Контроллер домена отключен более 2 месяцев, теперь не может синхронизироваться

8

Укороченная версия

Контроллер домена был настроен, а затем переведен в автономный режим на время, превышающее лимит захоронения Теперь я не могу заставить его повторить.

Соответствующие сообщения об ошибках

На dc2 (идентичные сообщения об ошибках существуют как для exchange, так и для dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Другая важная ошибка (событие с кодом 2042):

Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки выполнить репликацию на следующем контроллере домена постоянно терпели неудачу. Количество попыток: 12 Контроллер домена: CN = Настройки NTDS, CN = DC1, CN = Серверы, CN = Основной сайт, CN = Сайты, CN = Конфигурация, DC = Мой домен, DC = Локальный Период времени (минуты): 105103 Объект подключения для этот контроллер домена будет игнорироваться, и будет установлено новое временное соединение для обеспечения продолжения репликации. После возобновления репликации с этим контроллером домена временное соединение будет удалено. Дополнительные данные Значение ошибки: 2148074274 Неверное имя участника назначения.

И Событие ID 1925: The attempt to establish a replication link for the following writable directory partition failed.

Другие детали

Оба сайта подключены через VPN. На главном сайте у меня есть два контроллера домена (которые мы будем называть exchange и dc1 ). Оба являются Server 2003. Если это имеет значение, dc1 содержит все роли FSMO.

При подготовке к настройке удаленного сайта я настроил контроллер домена с именем dc2 , на котором работал Server 2003 R2, настроил отдельные сайты в AD Sites and Services и настроил репликацию с dc1 на dc2 . У меня даже была правильная подсеть для удаленного сайта, подключив его через маршрутизатор (это было до того, как сайт был подключен к VPN, поэтому никаких конфликтов IP).

Все работало отлично, поэтому я выключился и приготовил его к вывозу. Но вещи задерживались более 2 месяцев, и теперь dc2 не будет реплицироваться должным образом.

Что я пробовал

Удаление роли контроллера домена - завершается неудачно с: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Сброс пароля машины с помощью:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

Большинство статей базы знаний, которые я прочитал об исправлении репликации после достижения срока службы захоронения, застряли из-за ошибки «Целевое имя субъекта неверно».

active-directory Грант
источник

Ответы:

12

Кажется, самый простой способ - это удалить активный каталог и переустановить его, и это можно сделать, не уничтожая весь сервер. Это оставляет все остальное на сервере нетронутым. Однако, поскольку вы не можете удалить активный каталог должным образом, вы должны принудительно удалить его с сервера, а затем очистить вручную на хорошем контроллере домена.

  • Отключите проблемный сервер от сети, чтобы предотвратить возможную поломку активного каталога на исправных серверах.

  • На проблемном сервере запустите dcpromo /forceremoval. Это позволяет вам удалить активный каталог в системе, не удаляя все его записи на других контроллерах домена.

  • Используйте ntdsutil с хорошего контроллера домена, чтобы удалить проблемный сервер из активного каталога. Инструкции содержатся в справочной ссылке при запуске dcpromo / forceremoval или здесь: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Удалить объект сервера в AD Sites and Services

  • Удалите сервер в AD Users and Computers, если он еще существует

  • Удалить сервер из DNS:

    • Удалить запись NS в зонах обратного просмотра
    • Удалить запись A в зонах прямого просмотра
    • Удалите запись CNAME в прямом поиске \ domain_msdcs
    • Удалите многочисленные записи SRV в _msdcs, _sites, _tcp и _udp, ссылаясь на проблемный сервер

  • Повторно включите проблемный сервер и настройте параметры сайта, как если бы вы использовали новый DC.

Грант
источник
4

На данный момент, вероятно, проще создать новый DC и очистить dc2 от AD с помощью ntdsutil.

joeqwerty
источник
Может быть проще, если бы не другое программное обеспечение, настроенное на этом сервере. Это вариант, но я готов сделать все, чтобы избежать этого, если смогу.
Грант
На данный момент это программное обеспечение не работает из-за текущей проблемы, да? Если это так, может быть проще и эффективнее начать с нуля.
Joeqwerty