Le contrôleur de domaine hors ligne pendant 2 mois, ne peut plus se synchroniser

8

Version courte

Le contrôleur de domaine a été configuré, puis mis hors ligne plus longtemps que la limite de désactivation. Maintenant, je ne peux plus le reproduire.

Messages d'erreur pertinents

Sur DC2 (des messages d'erreur identiques existent à la fois sur Exchange et DC1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Une autre erreur pertinente (ID d'événement 2042):

Le vérificateur de cohérence des connaissances (KCC) a détecté que les tentatives successives de réplication avec le contrôleur de domaine suivant ont systématiquement échoué. Tentatives: 12 Contrôleur de domaine: CN = Paramètres NTDS, CN = DC1, CN = Serveurs, CN = MainSite, CN = Sites, CN = Configuration, DC = mon domaine, DC = local Période (minutes): 105103 L'objet Connection pour ce contrôleur de domaine sera ignoré et une nouvelle connexion temporaire sera établie pour garantir la poursuite de la réplication. Une fois la réplication avec ce contrôleur de domaine reprise, la connexion temporaire sera supprimée. Valeur d'erreur de données supplémentaires: 2148074274 Le nom principal cible est incorrect.

Et l'ID d'événement 1925: The attempt to establish a replication link for the following writable directory partition failed.

Autres détails

Les deux sites sont connectés via un VPN. Sur le site principal, j'ai deux contrôleurs de domaine (que nous appellerons échange et dc1 ). Les deux sont Server 2003. Si cela est important, dc1 détient tous les rôles FSMO.

En préparation de la configuration d'un site distant, j'ai configuré un contrôleur de domaine appelé dc2 , exécutant Server 2003 R2, et configuré des sites distincts dans AD Sites and Services, et configuré la réplication de dc1 vers dc2 . Je l'ai même eu le sous-réseau correct pour le site distant en le connectant via un routeur (c'était avant que le site ne soit connecté au VPN, donc pas de conflits IP).

Tout fonctionnait très bien, alors j'ai arrêté et je l'ai préparé pour sortir. Mais les choses ont continué à être retardées pendant plus de 2 mois, et maintenant dc2 ne se répliquera pas correctement.

Ce que j'ai essayé

Suppression du rôle de contrôleur de domaine - échoue avec: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Réinitialisation du mot de passe de la machine avec:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

La plupart des articles de la base de connaissances que j'ai consultés sur la correction de la réplication après avoir atteint la durée de vie de la pierre tombale se sont bloqués en raison de l'erreur «Le nom principal cible est incorrect».

active-directory Subvention
la source

Réponses:

12

Il semble que le moyen le plus simple soit en effet de supprimer le répertoire actif et de le réinstaller, et cela peut être fait sans effacer tout le serveur. Cela ne laisse rien d'autre sur le serveur. Cependant, comme vous ne pouvez pas supprimer correctement Active Directory, vous devez le forcer à être supprimé du serveur, puis nettoyer manuellement sur un bon contrôleur de domaine.

  • Déconnectez le serveur problématique du réseau pour empêcher tout cela de potentiellement casser Active Directory sur les bons serveurs.

  • Sur le serveur à problème, exécutez dcpromo /forceremoval. Cela vous permet de supprimer Active Directory sur le système sans supprimer tous ses enregistrements sur les autres contrôleurs de domaine.

  • Utilisez ntdsutil d'un bon contrôleur de domaine pour supprimer le serveur problématique de l'annuaire actif. Les instructions se trouvent dans le lien d'aide lorsque vous exécutez dcpromo / forceremoval, ou ici: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Supprimer l'objet serveur dans AD Sites and Services

  • Supprimez le serveur dans Utilisateurs et ordinateurs AD s'il existe toujours

  • Supprimez le serveur du DNS:

    • Supprimer l'entrée NS dans les zones de recherche inversée
    • Supprimer l'entrée A dans les zones de recherche directe
    • Supprimez l'entrée CNAME dans la recherche directe \ domain_msdcs
    • Supprimez les nombreux enregistrements SRV sous _msdcs, _sites, _tcp et _udp faisant référence au serveur problématique

  • Repromotez le serveur problématique et configurez les paramètres du site comme vous le feriez pour un tout nouveau contrôleur de domaine.

Subvention
la source
4

À ce stade, il est probablement plus facile de créer un nouveau contrôleur de domaine et de nettoyer dc2 de AD avec ntdsutil.

joeqwerty
la source
Cela pourrait être plus facile sans les autres logiciels configurés sur ce serveur. C'est une option, mais je suis prêt à faire les choses à la dure pour l'éviter si je le peux.
Grant
À ce stade, ce logiciel est inutilisable en raison du problème actuel, oui? Si c'est le cas, il peut être plus facile et plus efficace de recommencer à zéro.
joeqwerty