Назад | Перейти на главную страницу

Вторичный контроллер домена больше не является частью домена

[прежде, чем меня поправят, я использовал термины вторичный и первичный в разговорной речи и понимаю терминологию]

У меня проблема с моим вторичным контроллером домена, но не на любом другом сервере в домене. Все под Windows Server 2008. Виртуализировано с помощью VMWARE. Похоже, что он больше не является частью домена. Учетные записи кажутся заблокированными на DC2, но не заблокированы на DC1. Active Directory не подключается к DC2, и я не могу редактировать учетные записи, чтобы разблокировать DC2 локально.

Любые сетевые эхо-запросы являются «общей ошибкой», включая 127.0.0.1 любого другого сервера по IP или DNS-имени. Ping TO DC2 также окончательно не выполняется. В настройках адаптера все нормально и даже показывает "подключен" к правильному домену, но больше ничего не может достать. Услуги в порядке. Нет включенных межсетевых экранов или проблем, которые могут возникнуть из-за проблем с подключением.

Я считаю, что это может быть проблема с доверием? Я не совсем уверен

Во-первых, не «восстановить» контроллеры домена через снимки. На всякий случай соблазнились. Теоретически он поддерживается, но все еще не рекомендуется Microsoft. Прочтите статью, чтобы узнать о других советах по виртуальным DC (некоторые из них касаются Hyper-V, но в основном они все еще применимы к VMWare - например, без использования времени хоста виртуальной машины).

Во-вторых, что есть DCdiag /v указание на проблему DC? Предположительно вы можете войти в него. Обычно это дает довольно хорошее представление о том, что происходит, или дает вам информацию для Google.

В-третьих, какой DNS-сервер настроен в сетевом адаптере на проблемном DC? Измените его на другой DC, если его DNS работает.

В-четвертых, если вы не можете разобраться в проблеме и хотите отказаться от нее и начать заново, если у функционального контроллера домена в домене нет ролей FSMO, заблокируйте их. Убедитесь, что DNS-клиент работает на плохом контроллере домена (если можете), понизьте его, очистите сайты и службы AD и начните снова. Если вы не можете изящно понизить его роль, выключите его, удалите учетную запись компьютера (которая выполняет очистку метаданных) и очистите сайты и службы AD. Прежде чем вводить новый DC, убедитесь, что ваш действующий DC на 100% функционирует.

PS. Если вы знаете, что «первичный» и «вторичный» не применимы к контроллерам домена Active Directory, не используйте эти термины.