我们正在将单个 2003 域控制器 (DC1) 升级为两个 2012 R2 控制器(Sevenoaks 的 DC2 和曼彻斯特的 DC3(曼彻斯特的站点和服务中的不同站点))。DCpromo(向导)在两台新服务器上都顺利完成。我去降级 DC1,它提示域中没有有效的 DC,这是一个非常糟糕的主意。
仔细检查后,我注意到 DC2 和 DC3 没有 SYSVOL 或 NETLOGON 共享。
运行诊断仪在 DC2 上显示以下错误:
Starting test: Advertising
Warning: DsGetDcName returned information for \\mfb-dc1.mortgages4business.local, when we were trying to reach
MFB-DC2.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... MFB-DC2 failed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
repadmin /showrepl 在 DC2 上没有显示任何错误。所以我在想 DNS,你可以找到DC2 的 ipconfig 在此处,以及DC1 的 ipconfig 在此处- 所有内容都指向 DC1,即 2003 框,这是我想要的复制目的,直到 SYSVOL 等成功创建。
DC2 上根本没有目录服务错误,而 DC1 上的情况则稍微不尽如人意——每 15 分钟就会创建一批 12 个错误和警告。
其中四个(1865 个警告):“知识一致性检查器 (KCC) 无法形成完整的生成树网络拓扑。因此,无法从本地站点访问以下站点列表。”四个 1311 错误(更多相同错误)。四个 1566 错误:“以下站点中可以通过此传输复制目录分区的所有域控制器当前不可用。地点:CN=曼彻斯特“……”
如果我跑DC1 上的 DCDiag,我收到一些复制错误 - 这些错误与 DC3(另一个网络上的服务器)有关。
[Replications Check,MFB-DC1] A recent replication attempt failed:
From MFB-DC3 to MFB-DC1
Naming Context: DC=DomainDnsZones,DC=mortgages4business,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2015-03-14 00:45:12.
The last success occurred at 2015-03-13 22:00:11.
1 failures have occurred since the last success.
[Replications Check,MFB-DC1] A recent replication attempt failed:
From MFB-DC3 to MFB-DC1
Naming Context: CN=Schema,CN=Configuration,DC=mortgages4business,DC=local
The replication generated an error (8524):
The DSA operation is unable to proceed because of a DNS lookup failure.
The failure occurred at 2015-03-14 00:45:15.
The last success occurred at 2015-03-13 21:45:09.
1 failures have occurred since the last success.
The guid-based DNS name 4b35c4ab-6da8-40c5-8a74-4f8ee6e12954._msdcs.mortgages4business.local
is not registered on one or more DNS servers.
所有服务器都可以互相 ping 通,DNS 看起来不错。所有三台服务器都已注册 _msdcs.mortgages4business.local。
编辑:在 DC3s 日志中的文件复制日志下,我发现:文件复制服务无法使用 DNS 名称 mfb-dc1.mortgages4business.local 为 c:\windows\sysvol\domain 启用从 mfb-dc1.mortgages4business.local 到 MFB-DC3 的复制。FRS 将继续重试。所以也许我的 DNS 理论并不太错 - 疯狂的是,我可以固定 mfb-dc1...
我错过了什么?这与其他网站有关吗?它无法复制到 DC3,所以它放弃了并且没有复制到本地 DC2?
答案1
由于声誉问题,我无法添加评论,但我是一名拥有 10 多年 AD 经验的人,所以请允许我在回答上稍微宽限一些。
首先,没有复制错误,因为 DC 没有宣传自己。
我推测,所有 DC 也都是 DNS 服务器。如果不是,就让它成为 DNS 服务器。2k3 盒退役后,您将需要域中的两个 DNS 服务器。
DC01 正在将 DNS 指向其自身,虽然这对于一个 DC 来说没问题,但现在不行。引用:https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx
将 DC01 的 DNS 客户端 IP 设置更改为:
192.168.0.19
127.0.0.1
将 DC02 的 DNS 客户端 IP 设置更改为:
192.168.0.4
127.0.0.1
将 DC03 的 DNS 客户端 IP 设置更改为
192.168.0.19
127.0.0.1
因此 01 和 03 应该指向 02,02 应该指向 01。在 2012 服务器上保持 IPv6(::1)处于启用状态,禁用 IPv6 时不支持 AD DS。
这句话表明了这就是问题所在,并且是已知的最佳实践:
The guid-based DNS name 4b35c4ab-6da8-40c5-8a74-4f8ee6e12954._msdcs.mortgages4business.local
is not registered on one or more DNS servers.
在所有三台服务器上运行 DCdiag /fix,在 2003 上可能是 netdiag /fix。这将重新注册 DC 的所有 srv 记录。这应该可以解决您的 DNS 问题。等待 5 分钟,从提升的 cmd 行运行:
repadmin /syncall * /e
这将同步域。等待几个小时,然后使用更多 dcdiag 查看发生了什么。如果这不起作用,我会考虑防火墙。DC01、Sevenoaks 或 Manchester 在哪里。所有端口都打开了吗? https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx 但我不会担心这是现阶段的问题。