Controlador de dominio sin connection durante 2 meses, ahora no se puede sincronizar

Version corta

El controller de dominio se configuró y luego se desconectó durante más time que el límite de lápida. Ahora no puedo conseguirlo replicar otra vez.

Mensajes de error relevantes

En dc2 (existen posts de error idénticos sobre el intercambio y dc1 ):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

Otro error relevante (identificador de sucesos 2042):

El Comprobador de coinheritance de conocimiento (KCC) ha detectado que los bashs sucesivos de replicar con el controller de dominio siguiente han fallado sistemáticamente. Intentos: 12 Controlador de dominio: CN = Configuración de NTDS, CN = DC1, CN = Servidores, CN = MainSite, CN = Sitios, CN = Configuración, DC = mydomain, DC = local Período (minutos): 105103 El object Connection para este controller de dominio se ignorará y se establecerá una nueva connection temporal para garantizar que continúa la replicación. Una vez que se reanude la replicación con este controller de dominio, se eliminará la connection temporal. Datos adicionales Valor de error: 2148074274 El nombre principal de destino es incorrecto.

Id. De suceso 1925: The attempt to establish a replication link for the following writable directory partition failed.

Otros detalles

Ambos sitios están conectados a través de una VPN. En el sitio principal, tengo dos controlleres de dominio (que llamaremos exchange y dc1 ). Ambos son Server 2003. Si es importante, dc1 tiene todas las funciones FSMO.

En preparación para configurar un sitio remoto, configuro un controller de dominio denominado dc2 , ejecutando Server 2003 R2 y configuré sitios separados en los sitios y services de AD y configuré la replicación de dc1 a dc2 . Incluso tuve la subnetworking correcta para el sitio remoto mediante la connection a través de un enrutador (esto era antes de que el sitio estaba conectado a la VPN, por lo que no hay conflictos IP).

Todo funcionaba muy bien, así que cerré y lo listo para sacar. Pero las cosas se retrasaron durante más de 2 meses, y ahora dc2 no se replicará correctamente.

Lo que he intentado

Quitar la function de controller de dominio: falla con: La Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."


Restablecer la contraseña de la máquina con:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service


La mayor parte de los artículos de la KB que pasé a través de la fijación de la réplica después de alcanzar la vida de la piedra sepulcral se atascó debido al error "El nombre principal objective es incorrecto".

2 Solutions collect form web for “Controlador de dominio sin connection durante 2 meses, ahora no se puede sincronizar”

Parece que la manera más fácil es, de hecho, para quitar el directory activo y reinstalarlo, y se puede hacer sin borrar todo el server. Esto deja cualquier otra cosa en el server sin tocar. Sin embargo, puesto que no se puede quitar correctamente el directory activo, hay que forzarlo a que se elimine del server y luego la limpieza manualmente en un buen controller de dominio.

  • Desconecte el server problema de la networking para evitar que cualquiera de esto potencialmente romper el directory activo en los buenos serveres.

  • En el server de problemas, ejecute dcpromo /forceremoval . Esto le permite quitar el directory activo en el sistema sin quitar todos sus loggings en los otros controlleres de dominio.

  • Utilice ntdsutil desde un buen controller de dominio para eliminar el server problemático del directory activo. Las instrucciones están en el vínculo de ayuda cuando se ejecuta dcpromo / forceremoval, o aquí: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx

  • Eliminar el object de server en Sitios y services de AD

  • Eliminar el server en Usuarios y equipos de AD si aún existe

  • Elimine el server de DNS:

    • Quitar la input NS en zonas de búsqueda inversa
    • Eliminar la input A en las zonas de búsqueda directa
    • Eliminar la input CNAME en la búsqueda directa \ domain_msdcs
    • Eliminar los numerosos loggings SRV en _msdcs, _sites, _tcp y _udp que se refieren al server problema
  • Repromote el server problema y configure la configuration del sitio como si fuera una DC nueva.

En este punto es probablemente más fácil crear una nueva DC y limpiar dc2 fuera de AD con ntdsutil.

  • ¿Qué necesito para ldapsearch AD?
  • Mover SQL Server entre dominios
  • ¿Qué configuration de directiva de grupo aplica a los usuarios de computadoras portátiles?
  • _msdcs Zona no se actualiza
  • Creación de keytab para la count de equipo para descifrar la captura de packages
  • he cometido un error con SDDL y ahora no puedo acceder a un service
  • ¿Cómo puedo "hacer ping" en un dominio diferente para comprobar la accesibilidad (dentro de Windows Server)?
  • 802.1x contra un Active Directory con un dominio Kerberos de confianza
  • Mover controlleres de dominio Volver al contenedor "controlleres de dominio"
  • ¿Se convertirá la zona horaria en áreas geográficas?
  • Implantar una nueva política de passwords sin bloquear usuarios
  • ¿Cómo maneja Microsoft Active Directory la authentication de usuarios?
  • Problemas de permissions de ACL de AFP AD con unidad externa
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.