Controlador de dominio fuera de línea durante 2 meses, ahora no se puede sincronizar

8

Version corta

El controlador de dominio se configuró y luego se desconectó por más tiempo que el límite de lápida. Ahora no puedo volver a replicarlo.

Mensajes de error relevantes

En dc2 (existen mensajes de error idénticos sobre el intercambio y dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Otro error relevante (Id. De evento 2042):

El Comprobador de coherencia de conocimiento (KCC) ha detectado que los intentos sucesivos de replicarse con el siguiente controlador de dominio han fallado constantemente. Intentos: 12 Controlador de dominio: CN = Configuración de NTDS, CN = DC1, CN = Servidores, CN = MainSite, CN = Sitios, CN = Configuración, DC = midominio, DC = local Período de tiempo (minutos): 105103 El objeto de conexión para este controlador de dominio se ignorará y se establecerá una nueva conexión temporal para garantizar que la replicación continúe. Una vez que se reanude la replicación con este controlador de dominio, se eliminará la conexión temporal. Datos adicionales Valor de error: 2148074274 El nombre principal de destino es incorrecto.

Y suceso ID 1925: The attempt to establish a replication link for the following writable directory partition failed.

Otros detalles

Ambos sitios están conectados a través de una VPN. En el sitio principal, tengo dos controladores de dominio (que llamaremos exchange y dc1 ). Ambos son Server 2003. Si es importante, dc1 tiene todas las funciones FSMO.

En preparación para configurar un sitio remoto, configuré un controlador de dominio llamado dc2 , ejecuté Server 2003 R2 y configuré sitios separados en Sitios y Servicios de AD, y configuré la replicación de dc1 a dc2 . Incluso tenía la subred correcta para el sitio remoto al conectarlo a través de un enrutador (esto fue antes de que el sitio se conectara a la VPN, por lo que no hay conflictos de IP).

Todo funcionaba muy bien, así que lo cerré y lo preparé para sacarlo. Pero las cosas se retrasaron durante más de 2 meses, y ahora dc2 no se replicará correctamente.

Lo que he intentado

Al eliminar la función de controlador de dominio, falla con: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."


Restablecer la contraseña de la máquina con:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service


La mayoría de los artículos de KB que revisé sobre la reparación de la replicación después de llegar a la vida de la lápida se atascaron debido al error "El nombre principal de destino es incorrecto".

Conceder
fuente

Respuestas:

12

Parece que la forma más fácil es eliminar el directorio activo y reinstalarlo, y se puede hacer sin borrar todo el servidor. Esto deja todo lo demás en el servidor intacto. Sin embargo, dado que no puede eliminar el directorio activo correctamente, debe forzarlo a que se elimine del servidor y luego limpiarlo manualmente en un buen controlador de dominio.

  • Desconecte el servidor problemático de la red para evitar que esto rompa potencialmente el directorio activo en los buenos servidores.

  • En el servidor con problemas, ejecute dcpromo /forceremoval. Esto le permite eliminar el directorio activo en el sistema sin eliminar todos sus registros en los otros controladores de dominio.

  • Use ntdsutil de un buen controlador de dominio para eliminar el servidor problemático del directorio activo. Las instrucciones están en el enlace de ayuda cuando ejecuta dcpromo / forceremoval, o aquí: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Eliminar el objeto del servidor en Sitios y servicios de AD

  • Elimine el servidor en Usuarios y equipos de AD si aún existe

  • Eliminar el servidor de DNS:

    • Eliminar la entrada NS en zonas de búsqueda inversa
    • Eliminar la entrada A en las zonas de búsqueda directa
    • Elimine la entrada CNAME en la búsqueda directa \ domain_msdcs
    • Elimine los numerosos registros SRV en _msdcs, _sites, _tcp y _udp haciendo referencia al servidor con problemas.
  • Repromote el servidor problemático y configure los ajustes del sitio como si fuera un DC nuevo

Conceder
fuente
4

En este punto, probablemente sea más fácil crear un nuevo DC y limpiar dc2 de AD con ntdsutil.

joeqwerty
fuente
Podría ser más fácil si no fuera por el otro software configurado en ese servidor. Es una opción, pero estoy dispuesto a hacer las cosas de la manera más difícil para evitarlo si puedo.
Grant
En este punto, ese software no se puede usar debido al problema actual, ¿sí? Si es así, puede ser más fácil y más eficiente comenzar desde cero.
joeqwerty