Migração do Servidor Microsoft AD - Dois Servidores Fechando Um (Evitando a Demoção do Servidor)

Navegue suas respostas
1

Eu tenho dois servidores, um servidor AD antigo (servidor A) e um novo servidor (servidor B). Estou tentando migrar do antigo para o novo, então configuro meu segundo servidor seguindo estas instruções e adicione o segundo servidor como um controlador de domínio dentro do mesmo domínio.

Assim, tudo é maravilhoso no servidor, ambos os servidores estão no domínio antigo e estão configurados como controladores de domínio. Agora eu gostaria de desligar o servidor A (eventualmente será descomissionado, mas eu gostaria de mantê-lo como backup por enquanto). Então, desative a replicação do AD no servidor B e ajuste as configurações de DNS para que o servidor B não aponte mais para o servidor A:

Emseguida,encerrooservidorA.Subitamente(noservidorB),nãoconsigoacessaraconfiguraçãodoADpormeiode"Usuários e Computadores do Active Directory" ou "Centro Administrativo do Active Directory". Eu recebo várias derivações de:

Naminginformationcannotbelocatedbecause:TheRPCserverisunavailable

Cannotconnecttoanydomain.Refreshortryagainwhenconnectionisavailable.

ThefollowingDomainControllercouldnotbecontacted:127.0.0.1.Thespecifieddomaineitherdoesnotexistorcouldnotbecontacted.

Portanto,parecequeestáfuncionando(possofazerlogincomcredenciaisdedomínio,aplicativosdeterceirosqueusamoADparecemfuncionar),masnãoconsigoacessarnada.Estoufaltandoalgumacoisaaqui,nãovejoporqueoservidorBnãosedetectaapenascomoonovoservidorAD.Eupenseiquenãohámaisum servidor AD" Primary "mágico . A maioria das pessoas na Internet recomenda rebaixar o servidor AD antigo , mas prefiro não neste caso. É possível concluir a migração do AD sem rebaixar o servidor antigo?

Atualização 1

Após a atualização, as funções FSMO como @KatherineVillyard sugeriram que eu obtivesse a maioria dos erros, mas no "Active Directory Administrative Center" eu recebo uma nova que é interessante, quando você seleciona "Change domain controller" eu recebo:

CannotfindanavailableserverintheDEVdomainthatisrunningtheActiveDirectoryWebService(ADWS).

Issoéinteressanteconformeeuverifiqueietenhocertezadequeoserviçoestásendoexecutadonaminhanovacaixa.Gostariadesaberseoproblemaé relacionado ao DNS . Eu já tentei reajustar as configurações de rede e reiniciar o servidor. Muitas vezes, com esses tipos de problemas, parece que estou apenas jogando coisas contra a parede e vendo o que pega: (

Atualização 2

Eu tentei muitas coisas, mas parece que posso reproduzir o problema desligando o servidor A simplesmente desabilitando o serviço NetLogin no Servidor A. Quando esse serviço no servidor A parar de responder, você não terá mais acesso a ele. esse domínio (erros de tipo semelhantes lançados) através de qualquer um dos controles de snap-in em qualquer servidor.

Eu também notei algo engraçado, quando você executa o seguinte comando no servidor B: 

nltest /DSGetDC:MYDOMAINHERE

Você obtém o seguinte (assumindo que o netlogin está sendo executado nos dois servidores):

DC: \(SERVER A)
Address: \(SERVER A IP ADDRESS)
Dom Guid: XXXX
Dom Name: (MYDOMAINHERE)
Forest Name: (MYDOMAINHERE)
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name...

Outra coisa que noto no novo servidor (B) é que, se você executar ("dcdiag / test: advertising"), receberá a seguinte mensagem (sem problemas no servidor antigo (A)):

Testing server: Default-First-Site-Name\(Server B)
Starting test: Advertising
Warning: DsGetDcName returned information for \(Server A).(MYDOMAINHERE), when we were trying to reach (Server B).
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... (Server B) failed test Advertising

Isso realmente me parece um problema com algum tipo de configuração de DNS no novo servidor (B), mas eu removi todas as referências ao servidor A no servidor B's Gerenciador DNS e reinicializou o servidor. Essa coisa toda é um pouco de caixa preta, onde "DSGetDC" puxa essa informação? O "servidor (DNS)" , que deve ser o servidor B , que não deve ter qualquer referência ao servidor A, claramente estou perdendo alguma coisa aqui: (

    
por David Rogers 11.12.2017 / 22:51

2 respostas

1

Eu desisti: (

Dei a um colega de trabalho para descobrir o que acabamos descobrindo é que o problema estava relacionado à "replicação DFSR SYSVOL". Nós rebaixamos e promovemos novamente o novo servidor (B) para tentar limpar qualquer configuração inválida. Em seguida, seguimos a resolução para o problema que está detalhado no pós-postagem . Acontece que, depois de executar as etapas no Cenário 1 e 2, a chave de registro "SysvolReady" foi definida como zero no novo servidor (B).

