Estou atualizando meu sistema dos servidores de 2012 R2 para 2016. No processo, descobri que meu controlador de domínio secundário não fica on-line quando meu PDC é desligado. Eu corri o dcdiag e depois de tentar consertar os erros decidi que provavelmente será mais fácil simplesmente começar de novo com novos controladores de domínio.
Mas, não sendo muito experiente com esses assuntos, quero perguntar o que preciso observar, ou passos importantes que preciso tomar para evitar problemas com os quais operadores experientes estão familiarizados, mas provavelmente não estou familiarizado. Eu conheço o básico. Eu criei o PDC e secundário e conectei-os para replicação. Em um certo ponto, eu mesmo tive todos os erros limpos. Eu simplesmente não consegui consertar os problemas quando eles ocorreram.
O sistema é bem pequeno. Um servidor TFS, máquina de compilação e vários PCs clientes. Eu poderia literalmente escrever facilmente todos os computadores, conta de serviço e usuários e reinseri-los se fosse necessário. Mas quero ter certeza de que não vou perder um passo que poderia causar problemas que exigirão muito trabalho para reparar.
Encontrei este link em Microsoft . Embora seja mais antigo, imaginei se esses passos ainda seriam um bom guia. Este guia fala sobre a substituição de um único controlador de domínio, que é efetivamente minha situação, já que meu controlador de domínio secundário não está mais funcionando corretamente de qualquer maneira.
Adicione após a postagem inicial por solicitação nos comentários: saída de dcdiag /q no PDC. Claro que o BDC também tem uma série de erros, o primeiro erro BDC significante: o BDC falhou em Publicidade e eu não consegui descobrir como consertar isso.
No PDC, primeiro erro:
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... VSVR-WBC-DC01 failed test DFSREvent
2º erro:
An error event occurred. EventID: 0xC0000827
Time Generated: 08/02/2017 12:13:42
Event String:
Active Directory Domain Services could not resolve the following DNS
host name of the source domain controller to an IP address. This error
prevents additions, deletions and changes in Active Directory Domain
Services from replicating between one or more domain controllers in the
forest. Security groups, group policy, users and computers and their
passwords will be inconsistent between domain controllers until this error
is resolved, potentially affecting logon authentication and access to
network resources.
A warning event occurred. EventID: 0x8000051C
Time Generated: 08/02/2017 12:18:06
Event String:
The Knowledge Consistency Checker (KCC) has detected that successive
attempts to replicate with the following directory service has consistently
failed.
......................... VSVR-WBC-DC01 failed test KccEvent
3o erro e evidência eu não chequei no DC ao longo do tempo. Eu não farei isso de novo!
[Replications Check,VSVR-WBC-DC01] A recent replication attempt failed:
From VSVR-WBC-DC02 to VSVR-WBC-DC01
Naming Context: DC=ForestDnsZones,DC=wbc,DC=local
The replication generated an error (8524):
The DSA operation is unable to proceed because of a DNS lookup failure.
The failure occurred at 2017-08-02 12:14:07.
The last success occurred at 2015-10-09 17:57:42.
11059 failures have occurred since the last success.
The guid-based DNS name 8e9f6660-68b8-4273-b79c-6be31f66cd9d._msdcs.wbc.local is not registered on one or more DNS servers.
......................... VSVR-WBC-DC01 failed test Replications
O erro (8524) acima é repetido mais 4 vezes, mas mostrado apenas uma vez aqui para a praticidade.
4º erro:
The DS has corrupt data: rIDPreviousAllocationPool value is not valid
......................... VSVR-WBC-DC01 failed test RidManager
5º erro:
An error event occurred. EventID: 0x00000423
Time Generated: 08/02/2017 12:13:21
Event String:
The DHCP service failed to see a directory server for authorization.
An error event occurred. EventID: 0x0000410B
Time Generated: 08/02/2017 12:13:35
Event String:
The request for a new account-identifier pool failed. The operation
will be retried until the request succeeds. The error is
......................... VSVR-WBC-DC01 failed test SystemLog
O erro EventID: 0x00000423 acima é repetido uma vez, mas é mostrado apenas uma vez aqui para fins práticos.
Eu agradeço que você queira ver o relatório dcdiag. Como a lista de erros era muito longa e eu estava tendo problemas para limpar as coisas, foi por isso que decidi simplesmente começar de novo. Daí a minha pergunta sobre o que eu tenho que observar, ou fazer, para tornar a recreação da DC o mais indolor possível.
Se a replicação foi boa e o dcdiag não mostrar nenhum erro, sugiro verificar sua configuração DHCP. Como o conceito PDC / BDC não existe mais e ambos são supor para trabalhar ao mesmo tempo.
Um erro comum é dar apenas um servidor DNS ao computador do domínio. Certifique-se de que o segundo DC também esteja lá e, como prática recomendada, não configure seu DHCP para fornecer DNS externo, por favor. Isso evitará um bug estranho também.
tl; dr - como yagmoth555 apontou, você precisa usar os DCs para DNS.
Em seguida, verifique se a replicação funciona e se você tem toda a estrutura em outro controlador de domínio.
Se isso acontecer, mova as funções mestre de RID, emulador de PDC e mestre de infra-estrutura para outro / novo DC.
Depois de serem movidos com sucesso, remova o papel do controlador de domínio antigo do DC.