Tenho a seguinte configuração simples: 4 máquinas virtuais MS Windows Server 2008 SP2, uma delas é o PDC de uma pequena Floresta de Domínio, uma é o DC secundário na floresta e duas são membros do Domínio. Inicialmente havia DNS funcionando bem, mas em algum momento no passado (cerca de 2 meses) o controlador de domínio secundário parou de resolver corretamente os nomes de domínio.
Meus suspeitos aqui são, isso aconteceu porque alguns Windows Update atualizaram os serviços AD e a partir desse ponto nenhuma sincronização entre o PDC e o SDC poderia acontecer, também não há conexão direta (por DNS) entre o DF e este DC secundário... Mas este não é o problema principal.
O principal problema é que um dos membros do domínio começou a emitir o erro “O banco de dados de segurança no servidor não possui uma conta de computador para esta relação de confiança da estação de trabalho” no logon (novamente há cerca de 2 meses). Inicialmente resolvi isso desassociando e reingressando na estação de trabalho, mas como esse erro ocorreu mais de uma vez, tentei então a solução mencionadaaqui.
Obviamente fiz algo errado, depois disso meu PDC começou a dar o mesmo erro no login... Como o PDC não possui uma conta de administração local, meu único acesso à máquina é via DSRM (iniciando o PDC no DSRM e usando a conta de administrador do DSRM, me permite fazer logon no servidor).
Mas no DSRM o PDC atua como uma estação de trabalho normal e não há acesso ao AD DS (dcdiag, setspn e netdom não funcionam, informando que o AD DS está inativoEditar:- Erro LDAP (49/52e) Falha no login ou Erro LDAP 81(0x51) - Servidor inativo).
Observe que minha conta de administrador de domínio ainda é válida e funciona (quando eu desassocio e ingresso novamente nas estações de trabalho), não posso usá-la apenas no PDC. Meu SDC apresenta problemas de DNS, por isso não consigo consertar o banco de dados AD DS do SDC, porque não descobri como usar as ferramentas DS com endereços IP em vez de FQDNs...
O manejo sugeridoaquitambém não ajuda muito - não consigo usar nenhuma das ferramentas do AD DS.
Olhando no Visualizador de Eventos me apontou para uma entrada HOST duplicada na configuração do AD DS (Erro 11), então agora aqui está minha pergunta:
Como posso recuperar o controle em nível de domínio sobre o PDC? Além da solução óbvia de descartar a instalação atual do sistema operacional e reinstalar o servidor, de que outra forma posso recuperar o controle da máquina?
Responder1
Encontrei nas páginas do TechNet da Microsoftesseartigo - modificar o comportamento de logon da conta de administração local do DSRM fez o trabalho para permitir que eu fizesse login no servidor enquanto o AD DS era executado. A partir desse ponto, foi fácil rastrear as duplicatas (usandoconjuntospn -x -F) e removê-los da configuração do AD DS do PDC (usandosetspn -D SPN PDC_Server).
De volta à tela de logon, a conta de administração do domínio teve permissão para fazer login novamente. A remoção da modificação do registro, referente aos direitos de login da conta de administração local do DSRM, é uma tarefa opcional, embora fortemente recomendada pela Microsoft.
Isso é tudo - agora posso procurar ativamente uma solução para meu problema secundário com o SDC fora de sincronia.