之前我們向大家介紹了組策略與桌面管理相結(jié)合 保護用戶數(shù)據(jù)安全。其實在Windows Server 2008 R2中，微軟增加了1000多個Windows Server 2008 R2和Windows 7特有的組策略對象及多個新組件，用來擴充Windows 活動目錄組策略管理的核心能力。但組策略的基本功能沒有變化，但具有更多的選項和設(shè)置。下面的一例事件是我在日常工作中遇到的Windows 2003和Windows 2008域控制器共存時出現(xiàn)的問題。

事情的起因是這樣的：

公司需要將現(xiàn)有Windows Server 2003域環(huán)境切換到Windows Server 2008 R2域環(huán)境，遂需要進行域升級，具體就是將Windows Server 2008逐步加入現(xiàn)有環(huán)境，替代現(xiàn)有Windows Server 2003 域控制器提供服務(wù)。

正當我滿心歡喜的將Windows Server 2008 R2提升為域控制器，并奪取5個FSMO成為GC后，問題來了。

環(huán)境拓撲：

問題：

從Windows Server 2008域控制器安裝好正式上線，事件查看器里就不停地報如下錯誤：

看到這個錯誤，我被雷住了：不會是Windows Server 2008加入的新特性導致的與Windows Server 2003不兼容吧?

在查看提示中的詳細信息選項卡，如下：

#div_code img{border:0px;}  
!--  
Code highlighting produced by Actipro CodeHighlighter (freeware)  
-->- System  
- Provider  
[ Name] Microsoft-Windows-GroupPolicy  
[ Guid] {aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}  
EventID 1006  
Version 0  
Level 2  
Task 0  
Opcode 1  
Keywords 0x8000000000000000  
- TimeCreated  
[ SystemTime] 2009-06-02T05:52:00.756Z  
EventRecordID 1294  
- Correlation  
[ ActivityID] {61BEE069-2BC8-4CB5-87B5-FE33D9A1495D}  
- Execution  
[ ProcessID] 272  
[ ThreadID] 3152  
Channel System  
Computer XXX  
- Security  
[ UserID] S-1-5-18  
- EventData  
SupportInfo1 1  
SupportInfo2 4934  
ProcessingMode 0  
ProcessingTimeInMilliseconds 6022  
ErrorCode 81  
ErrorDescription 服務(wù)器不在工作  
DCName 

看了詳細信息，似乎有了些眉目，ErrorDescription 服務(wù)器不在工作，猜想也許是因為DNS解析問題?

切換到目錄服務(wù)中，發(fā)現(xiàn)了如下警告信息：

#div_code img{border:0px;}  
!--   
Code highlighting produced by Actipro CodeHighlighter (freeware) 

在過去的 24 小時內(nèi)，某些客戶端嘗試了執(zhí)行以下幾種類型的 LDAP 綁定:

(1) 未請求簽名(完整性驗證)的 SASL (協(xié)商式、Kerberos、NTLM 或摘要式) LDAP 綁定，或

(2) 在明文(非 SSL/TLS 加密的)連接上執(zhí)行的 LDAP 簡單綁定

當前未將此目錄服務(wù)器配置為拒絕這樣的綁定。通過將此目錄服務(wù)器配置為拒絕這樣的綁定，可顯著增強該服務(wù)器 的安全性。有關(guān)如何對服務(wù)器進行此配置更改的詳細信息。

過去 24 小時內(nèi)收到的關(guān)于這些綁定數(shù)量的摘要信息如下。

您可以啟用其他日志記錄以在每次客戶端進行這樣的綁定時記錄一個事件，其中包括關(guān)于哪個客戶端進行該綁定的 信息。要執(zhí)行此操作，請將LDAP 界面事件事件日志記錄類別的設(shè)置提升至級別 2 或更高。

沒有 SSL/TLS 而執(zhí)行的簡單綁定的數(shù)量: 1

未簽名而執(zhí)行的協(xié)商式/Kerberos/NTLM/摘要式綁定的數(shù)量: 0

看上去還是跟LDAP的驗證問題關(guān)系，沒什么思路，只能請教偉大的搜索引擎了。

PS：通過多次排錯搜索問題的經(jīng)驗來看，微軟官方的幫助和支持中心準確率相對較高，建議在排除微軟產(chǎn)品錯誤時使用。

雖然有一模一樣的錯誤信息，但看上去跟我這個問題不太搭調(diào)，無奈又找不到其他辦法，做好系統(tǒng)備份，將域內(nèi)的Windows Server 2003裝上此KB，重啟DCs后，和我想的一樣，錯誤提示并沒有停止。

這個比較符合我的思路，不過適用于非Windows LDAP客戶端的驗證問題，還是有點小擔心，做好備份，裝好KB，重啟，錯誤依然在閃。

【編輯推薦】

1. 八步完成Windows Server 2008 R2的系統(tǒng)遷移
2. 獨孤九劍之Windows Server 2008 R2中的九大特色
3. Windows Server 2008 R2中的ASP.NET環(huán)境架設(shè)
4. 微軟發(fā)布Windows Server 2008 R2開發(fā)者教程
5. 戴爾聲稱支持Windows Server 2008 R2