O antigo mestre operacional ainda pensa que é o “um”

Navegue suas respostas
2

Eu tenho um domínio com 3 servidores do AD por enquanto, vou chamá-los:

  • AD01 (Win 2008 GC, mestre de operações)
  • AD02 (Win 2008 GC)
  • AD03 (Win 2003 GC)

Alguns meses houve alguns problemas de hardware com o AD01, de modo que o mestre de operações, o PDC e o Infrastructure Master foram movidos para o AD02. Todas as máquinas onde estava enquanto isso acontecia.

  • AD01 (Win 2008 GC)
  • AD02 (Win 2008 GC, mestre de operações)
  • AD03 (Win 2003 GC)

AD01 foi encerrado por um mês. Ao iniciar esta máquina com hardware substituído (placa NIC e RAID), agora tenho um problema estranho.

  • AD01 Pensa que ainda é mestre de operações no AD na caixa local
  • AD02 & AD03 Pensa que AD02 é mestre de operações no AD em ambas as caixas
  • Ao executar o DCDIAG no AD01, recebo vários problemas (listados abaixo)

Ao executar "dcdiag / test: advertising" no AD01: 

Doing primary tests

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising


   Running partition tests on : ForestDnsZones

   Running partition tests on : DomainDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : domain

   Running enterprise tests on : domain.local

Ao executar "dcdiag" no AD01, recebo os seguintes erros (trecho da saída Final): 

   Testing server: Default-First-Site-Name\AD01
      Starting test: Advertising
         Warning: DsGetDcName returned information for \ad02.domain.local, when
         we were trying to reach AD01.
         SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
         ......................... AD01 failed test Advertising
      Starting test: FrsEvent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.



  Starting test: NCSecDesc
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=ForestDnsZones,DC=domain,DC=local
     Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
        Replicating Directory Changes In Filtered Set
     access rights for the naming context:
     DC=DomainDnsZones,DC=domain,DC=local

Starting test: Replications
   [Replications Check,Replications Check] Inbound replication is
   disabled.
   To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"
   [Replications Check,AD01] Outbound replication is disabled.
   To correct, run "repadmin /options AD01 -DISABLE_OUTBOUND_REPL"

Portanto, o problema parece ser que, quando eu mudei o mestre de operações, o AD01 nunca recebeu o memorando, e agora que ele foi iniciado, todos os outros servidores do AD não acham que é o chefe quando ele tenta replicar etc. Então, eu realmente preciso atualizar manualmente AD01 para que ele saiba quem é o mestre de operações, a instrastructure e o PDC - mas não estou tendo sorte

Estou pesquisando há quase um dia e todas as soluções levam a "o bolo é uma mentira"

Suas habilidades ninja serão muito apreciadas

    
por Doug 07.06.2010 / 03:26

5 respostas

0

Eu falei em breve. Parece que eu estava experimentando e "problema de reversão de USN" link

Esta foi uma enorme dor de cabeça. e eu pareço ter machucado o AD no processo. Ao reiniciar o NETLOGON e ativar a sincronização novamente, deixei os dados ruins no AD nas outras caixas.

Na semana passada, fizemos uma grande mudança de caixa de correio para um novo mailstore e isso parece ter agora mensagens de material em todas as nossas caixas de correio. : (

Uma coisa é aprender com isso:

Se o NetLogon estiver "pausado", provavelmente há um bom motivo.

    
por 08.06.2010 / 06:06
2

Existe alguma razão pela qual você não pode simplesmente fazer o dcpromo no AD01, rebaixá-lo de um controlador de domínio, reinicializar, e então trazê-lo de volta para um controlador de domínio usando o dcpromo novamente?

    
por 07.06.2010 / 04:37
2

Parece que consertei o problema. Observe o comentário no erro: 

To correct, run "repadmin /options AD01 -DISABLE_INBOUND_REPL"

Eu fiz isso para ambas as opções mencionadas no log - Então notei que por algum motivo estranho o serviço netlogon foi pausado ... digamos waaa?

Eu iniciei o netlogon e fiz uma sincronização forçada. Desta vez a sincronização funcionou e tudo voltou à vida.

A próxima coisa que eu teria tentado teria sido fazer como Josh sugeriu e dcpromo abaixo da caixa.

Os comentários de jason sobre o DNS também foram muito úteis, já que esta é uma das primeiras coisas que eu pensei - então se alguém aparecer, eu verifico isso primeiro.

Agradeça muito pelas respostas rápidas. Eu tenho sido um grande apoiador do stackoverflow e é ótimo ver que isso é ótimo: -)

    
por 07.06.2010 / 05:37
2

Eu suspeito que, em vez de mover as funções de mestre de operações de 01, elas foram confiscadas por 02. Nesse caso, o comportamento que você está descrevendo está correto. 01 não tem idéia de que não é mais o mestre que já foi.

Outra possibilidade é que as funções foram movidas, mas que 01 foi encerrado antes que todas as entradas de DNS que foram alteradas de alguma forma não fossem replicadas em uma zona integrada do AD de volta para 01.

Em ambos os casos, eu removeria dc1 do domínio e o adicionaria novamente usando o Dcpromo, já que a replicação foi desabilitada de alguma forma

    
por 07.06.2010 / 05:38
1

Eu concordo com o Josh. Se você pode dcpromo-lo e fazer o backup, isso provavelmente seria melhor. Caso contrário, aqui está uma opção que está me atingindo:

O primeiro erro no dcdiag é estranho. Isso me faz pensar que há uma entrada de DNS errônea em algum lugar. Isso definitivamente causaria problemas de replicação. Aponte DC01 para um dos outros DCs para DNS, reinicie o netlogon no DC01 (ou melhor ainda, talvez reinicialize o servidor), depois veja se você pode forçar uma replicação através dos Serviços e Sites do AD. Depois que o AD iniciar a replicação, assegure-se de que o DNS esteja configurado para ser integrado ao Active Directory e aponte o DC01 para si mesmo para o DNS (supondo que seja um servidor DNS). Depois que o AD começar a replicar novamente, você deverá ver as funções FSMO corretas em todos os servidores.

    
por 07.06.2010 / 04:53

Tags

Como atribuir uma única porta a várias vlans Ainda outro problema de mod_rewrite