Remove From My Forums

Mancata Replica AD

Domanda
0

Registrati per votare

Ciao a tutti,
sono nuovo del forum e vorrei salutare tutti e ringraziare chi può aiutarmi a risolvere il mio problema.
Ho un AD con 2 DC un w2k8 (Macchina Virtuale) PDC e un w2k3 (Macchina Fisica) promosso a DC in un secondo momento, entrambe hanno il server DNS installato.
Tutto è filato liscio fino a quando un bel giorno il PDC non si è più avviato, schermata blu e riavvio continuo. Ho rimesso in piedi la macchina virtuale da una copia di BK che mensilmente faccio.
Tutto sembrava funzionare correttamente, gli utenti si autenticano correttamente in dominio e il DNS svolge correttamente il suo lavoro, fino a quando ho formattato un Postazione di Lavoro e al momento di fargli prendere le policy di dominio con un gpupdate /force, mi si è aperto un modo parallelo e nascosto....[:)]. Il comando mi da il seguente errore:

Impossibile aggiornare i criteri utente. Si sono verificati gli errori seguenti:

Elaborazione dei Criteri di gruppo non riuscita. È stato tentato il recupero del le nuove impostazioni dei Criteri di gruppo per l'utente o il computer corrente. Per ottenere il codice e una descrizione dell'errore, vedere la scheda dei dettagli. L'operazione verrà ritentata automaticamente durante il ciclo di aggiornamento successivo. Per l'individuazione di nuovi oggetti Criteri di gruppo e delle relative impostazioni, i computer aggiunti al dominio devono disporre di un servizio di risoluzione dei nomi appropriato e di connettività di rete a un controller di dominio. Al completamento dell'elaborazione dei Criteri di gruppo verrà registrato un evento.Impossibile aggiornare i criteri computer. Si sono verificati gli errori seguenti:

Elaborazione dei Criteri di gruppo non riuscita. È stato tentato il recupero delle nuove impostazioni dei Criteri di gruppo per l'utente o il computer corrente. Per ottenere il codice e una descrizione dell'errore, vedere la scheda dei dettagli. L'operazione verrà ritentata automaticamente durante il ciclo di aggiornamento successivo. Per l'individuazione di nuovi oggetti Criteri di gruppo e delle relative impostazioni, i computer aggiunti al dominio devono disporre di un servizio di risoluzione dei nomi appropriato e di connettività di rete a un controller di dominio. Al completamento dell'elaborazione dei Criteri di gruppo verrà registrato un evento.

Per diagnosticare l'errore, esaminare il registro eventi o eseguire GPRESULT /H GPReport.html dalla riga di comando per accedere alle informazioni sui risultati di Criteri di gruppo.

In realtà, alcune policy vengono applicate, altre no...

Facendo un po di troubleshooting mi sono reso conto che qualcosa non andava nelle repliche di Active Directory, sia nel registro eventi dei 2 DC che con i comandi di diagnostica avevo parecchi problemi.
Vi scrivo in dettaglio quanto sto riscontrando sui 2 server:

