Ich habe die folgende einfache Konfiguration: 4 virtuelle Maschinen mit MS Windows Server 2008 SP2, eine davon ist der PDC einer kleinen Domänengesamtstruktur, eine ist ein sekundärer DC in der Gesamtstruktur und zwei sind Mitglieder der Domäne. Anfangs gab es gut funktionierendes DNS, aber seit einem gewissen Zeitpunkt (vor etwa 2 Monaten) löst der sekundäre DC die Domänennamen nicht mehr richtig auf.
Ich vermute, dass dies passiert ist, weil ein Windows-Update die AD-Dienste aktualisiert hat und ab diesem Zeitpunkt keine Synchronisierung zwischen dem PDC und dem SDC mehr stattfinden konnte. Außerdem besteht keine direkte (per DNS) Verbindung zwischen dem DF und diesem sekundären DC … Aber das ist nicht das Hauptproblem.
Das Hauptproblem ist, dass eines der Domänenmitglieder bei der Anmeldung (wieder vor etwa 2 Monaten) den Fehler „Die Sicherheitsdatenbank auf dem Server verfügt nicht über ein Computerkonto für diese Vertrauensbeziehung der Arbeitsstation“ ausgegeben hat. Zunächst habe ich dies gelöst, indem ich die Arbeitsstation getrennt und dann wieder verbunden habe, aber da dieser Fehler mehr als einmal auftrat, habe ich dann die erwähnte Lösung ausprobiertHier.
Offensichtlich habe ich etwas falsch gemacht, denn danach begann mein PDC beim Anmelden denselben Fehler auszugeben … Da der PDC über kein lokales Administratorkonto verfügt, kann ich auf die Maschine nur über DSRM zugreifen (indem ich den PDC in DSRM starte und das DSRM-Administratorkonto verwende, kann ich mich am Server anmelden).
Aber in DSRM verhält sich der PDC wie eine normale Workstation und es gibt keinen Zugriff auf den AD DS (dcdiag, setspn und netdom funktionieren nicht und sagen mir, dass der AD DS ausgefallen istBearbeiten:- LDAP-Fehler (49/52e). Anmeldung fehlgeschlagen oder LDAP-Fehler 81 (0x51) – Server ausgefallen).
Beachten Sie, dass mein Domänenadministratorkonto noch gültig ist und funktioniert (wenn ich Workstations trenne und wieder verbinde). Ich kann es nicht nur auf dem PDC verwenden. Mein SDC hat DNS-Fehlfunktionen, daher kann ich die AD DS-Datenbank nicht vom SDC aus reparieren, da ich nicht herausgefunden habe, wie ich die DS-Tools mit IP-Adressen anstelle von FQDNs verwenden kann ...
Die empfohlene HandhabungHierhilft auch nicht viel – ich kann keines der AD DS-Tools verwenden.
Beim Blick in die Ereignisanzeige wurde mir ein doppelter HOST-Eintrag in der AD DS-Konfiguration angezeigt (Fehler 11). Hier ist also meine Frage:
Wie kann ich die Kontrolle über den PDC auf Domänenebene wiedererlangen? Abgesehen von der offensichtlichen Lösung, die aktuelle Betriebssysteminstallation zu verwerfen und dann den Server neu zu installieren, wie kann ich sonst noch die Kontrolle über die Maschine wiedererlangen?
Antwort1
Ich habe auf den TechNet-Seiten von Microsoft gefundenDasArtikel - die Änderung des Anmeldeverhaltens des lokalen DSRM-Administratorkontos hat es geschafft, dass ich mich am Server anmelden konnte, während AD DS ausgeführt wurde. Von diesem Punkt an war es für mich einfach, die Duplikate aufzuspüren (mitsetspn -x -F) und diese aus der AD DS-Konfiguration des PDCs zu entfernen (mithilfesetspn -D SPN PDC_Server).
Zurück zum Anmeldebildschirm. Das Domänenadministrationskonto durfte sich wieder anmelden. Das Entfernen der Änderung der Registrierung in Bezug auf die Anmelderechte des lokalen DSRM-Administrationskontos ist eine optionale Aufgabe, wird jedoch von Microsoft dringend empfohlen.
Das ist alles – ich kann jetzt aktiv nach einer Lösung für mein sekundäres Problem mit dem nicht synchronisierten SDC suchen.