遇到DC 開啟 AD網域及信任有問題,便到Event ID觀看,有發現AD無法複寫的狀況
C:\Users\XXgggu>repadmin /showrepl
Repadmin: 正在針對完整 DC localhost 執行命令 /showrepl
TW\DOMAIN201
DSA 選項: IS_GC
站台選項: (none)
DSA 物件 GUID: dec313d0-b10e-4744-b4fc-6ed6ff3dd39d
DSA 呼叫識別碼: 78987d57-5d76-416b-853d-aa1510ef16a2
DsReplicaGetInfo() 失敗,狀態 8453 (0x2105):
複寫存取被拒。
DsReplicaGetInfo() 失敗,狀態 8453 (0x2105):
複寫存取被拒。
命名內容: DC=DOMAIN,DC=corp
來源: SU\DOMAIN28
******* 警告: 因為錯誤,所以 KCC 無法新增此複本連結。
命名內容: DC=DomainDnsZones,DC=DOMAIN,DC=corp
來源: SU\DOMAIN28
******* 警告: 因為錯誤,所以 KCC 無法新增此複本連結。
命名內容: CN=Configuration,DC=DOMAIN,DC=corp
來源: SU\DOMAIN28
******* 警告: 因為錯誤,所以 KCC 無法新增此複本連結。
命名內容: DC=ForestDnsZones,DC=DOMAIN,DC=corp
來源: SU\DOMAIN28
******* 警告: 因為錯誤,所以 KCC 無法新增此複本連結。
3.同時用另一指令配合檢查檢查AD同步狀態-->dcdiag /test:replications /e /v
備註:就不上傳圖片!
4.發現只有分公司DC有異常,故又去查了一下,發現跟憑證有關係,可以執行CMD-->setspn -L DCNAME ,看有無異常
5.由上查到去看DC主機的憑證-->本機電腦\個\憑證-->觀看主體 or 主體別名
6.最後是查到跟憑證主機有關,確認時間及憑證均正常\有效發行,後來是重啟ADCS 主機,就恢復正常了!(再透過repadmin /showrepl驗證)
後來觀察2天均正常,算是第一次遇到很特別的狀況!故記錄此狀況