Bộ điều khiển miền ngoại tuyến hơn 2 tháng, hiện không thể đồng bộ hóa

8

Phiên bản ngắn

Bộ điều khiển miền đã được thiết lập, sau đó được ngoại tuyến lâu hơn giới hạn bia mộ. Bây giờ tôi không thể lấy nó để nhân rộng một lần nữa.

Thông báo lỗi có liên quan

Trên dc2 (tồn tại thông báo lỗi giống nhau về cả trao đổidc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Một lỗi liên quan khác (ID sự kiện 2042):

Trình kiểm tra tính nhất quán kiến ​​thức (KCC) đã phát hiện ra rằng các nỗ lực sao chép liên tiếp với bộ điều khiển miền sau đã liên tục thất bại. Nỗ lực: 12 Bộ điều khiển miền: CN = Cài đặt NTDS, CN = DC1, CN = Máy chủ, CN = MainSite, CN = Trang web, CN = Cấu hình, DC = mydomain, DC = Thời gian cục bộ (phút): 105103 Đối tượng kết nối cho bộ điều khiển miền này sẽ bị bỏ qua và một kết nối tạm thời mới sẽ được thiết lập để đảm bảo việc nhân rộng tiếp tục. Khi sao chép với bộ điều khiển miền này tiếp tục, kết nối tạm thời sẽ bị xóa. Giá trị lỗi dữ liệu bổ sung: 2148074274 Tên chính của mục tiêu không chính xác.

Và ID sự kiện 1925: The attempt to establish a replication link for the following writable directory partition failed.

Những chi tiết khác

Cả hai trang web được kết nối thông qua VPN. Tại trang web chính, tôi có hai bộ điều khiển miền (mà chúng ta sẽ gọi là trao đổidc1 ). Cả hai đều là Server 2003. Nếu có vấn đề, dc1 giữ tất cả các vai trò FSMO.

Để chuẩn bị thiết lập một trang web từ xa, tôi thiết lập bộ điều khiển miền có tên là dc2 , chạy Server 2003 R2 và định cấu hình các trang web riêng biệt trong Trang web và Dịch vụ của AD và cấu hình sao chép từ dc1 sang dc2 . Tôi thậm chí đã có nó mạng con chính xác cho trang web từ xa bằng cách kết nối nó thông qua bộ định tuyến (điều này là trước khi trang web được kết nối với VPN, do đó không có xung đột IP).

Mọi thứ đều hoạt động tốt, vì vậy tôi tắt máy và chuẩn bị sẵn sàng để lấy ra. Nhưng mọi thứ cứ bị trì hoãn hơn 2 tháng và giờ dc2 sẽ không được sao chép đúng cách.

Những gì tôi đã thử

Xóa vai trò của bộ điều khiển miền - không thành công với: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Đặt lại mật khẩu máy với:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

Hầu hết các bài viết KB tôi đã trải qua về sửa lỗi sao chép sau khi đạt đến tuổi thọ bia mộ bị kẹt vì lỗi "Tên chính của mục tiêu không chính xác".

active-directory 
Ban cho
nguồn

Câu trả lời:

12

Có vẻ như cách dễ nhất là thực sự loại bỏ thư mục hoạt động và cài đặt lại, và nó có thể được thực hiện mà không xóa sạch toàn bộ máy chủ. Điều này để lại bất cứ điều gì khác trên máy chủ không bị ảnh hưởng. Tuy nhiên, vì bạn không thể xóa thư mục hoạt động đúng cách, bạn phải buộc xóa nó khỏi máy chủ sau đó dọn dẹp thủ công trên bộ điều khiển miền tốt.

  • Ngắt kết nối máy chủ có vấn đề khỏi mạng để ngăn chặn bất kỳ điều này có khả năng phá vỡ thư mục hoạt động trên các máy chủ tốt.

  • Trên máy chủ có vấn đề, hãy chạy dcpromo /forceremoval. Điều này cho phép bạn xóa thư mục hoạt động trên hệ thống mà không xóa tất cả các bản ghi trên các bộ điều khiển miền khác.

  • Sử dụng ntdsutil từ bộ điều khiển miền tốt để xóa máy chủ sự cố khỏi thư mục hoạt động. Các hướng dẫn nằm trong liên kết trợ giúp khi bạn chạy dcpromo / forceremoval hoặc tại đây: http://technet.microsoft.com/en-us/l Library / cc736378% 28WS.10% 29.aspx

  • Xóa đối tượng máy chủ trong Trang web và Dịch vụ của AD

  • Xóa máy chủ trong Người dùng và Máy tính AD nếu nó vẫn tồn tại

  • Xóa máy chủ khỏi DNS:

    • Xóa mục NS trong vùng tra cứu ngược
    • Xóa mục A trong vùng tra cứu chuyển tiếp
    • Xóa mục CNAME trong tra cứu chuyển tiếp \ domain_msdcs
    • Xóa nhiều bản ghi SRV trong _msdcs, _sites, _tcp và _udp tham chiếu đến máy chủ có vấn đề

  • Tái kích hoạt máy chủ có vấn đề và định cấu hình cài đặt trang như bạn muốn một DC hoàn toàn mới.

Ban cho
nguồn
4

Tại thời điểm này, có thể dễ dàng hơn để tạo một DC mới và dọn sạch dc2 khỏi AD bằng ntdsutil.

joeqwerty
nguồn
Có thể dễ dàng hơn nếu không có phần mềm khác được cấu hình trên máy chủ đó. Đó là một lựa chọn, nhưng tôi sẵn sàng làm mọi thứ một cách khó khăn để tránh nó nếu tôi có thể.
Cấp
Tại thời điểm này, phần mềm đó không thể sử dụng được do vấn đề hiện tại, vâng? Nếu vậy, có thể dễ dàng và hiệu quả hơn khi chỉ bắt đầu từ đầu.
joeqwerty
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.