W2k3

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\W2k3
Starting test: Connectivity
......................... W2k3 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\W2k3
Starting test: Replications
[Replications Check,W2k3] A recent replication attempt failed:
From W2k8 to W2k3
Naming Context: DC=ForestDnsZones,DC=dominio,DC=local
The replication generated an error (1256):
Il sistema remoto non è disponibile. Per informazioni sulla risoluzione dei problemi di rete, consultare la Guida di Windows.
The failure occurred at 2016-07-20 11:56:23.
The last success occurred at 2016-06-01 12:54:16.
1176 failures have occurred since the last success.
[W2k8] DsBindWithSpnEx() failed with error -2146893022,
Nome principale di destinazione scorretto..
[Replications Check,W2k3] A recent replication attempt failed:
From W2k8 to W2k3
Naming Context: DC=DomainDnsZones,DC=dominio,DC=local
The replication generated an error (1256):
Il sistema remoto non è disponibile. Per informazioni sulla risoluzione dei problemi di rete, consultare la Guida di Windows.
The failure occurred at 2016-07-20 11:56:23.
The last success occurred at 2016-05-06 23:47:48.
2331 failures have occurred since the last success.
[Replications Check,W2k3] A recent replication attempt failed:
From W2k8 to W2k3
Naming Context: CN=Schema,CN=Configuration,DC=dominio,DC=local
The replication generated an error (-2146893022):
Nome principale di destinazione scorretto.
The failure occurred at 2016-07-20 11:56:23.
The last success occurred at 2016-06-01 12:54:16.
1176 failures have occurred since the last success.
[Replications Check,W2k3] A recent replication attempt failed:
From W2k8 to W2k3
Naming Context: CN=Configuration,DC=dominio,DC=local
The replication generated an error (-2146893022):
Nome principale di destinazione scorretto.
The failure occurred at 2016-07-20 11:56:23.
The last success occurred at 2016-06-01 12:54:15.
1184 failures have occurred since the last success.
[Replications Check,W2k3] A recent replication attempt failed:
From W2k8 to W2k3
Naming Context: DC=dominio,DC=local
The replication generated an error (-2146893022):
Nome principale di destinazione scorretto.
The failure occurred at 2016-07-20 12:18:42.
The last success occurred at 2016-06-01 13:02:06.
8877 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
W2k3: Current time is 2016-07-20 12:19:02.
DC=ForestDnsZones,DC=dominio,DC=local
Last replication recieved from W2k8 at 2016-06-01 12:53:16.
DC=DomainDnsZones,DC=dominio,DC=local
Last replication recieved from W2k8 at 2016-05-06 23:47:48.
CN=Schema,CN=Configuration,DC=dominio,DC=local
Last replication recieved from W2k8 at 2016-06-01 12:53:16.
CN=Configuration,DC=dominio,DC=local
Last replication recieved from W2k8 at 2016-06-01 12:53:16.
DC=dominio,DC=local
Last replication recieved from W2k8 at 2016-06-01 13:01:07.
......................... W2k3 passed test Replications
Starting test: NCSecDesc
......................... W2k3 passed test NCSecDesc
Starting test: NetLogons
......................... W2k3 passed test NetLogons
Starting test: Advertising
Warning: W2k3 is not advertising as a time server.
......................... W2k3 failed test Advertising
Starting test: KnowsOfRoleHolders
Warning: W2k8 is the Schema Owner, but is not responding to DS RPC Bind.
[W2k8] LDAP bind failed with error 8341,
Errore del servizio directory..
Warning: W2k8 is the Schema Owner, but is not responding to LDAP Bind.
Warning: W2k8 is the Domain Owner, but is not responding to DS RPC Bind.
Warning: W2k8 is the Domain Owner, but is not responding to LDAP Bind.
Warning: W2k8 is the PDC Owner, but is not responding to DS RPC Bind.
Warning: W2k8 is the PDC Owner, but is not responding to LDAP Bind.
Warning: W2k8 is the Rid Owner, but is not responding to DS RPC Bind.
Warning: W2k8 is the Rid Owner, but is not responding to LDAP Bind.
Warning: W2k8 is the Infrastructure Update Owner, but is not responding to DS RPC Bind.
Warning: W2k8 is the Infrastructure Update Owner, but is not responding to LDAP Bind.
......................... W2k3 failed test KnowsOfRoleHolders
Starting test: RidManager
......................... W2k3 failed test RidManager
Starting test: MachineAccount
......................... W2k3 passed test MachineAccount
Starting test: Services
......................... W2k3 passed test Services
Starting test: ObjectsReplicated
......................... W2k3 passed test ObjectsReplicated
Starting test: frssysvol
......................... W2k3 passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
......................... W2k3 failed test frsevent
Starting test: kccevent
......................... W2k3 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 11:23:54
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 11:24:09
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC000001B
Time Generated: 07/20/2016 11:25:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 11:42:19
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 11:54:10
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 11:54:10
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC000001A
Time Generated: 07/20/2016 11:56:53
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 12:19:03
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 07/20/2016 12:19:06
(Event String could not be retrieved)
......................... W2k3 failed test systemlog
Starting test: VerifyReferences
......................... W2k3 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : dominio
Starting test: CrossRefValidation
......................... dominio passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... dominio passed test CheckSDRefDom

Running enterprise tests on : dominio.local
Starting test: Intersite
......................... dominio.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... dominio.local failed test FsmoCheck

*******************************************************************************************************************

Repadmin.exe /showreps

Default-First-Site-Name\W2k3
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0d5a48aa-bcf4-41e7-b620-33d0dd235aa7
DC invocationID: 21af6366-86e6-4a0f-a3fe-c6048edd4a8e

==== INBOUND NEIGHBORS ======================================

DC=dominio,DC=local
Default-First-Site-Name\W2k8 via RPC
DC object GUID: 4650e772-3559-4454-9f47-bb283b501cb5
Last attempt @ 2016-07-20 12:33:42 failed, result -2146893022 (0x80090322):
Nome principale di destinazione scorretto.
8887 consecutive failure(s).
Last success @ 2016-06-01 13:02:06.

