Limpeza após rebaixar o DC antigo

Navegue suas respostas
2

Eu adicionei recentemente um novo Server 2012 DC e tirei o antigo DC de 2003 offline. O Server 2012 DC é agora o único DC na rede. Eu também adicionei um alias (CNAME) para que o novo servidor possa ser acessado com o nome DNS do servidor antigo.

Estou vendo agora um erro e vários avisos no log de eventos que suspeito que estejam relacionados a algumas "sobras" ou outras configurações que tentam sincronizar com o servidor antigo. Um desses eventos são: [Erro] Kerberos Event ID 4 - O cliente Kerberos recebeu um erro KRB_AP_ERR_MODIFIED do servidor new-srvr $. O nome de destino usado foi cifs / old-srvr.

Eu esperava que alguém pudesse esclarecer isso com uma possível solução.

UPDATE: Adicionando mais detalhes Eu rebaixei o DC de 2003 usando o dcpromo antes de colocá-lo offline. Eu tive que usar a opção de força embora porque eu estava recebendo um erro relacionado a DomainDnsZones e fSMORoleOwner. Não sei por que, porque verifiquei que todas as cinco dessas funções transferiram a propriedade para o novo servidor: Mestre de Esquema Domínio de nomeação de domínio Mestre de Infraestrutura Mestre de ID relativo (RID) Emulador de PDC Eu segui o guia aqui .

Em segundo lugar, a razão pela qual adicionei o CNAME é para o SMB e não para o domínio. Eu queria que os clientes pudessem continuar a usar \ old-server e, portanto, eu segui as instruções aqui .

Eu me pergunto se talvez esta é uma prática "perigosa" para DCs e não pode / não deve ser feita.

    
por Dandan 07.08.2015 / 16:34

1 resposta

2

"I also added an alias (CNAME) so that the new server can be accessed with the old server's DNS name."

Boa tentativa, mas o erro KRB_AP_ERR_MODIFIED é a maneira de o Kerberos dizer $ # @! off porque os nomes não correspondem. Todos os nomes de host, registros DNS A e SPNs devem corresponder. Registros CNAME / alias não podem ser usados nesta situação.

(Para ser mais específico, os clientes constroem SPNs para Kerberos usando o nome DNS do computador que está hospedando o serviço ao qual o cliente deseja se conectar. Se esse SPN não estiver registrado no objeto de computador no AD, que ele ganhou porque o novo DC tem um nome diferente do antigo DC, o Kerberos não funciona.)

Você precisa realizar a limpeza de metadados do antigo DC.

link

Role para baixo na parte inferior do artigo, onde explica como usar o ntdsutil para executar a limpeza de metadados.

Exclua esse CNAME. Exclua registros DNS existentes que se referem ao servidor antigo. Isso inclui registros A, registros SRV, registros PTR, etc.

Verifique cada membro do domínio e verifique se eles estão usando o endereço IP do novo controlador de domínio como o único resolvedor de DNS.

    
por 07.08.2015 / 16:47

Tags

Mesmo servidor SMTP, o Microsoft Exchange atinge o destinatário, mas o sendmail não O proxy reverso Nginx não carregará sites HTTPS