SID不能反解釋, 事件3210, NETLOGON 不能與域控制器溝通的問題
事沿公司因為要更改Domain Administrator的密碼, 更改後已檢查了相關賬號的服務
以為所有服務都繼續運作正常了
但過了大約一星期, 突然有同事說他不能用Scanner直接把文件送到我們的檔案服務機
這個File Server 是一套以兩部機組成的Windows Cluster, 提供File Sharing的服務
首先發現的症狀是檔案裡的安全性頁面裡, 原本應該看到群組的名稱, 例如Domain Name\Domain Admins 這樣
可是現在只能看到SID (圖片忘了揭下來) , 如果要新增使用者是可以的, 但幾分鐘後又會只看到SID
這個時候基本上檔案服務還是正常的, Cluster也沒有Failover, 就只是我們的多用途服務機不能送檔案, 但這也夠頭痛了
所以我把Cluster Failover到第二號機, 問題竟然就解決了 (其實沒有)
又過了一天, 我再看看服務有沒有正常, 看看Event Viewer有甚麼事件, 竟然發現一個驚人的事件3210
查看文件是指這個Windows Member Server和我的Domain Controller 的秘密溝通通道斷了而失去聯絡
如果用nltest /sc_query: domain_name 指令也會得到Access is denied. (就是說真的斷線了)
KB http://support.microsoft.com/kb/175024
這個Blog提供了解決方法, 就是以netdom resetpwd指令重設通道
但是失敗了, 我仍然得到Access Denied的回應, 所以KB裡的修復方法無效.
有第二個方法是Reset AD裡的Computer Account, 把機器重新Join Domain去修復
可是我又不想破壞現有的Cluster..
幾經搜尋下發現了一個超方便的方法!
原來只要到Join Domain的頁面, 原本我是用Domain Name來join Domain的 (例如domainname.com)
只要打上Domain的NETBIOS name (例如DOMAINNAME), 再按OK
電腦又會重新Join Domain一次(還不用輸入Admin Password …)
看到Welcome to Domainname的字樣, 重新開機一次, 電腦就回復正常了
用nltest /sc_query 也顯示電腦又能正常和Domain Controller溝通了