CN=Configuration,DC=dominio,DC=local
Default-First-Site-Name\W2k8 via RPC
DC object GUID: 4650e772-3559-4454-9f47-bb283b501cb5
Last attempt @ 2016-07-20 11:56:23 failed, result -2146893022 (0x80090322):
Nome principale di destinazione scorretto.
1184 consecutive failure(s).
Last success @ 2016-06-01 12:54:15.

CN=Schema,CN=Configuration,DC=dominio,DC=local
Default-First-Site-Name\W2k8 via RPC
DC object GUID: 4650e772-3559-4454-9f47-bb283b501cb5
Last attempt @ 2016-07-20 11:56:23 failed, result -2146893022 (0x80090322):
Nome principale di destinazione scorretto.
1176 consecutive failure(s).
Last success @ 2016-06-01 12:54:16.

DC=DomainDnsZones,DC=dominio,DC=local
Default-First-Site-Name\W2k8 via RPC
DC object GUID: 4650e772-3559-4454-9f47-bb283b501cb5
Last attempt @ 2016-07-20 11:56:23 failed, result 1256 (0x4e8):
Il sistema remoto non è disponibile. Per informazioni sulla risoluzione dei problemi di rete, consultare la Guida
di Windows.
2331 consecutive failure(s).
Last success @ 2016-05-06 23:47:48.

DC=ForestDnsZones,DC=dominio,DC=local
Default-First-Site-Name\W2k8 via RPC
DC object GUID: 4650e772-3559-4454-9f47-bb283b501cb5
Last attempt @ 2016-07-20 11:56:23 failed, result 1256 (0x4e8):
Il sistema remoto non è disponibile. Per informazioni sulla risoluzione dei problemi di rete, consultare la Guida
di Windows.
1176 consecutive failure(s).
Last success @ 2016-06-01 12:54:16.

Source: Default-First-Site-Name\W2k8
******* 8884 CONSECUTIVE FAILURES since 2016-06-01 13:02:06
Last error: -2146893022 (0x80090322):
Nome principale di destinazione scorretto.

*******************************************************************************************************************

Nltest /dsgetdc: /pdc /force /avoidself

DC: \\W2k8.dominio.local
Address: \\10.1.10.21
Dom Guid: eccbfd0e-1aa1-479f-9c25-9c635c3e523a
Dom Name: dominio.local
Forest Name: dominio.local
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE 0x1000
The command completed successfully

*******************************************************************************************************************

nltest /dsgetdc: /gc /force

DC: \\W2k3.dominio.local
Address: \\10.1.10.56
Dom Guid: eccbfd0e-1aa1-479f-9c25-9c635c3e523a
Dom Name: dominio.local
Forest Name: dominio.local
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: GC DS LDAP KDC WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE
The command completed successfully

*******************************************************************************************************************

W2k8

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\W2k8
Starting test: Connectivity
......................... W2k8 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\W2k8
Starting test: Replications
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source W2k3
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
......................... W2k8 passed test Replications
Starting test: NCSecDesc
......................... W2k8 passed test NCSecDesc
Starting test: NetLogons
......................... W2k8 passed test NetLogons
Starting test: Advertising
Warning: W2k8 is not advertising as a time server.
......................... W2k8 failed test Advertising
Starting test: KnowsOfRoleHolders
......................... W2k8 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... W2k8 passed test RidManager
Starting test: MachineAccount
......................... W2k8 passed test MachineAccount
Starting test: Services
w32time Service is stopped on [W2k8]
......................... W2k8 failed test Services
Starting test: ObjectsReplicated
......................... W2k8 passed test ObjectsReplicated
Starting test: frssysvol
......................... W2k8 passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... W2k8 failed test frsevent
Starting test: kccevent
......................... W2k8 passed test kccevent
Starting test: systemlog
......................... W2k8 passed test systemlog
Starting test: VerifyReferences
......................... W2k8 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : dominio
Starting test: CrossRefValidation
......................... dominio passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... dominio passed test CheckSDRefDom

Running enterprise tests on : dominio.local
Starting test: Intersite
......................... dominio.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... dominio.local failed test FsmoCheck

*******************************************************************************************************************

Repadmin.exe /showreps

Default-First-Site-Name\W2k8
DC Options: IS_GC
Site Options: (none)
DC object GUID: 4650e772-3559-4454-9f47-bb283b501cb5
DC invocationID: 4650e772-3559-4454-9f47-bb283b501cb5

==== INBOUND NEIGHBORS ======================================

DC=dominio,DC=local
Default-First-Site-Name\W2k3 via RPC
DC object GUID: 0d5a48aa-bcf4-41e7-b620-33d0dd235aa7
Last attempt @ 2016-07-20 11:53:19 was successful.

