O antigo mestre operacional ainda pensa que é o “único”

tag-icon tag-icon windows-server-2008 active-directory domain-controller
O antigo mestre operacional ainda pensa que é o “único”

Tenho um domínio com 3 servidores AD, por enquanto vou apenas chamá-los:

  • AD01 (GC Win 2008, mestre de operações)
  • AD02 (Vitória GC 2008)
  • AD03 (Vitória 2003 GC)

Há alguns meses, houve alguns problemas de hardware com o AD01, então o mestre de operações, o PDC e o mestre de infraestrutura foram movidos para o AD02. Todas as máquinas estavam ligadas enquanto isso acontecia.

  • AD01 (Vitória 2008 GC)
  • AD02 (GC Win 2008, mestre de operações)
  • AD03 (Vitória 2003 GC)

AD01 foi então desligado por um mês. Ao iniciar esta máquina com hardware substituído (placa NIC e RAID), agora tenho um problema estranho.

  • AD01 Pensa que o mestre de operações ainda está no AD na caixa local
  • AD02 e AD03 Pensa que AD02 é mestre de operações no AD em ambas as caixas
  • Ao executar o DCDIAG no AD01, recebo vários problemas (listados abaixo)

Ao executar "dcdiag /test:advertising" em AD01:

Doing primary tests

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising


   Running partition tests on : ForestDnsZones

   Running partition tests on : DomainDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : domain

   Running enterprise tests on : domain.local

Ao executar "dcdiag" no AD01 recebo os seguintes erros (trecho da saída final):

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising
      Starting test: FrsEvent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.



  Starting test: NCSecDesc
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=ForestDnsZones,DC=domain,DC=local
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=DomainDnsZones,DC=domain,DC=local

Starting test: Replications
   [Replications Check,Replications Check] Inbound replication is
   disabled.
   To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
   [Replications Check,AD01] Outbound replication is disabled.
   To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"

Então, o problema parece ser que quando mudei o mestre de operações, AD01 nunca recebeu o memorando, e agora que foi iniciado, todos os outros servidores AD não acham mais que é o chefe quando tenta replicar, etc. preciso atualizar manualmente o AD01 para que ele saiba quem é o mestre de operações, infraestrutura e PDC - mas não estou tendo sorte

Estou pesquisando no Google há quase um dia e todas as soluções levam a "o bolo é mentira"

Suas habilidades ninja serão muito apreciadas

Responder1

Existe algum motivo para você não poder simplesmente fazer dcpromo no AD01, rebaixá-lo de um controlador de domínio, reinicializar e, em seguida, fazer backup para um controlador de domínio usando dcpromo novamente?

Responder2

Parece que resolvi o problema. Observe o comentário no erro:

To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"

Fiz isso para ambas as opções mencionadas no log - Então percebi que por algum motivo estranho o serviço netlogon foi pausado... digamos, waaa?

Então iniciei o netlogon e executei uma sincronização forçada. Desta vez a sincronização funcionou e tudo voltou à vida.

A próxima coisa que eu teria tentado seria fazer o que Josh sugeriu e dcpromo na caixa.

Os comentários de Jason sobre DNS também foram muito úteis, pois essa é uma das primeiras coisas que pensei - então, se alguém aparecer, eu verificaria isso primeiro.

Muito obrigado pelas respostas rápidas. Sou um defensor do stackoverflow há muito tempo e é ótimo ver que isso é ótimo :-)

Responder3

Suspeito que, em vez de mover as funções de mestre de operações de 01, elas foram apreendidas por 02. Nesse caso, o comportamento que você está descrevendo está correto. 01 não tem ideia de que não é mais o mestre de antes.

Outra possibilidade é que as funções tenham sido movidas, mas 01 tenha sido encerrado antes que todas as entradas DNS que foram alteradas de alguma forma não fossem replicadas em uma zona integrada ao AD de volta para 01.

Em ambos os casos, eu removeria o dc1 do domínio e o adicionaria novamente usando Dcpromo, pois a replicação foi de alguma forma desativada

Responder4

Falei em breve. Parece que eu estava enfrentando um "problema de reversão do USN" http://support.microsoft.com/kb/875495/en-us

Esta foi uma enorme dor de cabeça. e parece que machuquei AD no processo. Ao reiniciar o NETLOGON e ativar a sincronização novamente, deixei dados incorretos voltarem ao AD nas outras caixas.

Na semana passada, fizemos uma grande mudança de caixa de correio para um novo armazenamento de correio e parece que agora há mensagens em todas as nossas caixas de correio. :(

Uma coisa a aprender com isso:

Se o NetLogon for "pausado", provavelmente há um bom motivo.

informação relacionada