老營運大師依然認為是“一”

tag-icon tag-icon windows-server-2008 active-directory domain-controller
老營運大師依然認為是“一”

我有一個包含 3 個 AD 伺服器的網域,現在我稱它們為:

  • AD01(Win 2008 GC,操作大師)
  • AD02(贏得2008年GC)
  • AD03(贏得2003年GC)

幾個月後,AD01 出現了一些硬體問題,因此操作主機、PDC 和基礎設施主機轉移到了 AD02。發生這種情況時,所有機器都處於開啟狀態。

  • AD01(贏得2008年GC)
  • AD02(Win 2008 GC,操作大師)
  • AD03(贏得2003年GC)

AD01隨後被關閉一個月。在使用更換的硬體(NIC 和 RAID 卡)啟動這台機器後,我現在遇到了一個奇怪的問題。

  • AD01 認為操作主機仍在本機上的 AD 中
  • AD02 & AD03 認為 AD02 是兩台盒子上 AD 的操作主機
  • 在 AD01 上執行 DCDIAG 時,我遇到了許多問題(如下所列)

在 AD01 上執行“dcdiag /test:advertising”時:

Doing primary tests

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising


   Running partition tests on : ForestDnsZones

   Running partition tests on : DomainDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : domain

   Running enterprise tests on : domain.local

在 AD01 上執行「dcdiag」時,出現以下錯誤(最終輸出摘錄):

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising
      Starting test: FrsEvent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.



  Starting test: NCSecDesc
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=ForestDnsZones,DC=domain,DC=local
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=DomainDnsZones,DC=domain,DC=local

Starting test: Replications
   [Replications Check,Replications Check] Inbound replication is
   disabled.
   To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
   [Replications Check,AD01] Outbound replication is disabled.
   To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"

所以問題是,當我移動操作主機時,AD01從未收到備忘錄,現在它已啟動,所有其他AD伺服器在嘗試複製等時不再認為它是老闆。知道操作主機、基礎設施和PDC 是誰- 但我沒有任何運氣

我已經用谷歌搜尋了近一天,所有的解決方案都導致“蛋糕是一個謊言”

你的忍者技能將得到極大的讚賞

答案1

您是否有任何理由不能在 AD01 上執行 dcpromo,將其從網域控制站降級,重新啟動,然後再次使用 dcpromo 將其備份到網域控制站?

答案2

我似乎已經解決了這個問題。注意錯誤中的註解:

To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"

我對日誌中提到的兩個選項都執行了此操作 - 然後我注意到由於某種奇怪的原因,netlogon 服務已暫停...說 waaa?

然後我啟動netlogon,然後執行強制同步。這次同步成功了,一切都恢復了生機。

我會嘗試的下一件事就是按照喬希的建議去做,然後將 dcpromo 放在盒子裡。

傑森關於 DNS 的評論也非常有幫助,因為這是我首先想到的事情之一 - 所以如果其他人出現,我會先檢查一下。

不過,非常感謝您的快速回覆。我一直是 stackoverflow 的長期支持者,很高興看到這真是一個偉大的:-)

答案3

我懷疑操作主機角色沒有從 01 轉移,而是被 02 捕獲。 01並不知道自己已經不再是曾經的主人了。

另一種可能性是角色已移動,但在所有以某種方式變更的 DNS 條目未在 AD 整合區域中複製回 01 之前,01 已關閉。

無論哪種情況,我都會從網域中刪除 dc1 並使用 Dcpromo 重新新增它,因為複製已停用

答案4

我很快就談到了。我似乎遇到了“USN 回滾問題” http://support.microsoft.com/kb/875495/en-us

這是一個巨大的頭痛。我似乎在這個過程中傷害了AD。透過重新啟動 NETLOGON 並再次啟用同步,我已將錯誤資料放回其他機器上的 AD 中。

上週,我們將主要郵箱遷移到了新的郵件存儲,現在我們所有的郵箱中似乎都存有郵件。 :(

從中可以學到一件事:

如果 NetLogon 曾經「暫停」過,那麼可能是有充分理由的。

相關內容