El viejo maestro operativo todavía piensa que es el "indicado".

tag-icon tag-icon windows-server-2008 active-directory domain-controller
El viejo maestro operativo todavía piensa que es el "indicado".

Tengo un dominio con 3 servidores AD por ahora solo los llamaré:

  • AD01 (Win 2008 GC, maestro de operaciones)
  • AD02 (Ganar 2008 GC)
  • AD03 (Ganar 2003 GC)

Hace un par de meses hubo algunos problemas de hardware con AD01, por lo que el maestro de operaciones, el PDC y el maestro de infraestructura se trasladaron a AD02. Todas las máquinas estaban encendidas mientras esto sucedía.

  • AD01 (Ganar 2008 GC)
  • AD02 (Win 2008 GC, maestro de operaciones)
  • AD03 (Ganar 2003 GC)

Luego, AD01 estuvo cerrado durante un mes. Al iniciar esta máquina con el hardware reemplazado (NIC y tarjeta RAID), ahora tengo un problema extraño.

  • AD01 Piensa que el maestro de operaciones todavía está en AD en el cuadro local
  • AD02 y AD03 Piensa que AD02 es el maestro de operaciones en AD en ambas cajas
  • Cuando ejecuto DCDIAG en AD01, tengo varios problemas (enumerados a continuación)

Al ejecutar "dcdiag /test:advertising" en AD01:

Doing primary tests

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising


   Running partition tests on : ForestDnsZones

   Running partition tests on : DomainDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : domain

   Running enterprise tests on : domain.local

Cuando ejecuto "dcdiag" en AD01 obtengo los siguientes errores (extracto del resultado final):

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising
      Starting test: FrsEvent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.



  Starting test: NCSecDesc
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=ForestDnsZones,DC=domain,DC=local
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=DomainDnsZones,DC=domain,DC=local

Starting test: Replications
   [Replications Check,Replications Check] Inbound replication is
   disabled.
   To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
   [Replications Check,AD01] Outbound replication is disabled.
   To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"

Entonces, el problema parece ser que cuando moví el maestro de operaciones, AD01 nunca recibió la nota, y ahora que se inició, todos los demás servidores AD ya no piensan que es el jefe cuando intenta replicar, etc. Así que realmente Necesito actualizar manualmente AD01 para que sepa quién es el maestro de operaciones, la infraestructura y el PDC, pero no tengo suerte.

He estado buscando en Google durante casi un día y todas las soluciones me llevan a "el pastel es mentira".

Tus habilidades ninja serán muy apreciadas.

Respuesta1

¿Hay alguna razón por la que no pueda simplemente ejecutar dcpromo en AD01, degradarlo de un controlador de dominio, reiniciarlo y luego realizar una copia de seguridad en un controlador de dominio usando dcpromo nuevamente?

Respuesta2

Parece que he solucionado el problema. Tenga en cuenta el comentario en el error:

To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"

Hice esto para las dos opciones mencionadas en el registro. Luego me di cuenta de que, por alguna extraña razón, el servicio de inicio de sesión de red estaba en pausa... digamos, ¿waaa?

Luego inicié netlogon y luego ejecuté una sincronización forzada. Esta vez la sincronización funcionó y todo volvió a la vida.

Lo siguiente que habría intentado habría sido hacer lo que Josh sugirió y hacer una promoción en la caja.

Los comentarios de Jason sobre DNS también fueron muy útiles, ya que esta es una de las primeras cosas que pensé, así que si viene alguien más, lo comprobaré primero.

Muchas gracias por las rápidas respuestas. He sido partidario de stackoverflow durante mucho tiempo y es genial ver que esto es simplemente genial :-)

Respuesta3

Sospecho que en lugar de mover los roles de maestro de operaciones de 01, 02 los tomó. En este caso, el comportamiento que estás describiendo es correcto. 01 no tiene idea de que ya no es el maestro que alguna vez fue.

Otra posibilidad es que las funciones se hayan movido pero que 01 se haya cerrado antes de que todas las entradas DNS que se cambiaron de alguna manera no se repliquen en una zona integrada de AD en 01.

En cualquier caso, eliminaría dc1 del dominio y lo volvería a agregar usando Dcpromo, ya que la replicación de alguna manera se ha deshabilitado.

Respuesta4

Hablé pronto. Parece que estaba experimentando un "problema de reversión de USN" http://support.microsoft.com/kb/875495/en-us

Este fue un dolor de cabeza enorme. y parece que lastimé a AD en el proceso. Al reiniciar NETLOGON y habilitar la sincronización nuevamente, dejé que los datos incorrectos regresaran a AD en las otras cajas.

La semana pasada hicimos un importante traslado de buzones a un nuevo almacén de correo y parece que ahora tenemos correo en todos nuestros buzones. :(

Una cosa que aprender de esto:

Si NetLogon alguna vez se "pausa", probablemente haya una buena razón.

información relacionada