Назад | Перейти на главную страницу

Может ли кто-нибудь помочь мне разобраться в этой неразберихе с Active Directory?

Сначала немного предыстории: Итак, у меня есть два контроллера домена (dc1 и dc2) с 32-разрядной и 64-разрядной версией Server 2003 соответственно. Они не могут быть воспроизведены с 2012 года, чего я не осознавал, когда начал работать в этой компании. Сотрудники все еще могли войти в общие файловые ресурсы, размещенные на обоих контроллерах домена, поэтому мне сказали не трогать их. Я добавил виртуальную машину под управлением server 2003, которая будет действовать как другой контроллер домена для репликации с dc1, который выполняет роли FSMO.

Эта виртуальная машина недавно умерла, и я удалил роль AD с этой виртуальной машины из dc1. Теперь я не могу войти в dc1 с учетной записью администратора. Я также не могу добавлять машины в домен. Некоторые пользователи могут получить доступ к общим файловым ресурсам на dc1, но большинство - нет. Я запустил dcdiag как на dc1, так и на dc2, и результаты можно увидеть Вот.

Итак, мой вопрос: могу ли я что-нибудь сделать, чтобы вернуть dc1? Я даже не знаю, с чего начать, и у меня нет никого, кроме Интернета, чтобы попросить о помощи. Я знаю, что должен удалить AD из dc2 и снова добавить его, но я не хочу этого делать, пока dc1 находится в текущем состоянии беспокойства.

Можете ли вы создать еще одну виртуальную машину 2003 года и добавить к ней AD, реплицировать наш DC1, передать роли и затем исправить dc2? Даже это звучит как вуду. Без действующей учетной записи администратора в AD все, что вам нужно сделать, будет проблемой.

Похоже, что ваши DC2 и DC1 разделились, а затем продолжили работу, не имея возможности общаться, и ваши учетные записи пользователей распределены по обоим серверам. Возможно, почему они все еще могут войти в систему, но я уверен, что пароль учетной записи администратора отличается в обоих полях (попробуйте последний известный пароль и посмотрите, работает ли он). (ваши ошибки bass un и pw, похоже, указывают на то, что они разные).

Время на каждой машине одинаковое? Я просмотрел ваш дамп dcdiag, но я недостаточно знаком, чтобы помочь вам с ошибками, которые вы получаете.

Если бы это был я (а вы нет), я бы отказался от DC1, попросил бы dc2 захватить роли FSMO, а затем отсортировать их оттуда. Но, не зная больше о своей настройке, скорее всего, вы потеряете некоторые данные.

Я могу предложить следующий подход, но его долго применять:

  1. Сделайте резервную копию образа обоих контроллеров домена, если что-то пойдет не так, у вас есть образ для восстановления.
  2. Сбросьте пароль администратора на DC1, Google - ваш друг, но вы воспользуетесь этой полезной ссылкой, если потеряетесь в результатах: http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
  3. Получив доступ к DC1, попробуйте увидеть разницу между обоими серверами с точки зрения созданных объектов AD (например, пользователей, групп, компьютеров).
  4. Если на DC1 не создано много объектов, и что большинство ваших объектов находится на DC2, я бы рекомендовал убить DC1, как и ответ передо мной, сконцентрируйте свои усилия на приведении DC2 в работоспособное состояние, захватите правила FSMO, а затем установите реплику DC как можно скорее.
  5. Если у DC1 есть много объектов, которые не находятся на DC2, попробуйте установить новый DC и присоединить его к DC1 после сброса пароля DC, репликации, захвата правил FSMO, убедитесь, что новый сервер запущен и работает, а затем BAM ! убить DC1 (он должен умереть несмотря ни на что), не забудьте установить новую реплику DC после того, как вы убьете DC1

У меня такое чувство, что вы потеряете некоторые счета, что бы вы ни делали, но вопрос в том, какой подход заставит вас потерять меньше, чем другой.

Надеюсь это поможет.