Controlador de domínio offline por mais de dois meses, agora não é possível sincronizar

8

Versão curta

O controlador de domínio foi configurado e ficou offline por mais tempo que o limite da marca para exclusão. Agora não consigo replicar novamente.

Mensagens de erro relevantes

No dc2 (existem mensagens de erro idênticas sobre o Exchange e o dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Outro erro relevante (ID do evento 2042):

O Knowledge Consistency Checker (KCC) detectou que tentativas sucessivas de replicação com o seguinte controlador de domínio falharam consistentemente. Tentativas: 12 Controlador de domínio: CN = Configurações NTDS, CN = DC1, CN = Servidores, CN = MainSite, CN = Sites, CN = Configuração, DC = meu domínio, DC = local Período (minutos): 105103 O objeto de Conexão para esse controlador de domínio será ignorado e uma nova conexão temporária será estabelecida para garantir que a replicação continue. Depois que a replicação com esse controlador de domínio for reiniciada, a conexão temporária será removida. Dados adicionais Valor do erro: 2148074274 O nome do principal de destino está incorreto.

E identificação do evento 1925: The attempt to establish a replication link for the following writable directory partition failed.

Outros detalhes

Ambos os sites estão conectados através de uma VPN. No site principal, eu tenho dois controladores de domínio (que chamaremos de exchange e dc1 ). Ambos são o Server 2003. Se isso importa, o dc1 mantém todas as funções do FSMO.

Na preparação para a configuração de um site remoto, configurei um controlador de domínio chamado dc2 , executando o Server 2003 R2, configurei sites separados nos Sites e Serviços do AD e configurei a replicação de dc1 para dc2 . Eu tinha até a sub-rede correta para o site remoto, conectando-o através de um roteador (isso foi antes do site ser conectado à VPN, portanto, não há conflitos de IP).

Tudo estava funcionando muito bem, então eu desliguei e o preparei para sair. Mas as coisas continuaram atrasadas por mais de 2 meses e agora o dc2 não será replicado corretamente.

O que eu tentei

A remoção da função de controlador de domínio - falha com: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Redefinindo a senha da máquina com:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

A maioria dos artigos da base de conhecimento que eu consultei sobre como corrigir a replicação após atingir a vida útil da lápide ficou bloqueada devido ao erro "O nome principal do destino está incorreto".

active-directory Conceder
fonte

Respostas:

12

Parece que a maneira mais fácil é remover o diretório ativo e reinstalá-lo, e isso pode ser feito sem a eliminação de todo o servidor. Isso deixa qualquer outra coisa no servidor intocada. No entanto, como você não pode remover o diretório ativo corretamente, você deve forçá-lo a ser removido do servidor e, em seguida, limpar manualmente um bom controlador de domínio.

  • Desconecte o servidor com problema da rede para impedir que isso interrompa potencialmente o diretório ativo nos bons servidores.

  • No servidor com problemas, execute dcpromo /forceremoval. Isso permite remover o diretório ativo no sistema sem remover todos os seus registros nos outros controladores de domínio.

  • Use o ntdsutil de um bom controlador de domínio para remover o servidor problemático do diretório ativo. As instruções estão no link de ajuda quando você executa o dcpromo / forceremoval, ou aqui: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Excluir o objeto de servidor nos Sites e Serviços do AD

  • Exclua o servidor em Usuários e computadores do AD, se ele ainda existir

  • Exclua o servidor do DNS:

    • Remova a entrada NS nas zonas de pesquisa inversa
    • Remova a entrada A nas zonas de pesquisa direta
    • Remova a entrada CNAME na pesquisa direta \ domain_msdcs
    • Remova os vários registros SRV em _msdcs, _sites, _tcp e _udp, referindo-se ao servidor com problema

  • Repromova o servidor com problema e defina as configurações do site como se fosse um novo DC.

Conceder
fonte
4

Neste ponto, provavelmente é mais fácil criar um novo controlador de domínio e limpar o dc2 do AD com o ntdsutil.

joeqwerty
fonte
Pode ser mais fácil se não fosse o outro software configurado nesse servidor. É uma opção, mas estou disposto a fazer as coisas da maneira mais difícil para evitá-la, se puder.
Grant
Nesse ponto, esse software não pode ser usado por causa do problema atual, sim? Nesse caso, pode ser mais fácil e mais eficiente começar do zero.
Joeqwerty 14/05