CN=Configuration,DC=dominio,DC=local
Default-First-Site-Name\W2k3 via RPC
DC object GUID: 0d5a48aa-bcf4-41e7-b620-33d0dd235aa7
Last attempt @ 2016-07-20 11:53:19 was successful.

CN=Schema,CN=Configuration,DC=dominio,DC=local
Default-First-Site-Name\W2k3 via RPC
DC object GUID: 0d5a48aa-bcf4-41e7-b620-33d0dd235aa7
Last attempt @ 2016-07-20 11:53:19 was successful.

DC=DomainDnsZones,DC=dominio,DC=local
Default-First-Site-Name\W2k3 via RPC
DC object GUID: 0d5a48aa-bcf4-41e7-b620-33d0dd235aa7
Last attempt @ 2016-07-20 11:53:19 was successful.

DC=ForestDnsZones,DC=dominio,DC=local
Default-First-Site-Name\W2k3 via RPC
DC object GUID: 0d5a48aa-bcf4-41e7-b620-33d0dd235aa7
Last attempt @ 2016-07-20 11:53:19 was successful.

*******************************************************************************************************************
Nltest /dsgetdc: /pdc /force /avoidself

DsGetDcName failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

*******************************************************************************************************************

nltest /dsgetdc: /gc /force

DC: \\W2k8.dominio.local
Address: \\10.1.10.21
Dom Guid: eccbfd0e-1aa1-479f-9c25-9c635c3e523a
Dom Name: dominio.local
Forest Name: dominio.local
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE 0x1000
The command completed successfully

*******************************************************************************************************************

La cosa che mi balza subito all'occhio è che se provo ad accedere dal File System da W2K3 a W2k8 con il nome della macchina (\\W2K8) ottengo il seguente errore

Impossibile accedere a \\W2K8. L'utente potrebbe non disporrre dell'autorizzazione necessaria per l'utilizzo della risorsa di rete. Errore di Accesso. Il nome dell'account di destinazione non è corretto.

Mentre inserendo l'ip funziona correttamente (\\10.1.10.21)
Questo mi capita su tutti i pc della rete.
Quindi il problema dovrebbe risiedere nel DNS?? ho controllato più volte e sia nella di ricerca diretta (Host presente) che inversa (PTR presente) è tutto configurato.

Per ulteriore analisi ho messo su l'Active Directory Replication Monitor e per W2k8 è tutto corretto non ho nessun errore, per il W2k3, invece tutte le repliche hanno l'avviso di errore (cerchietto rosso con x bianca) con il seguente errore: Nome principale di destinazione scorretto.

Qualcuno riesce ad illuminarmi? [:D][:D]

Grazie a tutti.

mercoledì 20 luglio 2016 15:07

Risposta

|

Citazione

Risposte

1

Registrati per votare
Ciao,

se non hai fatto il restore del system state backup ma semplicemente della VM sei probabilmente in una situazione di USN rollback.

Se questo e' il caso procedi cosi'

seizing dei ruoli FSMO e mettili sul 2003
demote forzato del 2008
metadatacleanup
promuovi di nuovo il 2008 a DC.

Riferimenti:

How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

How to remove data in Active Directory after an unsuccessful domain controller demotion (metadata cleanup)

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti
- Modificato aperelli mercoledì 20 luglio 2016 15:17
- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 26 luglio 2016 14:37
- Contrassegnato come risposta Yordan IvanovMicrosoft contingent staff, Moderator giovedì 4 agosto 2016 09:40
mercoledì 20 luglio 2016 15:14

Risposta

|

Citazione
0

Registrati per votare
[cut] ma una cosa non mi è chiara in uno scenario come quello che avevo io... mi spiego, il PDC ha tutti i ruoli FSMO, se aggiungo un altro Domain Controller, e il primario va giù questi ruoli non vengono trasferiti in automatico verso il secondario?

no, questa operazione di trasferimento ruoli è sempre manuale perchè non è possibile sapere quanto rimarrà off line il detentore dei ruoli

