排查登錄域過緩故障

故障現(xiàn)象

單位部署了Windows Server 2016域環(huán)境，安裝了主域控制器和輔助域控制器。但是，在使用過程中，有部分客戶反映在登錄域的時候，會出現(xiàn)等待3到5分鐘甚至更長的時間才可以進入到域環(huán)境，這對正常的工作造成了不利的影響。因此，需要查找出問題的原因加以解決。

故障排查

對于這種問題，產(chǎn)生的原因可能是多方面的。例如最常見的情況是客戶機在聯(lián)系域時出現(xiàn)故障，主要是因為DNS解析失敗造成的。如果客戶機錯誤的的配置了DNS服務器的地址（一般為DC的IP），也會造成上述情況的發(fā)生。因為存在兩臺預控，如果其中一臺出現(xiàn)故障，就很容易造成部分用戶登錄時間過緩的問題。

在存在問題的客戶機上執(zhí)行“ipconfig /all”命令，查看其詳細網(wǎng)絡配置信息，檢測DNS服務器指向DC，說明DNS的配置沒有問題。執(zhí)行“ping xxx.yyy.com” 命令，可以探測到域控，這里的“xxx.yyy.com”為域控的名稱。經(jīng)過以上檢測，可以看到客戶機的IP和DNS解析配置都沒有問題。

在客戶登錄域時，如果沒有辦法解析域名或者DC不可用的話，那么客戶機就可以通過本地的緩存來登錄到域中的。但是，利用本地緩存登錄域時，是存在次數(shù)限制的。在默認情況下，只允許10次登錄。

注意，這里的10次指的是允許10個客戶進行登錄，即允許每個客戶登錄一次。因此，在出現(xiàn)問題的客戶機上執(zhí)行“gpedit.msc”程序，在組策略編輯器左側(cè)選擇“計算機配置→Windows設置→安全設置→本地策略→安全選項”分支，在右側(cè)雙擊“交互式登錄:之前登錄到緩存的次數(shù)(域控制器不可用時)”項，在其屬性窗口中的“緩存”欄中修改其數(shù)值，例如設置為“50”。

之后執(zhí)行“gpupdate /force”命令，強制刷新組策 略。 執(zhí) 行“ipconfg /flushdns”命令，清除本地緩存。這樣就解決了客戶機DNS解析失敗的問題。

之后再次登錄域環(huán)境，但是依然存在登錄過緩的情況。以管理員身份登錄預控，在DNS管理器窗口左側(cè)選擇DNS服務器名，在右鍵菜單上點擊“清除緩存”項，清除DNS緩存信息。執(zhí)行“services.msc”程序，在服務管理器中雙擊“Netlogon”項，在屬性窗口中點擊“停止”按鈕停止其運行，之后重新啟動該服務。雙擊“DNS Server”服務項，在屬性窗口中看到其處于正常運行狀態(tài)。

既然是特定的域賬戶無法順利登錄域控，所以在Active Directory用戶和計算機窗口中雙擊“目標賬戶”，在屬性窗口中的“賬戶”面板中檢測是否在限制在特定時間段登錄，是否限制登錄到某主機，賬戶是否禁用或者鎖定，賬戶是否過期等，經(jīng)過檢測并沒有存在明顯的問題。在問題客戶機上登錄域環(huán)境，發(fā)現(xiàn)依然存在以上故障。

打開Active Directory站點和服務窗口，在左側(cè)選擇“Sites→Default-First-Site-Name→Servers→DNS服務器名稱→NTDS Settings”分支，在其右鍵菜單上點擊新建Active Directory域服務連接”項，在“打開”窗口中點擊“開始查找”按鈕，找到上述兩臺預控設備，并分別輸入新的鏈接對象名稱，重新對其進行連接。在客戶機上進行登錄域測試，發(fā)現(xiàn)登錄緩慢的問題并沒有得到任何改善。

故障排除

為了徹底解決該問題，只能重新DNS區(qū)域。在DNS管理器左側(cè)選擇“正向查找區(qū)域”項，在右側(cè)選擇所有區(qū)域，在右鍵菜單上點擊“刪除”按鈕，將其全部刪除。

按照上述方法，清除DNS服務器緩存，在Active Directory用戶和計算機窗口中點擊菜單“查看→高級功能”項，在左側(cè)選擇“System→ MicrosoftDNS”項，在右側(cè)窗口中如果存在“domain.com” 或 者“_msdcs.domain.com”項，則將其刪除。在服務管理器中停止“Netlogon”服務，打開資源管理器，進入“%windir%system32config”目錄，將其中的“netlogon.dnb”和“netlogon.dns”文件刪除，進 入“%windir%system32dns”目錄，如果發(fā)現(xiàn)存在“domain.com.dns”、“_msdcs.domain.com.dns”等文件則將其刪除。在網(wǎng)絡連接屬性窗口中雙擊“Internet協(xié)議版本4”項，在屬性窗口中選擇“使用下面的DDNS服務器地址”項，在首選DNS服務器欄中輸入域控自己的IP，清除備用DNS服務器設置信息。

在DNS管理器左側(cè)選擇“正向搜索區(qū)域”項，在右鍵菜單上選擇“新建區(qū)域”項，在向?qū)Ы缑嬷悬c擊“下一步”按鈕，在區(qū)域類型窗口中選擇“主要區(qū)域”和“在Active Directory中存儲區(qū)域”項，在下一步窗口中選擇“至此域中域控制器上運行的所有DNS 服務器”項，點擊“下一步”按鈕，輸入?yún)^(qū)域名后名稱（例如“xxx.com”），在下一步窗口中選擇“創(chuàng)建新文件，文件名為”項，輸入域名文件名稱，例如“xxx.com.dns”。選擇“只允許安全的動態(tài)更新”項，點擊“完成”按鈕，創(chuàng)建該區(qū)域的創(chuàng)建。

之后按照同樣的方法，創(chuàng)建名為“msdcs.contoso.com”的區(qū)域。在CMD窗口中執(zhí)行“net stop netlogon &start netlogon”命令，重啟“NetLogon”服務。執(zhí)行“net stop dns & net start dns”命令，重啟DNS服務。執(zhí)行“ipconfig /flushdns” 和“ipconfig /registerdns”命令，重新刷新所有DHCP租期并重新注冊DNS名字。經(jīng)過以上操作后，完成了在域控上重建AD集成DNS區(qū)域操作。之后在存在問題的客戶機上重新登錄域環(huán)境，發(fā)現(xiàn)登錄緩慢的問題消失，可以正常的進行登錄。