Soru Etki alanı denetleyicisi 2 aydan fazla çevrimdışı, şimdi senkronize edilemiyor


Kısa versiyon

Etki alanı denetleyicisi kuruldu, ardından mezar taşı sınırından daha uzun bir süre çevrimdışı duruma getirildi. Şimdi tekrar kopyalayamıyorum.

İlgili Hata Mesajları

Dc2'de (her ikisi hakkında aynı hata mesajları var değiş tokuş ve dc1):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Bir başka ilgili hata (Olay Kimliği 2042):

Bilgi Tutarlılığı Denetleyicisi (KCC), aşağıdaki etki alanı denetleyicisiyle çoğaltma girişimlerinin sürekli başarısız olduğunu saptadı.   Denemeler:   12   Alan adı denetleyicisi:   CN = NTDS Ayarları, CN = DC1, CN = Sunucular, CN = MainSite, CN = Siteler, CN = Yapılandırma, DC = etki alanı, DC = yerel   Zaman dilimi (dakika):   105103   Bu etki alanı denetleyicisinin Connection nesnesi yoksayılacak ve çoğaltmanın devam etmesini sağlamak için yeni bir geçici bağlantı kurulacaktır. Bu etki alanı denetleyicisi ile çoğaltma devam ettiğinde, geçici bağlantı kaldırılacak.   Ek veri   Hata değeri:   2148074274 Hedef asıl adı yanlış.

Ve Olay Kimliği 1925: The attempt to establish a replication link for the following writable directory partition failed.

Diğer detaylar

Her iki site de bir VPN ile bağlanır. Ana sitede iki alan denetleyicim var ( değiş tokuş ve dc1). Her ikisi de Server 2003'tür. dc1 tüm FSMO rollerini tutar.

Uzak siteyi kurmak için hazırlık olarak, adında bir etki alanı denetleyicisi kuruyorum dc2'dirServer 2003 R2 çalıştıran ve AD Siteleri ve Hizmetleri'nde ayrı siteler yapılandırılmış ve yapılandırılmış çoğaltma dc1 için dc2'dir. Hatta uzak sitenin bir yönlendirici üzerinden bağlanması için doğru alt ağa sahiptim (bu, sitenin VPN'ye bağlanmasından önce oldu, dolayısıyla IP çakışması yoktu).

Her şey harika çalışıyordu, ben de kapattım ve çıkarmaya hazırdım. Fakat işler 2 aydan fazla gecikmeye devam ediyor ve şimdi dc2'dir düzgün şekilde çoğaltılmayacak.

Ne denedim

Etki alanı denetleyicisi rolünü kaldırma - şununla başarısız: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."


Makine şifresini şu şekilde sıfırlayın:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service


Tombstone yaşamına ulaştıktan sonra çoğaltmayı düzeltmeye başladığım KB makalelerinin çoğu, "Hedef asıl adı yanlış" hatası nedeniyle takılıp kalmıştır.


8
2018-05-14 12:58


Menşei




Cevaplar:


En kolay yol, gerçekten etkin dizini kaldırmak ve yeniden yüklemek gibi görünüyor ve tüm sunucuyu silmeden yapılabilir. Bu, sunucudaki herhangi bir şeyi el değmeden bırakır. Ancak, etkin dizini düzgün bir şekilde kaldıramayacağınız için, sunucudan kaldırılmasını ve ardından iyi bir etki alanı denetleyicisinde el ile temizlemeyi zorlamanız gerekir.

  • Bunlardan herhangi birinin iyi sunuculardaki etkin dizini kırmasını önlemek için sorun sunucusunu ağdan ayırın.

  • Sorun sunucusunda, çalıştır dcpromo /forceremoval. Bu, tüm etki alanlarını diğer etki alanı denetleyicilerinde silmeden sistemdeki etkin dizini kaldırmanıza olanak tanır.

  • Sorunlu sunucuyu etkin dizinden kaldırmak için ntdsutil'i iyi bir etki alanı denetleyicisinden kullanın. Dcpromo / forceremoval çalıştırdığınızda ya da buradan yardım yönergeleri yardım bağlantısındadır: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • AD Sitelerinde ve Hizmetlerinde sunucu nesnesini silme

  • Varsa, AD Kullanıcıları ve Bilgisayarları'nda sunucuyu silme

  • Sunucuyu DNS'den sil:

    • Geriye doğru arama bölgelerinde NS girişini kaldırın
    • İleriye doğru arama bölgelerindeki A girişini kaldırın
    • CNAME girişini ileriye doğru aramada kaldırın \ domain_msdcs
    • Sorun sunucusuna başvurarak _msdcs, _sites, _tcp ve _udp altındaki çok sayıda SRV kaydını kaldırın.
  • Sorun sunucusunu tekrar inceleyin ve yepyeni bir DC gibi site ayarlarını yapılandırın.


12
2018-05-14 14:25





Bu noktada, yeni bir DC oluşturmak ve ntdsutil ile AD'den temiz dc2 oluşturmak daha kolay olacaktır.


4
2018-05-14 13:04



Bu sunucuda yapılandırılmış olan diğer yazılım için olmasa daha kolay olabilir. Bu bir seçenek, ancak yapabileceğim şeylerden kaçınmak için işleri zor yoldan yapmaya hazırım. - Grant
Bu noktada, şu anki sorun nedeniyle bu yazılım kullanılamaz, evet? Eğer öyleyse, sadece sıfırdan başlamak daha kolay ve daha verimli olabilir. - joeqwerty