我有一个包含 3 个 AD 服务器的域,目前我将它们称为:
- AD01(Win 2008 GC,操作主控)
- AD02(Win 2008 GC)
- AD03(Win 2003 GC)
几个月前,AD01 出现了一些硬件问题,因此操作主机、PDC 和基础设施主机被移至 AD02。发生这种情况时,所有机器都处于开启状态。
- AD01(Win 2008 GC)
- AD02(Win 2008 GC,操作主控)
- AD03(Win 2003 GC)
AD01 随后停工一个月。当我用更换的硬件(NIC 和 RAID 卡)启动这台机器时,我遇到了一个奇怪的问题。
- AD01 认为操作主机仍在本地框中的 AD 中
- AD02 和 AD03 认为 AD02 是两个盒子上的 AD 操作大师
- 在 AD01 上运行 DCDIAG 时,我遇到了一些问题(如下所列)
在 AD01 上运行“dcdiag /test:advertising”时:
Doing primary tests
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : domain
Running enterprise tests on : domain.local
在 AD01 上运行“dcdiag”时,我收到以下错误(最终输出的摘录):
Testing server: Default-First-Site-Name\AD01
Starting test: Advertising
Warning: DsGetDcName returned information for \\ad02.domain.local, when
we were trying to reach AD01.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... AD01 failed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=domain,DC=local
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=domain,DC=local
Starting test: Replications
[Replications Check,Replications Check] Inbound replication is
disabled.
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
[Replications Check,AD01] Outbound replication is disabled.
To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"
所以问题似乎是,当我移动操作主机时,AD01 从未收到备忘录,现在它已经启动,当它尝试复制等时,所有其他 AD 服务器都不再认为它是主人。所以我真的需要手动更新 AD01,以便它知道谁是操作主机、基础结构和 PDC - 但我没有任何运气
我已经在谷歌上搜索了将近一天,所有的答案都指向“蛋糕是个谎言”
你的忍者技能将受到高度赞赏
答案1
有什么原因不能在 AD01 上执行 dcpromo,将其从域控制器降级,重新启动,然后再次使用 dcpromo 将其备份到域控制器?
答案2
我似乎已经解决了这个问题。请注意错误中的注释:
To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
我对日志中提到的两个选项都执行了此操作 - 然后我注意到由于某些奇怪的原因,netlogon 服务已暂停...说什么?
然后我启动了 netlogon,然后运行了强制同步。这次同步成功了,一切都恢复了正常。
我接下来要尝试做的就是按照 Josh 的建议去做,并将 dcpromo 关闭。
jason 关于 DNS 的评论也非常有帮助,因为这是我首先想到的事情之一 - 所以如果有其他人来,我会先检查一下。
不过,非常感谢您的快速回复。我一直是 stackoverflow 的长期支持者,很高兴看到这真是太棒了 :-)
答案3
我怀疑操作主机角色不是从 01 移出而是被 02 夺取了。在这种情况下,您所描述的行为是正确的。01 不知道它不再是曾经的主人了。
另一种可能性是角色已被移动,但在所有发生更改的 DNS 条目以某种方式未在 AD 集成区域中复制回 01 之前 01 已被关闭。
无论哪种情况,我都会从域中删除 dc1,然后使用 Dcpromo 重新添加它,因为复制已被禁用
答案4
我很快就谈过了。看来我遇到了“USN 回滚问题” http://support.microsoft.com/kb/875495/en-us
这真是让人头疼。而且我似乎在这个过程中损坏了 AD。通过重新启动 NETLOGON 并再次启用同步,我让坏数据重新进入其他盒子上的 AD。
上周,我们将一个主要的邮箱迁移到了一个新的邮件存储区,现在我们所有的邮箱里似乎都塞满了邮件。:(
从中我们可以学到一件事:
如果 NetLogon 曾经“暂停”,那么很可能有充分的理由。