Controlador de domínio off-line por mais de dois meses, agora não é possível sincronizar

Navegue suas respostas
8

Versão resumida

O controlador de domínio foi configurado e, em seguida, ficou off-line por mais tempo que o limite de desativação. Agora não consigo replicar novamente.

Mensagens de erro relevantes

Em dc2 (existem mensagens de erro idênticas sobre troca e dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Outro erro relevante (ID do evento 2042):

The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed. Attempts: 12 Domain controller: CN=NTDS Settings,CN=DC1,CN=Servers,CN=MainSite,CN=Sites,CN=Configuration,DC=mydomain,DC=local Period of time (minutes): 105103 The Connection object for this domain controller will be ignored, and a new temporary connection will be established to ensure that replication continues. Once replication with this domain controller resumes, the temporary connection will be removed. Additional Data Error value: 2148074274 The target principal name is incorrect.

e ID do Evento 1925: The attempt to establish a replication link for the following writable directory partition failed.

Outros detalhes

Ambos os sites estão conectados por meio de uma VPN. No site principal, tenho dois controladores de domínio (que chamaremos de exchange e dc1 ). Ambos são Server 2003. Se for importante, dc1 mantém todas as funções FSMO.

Durante a preparação para a criação de um site remoto, configurei um controlador de domínio chamado dc2 , executando o Server 2003 R2 e sites separados configurados em sites e serviços do AD e replicação configurada de dc1 para dc2 . Eu mesmo tive a sub-rede correta para o site remoto, conectando-o através de um roteador (isso foi antes do site foi conectado à VPN, portanto, não há conflitos de IP).

Tudo estava funcionando muito bem, então desliguei e preparei para tirá-lo. Mas as coisas continuaram atrasadas por mais de dois meses, e agora o dc2 não será replicado corretamente.

O que eu tentei

Removendo a função de controlador de domínio - falha com: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Redefinindo a senha da máquina com:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

A maioria dos artigos da KB que passei sobre a correção da replicação depois de atingir a vida útil da marca de exclusão ficou presa devido ao erro "O nome principal do destino está incorreto".

    
por Grant 14.05.2012 / 14:58

2 respostas

12

Parece que a maneira mais fácil é remover o diretório ativo e reinstalá-lo, e isso pode ser feito sem eliminar todo o servidor. Isso deixa qualquer outra coisa no servidor intocada. No entanto, como você não pode remover o diretório ativo adequadamente, é necessário forçá-lo a ser removido do servidor e, em seguida, fazer a limpeza manualmente em um bom controlador de domínio.

  • Desconecte o servidor com problemas da rede para impedir que isso atrapalhe potencialmente o diretório ativo nos bons servidores.

  • No servidor com problemas, execute dcpromo /forceremoval . Isso permite que você remova o diretório ativo no sistema sem remover todos os registros dele nos outros controladores de domínio.

  • Use ntdsutil de um bom controlador de domínio para remover o servidor com problemas do diretório ativo. As instruções estão no link de ajuda quando você executa dcpromo / forceremoval ou aqui: link

  • Exclua o objeto do servidor em Serviços e sites do AD

  • Exclua o servidor em Usuários e computadores do AD, se ainda existir

  • Exclua o servidor do DNS:

    • Remova a entrada NS nas zonas de pesquisa inversa
    • Remover a entrada A nas zonas de pesquisa direta
    • Remova a entrada CNAME na pesquisa direta \ domain_msdcs
    • Remove os vários registros SRV em _msdcs, _sites, _tcp e _udp referentes ao servidor de problemas

  • Repromote o servidor com problemas e defina as configurações do site como se você fosse um novo CD.

por 14.05.2012 / 16:25
4

Neste ponto, é provavelmente mais fácil criar um novo DC e limpar o dc2 do AD com o ntdsutil.

    
por 14.05.2012 / 15:04

Tags

tarefas cron com o mesmo tempo de execução Como atualizar / limpar o cache do DNS nos clientes?