У меня есть домен, разделенный на четыре сайта. На одном из моих удаленных сайтов я продвинул новый DC и выведу из эксплуатации существующий DC через несколько недель. Я не получал никаких ошибок, когда делал dcpromo, но мне пришлось отложить перезагрузку сервера после рекламной акции на несколько дней.
После перезагрузки выяснилось, что на этом новом контроллере домена возникли серьезные проблемы:
This directory server has not recently received replication information from a number of directory servers.), 2089 (This directory partition has not been backed up since at least the following number of days.) и 2093 (The remote server which is the owner of a FSMO role is not responding. This server has not replicated with the FSMO role owner recently.).В системном журнале содержится множество событий 1006 (The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed). Look in the details tab for error code and description.) - информация из вкладки подробностей выглядит следующим образом:
SupportInfo1 1
SupportInfo2 5012
ProcessingMode 0
ProcessingTimeInMilliseconds 2184
ErrorCode 49
ErrorDescription Invalid Credentials
DCName
Как и ошибка 4 (The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server kelethdc01$. The target name used was E3514235-4B06-11D1-AB04-00C04FC2DCD2/2ee10a9d-dcf0-4940-b2e5-25044f90869c/domain.com@domain.com. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (DOMAIN.COM) is different from the client domain (DOMAIN.COM), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.), и ошибка 5782 (Dynamic registration or deregistration of one or more DNS records failed with the following error: TCP/IP network protocol not installed.).
Может ли кто-нибудь подсказать, что здесь могло произойти и как исправить?
Относительно «Этот раздел каталога не копировался как минимум в течение следующего количества дней.». Когда выполняется резервное копирование состояния системы и выполняется резервное копирование Active Directory, он обновляет атрибут раздела (-ов).
Вы можете подтвердить, выполняется ли / когда резервное копирование, с помощью следующей команды:
repadmin /showbackup <dcname>
Можно запретить обновление атрибута. Если это сообщение отображается только для раздела схемы, возможно, он отключен.
Я не видел этого раньше, но сначала я подумал, что, поскольку билеты Kerberos основаны на времени, задержка между dcpromo и перезагрузка могла вызвать проблему.
Вы пробовали отменить продвижение нового сервера и сделать новый dcpromo и перезагрузиться?