问题背景

在一个活动目录域xyzz.internal中，有两台域控制器（Domain Controller），各位于一个站点。

问题

当我们在其中一台域控制器上的服务器管理器中打开DNS管理工具时，却看到类似如下错误，提示拒绝访问或RPC服务器不可用。

原因

该域控制器的计算机账户（Computer Account）已无法在域中与其自身、其它域控制器或模拟的主域控制器（Primary Domain Controller，PDC）验证。可能的原因之一包括该设备太久未曾开机，导致其计算机账户的密码过期。

解决方法

我们可以尝试重置该问题设备的计算机账户密码。要想达成此，在出现该问题的设备上，先停止KDC服务，并清空所有老旧证书。

net stop kdc
klist purge

在问题设备上运行下面的命令。

netdom resetpwd /server:PDC或任意良好DC的FQDN /userd:域\任意有足够权限的域管理员账户 /passwordd:*

例如：

netdom resetpwd /server:PDC.domain.com /userd:DOMAIN\Administrator /passwordd:*

系统会让你键入选中域管理员账号的密码。
之后，重新启用KDC服务。

net start kdc

最后，重启所有域内域控制器。

不管用？

Windows Server的行为复杂而诡异。你还可以尝试下面的内容：

• 再次在出问题的DC上执行该步骤，但重设密码时尝试指向其它良好的DC，甚至是损坏的DC或自己（127.0.0.1）。
• 在良好的DC上执行该步骤。重设密码时指向其它良好的DC，或甚至是损坏的DC。有时，就可能神奇地奏效。
• 如果是在打开组策略管理时看到了类似错误提示，你可能先要执行本文中描述的步骤，并尝试进行一次分布式文件系统授权还原（Distributed File System Authoratative Restore）。

结语

尽管微软自称自己的活动目录产品稳定耐用，然而事实恰好相反，往往是系统管理员的噩梦。而即使出现错误，人们却总是有把问题完全归结为管理员责任的倾向。