지금은 3개의 AD 서버가 있는 도메인이 있습니다.
- AD01(Win 2008 GC, 작업 마스터)
- AD02(Win 2008 GC)
- AD03(윈 2003 GC)
몇 달 동안 AD01에 하드웨어 문제가 발생하여 작업 마스터, PDC 및 인프라 마스터가 AD02로 이동되었습니다. 이런 일이 발생하는 동안 모든 기계가 작동 중이었습니다.
- AD01(Win 2008 GC)
- AD02(Win 2008 GC, 작업 마스터)
- AD03(윈 2003 GC)
AD01은 한 달 동안 종료되었습니다. 교체된 하드웨어(NIC 및 RAID 카드)로 이 컴퓨터를 시작하면 이제 이상한 문제가 발생합니다.
- AD01은 로컬 상자의 AD에 여전히 작업 마스터가 있다고 생각합니다.
- AD02 및 AD03은 AD02가 두 상자 모두에서 AD의 작업 마스터라고 생각합니다.
- AD01에서 DCDIAG를 실행할 때 여러 가지 문제가 발생합니다(아래 나열).
AD01에서 "dcdiag /test:advertising"을 실행하는 경우:
Doing primary tests
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : domain
Running enterprise tests on : domain.local
AD01에서 "dcdiag"를 실행할 때 다음 오류가 발생합니다(최종 출력에서 발췌).
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=domain,DC=local
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=domain,DC=local
Starting test: Replications
[Replications Check,Replications Check] Inbound replication is
disabled.
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
[Replications Check,AD01] Outbound replication is disabled.
To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"
그래서 문제는 내가 작업 마스터를 옮겼을 때 AD01이 메모를 받지 못했고 이제 시작되었으므로 다른 모든 AD 서버는 복제 등을 시도할 때 더 이상 자신이 보스라고 생각하지 않는다는 것입니다. 그래서 저는 정말로 운영 마스터, 인프라 및 PDC가 누구인지 알 수 있도록 AD01을 수동으로 업데이트해야 하지만 운이 좋지 않습니다.
거의 하루 동안 인터넷 검색을 해봤는데 모든 해결 방법은 "케이크는 거짓말입니다"로 이어집니다.
당신의 닌자 기술은 높이 평가될 것입니다
답변1
AD01에서 dcpromo를 수행하고 도메인 컨트롤러에서 수준을 내리고 재부팅한 다음 다시 dcpromo를 사용하여 도메인 컨트롤러에 백업할 수 없는 이유가 있습니까?
답변2
문제가 해결된 것 같습니다. 오류의 설명을 참고하세요.
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
로그에 언급된 두 가지 옵션에 대해 이 작업을 수행했습니다. 그런 다음 이상한 이유로 netlogon 서비스가 일시 중지된 것을 발견했습니다... 와아아?
그런 다음 netlogon을 시작한 다음 강제 동기화를 실행했습니다. 이번에는 동기화가 작동하고 모든 것이 다시 살아났습니다.
내가 시도한 다음 일은 Josh가 제안한대로 상자 아래로 dcpromo를 수행하는 것이었습니다.
DNS에 대한 Jason의 의견도 매우 도움이 되었습니다. 이것이 제가 가장 먼저 생각한 것 중 하나이기 때문입니다. 따라서 다른 사람이 오면 먼저 확인해 보겠습니다.
그래도 빠른 답변 정말 감사드립니다. 나는 오랫동안 stackoverflow 지지자였으며 이것이 정말 훌륭하다는 것을 알게 되어 기쁩니다 :-)
답변3
작업 마스터 역할을 01에서 이동하는 대신 02에 의해 점유된 것으로 의심됩니다. 이 경우 설명하는 동작이 정확합니다. 01은 자신이 더 이상 예전의 주인이 아니라는 사실을 전혀 모릅니다.
또 다른 가능성은 역할이 이동되었지만 어떻게든 변경된 모든 DNS 항목이 AD 통합 영역에서 다시 01로 복제되지 않기 전에 01이 종료되었다는 것입니다.
두 경우 모두 도메인에서 dc1을 제거하고 복제가 어떻게든 비활성화되었으므로 Dcpromo를 사용하여 다시 추가합니다.
답변4
나는 곧 이야기를 나눴다. "USN 롤백 문제"가 발생한 것 같습니다. http://support.microsoft.com/kb/875495/en-us
이것은 엄청난 머리 통증이었습니다. 그리고 나는 그 과정에서 AD에 상처를 입힌 것 같습니다. NETLOGON을 다시 시작하고 동기화를 다시 활성화하면 다른 상자의 AD에 잘못된 데이터가 다시 들어옵니다.
지난 주에 우리는 주요 사서함을 새로운 메일 저장소로 옮겼으며 이제 모든 사서함에 메일이 들어 있는 것 같습니다. :(
이것으로부터 배울 수 있는 한 가지:
NetLogon이 "일시 중지"된 경우 아마도 그럴 만한 이유가 있을 것입니다.