Вопрос или проблема
У нас есть два контроллера домена (DC1 и DC2). Однажды DC2 запустился с 20-минутной задержкой. Службы на клиентах не смогли запуститься с следующей ошибкой:
“Служба xyz не смогла запуститься по следующей причине: Имя учетной записи неверно или не существует, или пароль неверен для указанного имени учетной записи.”
Для служб, которые не смогли запуститься, использовались учетные данные доменной учетной записи. Другие функции, такие как Планировщик задач, работали нормально, несмотря на использование той же учетной записи для службы xyz.
Почему служба не смогла запуститься, когда DC1 был доступен?
Ответ или решение
Когда у вас есть две контроллера домена (DC1 и DC2), и один из них (DC2) работает с задержкой, это может вызывать проблемы с запуском служб на клиентских машинах, использующих учетные данные доменной учетной записи. В данном случае, ошибка, с которой столкнулись пользователи:
"Служба xyz не может быть запущена по следующей ошибке: имя учетной записи недействительно или не существует, или пароль недействителен для указанного имени учетной записи."
Причины возникновения проблемы
-
Задержка репликации:
Контроллеры домена работают в режиме репликации, и делятся информацией о пользователях, группах и учетных записях. Если DC2 запускается с задержкой и клиентские машины обращаются к нему для проверки учетных данных, это может привести к тому, что данные о пользователе, необходимые для аутентификации, еще не успели реплицироваться. Это означает, что DC2 может не иметь актуальной информации о служебной учетной записи, которые использует служба xyz. -
Кэшированные учетные данные:
Клиенты Windows кэшируют учетные данные пользователей. Если служба пытается аутентифицировать учетную запись на DC2, а DC2 еще не готов, служба может считать, что учетная запись недействительна, несмотря на то, что на DC1 все корректно. -
Разница в конфигурациях DC:
Иногда настройки служб на различных контроллерах домена могут отличаться или быть некорректными. Важно убедиться, что учетная запись службы правильно настроена на обоих контроллерах и что нет никаких конфликтов или несоответствий между их конфигурациями. -
Использование различных интерфейсов аутентификации:
Некоторые службы могут использовать разные механизмы аутентификации, что может привести к конфликтам, особенно если конфигурация не согласована между контроллерами.
Почему другие функции работали нормально?
В данном случае, несмотря на то, что используются те же учетные данные для задач, запускаемых через Планировщик задач, задача может использовать кэшированные учетные данные, которые не требуют соединения с контроллером домена для аутентификации в тот момент. Это может объяснить, почему Планировщик задач функционировал хорошо, в то время как служба xyz столкнулась с проблемами.
Рекомендации по устранению проблемы
-
Проверка состояния репликации: Обеспечьте корректную репликацию между DC1 и DC2. Используйте команду
repadmin /replsummaryдля проверки статуса репликации. -
Убедитесь в актуальности учетных данных:
Проверьте, что учетные записи служб настроены идентично на обоих контроллерах. Для этого вы можете использовать инструменты, такие какActive Directory Users and Computers, чтобы сравнить параметры. -
Мониторинг времени: Убедитесь, что часы на всех серверах синхронизированы. Различия во времени могут вызвать ошибки аутентификации.
-
Кэширование учетных данных и ошибочные коды: Изучите, как функционирует кэширование учетных данных на клиентских машинах, и, возможно, попробуйте перезагрузить клиентские машины для сброса кэшированных учетных данных.
-
Дальнейшая диагностика: Включите дополнительные средства диагностики, такие как журнал событий Windows, чтобы получить подробную информацию об ошибках аутентификации и другие аномалии, которые могут помочь в анализе причины проблемы.
Следуя этим рекомендациям, можно смягчить влияние недоступности одного из контроллеров домена на работу клиентских машин и обеспечить более стабильное выполнение служб.