У меня есть домен с 3 серверами AD, на данный момент я буду называть их так:
- AD01 (Win 2008 GC, мастер операций)
- AD02 (Win 2008 GC)
- AD03 (Win 2003 GC)
Пару месяцев назад были некоторые проблемы с оборудованием AD01, поэтому мастер операций, PDC и Infrastructure Master были перемещены в AD02. Все машины были включены, пока это происходило.
- AD01 (Win 2008 GC)
- AD02 (Win 2008 GC, мастер операций)
- AD03 (Win 2003 GC)
AD01 был затем выключен на месяц. После запуска этой машины с замененным оборудованием (сетевой картой и RAID-картой) у меня возникла странная проблема.
- AD01 думает, что мастер операций все еще находится в AD на локальном компьютере
- AD02 и AD03 считают, что AD02 является мастером операций в AD на обоих устройствах
- При запуске DCDIAG на AD01 возникает ряд проблем (перечислены ниже)
При запуске «dcdiag /test:advertising» на AD01:
Doing primary tests
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : domain
Running enterprise tests on : domain.local
При запуске «dcdiag» на AD01 я получаю следующие ошибки (выдержка из окончательного вывода):
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=domain,DC=local
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=domain,DC=local
Starting test: Replications
[Replications Check,Replications Check] Inbound replication is
disabled.
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
[Replications Check,AD01] Outbound replication is disabled.
To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"
Итак, проблема, по-видимому, в том, что когда я переместил хозяина операций, AD01 так и не получил памятку, а теперь, когда он запущен, все остальные серверы AD больше не считают его главным, когда он пытается выполнить репликацию и т. д. Поэтому мне действительно нужно вручную обновить AD01, чтобы он знал, кто является хозяином операций, инфраструктурой и PDC, но у меня ничего не получается.
Я гуглю уже почти день, и все решения приводят к тому, что «торт — ложь».
Ваши навыки ниндзя будут высоко оценены.
решение1
Есть ли какая-то причина, по которой вы не можете просто выполнить dcpromo на AD01, понизить его статус с контроллера домена, перезагрузить, а затем снова перенести его в резервную копию на контроллер домена с помощью dcpromo?
решение2
Кажется, я исправил проблему. Обратите внимание на комментарий в ошибке:
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
Я проделал это для обоих вариантов, упомянутых в журнале. Затем я заметил, что по какой-то странной причине служба netlogon была приостановлена... скажите, вааа?
Затем я запустил netlogon, затем выполнил принудительную синхронизацию. На этот раз синхронизация сработала и все вернулось к жизни.
Следующее, что я бы попробовал, это поступить так, как предложил Джош, и положить dcpromo в коробку.
Комментарии Джейсона о DNS также были очень полезны, так как это одна из первых вещей, о которых я подумал, так что если кто-то еще появится, я проверю это в первую очередь.
Спасибо большое за быстрые ответы. Я давно поддерживаю StackOverflow и здорово видеть, что это просто здорово :-)
решение3
Я подозреваю, что вместо того, чтобы переместить роли мастера операций из 01, их захватил 02. В этом случае поведение, которое вы описываете, верно. 01 не имеет ни малейшего представления о том, что он больше не является мастером, каким был когда-то.
Другая возможность заключается в том, что роли были перемещены, но 01 был отключен до того, как все измененные записи DNS каким-то образом не были реплицированы в интегрированной зоне AD обратно в 01.
В любом случае я бы удалил dc1 из домена и заново добавил его с помощью Dcpromo, так как репликация каким-то образом была отключена.
решение4
Я говорил с скоро. Похоже, что я столкнулся с "проблемой отката USN" http://support.microsoft.com/kb/875495/en-us
Это была огромная головная боль. и, похоже, я повредил AD в процессе. Перезапустив NETLOGON и снова включив синхронизацию, я позволил плохим данным вернуться в AD на других ящиках.
На прошлой неделе мы осуществили масштабный переезд почтовых ящиков в новое почтовое хранилище, и, похоже, теперь во всех наших почтовых ящиках скопилась почта. :(
Из этого можно извлечь один урок:
Если NetLogon когда-либо «приостанавливается», то, вероятно, на то есть веская причина.