Inoltre per evitare che possa ricapitarmi la stessa situazione con il server DNS, in che modo dovrei configurarlo sul secondario, affinchè si replichi il tutto ma in caso di fault del primario la configurazione resti in piedi? (mi era parso di capire che il mio DNS su server secondario faceva sempre riferimento al primario e per questo una volta disinstallato non aveva più zone al suo interno).

i dns server installati sui dc con una installazione di default si replicano automaticamente

Inoltre, per un backup efficace cosa mi consigliate di fare? un Backup completo del server con l'utility Windows server Backup?

per una macchina che eroga un servizio come active directory, dns, dhcp, ecc.ecc. il metodo più rapido di backup e di ripristino è windows backup perchè il restore della macchina sarà sempre totale. diverso il caso di una macchina che fa da file server dove puoi aver la necessità di recuperare solo un singolo file.
ciao.
Edoardo Benussi
Microsoft MVP - Enterprise Mobility
edo[at]mvps[dot]org
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator venerdì 9 settembre 2016 09:46
venerdì 9 settembre 2016 09:46

Risposta

|

Citazione

Moderatore

Tutte le risposte

1

Registrati per votare
Ciao,

se non hai fatto il restore del system state backup ma semplicemente della VM sei probabilmente in una situazione di USN rollback.

Se questo e' il caso procedi cosi'

seizing dei ruoli FSMO e mettili sul 2003
demote forzato del 2008
metadatacleanup
promuovi di nuovo il 2008 a DC.

Riferimenti:

How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

How to remove data in Active Directory after an unsuccessful domain controller demotion (metadata cleanup)

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti
- Modificato aperelli mercoledì 20 luglio 2016 15:17
- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 26 luglio 2016 14:37
- Contrassegnato come risposta Yordan IvanovMicrosoft contingent staff, Moderator giovedì 4 agosto 2016 09:40
mercoledì 20 luglio 2016 15:14

Risposta

|

Citazione
0

Registrati per votare
Grazie per la risposta, si ti confermo che non ho fatto il restore del system state backup.

Lanciando questo comando su entrambe i DC ho il seguente Risultato:

W2K8

C:\Users\Administrator>Repadmin /showutdvec W2K8 dc=dominio,dc=local
Caching GUIDs.
..
Default-First-Site-Name\W2K3 @ USN 6043290 @ Time 2016-07-20 17:53:10
Default-First-Site-Name\W2K8 @ USN 11350384 @ Time 2016-07-20 18:24:48

C:\Users\Administrator>Repadmin /showutdvec W2K3 dc=dominio,dc=local
Caching GUIDs.
..
Default-First-Site-Name\W2K3 @ USN 6043341 @ Time 2016-07-20 18:25:01
Default-First-Site-Name\W2K8 @ USN 11341846 @ Time 2016-06-01 13:01:07

W2K3

C:\Documents and Settings\admin>Repadmin /showutdvec W2K8 dc=dominio,dc=local

repadmin running command /showutdvec against server W2K8.dominio.local

DsBindWithCred to W2K8.dominio.local failed with status -2146893022 (0x80090322):
Nome principale di destinazione scorretto.

C:\Documents and Settings\admin>Repadmin /showutdvec W2K3 dc=dominio,dc=local
Caching GUIDs.
..
Default-First-Site-Name\W2K3 @ USN 6043341 @ Time 2016-07-20 18:26:00
Default-First-Site-Name\W2K8 @ USN 11341846 @ Time 2016-06-01 13:01:07

Credo che come hai detto mi trovo in una situazione di USN RollBack.

Nel primo link che mi hai postato, c'è un Hotfix, devo installarlo? o credi che non sia necessario?

Grazie!
- Modificato Fabio Pignataro mercoledì 20 luglio 2016 16:37
mercoledì 20 luglio 2016 16:34

Risposta

|

Citazione
0

Registrati per votare

Prego :)

La hotfix serve solo a fare loggare la situazione di usn rollback, puo' essere utile ma non risolve né previene
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

mercoledì 20 luglio 2016 16:46

Risposta

|

Citazione
0

Registrati per votare
Ciao,

ho un dubbio sulla procedura che mi hai consigliato di effettuare.
Stavo leggendo questo articolo che mi sembra davvero ben fatto:

http://blogs.sysadmin.it/deltree/articles/761.aspx

da quanto sto capendo la pulizia dei metadata, sostituisce la procedura standard di rimozione di un DC (dcpromo), quando è guasto o non in linea, tu invece mi hai scritto:

demote forzato del 2008
metadatacleanup

Tu cosa intendi per Demote Forzato?
dcpromo /forceremoval?

