Контроллер домена был настроен, а затем отключен на время, превышающее предел захоронения. Теперь я не могу заставить его повторить снова.
На dc2 (одинаковые сообщения об ошибках существуют для обоих обмен и dc1):
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.
Другая актуальная ошибка (идентификатор события 2042):
Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки репликации со следующим контроллером домена постоянно терпят неудачу. Попыток: 12 Контроллер домена: CN = NTDS Settings, CN = DC1, CN = Servers, CN = MainSite, CN = Sites, CN = Configuration, DC = mydomain, DC = local Period of time (minutes): 105103 The Connection object for этот контроллер домена будет проигнорирован, и будет установлено новое временное соединение, чтобы гарантировать продолжение репликации. После возобновления репликации с этим контроллером домена временное соединение будет удалено. Значение ошибки дополнительных данных: 2148074274 Неверное целевое главное имя.
И идентификатор события 1925: The attempt to establish a replication link for the following writable directory partition failed.
Оба сайта подключены через VPN. На основном сайте у меня есть два контроллера домена (которые мы будем называть обмен и dc1). Оба - Server 2003. Если это важно, dc1 выполняет все роли FSMO.
Готовясь к настройке удаленного сайта, я установил контроллер домена под названием dc2, под управлением Server 2003 R2, настроил отдельные сайты в сайтах и службах AD, а также настроил репликацию из dc1 к dc2. У меня даже была правильная подсеть для удаленного сайта, подключив его через маршрутизатор (это было до того, как сайт был подключен к VPN, поэтому конфликтов IP-адресов не было).
Все работало отлично, поэтому я выключил его и приготовил к работе. Но все откладывалось более чем на 2 месяца, а теперь dc2 не будет воспроизводиться должным образом.
Удаление роли контроллера домена - не удается: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."
Сброс машинного пароля с помощью:
Disable and stop KDC service
klist /purge
netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword
Reboot
Reenable KDC service
Большинство статей базы знаний о том, как исправить репликацию после достижения срока жизни надгробия, зависали из-за ошибки «Целевое главное имя неверно».
Кажется, что самый простой способ - действительно удалить активный каталог и переустановить его, и это можно сделать, не уничтожая весь сервер. Это оставляет все остальное на сервере нетронутым. Однако, поскольку вы не можете удалить активный каталог должным образом, вам необходимо принудительно удалить его с сервера, а затем выполнить очистку вручную на хорошем контроллере домена.
Отключите проблемный сервер от сети, чтобы это не привело к нарушению работы активного каталога на хороших серверах.
На проблемном сервере запустите dcpromo /forceremoval. Это позволяет удалить активный каталог в системе, не удаляя все его записи на других контроллерах домена.
Используйте ntdsutil на хорошем контроллере домена, чтобы удалить проблемный сервер из активного каталога. Инструкции находятся в справочной ссылке при запуске dcpromo / forceremoval или здесь: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx
Удалить объект сервера в AD Sites and Services
Удалите сервер в AD Users and Computers, если он все еще существует
Удаляем сервер из DNS:
Перепродвигайте проблемный сервер и настройте параметры сайта, как если бы вы делали новый DC.
На этом этапе, вероятно, проще создать новый DC и очистить dc2 от AD с помощью ntdsutil.