Pengontrol domain offline selama 2 bulan, sekarang tidak dapat disinkronkan

8

Versi pendek

Pengontrol domain telah disiapkan, kemudian dimatikan lebih lama dari batas batu nisan. Sekarang saya tidak bisa mengulanginya lagi.

Pesan Kesalahan yang Relevan

Di dc2 (ada pesan kesalahan yang identik tentang pertukaran dan dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Kesalahan lain yang relevan (ID Peristiwa 2042):

Knowledge Consistency Checker (KCC) telah mendeteksi bahwa upaya berturut-turut untuk mereplikasi dengan pengontrol domain berikut telah gagal secara konsisten. Mencoba: 12 Pengontrol domain: CN = Pengaturan NTDS, CN = DC1, CN = Server, CN = MainSite, CN = Situs, CN = Konfigurasi, DC = mydomain, DC = lokal Periode waktu (menit): 105103 Objek koneksi untuk pengontrol domain ini akan diabaikan, dan koneksi sementara baru akan dibuat untuk memastikan bahwa replikasi berlanjut. Setelah replikasi dengan pengontrol domain ini dilanjutkan, koneksi sementara akan dihapus. Nilai Kesalahan Data Tambahan: 2148074274 Nama pokok target tidak benar.

Dan ID Peristiwa 1925: The attempt to establish a replication link for the following writable directory partition failed.

Detail lainnya

Kedua situs terhubung melalui VPN. Di situs utama, saya memiliki dua pengontrol domain (yang kami sebut pertukaran dan dc1 ). Keduanya adalah Server 2003. Jika itu penting, dc1 memegang semua peran FSMO.

Dalam persiapan untuk menyiapkan situs jarak jauh, saya menyiapkan pengontrol domain bernama dc2 , menjalankan Server 2003 R2, dan mengkonfigurasi situs terpisah di Situs dan Layanan AD, dan mengkonfigurasi replikasi dari dc1 ke dc2 . Saya bahkan memilikinya subnet yang benar untuk situs remote dengan menghubungkannya melalui router (ini sebelum situs terhubung ke VPN, jadi tidak ada konflik IP).

Semuanya bekerja dengan baik, jadi saya tutup dan siap untuk dikeluarkan. Tetapi hal-hal terus tertunda selama lebih dari 2 bulan, dan sekarang dc2 tidak akan mereplikasi dengan benar.

Apa yang saya coba

Menghapus peran pengontrol domain - gagal dengan: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Menyetel ulang kata sandi mesin dengan:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

Sebagian besar artikel KB yang saya lalui tentang memperbaiki replikasi setelah mencapai kehidupan batu nisan macet karena kesalahan "Nama pokok target salah".

active-directory Hibah
sumber

Jawaban:

12

Tampaknya cara termudah adalah menghapus direktori aktif dan menginstalnya kembali, dan itu bisa dilakukan tanpa memusnahkan seluruh server. Ini membuat hal lain di server tidak tersentuh. Namun, karena Anda tidak dapat menghapus direktori aktif dengan benar, Anda harus memaksanya untuk dihapus dari server kemudian membersihkan secara manual pada pengontrol domain yang baik.

  • Putuskan sambungan server masalah dari jaringan untuk mencegah semua ini berpotensi melanggar direktori aktif pada server yang baik.

  • Di server masalah, jalankan dcpromo /forceremoval. Ini memungkinkan Anda untuk menghapus direktori aktif pada sistem tanpa menghapus semua catatan itu pada pengontrol domain lainnya.

  • Gunakan ntdsutil dari pengontrol domain yang baik untuk menghapus server masalah dari direktori aktif. Instruksi ada di tautan bantuan ketika Anda menjalankan dcpromo / forceremoval, atau di sini: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Hapus objek server di Situs dan Layanan AD

  • Hapus server di Pengguna AD dan Komputer jika masih ada

  • Hapus server dari DNS:

    • Hapus entri NS di zona pencarian terbalik
    • Hapus entri A di zona pencarian maju
    • Hapus entri CNAME di pencarian maju \ domain_msdcs
    • Hapus banyak catatan SRV di bawah _msdcs, _sites, _tcp dan _udp merujuk ke server masalah

  • Promosikan ulang server yang bermasalah dan konfigurasikan pengaturan situs seperti Anda menggunakan DC baru.

Hibah
sumber
4

Pada titik ini mungkin lebih mudah untuk membuat DC2 baru dan membersihkan dc2 dari AD dengan ntdsutil.

joeqwerty
sumber
Mungkin lebih mudah jika bukan karena perangkat lunak lain yang dikonfigurasi di server itu. Ini adalah pilihan, tetapi saya bersedia melakukan hal-hal yang sulit untuk menghindarinya jika saya bisa.
Berikan
Pada titik ini, perangkat lunak itu tidak dapat digunakan karena masalah saat ini, ya? Jika demikian, mungkin lebih mudah dan lebih efisien untuk memulai dari awal.
joeqwerty