Grazie
Fabio
- Modificato Fabio Pignataro giovedì 21 luglio 2016 09:59
giovedì 21 luglio 2016 09:41

Risposta

|

Citazione
0

Registrati per votare

dcpromo /forceremoval sul 2008, perché un dcpromo "graceful" non te lo fa fare. Dopo il removal nell'AD del 2003 ci sará ancora il 2008, da qui l'esigenza del metadatacleanup
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 21 luglio 2016 09:47

Risposta

|

Citazione
0

Registrati per votare

Ok, quindi la procedura di pulizia dei metadata la farò sul w2k3, ma in questo passaggio non mi è chiaro che server inserire:

Al prompt server connections inserire il comando connect to server nomeserver dovenomeserver è il nome del Domain Controller sul quale si vuole operare

il nomeserver dovrò inserire il w2k8? e se il nome non me lo riconosce (per il solito problema) posso inserire l'ip?
o il nomeserver è il w2k3, che in realtà in quel momento sarà l'unico DC ancora operativo?
Scusami se ti sto tediando con tutte queste domande, ma vorrei essere sicuro in modo da evitare blocchi all'attività.

giovedì 21 luglio 2016 10:37

Risposta

|

Citazione
0

Registrati per votare

nomeserver é il 2003, ti connetti alla sua istanza AD (che a quel punto sará l'unica realmente esistente)
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 21 luglio 2016 10:56

Risposta

|

Citazione
0

Registrati per votare

Ciao,
finalmente sono riuscito a dedicarmi a questa operazione, ma quando provo ad effettuare il size del ruolo FSMO domain naming master ricevo il seguente errore:

Errore durante l'analisi dell'input. Sintassi non valida.

Ho provato anche da interfaccia grafica, da domini e trust ma ricevo il seguente errore:

Impossibile eseguire il trasferimento del ruolo di master operazioni. Motivo:
L'operazione FSMO richiesta non è riuscita. Impossibile contattare il proprietario FSMO corrente.

Cosa mi consigli di fare?

Grazie
Fabio

giovedì 18 agosto 2016 09:47

Risposta

|

Citazione
0

Registrati per votare

Da interfaccia grafica stai provando un trasferimento, devi fare un seize.

Puoi postare lo screenshot di ntdsutils e l'errore che ti da?
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 18 agosto 2016 10:02

Risposta

|

Citazione
0

Registrati per votare

Questo è quello che mi riporta il CMD:
C:\Documents and Settings\admin>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server rpvlh01
Binding a rpvlh01 in corso.
Connesso a rpvlh01 tramite le credenziali dell'utente connesso localmente.
server connections: quit
fsmo maintenance: seize domain naming master
Tentativo di trasferimento sicuro di domain naming FSMO prima della requisizione
.
Errore ldap_modify_sW 0x34(52 (Non disponibile).
Il messaggio di errore esteso Ldap è 000020AF: SvcErr: DSID-03210333, problem 50
02 (UNAVAILABLE), data -2146893022

L'errore Win32 visualizzato è 0x20af(L'operazione FSMO richiesta non è riuscita.
Impossibile contattare il proprietario FSMO corrente.)
)
A seconda del codice errore, può indicare un errore di connessione,
ldap, o di trasferimento ruolo.
Trasferimento di domain naming FSMO non riuscito. Requisizione in corso.
Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Dominio - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
PDC - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
fsmo maintenance: seize infrastructure master
Tentativo di trasferimento sicuro di infrastructure FSMO prima della requisizione.
Errore ldap_modify_sW 0x34(52 (Non disponibile).
Il messaggio di errore esteso Ldap è 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data -2146893022

L'errore Win32 visualizzato è 0x20af(L'operazione FSMO richiesta non è riuscita. Impossibile contattare il proprietario FSMO corrente.))
A seconda del codice errore, può indicare un errore di connessione,ldap, o di trasferimento ruolo.
Trasferimento di infrastructure FSMO non riuscito. Requisizione in corso.
Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Dominio - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
PDC - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
fsmo maintenance: size PDC
Error 80070057 parsing input - illegal syntax?
fsmo maintenance: seize PDC
Tentativo di trasferimento sicuro di PDC FSMO prima della requisizione.
Errore ldap_modify_sW 0x34(52 (Non disponibile).
Il messaggio di errore esteso Ldap è 000020AF: SvcErr: DSID-0321051A, problem 5002 (UNAVAILABLE), data -2146893022

