Controller di dominio offline per 2 mesi, ora non è possibile sincronizzare

8

Versione breve

Il controller di dominio è stato impostato, quindi portato offline più a lungo del limite della lapide. Ora non riesco a farlo replicare di nuovo.

Messaggi di errore rilevanti

Su dc2 (esistono messaggi di errore identici sia su exchange che su dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Un altro errore rilevante (ID evento 2042):

Il Controllo di coerenza della conoscenza (KCC) ha rilevato che i successivi tentativi di replica con il seguente controller di dominio non sono riusciti costantemente. Tentativi: 12 Controller di dominio: CN = Impostazioni NTDS, CN = DC1, CN = Server, CN = MainSite, CN = Sites, CN = Configuration, DC = mydomain, DC = local Periodo di tempo (minuti): 105103 L'oggetto Connection per questo controller di dominio verrà ignorato e verrà stabilita una nuova connessione temporanea per garantire che la replica continui. Una volta ripristinata la replica con questo controller di dominio, la connessione temporanea verrà rimossa. Valore errore dati aggiuntivi: 2148074274 Il nome principale di destinazione non è corretto.

E ID evento 1925: The attempt to establish a replication link for the following writable directory partition failed.

Altri dettagli

Entrambi i siti sono collegati tramite una VPN. Sul sito principale, ho due controller di dominio (che chiameremo exchange e dc1 ). Entrambi sono Server 2003. Se è importante, dc1 detiene tutti i ruoli di FSMO.

In preparazione della configurazione di un sito remoto, ho installato un controller di dominio chiamato dc2 , che esegue Server 2003 R2 e configurato siti separati in Siti e servizi AD e configurato la replica da DC1 a DC2 . Ho persino avuto la sottorete corretta per il sito remoto collegandolo tramite un router (questo era prima che il sito fosse collegato alla VPN, quindi nessun conflitto IP).

Tutto funzionava alla grande, quindi ho chiuso e l'ho preparato per essere eliminato. Ma le cose hanno continuato a subire ritardi per oltre 2 mesi e ora dc2 non si replicherà correttamente.

Quello che ho provato

Rimozione del ruolo del controller di dominio - non riesce con: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Reimpostazione della password della macchina con:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

La maggior parte degli articoli della KB che ho esaminato sulla correzione della replica dopo aver raggiunto la vita della lapide sono rimasti bloccati a causa dell'errore "Il nome principale di destinazione non è corretto".

active-directory 
Concedere
fonte

Risposte:

12

Sembra che il modo più semplice sia effettivamente rimuovere active directory e reinstallarlo, e può essere fatto senza cancellare l'intero server. Ciò lascia intatto qualsiasi altra cosa sul server. Tuttavia, poiché non è possibile rimuovere correttamente la directory attiva, è necessario forzare la sua rimozione dal server, quindi la pulizia manuale su un buon controller di dominio.

  • Scollegare il server problematico dalla rete per evitare che ciò possa potenzialmente interrompere Active Directory sui server validi.

  • Sul server problematico, eseguire dcpromo /forceremoval. Ciò consente di rimuovere la directory attiva sul sistema senza rimuovere tutti i suoi record sugli altri controller di dominio.

  • Utilizzare ntdsutil da un buon controller di dominio per rimuovere il server problematico dalla directory attiva. Le istruzioni sono nel collegamento della guida quando si esegue dcpromo / forceremoval o qui: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Eliminare l'oggetto server in Siti e servizi AD

  • Eliminare il server in Utenti e computer AD se esiste ancora

  • Elimina il server dal DNS:

    • Rimuovere la voce NS nelle zone di ricerca inversa
    • Rimuovere la voce A nelle zone di ricerca diretta
    • Rimuovi la voce CNAME in forward lookup \ domain_msdcs
    • Rimuovere i numerosi record SRV in _msdcs, _sites, _tcp e _udp in riferimento al server problematico

  • Promuovi nuovamente il server problematico e configura le impostazioni del sito come faresti con un controller di dominio nuovo di zecca.

Concedere
fonte
4

A questo punto è probabilmente più facile creare un nuovo controller di dominio e pulire dc2 da AD con ntdsutil.

joeqwerty
fonte
Potrebbe essere più semplice se non fosse per l'altro software configurato su quel server. È un'opzione, ma sono disposto a fare le cose nel modo più duro per evitarlo, se posso.
Concedi
A questo punto, quel software è inutilizzabile a causa del problema attuale, sì? In tal caso, potrebbe essere più semplice ed efficiente iniziare da zero.
joeqwerty,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.