了此区域的另一个副本。此 DNS 服务器将忽略此区域的新副本。请尽快 解决这一冲突。
如果管理员已经将此区域从某一目录分区移动 到另一目录分区,这可能是无害的暂时状态。 在这种情况下,不需要任何操作。区域的原始 副本的删除将很快复制到这个服务器。
如果在两个不同的目录分区中有这个区域的 两份副本,但不是由于区域移动操作导致的 暂时状态,那么应当尽快删除其他一个副本 以解决这一冲突。
The zone domain.msft was previously loaded from the directory partition ForestDnsZones.domain.msft but another copy of the zone has been found in directory partition DomainDnsZones.domain.msft. The DNS Server will ignore this new copy of the zone. Please resolve this conflict as soon as possible.
其原因为:
域的dns分区目录存在于AD里的多个地方。
This behavior occurs when the domain.msft zone exists in more than one location in Active Directory. For example, this can be a side effect of actions such as trying to move the zone from one directory partition to another.
解决方式可参见:Microsoft Article KB867464