L'errore Win32 visualizzato è 0x20af(L'operazione FSMO richiesta non è riuscita. Impossibile contattare il proprietario FSMO corrente.))
A seconda del codice errore, può indicare un errore di connessione,
ldap, o di trasferimento ruolo.
Trasferimento di PDC FSMO non riuscito. Requisizione in corso.
Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Dominio - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
PDC - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
fsmo maintenance: seize RID
Error 80070057 parsing input - illegal syntax?
fsmo maintenance: seize RID
Error 80070057 parsing input - illegal syntax?
fsmo maintenance: seize schema master
Tentativo di trasferimento sicuro di schema FSMO prima della requisizione.
Errore ldap_modify_sW 0x32(50 (Diritti insufficienti).
Il messaggio di errore esteso Ldap è 00002098: SecErr: DSID-03151D80, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

L'errore Win32 visualizzato è 0x2098(Diritti di accesso insufficienti per eseguire l'operazione.))
A seconda del codice errore, può indicare un errore di connessione,
ldap, o di trasferimento ruolo.
Trasferimento di schema FSMO non riuscito. Requisizione in corso.
Operazione ldap_modify di SD non riuscita con 0x32(50 (Diritti insufficienti).
Il messaggio di errore esteso Ldap è 00000005: SecErr: DSID-03151E07, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

L'errore Win32 visualizzato è 0x5(Accesso negato.))
fsmo maintenance: seize RID
Error 80070057 parsing input - illegal syntax?
fsmo maintenance: seize PDC
Tentativo di trasferimento sicuro di PDC FSMO prima della requisizione.
FSMO trasferito. Requisizione non necessaria.
Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Dominio - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
PDC - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
fsmo maintenance: seize RID
Error 80070057 parsing input - illegal syntax?
fsmo maintenance: seize schema master
Tentativo di trasferimento sicuro di schema FSMO prima della requisizione.
Errore ldap_modify_sW 0x32(50 (Diritti insufficienti).
Il messaggio di errore esteso Ldap è 00002098: SecErr: DSID-03151D80, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

L'errore Win32 visualizzato è 0x2098(Diritti di accesso insufficienti per eseguire l'operazione.))
A seconda del codice errore, può indicare un errore di connessione,
ldap, o di trasferimento ruolo.
Trasferimento di schema FSMO non riuscito. Requisizione in corso.
Operazione ldap_modify di SD non riuscita con 0x32(50 (Diritti insufficienti).
Il messaggio di errore esteso Ldap è 00000005: SecErr: DSID-03151E07, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

L'errore Win32 visualizzato è 0x5(Accesso negato.)
)
fsmo maintenance: seize RID
Error 80070057 parsing input - illegal syntax?
fsmo maintenance:

giovedì 18 agosto 2016 10:18

Risposta

|

Citazione
0

Registrati per votare
la cosa più strana è come vedi che nonostante gli errori poi alla fine il ruolo sembra essere stato trasferito...

infatti adesso da interfaccia grafica, su domini e trust, mi vede come master il w2k3 (rpvlh01)
- Modificato Fabio Pignataro giovedì 18 agosto 2016 10:23
giovedì 18 agosto 2016 10:20

Risposta

|

Citazione
0

Registrati per votare

altra cosa strana, se provo a pingare il w2k8 (bar-vmdom01) lo risolve e pinga correttamente, se invece provo ad accedervi in file system, con l'ip riesco ad accedere ma con il nome mi da errore di autorizzazioni insufficenti...

giovedì 18 agosto 2016 10:35

Risposta

|

Citazione
0

Registrati per votare

infatti la situazione attuale è la seguente:
select operation target: list roles for connected server
Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Dominio - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
PDC - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
select operation target:

giovedì 18 agosto 2016 10:49

Risposta

|

Citazione
0

Registrati per votare
il domain naming master é gia' sul 2003:

Dominio - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti
- Modificato aperelli giovedì 18 agosto 2016 11:27
giovedì 18 agosto 2016 11:27

Risposta

|

Citazione
0

Registrati per votare

si infatti, ma il ruolo Schema e RID sono ancora sul 2008 e non c'è modo di trasferirli. Credi che già così posso forzare il demote del 2008?

giovedì 18 agosto 2016 13:00

Risposta

|

Citazione
0

Registrati per votare

ti da lo stesso errore con ntdsutil quando provi a fare il seizing degli altri ruoli?
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 18 agosto 2016 13:02

Risposta

|

Citazione
0

Registrati per votare

ho appena riletto il tuo output, purtroppo essendo in italiano mi ha fregato:

Trasferimento di domain naming FSMO non riuscito. Requisizione in corso

Ha provato prima a fare il transfer, ha preso errore e quindi ha proceduto a fare il seize o "Requisizione".

