囧！万恶的微软组策略

事情的起因是这样的：

公司需要将现有Windows Server 2003域环境切换到Windows Server 2008域环境，遂需要进行域升级，具体就是将Windows Server 2008逐步加入现有环境，替代现有Windows Server 2003 域控制器提供服务。

正当我满心欢喜的将Windows Server 2008提升为域控制器，并夺取5个FSMO成为GC后，问题来了。

环境拓扑：

问题：

从Windows Server 2008域控制器安装好正式上线，事件查看器里就不停地报如下错误：

处理组策略失败。Windows 无法对域控制器上的 Active Directory 服务进行身份验证。(LDAP 绑定函数调用失败)。有关错误代码及其描述，请查看“详细信息”选项卡。

看到这个错误，我被雷住了：不会是Windows Server 2008加入的新特性导致的与Windows Server 2003不兼容吧？

在查看提示中的“详细信息”选项卡，如下：

- System

- Provider

[ Name] Microsoft-Windows-GroupPolicy

[ Guid] {aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}

EventID 1006

Version 0

Level 2

Task 0

Opcode 1

Keywords 0x8000000000000000

- TimeCreated

[ SystemTime] 2009-06-02T05:52:00.756Z

EventRecordID 1294

- Correlation

[ ActivityID] {61BEE069-2BC8-4CB5-87B5-FE33D9A1495D}

- Execution

[ ProcessID] 272

[ ThreadID] 3152

Channel System

Computer XXX

- Security

[ UserID] S-1-5-18

- EventData

SupportInfo1 1

SupportInfo2 4934

ProcessingMode 0

ProcessingTimeInMilliseconds 6022

ErrorCode 81

ErrorDescription 服务器不在工作

DCName

看了详细信息，似乎有了些眉目，“ErrorDescription 服务器不在工作”，猜想也许是因为DNS解析问题？

切换到目录服务中，发现了如下警告信息：

在过去的 24 小时内，某些客户端尝试了执行以下几种类型的 LDAP 绑定:

(1) 未请求签名(完整性验证)的 SASL (协商式、Kerberos、NTLM 或摘要式) LDAP 绑定，或

(2) 在明文(非 SSL/TLS 加密的)连接上执行的 LDAP 简单绑定

当前未将此目录服务器配置为拒绝这样的绑定。通过将此目录服务器配置为拒绝这样的绑定，可显著增强该服务器的安全性。有关如何对服务器进行此配置更改的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkID=87923。

过去 24 小时内收到的关于这些绑定数量的摘要信息如下。

您可以启用其他日志记录以在每次客户端进行这样的绑定时记录一个事件，其中包括关于哪个客户端进行该绑定的信息。要执行此操作，请将“LDAP 界面事件”事件日志记录类别的设置提升至级别 2 或更高。

没有 SSL/TLS 而执行的简单绑定的数量: 1

未签名而执行的协商式/Kerberos/NTLM/摘要式绑定的数量: 0

看上去还是跟LDAP的验证问题关系，没什么思路，只能请教伟大的搜索引擎了。

PS：通过多次排错搜索问题的经验来看，微软官方的帮助和支持中心准确率相对较高，建议在排除微软产品错误时使用。

通过查找关键字，搜到一篇类似错误的文章：

http://support.microsoft.com/kb/939820/zh-cn#mtDisclaimer

虽然有一模一样的错误信息，但看上去跟我这个问题不太搭调，无奈又找不到其他办法，做好系统备份，将域内的Windows Server 2003装上此KB，重启DCs后，和我想的一样，错误提示并没有停止。

看来还是跟LDAP验证有关系，换了关键字后，找到Windows 2008KB一篇：

http://support.microsoft.com/kb/957072/zh-cn#mtDisclaimer

这个比较符合我的思路，不过适用于非Windows LDAP客户端的验证问题，还是有点小担心，做好备份，装好KB，重启，额，错误依然在闪。

峰回路转：

在继续搜索无果后，无奈我使出了杀手锏，给专家（就是岳老师）打电话，哈哈，要不说姜是老的辣呢，岳老师一语道破天机，说老胡写了两篇关于Windows 2008组策略排错的文章。立刻翻看老胡博客，发现此文：http://bisheng.blog.51cto.com/409831/130492 描述与我的环境极为相似，大受启发，特别是此句：“我觉得我们在学习和了解WinSrv08的过程中，不能带着对以前产品的惯性思维来看待它，而应该把我们脑子里的那桶水全部倒掉，重新审视这个全新的产品。因为它跟以前完全不一样了。”相当经典。

