桌面云V100R005C10SPC200版本虚拟机频繁脱域问题

发布时间:  2015-02-10 浏览次数:  330 下载次数:  0
问题描述

桌面云平台版本号为V100R005C10SPC200,使用链接克隆模式发放的虚拟机,无论是之前发放完之后登陆过还是未使用,都会出现脱域问题,且脱域很频繁,在15%左右

告警信息

与主域信任关系失败。

处理过程

经检查脱域虚拟机在脱域的时候系统有3210报错(Netlogon),经查看Netsetup 的log日志以及客户自己设置的关机还原策略判定为:administrator账户在虚拟机端更新密码后未同步到AD,Netlogon.dll文件版本所致

将一台故障虚拟机的dll文件跟新后,运行一段时间检查结果如下;

1.检查客户端NetSetup.log, 发现在12:58:26 客户端NETBAR-LC0329已成功加域。

2.检查客户端计算机密码更新时间与AD里最后一次修改的时间相同。

 

3.检查secure channel, 客户端目前与域之间的secure channel 成功建立。

 

4.检查组策略,发现客户端成功应用策略已经开启禁止计算机更改密码

 

5.检查event log发现在没有打过补丁有大量的3210的错误。根据时间点检查netlogon debug log

发现在相同的时间点确实发生过event 3210报错,之后打过补丁之后以及重置安全通道没有再发生3210的报错。

检查netlogon.dll 文件现在是最新的版本6.1.7601.22648,所以确认此补丁成功安装。

由此得出此问题确实是由于NETLOGON.dll文件版本问题所致。出现此问题是因为客户用的是微软官网的ISO,系统装好后未更新netlogon.dll文件,且用户设置的是关机还原策略,使虚拟机每关机后Netlogon文件就还原为了模版未更新的版本,使得secure channel建立失败。出现脱域。

根因

1、 经检查脱域虚拟机在脱域的时候系统有3210报错(Netlogon),经查看Netsetup 的log日志以及客户自己设置的关机还原策略,使得每次还原后Netlogon.dll文件恢复为旧文件。判定为administrator账户在虚拟机端更新密码后未同步到AD,Netlogon.dll文件版本太低所致

解决方案

处理此问题方法为将Netlogon.dll文件的更新补丁直接打到模版中,使虚拟机还原后该文件还是最新的。

建议与总结
无。

END