事件的过程是这样的,由于未知的原因,辅助域控在未知的时间宕机了,在不知辅助域控宕机的情况下,将域管理员密码修改了。后来发现辅助域控宕机的问题之后,及时修复了辅助域控。但是在客户端给文件夹授权域用户权限时发现,竟然无法浏览域用户,错误提示“目标主要名称不正确”,在辅助域控制器日志中提示此类错误:
这就让人纳闷了,通过dcdiag检测,发现主、辅服务器之间信息不同步,于是想登录辅助域看看情况,发现辅助域控无法使用新密码登录,尝试了一下旧密码,居然登录了,这说明主、辅服务器之间的账号信息没有同步了。
确定了问题所在,那么问题就好办了,在辅助域上修改域管理员与主域控一样的新密码,这样主、辅之间恢复了同步。
原理其实也挺简单,域控之间同步信息也需要安全验证,域控没有本地账号,只有域账号,因此域控的所有权限都来自AD账号,包括域同步的安全校验。主域控的管理员修改密码之后,在Kerberos Key Distribution Center服务未重启之前,主域控与辅助域控之间的连接还是保持使用修改密码之前的票据,两者之间同步信息不会有问题,这也就是我们可以直接在线修改域管理员密码原因。而我的情况是,在主控域修改管理员密码时,辅助域控是不在线,当辅助域控修复之后,Kerberos Key Distribution Center服务已经重启了,由于两者之间管理员密码不一致,自然是无法同步信息了,
导致主、辅域控无法同步信息,是因为Kerberos Key Distribution Center服务通信是依赖其服务启动账号,即本地系统账号(其实就是系统管理员,DC上自然就是域管理员了),
