У меня есть домен с 3 серверами AD, я просто назову их:
Через пару месяцев с AD01 возникли некоторые проблемы с оборудованием, поэтому хозяин операций, основной контроллер домена и мастер инфраструктуры были перемещены в AD02. Все машины, где это происходило.
Затем AD01 был отключен на месяц. После запуска этой машины с замененным оборудованием (сетевой адаптер и карта RAID) у меня возникла странная проблема.
При запуске «dcdiag / test: реклама» на AD01:
Doing primary tests
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : domain
Running enterprise tests on : domain.local
При запуске «dcdiag» на AD01 я получаю следующие ошибки (отрывок из окончательного вывода):
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=domain,DC=local
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=domain,DC=local
Starting test: Replications
[Replications Check,Replications Check] Inbound replication is
disabled.
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
[Replications Check,AD01] Outbound replication is disabled.
To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"
Таким образом, проблема заключалась в том, что, когда я перемещал хозяина операций, AD01 так и не получил памятку, и теперь, когда он запущен, все другие серверы AD больше не думают, что он босс, когда он пытается реплицировать и т. Д. Так что я действительно необходимо вручную обновить AD01, чтобы он знал, кто является хозяином операций, инфраструктурой и PDC, но мне не повезло
Я гуглил почти день, и все решения приводят к "торт - ложь"
Будем очень признательны за ваши навыки ниндзя
Я подозреваю, что вместо перемещения ролей хозяина операций с 01 они были захвачены 02. В этом случае поведение, которое вы описываете, является правильным. 01 не знает, что он больше не тот хозяин, которым был раньше.
Другая возможность заключается в том, что роли были перемещены, но 01 был отключен до того, как все измененные записи DNS не были реплицированы в интегрированной зоне AD обратно на 01.
В любом случае я бы удалил dc1 из домена и повторно добавил его с помощью Dcpromo, поскольку репликация каким-то образом была отключена.
Кажется, я решил проблему. Обратите внимание на комментарий к ошибке:
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
Я сделал это для обоих вариантов, упомянутых в журнале. Затем я заметил, что по какой-то странной причине служба netlogon была приостановлена ... скажем, вааа?
Затем я запустил netlogon, а затем запустил принудительную синхронизацию. На этот раз синхронизация сработала, и все ожило.
Следующее, что я бы попробовал, это сделать, как предложил Джош, и dcpromo вниз по коробке.
Комментарии Джейсона о DNS также были очень полезны, так как это одна из первых вещей, о которых я подумал - поэтому, если кто-то еще придет, я сначала проверим это.
Тем не менее, большое спасибо за быстрые ответы. Я давно сторонник stackoverflow, и приятно видеть, что это просто здорово :-)
Есть ли причина, по которой вы не можете просто выполнить dcpromo на AD01, понизить его роль с контроллера домена, перезагрузить, а затем снова перенести резервную копию на контроллер домена с помощью dcpromo?
Я согласен с Джошем. Если вы можете dcpromo вниз и обратно, это, вероятно, будет лучше всего. В противном случае, вот вариант, который меня поражает:
Первая ошибка dcdiag странная. Это заставляет меня думать, что где-то есть ошибочная запись DNS. Это определенно вызовет проблемы с репликацией. Направьте DC01 на один из других контроллеров домена для DNS, перезапустите netlogon на DC01 (или, еще лучше, перезагрузите сервер), затем посмотрите, можете ли вы принудительно выполнить репликацию через сайты и службы AD. Как только AD начнет репликацию, убедитесь, что DNS настроен на интеграцию с Active Directory, и укажите DC01 на себя для DNS (при условии, что это DNS-сервер). Как только AD снова начнет репликацию, вы должны увидеть правильные роли FSMO на всех серверах.
Я скоро поговорил. Похоже, я столкнулся с "проблемой отката USN" http://support.microsoft.com/kb/875495/en-us
Это была огромная головная боль. и я, кажется, повредил AD в процессе. Перезапустив NETLOGON и снова включив синхронизацию, я вернул плохие данные в AD на других устройствах.
На прошлой неделе мы осуществили крупный перенос почтовых ящиков в новое почтовое хранилище, и теперь, похоже, на все наши почтовые ящики попала почта. :(
Одна вещь, которую можно извлечь из этого:
Если NetLogon когда-либо "приостанавливается", вероятно, есть веская причина.