继而直奔主题页面：http://support.microsoft.com/kb/943729/zh-cn 发现其实是Windows Server 2008添加了新的组策略首选项，而Windows 2008以下的操作系统默认是没有这些首选项的，所以需要在域内相关系统中安装补丁，以支持这些新的首选项。

在火速打完补丁，重启之后，本以为万事大吉，没想到万恶的错误提示又出现了，我这个郁闷，反复思考着，经董君同学指点Windows Server 2008有些服务默认是不启动的，顺藤摸瓜，在系统服务里折腾半天，依然无果。

解决方案：

就在接近晕菜的时候，我又重新回味了老胡的话，偶然想起网络连接里IPV6让我禁用了，因不对此报有希望，也就试试，没想到居然启用IPV6之后，错误提示居然消失了，我被彻底雷倒。

没想到，最后居然是如此不搭调的选项决定了如此跑偏的错误，大喊一声：万恶的组策略

PS：同样万恶的还有微软的RPC服务器不可用，囧rz。

转载于:https://blog.51cto.com/struggle/163182

囧！万恶的微软组策略相关推荐

绕过微软AD域的屏保壁纸组策略
0x01 查看微软AD域组策略以管理员权限运行cmd, 然后输入:rsop.msc 可以看到在本地电脑,所有AD域执行的策略情况 0x02 查看微软AD域组策略寻找屏保关键词,本次案例中是:强制使 ...
组策略轻松实现软件发布，Active Directory系列之二十二
组策略轻松实现软件发布在IT工程师的运维工作中,有很多没有技术含量的事务性操作是很令人头疼的,例如为客户机安装软件.有些朋友看到这里估计会很不以为然,想我等IT专业人士,纵横江湖多 ...
使用组策略配置Windows 7的高级防火墙
示例:使用组策略配置Windows 7的高级防火墙微软河北技术支持中心的培训部门的员工不允许访问FTP站点,其他出站的流量允许.现在你需要使用组策略中配置培训部门的计算机的高级防火墙,实现出站流量的 ...
安全设置Windows组策略有效阻止黑客
安全设置Windows组策略有效阻止黑客在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置. 你可以在采用Windows XP.2000和Server 2003操作系统的本地计算机上使用这 ...
用“组策略”修改注册表十大个经典范例
很多用户都知道微软在Windows 98安装光盘里提供了一款名Tweak-UI的系统优化工具,到了Windows Me时代,这款软件更名为Tweak-Me,而到了Windows XP时代,这款工具忽然 ...
打开AD组策略编辑器提示“strings区段项目太长被截断”的解决
症状: 在windows 2000 server DC上打开组策略编辑器时出现如下提示框: "在[Strings]区段中的下列项目太长而被截断...",且反复出现类 ...
组策略从入门到精通（一）组策略的还原与备份和汇入
AD活动目录的应用已经十分广泛了,组策略管理是我们为企业规划重要的一部分,掌握好组策略的应用会实现很广泛的应用.本次推出此系列,介绍一系列的组策略应用,并且简单易懂,文章短小易懂易操作,真正简单实现从 ...
xp本地计算机策略被更改,组策略的使用方法，和XP系统的实用修改窍门
组策略是管理员为计算机和用户定义的,用来控制应用程序.系统设置和管理模板的一种机制.通俗一点说,是介于控制面板和注册表之间的一种修改系统.设置程序的工具.微软自Windows NT 4.0开始便采用了 ...
巧用组策略技术禁用办公室QQ聊天
QQ作为国内的第一即时聊天软件,正在被越来越多的人接受.如果员工在办公室里利用上班时间聊QQ,不仅影响了正常的工作,也破坏了办公室内和谐的氛围,使工作效率大打折扣.那么我们可不可以利用技术手段去屏蔽Q ...

囧！万恶的微软组策略

囧！万恶的微软组策略相关推荐

最新文章

热门文章