(Em caso de apodrecimento do link)

To resolve the issue, perform all steps below in the order described, using an elevated CMD prompt while running as a Domain Admin:

Scenario 1:

  1. Determine which security group policy is applying this setting to the DCs by running on the PDCE:

    GPRESULT.EXE /H secpol.htm

  2. Open secpol.htm in a web browser then click "Show All". Search for the entry "Manage Auditing and Security Log." It will list the group policy that is applying this setting.

  3. Using GPMC.MSC, edit that group policy to include the group "Administrators".

  4. Allow AD and SYSVOL replication to converge on all DCs. On the PDCE, run:

    GPUPDATE /FORCE

  5. Log off the PDCE and log back on, in order to update your security token with the user right assignment.

  6. Run:

    DFSRMIG.EXE /CREATEGLOBALOBJECTS

  7. Allow AD and SYSVOL replication to converge on all DCs. On the PDCE, run:

    DFSRDIAG.EXE POLLAD

    DFSRMIG.EXE /GETMIGRATIONSTATE

  8. Validate that some or all of the DCs have reached the 'Prepared' state and are ready to redirect. At this point you can proceed with your migration normally. See the More Information section below migration best practices.

Scenario 2:

  1. Determine which security group policy is applying this setting to the DCs by running on the PDCE:

    GPRESULT.EXE /H secpol.htm

  2. Open secpol.htm in a web browser then click "Show All". Search for the entry "Manage Auditing and Security Log." It will list the group policy that is applying this setting.

  3. Using GPMC.MSC, edit that group policy to include the group "Administrators".

  4. Allow AD and SYSVOL replication to converge on all DCs. On the affected DC, run:

    GPUPDATE /FORCE

  5. Restart the DFSR service on that DC.

  6. Validate that the DC now shares SYSVOL and NETLOGON, and replicates SYSVOL inbound.

"nota do warrenw 5/3/2013"

  1. Manually share the sysvol - Edit this registry value - Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\parameters
    Value SysvolReady = 1

    run net share to make sure the sysvol is shared out.

  2. Open the policy and add the user or group to the ""manage auditing and security log" user right.

  3. Run gpupdate force.

Achamos que a falha na replicação e na chave de registro de estado da netlogin foi o cerne da questão, mas houve um grande número de outras coisas menores que tentamos, que também poderiam ser um fator na resolução. Espero que este post seja útil para alguém no futuro.

    
por 14.12.2017 / 00:38
6

Não existe um "servidor principal do AD Primário", mas existem Funções FSMO . Tenho quase certeza, com base nas informações que você forneceu, que o Servidor A mantém uma ou todas as funções FSMO.

Você provavelmente desejará fazer o backup do servidor A, transferir todas as funções FSMO para o Servidor B e abaixá-las. Este artigo diz a você como fazer isso com o PowerShell. Em caso de apodrecimento do link, aqui está a essência principal:

Encontre os mestres atuais: 

Get-ADForest example.com| ft DomainNamingMaster, SchemaMaster
Get-ADDomain example.com | ft InfrastructureMaster, PDCEmulator, RIDMaster

Carregue o módulo do powershell do Active Directory: 

Import-Module ActiveDirectory

Você pode mover as funções com base no nome ou no número da função. 

Move-ADDirectoryServerOperationMasterRole "Server B" –OperationMasterRole 0,1,2,3,4

ou 

Move-ADDirectoryServerOperationMasterRole "Server B" –OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster

Se isso falhar, adicione -force ao final, como em 

Move-ADDirectoryServerOperationMasterRole “dc2” –OperationMasterRole 0,1,2,3,4 -force

Você também pode usar a GUI , se preferir.

    
por 11.12.2017 / 23:53

Tags

Movendo o DNS para um novo provedor; seus servidores não respondem, mas dizem que está tudo bem? O MySQL invadiu o AWS AMI: 'Pague para recuperar dados' - como isso poderia ser possível e como evitá-lo da próxima vez?