2026.05 辽宁·锦州·凌海·九华山小布达拉宫

一、故障发现

  1. 客户端域登录异常:部分客户端无法正常登录域环境,提示认证失败。
  2. 系统时间偏移:所有客户端及服务端系统时间与北京标准时间存在约 7分钟偏差
  3. 域控同步失败:主域控(PDC)与辅助域控(ADC)之间无法完成正常同步。

二、故障分析

经排查,定位以下问题原因:

2.1 时间同步链路断裂

  • 辅助域控(ADC)的时间同步源为主域控(PDC)。
  • 主域控(PDC)的时间同步源为服务器主板硬件时钟,无法连接上游NTP服务器(10.64.1.30)。
  • 根本原因:组策略中NTP服务器配置错误或未正确下发,导致PDC未指向外部可靠时间源。

2.2 怀疑时间偏差引发Kerberos认证异常

  • Kerberos认证协议对时间差敏感(默认最大允许偏差为 5分钟)。
  • 当前系统时间偏差达到 7分钟,超出Kerberos容忍范围,导致:
    • 客户端域登录认证失败。
    • 辅助域控访问主域控共享文件夹失败(提示访问拒绝或凭据错误)。

2.3 疑似辅助域控元数据可能受损

  • 辅助域控可以正常访问主域控的以下服务与端口:
    • AD服务(LDAP:389)
    • Kerberos(88)
    • SMB(445)
    • DNS(53)
  • 但无法访问主域控的共享文件夹(SYSVOL/NETLOGON)
  • 初步怀疑
    • 时间偏差导致Kerberos票据失效,SMB会话无法建立。
    • 或辅助域控的AD元数据(metadata)存在损坏。

三、故障处理过程

3.1 执行系统备份

  1. 在主域控与辅助域控上安装Windows Server Backup工具

  2. 在主域控与辅助域控上执行首次备份

  3. 在客户端上查看组策略执行结果

gpresult /h C:\temp\gpresult.html
  1. 经与甲方分析, 甲方同意删除主辅域控上的网络安全管理软件
  2. 通过 w32tm 工具测试,发现原定上游NTP服务器110.164.11.130 无效,其UDP 123端口在当前网络无法触达
w32tm 工具测试,发现原定上游NTP服务器110.164.11.130 无效,其UDP 123端口

3.2 强制将辅助域控降级并重建辅助域控

  1. 检查主域控是否正常
1. 主域控是否持有所有 FSMO 角色
netdom query fsmo
2. 主域控 AD 数据库是否正常
ntdsutil "activate instance ntds" "files" "info" quit quit
3. 查询唯一的GC服务器是否是主域控
repadmin /showrepl | findstr "GC"
dsquery server -isgc
4. 检查辅域控上的 DNS、组策略条数、主机信息、证书服务等
  1. 使用dcpromo或者服务管理器进行降级操作
1. 服务器管理器 → 管理 → 删除角色和功能 → 取消勾选"Active Directory 域服务" → 降级此域控制器
2. 重启服务器
  1. 重新加域以及提升为域控服务器
1. 清理主域控上的残余配置信息
2. 检查和配置辅助域控主机的网络信息,并检查与主域控的连通性
3. 使用 dcpromo 重新执行加域操作,并重启
4. 执行校验

3.3 手动时间同步修复

  1. 手动同步主域控时间
# 以管理员身份执行
# 停止服务	
net stop w32time
# 取消注册
w32tm /unregister
w32tm /config /manualpeerlist:"110.164.11.130,0x8" /syncfromflags:manual /reliable:yes /update
w32tm /register
# 启动时间服务,并同步
net stop w32time && net start w32time
w32tm /resync
  1. 验证同步状态
w32tm /query /status
w32tm /query /source

  1. 检查并修正组策略

    • 路径:Computer Configuration → Administrative Templates → System → Windows Time Service → Time Providers
    • 配置 “Configure Windows NTP Client” 策略,指定上游NTP服务器地址。
    • 执行 gpupdate /force 强制刷新策略。

  2. 辅助域控同步主域控时间

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time
w32tm /resync

3.4 辅助域控同步恢复

  1. 时间偏差修复后,辅助域控与主域控的共享文件夹访问恢复正常
  2. 执行强制复制同步:
repadmin /syncall /AdeP
  1. 检查复制状态:
repadmin /showrepl
dcdiag /test:replications

3.5 客户端域登录验证

  1. 在客户端上执行命令检查登录域控是主还是辅助域控
set l
  1. 选取故障客户端,执行:
w32tm /resync
gpupdate /force
  1. 测试域用户登录,恢复正常

四、处理结果

检查项 处理前 处理后
主域控时间同步 与主板同步,偏差7分钟 与NTP服务器同步,误差<1秒
辅助域控同步 失败 正常同步
客户端域登录 部分客户端失败 全部正常
共享文件夹访问 辅助域控无法访问 正常访问
AD复制状态 报错 通过dcdiag测试正常

五、后续建议

  1. 同步更新域控服务器主板BIOS时间设置,防止重启后时间重置。
  2. 配置域控时间同步策略:建议在组策略中保留NTP服务器配置,配置稳定的硬件上游NTP服务器,避免因服务器重启或策略丢失再次出现时间偏差。
  3. 监控时间偏差:建议部署运维监控(如Zabbix)对域控服务器时间偏差进行告警(阈值:>30秒)。
  4. 定期检查AD复制状态:建议每周执行 dcdiagrepadmin /showrepl 检查复制健康状态。
  5. 备份AD数据库:建议通过WSB工具定期备份系统状态(System State),以应对AD元数据损坏场景。