Windows 2008 组策略排错攻略

　　事情的起因是这样的：

　　公司需要将现有Windows Server 2003域环境切换到Windows Server 2008域环境，遂需要进行域升级，具体就是将Windows Server 2008逐步加入现有环境，替代现有Windows Server 2003 域控制器提供服务。

　　正当我满心欢喜的将Windows Server 2008提升为域控制器，并夺取5个FSMO成为GC后，问题来了。

　　环境拓扑：

　　问题：

　　从Windows Server 2008域控制器安装好正式上线，事件查看器里就不停地报如下错误：

　　看到这个错误，我被雷住了：不会是Windows Server 2008加入的新特性导致的与Windows Server 2003不兼容吧?

　　在查看提示中的"详细信息"选项卡，如下：

以下是代码片段：     - System 　　- Provider 　　[ Name] Microsoft-Windows-GroupPolicy 　　[ Guid] {aea1b4fa-97d1-45f2-a64c-4d69fffd92c9} 　　EventID 1006 　　Version 0 　　Level 2 　　Task 0 　　Opcode 1 　　Keywords 0x8000000000000000 　　- TimeCreated 　　[ SystemTime] 2009-06-02T05:52:00.756Z 　　EventRecordID 1294 　　- Correlation 　　[ ActivityID] {61BEE069-2BC8-4CB5-87B5-FE33D9A1495D} 　　- Execution 　　[ ProcessID] 272 　　[ ThreadID] 3152 　　Channel System 　　Computer XXX 　　- Security 　　[ UserID] S-1-5-18 　　- EventData 　　SupportInfo1 1 　　SupportInfo2 4934 　　ProcessingMode 0 　　ProcessingTimeInMilliseconds 6022 　　ErrorCode 81 　　ErrorDescription 服务器不在工作 　　DCName

　　看了详细信息，似乎有了些眉目，"ErrorDescription 服务器不在工作"，猜想也许是因为DNS解析问题?

　　切换到目录服务中，发现了如下警告信息：

　　在过去的 24 小时内，某些客户端尝试了执行以下几种类型的 LDAP 绑定:

　　(1) 未请求签名(完整性验证)的 SASL (协商式、Kerberos、NTLM 或摘要式) LDAP 绑定，或

　　(2) 在明文(非 SSL/TLS 加密的)连接上执行的 LDAP 简单绑定

　　当前未将此目录服务器配置为拒绝这样的绑定。通过将此目录服务器配置为拒绝这样的绑定，可显著增强该服务器 的安全性。有关如何对服务器进行此配置更改的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkID=87923。

　　过去 24 小时内收到的关于这些绑定数量的摘要信息如下。

　　您可以启用其他日志记录以在每次客户端进行这样的绑定时记录一个事件，其中包括关于哪个客户端进行该绑定的 信息。要执行此操作，请将“LDAP 界面事件”事件日志记录类别的设置提升至级别 2 或更高。

　　没有 SSL/TLS 而执行的简单绑定的数量: 1

　　未签名而执行的协商式/Kerberos/NTLM/摘要式绑定的数量: 0

　　看上去还是跟LDAP的验证问题关系，没什么思路，只能请教伟大的搜索引擎了。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]