老运营大师仍然认为它是“唯一”

老运营大师仍然认为它是“唯一”

我有一个包含 3 个 AD 服务器的域,目前我将它们称为:

  • AD01(Win 2008 GC,操作主控)
  • AD02(Win 2008 GC)
  • AD03(Win 2003 GC)

几个月前,AD01 出现了一些硬件问题,因此操作主机、PDC 和基础设施主机被移至 AD02。发生这种情况时,所有机器都处于开启状态。

  • AD01(Win 2008 GC)
  • AD02(Win 2008 GC,操作主控)
  • AD03(Win 2003 GC)

AD01 随后停工一个月。当我用更换的硬件(NIC 和 RAID 卡)启动这台机器时,我遇到了一个奇怪的问题。

  • AD01 认为操作主机仍在本地框中的 AD 中
  • AD02 和 AD03 认为 AD02 是两个盒子上的 AD 操作大师
  • 在 AD01 上运行 DCDIAG 时,我遇到了一些问题(如下所列)

在 AD01 上运行“dcdiag /test:advertising”时:

Doing primary tests

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising


   Running partition tests on : ForestDnsZones

   Running partition tests on : DomainDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : domain

   Running enterprise tests on : domain.local

在 AD01 上运行“dcdiag”时,我收到以下错误(最终输出的摘录):

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising
      Starting test: FrsEvent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.



  Starting test: NCSecDesc
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=ForestDnsZones,DC=domain,DC=local
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=DomainDnsZones,DC=domain,DC=local

Starting test: Replications
   [Replications Check,Replications Check] Inbound replication is
   disabled.
   To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
   [Replications Check,AD01] Outbound replication is disabled.
   To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"

所以问题似乎是,当我移动操作主机时,AD01 从未收到备忘录,现在它已经启动,当它尝试复制等时,所有其他 AD 服务器都不再认为它是主人。所以我真的需要手动更新 AD01,以便它知道谁是操作主机、基础结构和 PDC - 但我没有任何运气

我已经在谷歌上搜索了将近一天,所有的答案都指向“蛋糕是个谎言”

你的忍者技能将受到高度赞赏

答案1

有什么原因不能在 AD01 上执行 dcpromo,将其从域控制器降级,重新启动,然后再次使用 dcpromo 将其备份到域控制器?

答案2

我似乎已经解决了这个问题。请注意错误中的注释:

To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"

我对日志中提到的两个选项都执行了此操作 - 然后我注意到由于某些奇怪的原因,netlogon 服务已暂停...说什么?

然后我启动了 netlogon,然后运行了强制同步。这次同步成功了,一切都恢复了正常。

我接下来要尝试做的就是按照 Josh 的建议去做,并将 dcpromo 关闭。

jason 关于 DNS 的评论也非常有帮助,因为这是我首先想到的事情之一 - 所以如果有其他人来,我会先检查一下。

不过,非常感谢您的快速回复。我一直是 stackoverflow 的长期支持者,很高兴看到这真是太棒了 :-)

答案3

我怀疑操作主机角色不是从 01 移出而是被 02 夺取了。在这种情况下,您所描述的行为是正确的。01 不知道它不再是曾经的主人了。

另一种可能性是角色已被移动,但在所有发生更改的 DNS 条目以某种方式未在 AD 集成区域中复制回 01 之前 01 已被关闭。

无论哪种情况,我都会从域中删除 dc1,然后使用 Dcpromo 重新添加它,因为复制已被禁用

答案4

我很快就谈过了。看来我遇到了“USN 回滚问题” http://support.microsoft.com/kb/875495/en-us

这真是让人头疼。而且我似乎在这个过程中损坏了 AD。通过重新启动 NETLOGON 并再次启用同步,我让坏数据重新进入其他盒子上的 AD。

上周,我们将一个主要的邮箱迁移到了一个新的邮件存储区,现在我们所有的邮箱里似乎都塞满了邮件。:(

从中我们可以学到一件事:

如果 NetLogon 曾经“暂停”,那么很可能有充分的理由。

相关内容