Domänencontroller über 2 Monate offline, kann jetzt nicht synchronisiert werden

8

Kurzfassung

Der Domänencontroller wurde eingerichtet und dann länger als das Tombstone-Limit offline geschaltet. Jetzt kann ich es nicht mehr replizieren lassen.

Relevante Fehlermeldungen

Auf dc2 (identische Fehlermeldungen existieren sowohl für Exchange als auch für dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Ein weiterer relevanter Fehler (Ereignis-ID 2042):

Der Knowledge Consistency Checker (KCC) hat festgestellt, dass aufeinanderfolgende Replikationsversuche mit dem folgenden Domänencontroller durchweg fehlgeschlagen sind. Versuche: 12 Domänencontroller: CN = NTDS-Einstellungen, CN = DC1, CN = Server, CN = MainSite, CN = Sites, CN = Konfiguration, DC = Mydomain, DC = lokal Zeitraum (Minuten): 105103 Das Verbindungsobjekt für Dieser Domänencontroller wird ignoriert und eine neue temporäre Verbindung hergestellt, um sicherzustellen, dass die Replikation fortgesetzt wird. Sobald die Replikation mit diesem Domänencontroller fortgesetzt wird, wird die temporäre Verbindung entfernt. Zusätzlicher Datenfehlerwert: 2148074274 Der Zielprinzipalname ist falsch.

Und Ereignis-ID 1925: The attempt to establish a replication link for the following writable directory partition failed.

Andere Details

Beide Standorte sind über ein VPN verbunden. Am Hauptstandort habe ich zwei Domänencontroller (die wir Exchange und DC1 nennen werden ). Beide sind Server 2003. Wenn es darauf ankommt, hält dc1 alle FSMO-Rollen.

Zur Vorbereitung des Einrichtens eines Remotestandorts habe ich einen Domänencontroller namens dc2 eingerichtet , auf dem Server 2003 R2 ausgeführt wird, separate Standorte in AD-Standorten und -Diensten konfiguriert und die Replikation von dc1 auf dc2 konfiguriert . Ich hatte sogar das richtige Subnetz für den Remote-Standort, indem ich es über einen Router verband (dies war, bevor der Standort mit dem VPN verbunden war, also keine IP-Konflikte).

Alles hat super funktioniert, also habe ich heruntergefahren und es zum Herausnehmen vorbereitet. Aber die Dinge verzögerten sich über 2 Monate lang, und jetzt wird dc2 nicht mehr richtig repliziert.

Was ich versucht habe

Entfernen der Domänencontrollerrolle - schlägt fehl mit: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

Zurücksetzen des Maschinenpassworts mit:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

Die meisten KB-Artikel, die ich über das Beheben der Replikation nach Erreichen des Tombstone-Lebens durchlaufen habe, blieben aufgrund des Fehlers "Der Zielprinzipalname ist falsch" hängen.

active-directory 
Gewähren
quelle

Antworten:

12

Es scheint in der Tat der einfachste Weg zu sein, Active Directory zu entfernen und neu zu installieren. Dies ist möglich, ohne den gesamten Server auszulöschen. Dadurch bleibt alles andere auf dem Server unberührt. Da Sie Active Directory jedoch nicht ordnungsgemäß entfernen können, müssen Sie erzwingen, dass es vom Server entfernt wird, und dann manuell auf einem guten Domänencontroller bereinigen.

  • Trennen Sie den problematischen Server vom Netzwerk, um zu verhindern, dass dies möglicherweise das Active Directory auf den guten Servern beschädigt.

  • Führen Sie auf dem Problemserver aus dcpromo /forceremoval. Auf diese Weise können Sie Active Directory auf dem System entfernen, ohne alle Datensätze auf den anderen Domänencontrollern zu entfernen.

  • Verwenden Sie ntdsutil von einem guten Domänencontroller, um den problematischen Server aus dem Active Directory zu entfernen. Anweisungen finden Sie im Hilfelink, wenn Sie dcpromo / forceremoval ausführen, oder hier: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Löschen Sie das Serverobjekt in AD Sites and Services

  • Löschen Sie den Server in AD-Benutzern und -Computern, falls er noch vorhanden ist

  • Löschen Sie den Server aus DNS:

    • Entfernen Sie den NS-Eintrag in Reverse-Lookup-Zonen
    • Entfernen Sie den Eintrag A in Forward-Lookup-Zonen
    • Entfernen Sie den CNAME-Eintrag in Forward Lookup \ Domain_msdcs
    • Entfernen Sie die zahlreichen SRV-Einträge unter _msdcs, _sites, _tcp und _udp, die sich auf den Problemserver beziehen

  • Stellen Sie den Problemserver erneut bereit und konfigurieren Sie die Site-Einstellungen wie einen brandneuen DC.

Gewähren
quelle
4

Zu diesem Zeitpunkt ist es wahrscheinlich einfacher, mit ntdsutil einen neuen DC zu erstellen und dc2 aus AD zu entfernen.

Joeqwerty
quelle
Es wäre möglicherweise einfacher, wenn nicht die andere Software vorhanden wäre, die auf diesem Server konfiguriert ist. Es ist eine Option, aber ich bin bereit, Dinge auf die harte Tour zu tun, um sie zu vermeiden, wenn ich kann.
Grant
Zu diesem Zeitpunkt ist diese Software aufgrund des aktuellen Problems unbrauchbar, ja? In diesem Fall ist es möglicherweise einfacher und effizienter, von vorne zu beginnen.
Joeqwerty
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.