Quindi tutto ok, per questo il Dom naming era gia' sul 2003 quando hai controllato.

Procedi con gli altri.
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 18 agosto 2016 13:08

Risposta

|

Citazione
0

Registrati per votare

si ho gli stessi errori

giovedì 18 agosto 2016 13:09

Risposta

|

Citazione
0

Registrati per votare

mi correggo gli errori sono i seguenti:
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server rpvlh01
Binding a rpvlh01 in corso...
Connesso a rpvlh01 tramite le credenziali dell'utente connesso localmente.
server connections: quit
fsmo maintenance: seize rid
Errore durante l'analisi dell'input. Sintassi non valida.
fsmo maintenance: seize RID
Errore durante l'analisi dell'input. Sintassi non valida.
fsmo maintenance: seize schema master
Tentativo di trasferimento sicuro di schema FSMO prima della requisizione.
Errore ldap_modify_sW 0x34(52 (Non disponibile).
Il messaggio di errore esteso Ldap è 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data -2146893022

L'errore Win32 visualizzato è 0x20af(L'operazione FSMO richiesta non è riuscita. Impossibile contattare il proprietario FSMO corrente.)
)
A seconda del codice errore, può indicare un errore di connessione,
ldap, o di trasferimento ruolo.
Trasferimento di schema FSMO non riuscito. Requisizione in corso...
Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Master per la denominazione - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
PDC - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=BAR-VMDOM01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
fsmo maintenance:

giovedì 18 agosto 2016 13:20

Risposta

|

Citazione
0

Registrati per votare

quindi in pratica ho gli errori ma i ruoli li trasferisce lo stesso... manca solo il ruolo RID dove ho errore di sintassi.

Molto strano

giovedì 18 agosto 2016 13:24

Risposta

|

Citazione
0

Registrati per votare

ho appena letto il tuo commento sul requisizione.. quindi è tutto ok tranne il ruolo RID sul quale ho errore di sintassi...

banalmente il comando che sto provando ad eseguire è

seize RID

ma ho errore di sintassi, sto provando a cercare qlc online ma non riesco a trovare nulla

giovedì 18 agosto 2016 13:31

Risposta

|

Citazione
0

Registrati per votare

Non é strano, prima dice anche "Tentativo di trasferimento sicuro di schema FSMO prima della requisizione."

per il rid prova seize rid master

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 18 agosto 2016 13:33

Risposta

|

Citazione
0

Registrati per votare

si infatti è questa la sintassi corretta. Ora la situazione attuale è la seguente:

Server "rpvlh01" riconosce i ruoli 5
Schema - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Master per la denominazione - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC
PDC - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
RID - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local
Infrastrutture - CN=NTDS Settings,CN=RPVLH01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rpv,DC=local

Direi che ci sono... procedo con il demote forzato del 2008 e al metadataceanuo.

giovedì 18 agosto 2016 13:45

Risposta

|

Citazione
0

Registrati per votare

ho fatto il demote forzato del 2008, ma ora come faccio a promuoverlo nuovamente a DC? il ruolo "servizi di dominio active directory" in server manager, risulta ancora installato... lo stesso dicasi per il ruolo DNS, risulta ancora installato.

giovedì 18 agosto 2016 14:47

Risposta

|

Citazione
0

Registrati per votare

rimuovili per sicurezza
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 18 agosto 2016 14:54

Risposta

|

Citazione
0

Registrati per votare

e quindi poi li riaggiungo sempre da server manager?
Mi sa cmq che qualcosa è andato storto, nel DNS del 2003 non ho più nulla ne zone di ricerca diretta ne inversa....

giovedì 18 agosto 2016 15:05

Risposta

|

Citazione
0

Registrati per votare

e quindi poi li riaggiungo sempre da server manager?
Mi sa cmq che qualcosa è andato storto, nel DNS del 2003 non ho più nulla ne zone di ricerca diretta ne inversa....

questo é un problema mica da poco, hai un systemstate backup?

Verifica se in AD ci sono

http://blogs.msmvps.com/acefekay/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones/

Prova anche a riavviare il servizio se in AD le vedi

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

giovedì 18 agosto 2016 15:31

Risposta

|

Citazione
0

Registrati per votare

Ciao non ho systemstate backup, come faccio a verificare se in Active Directory ci sono? ho provato a riavviare il servizio dns del 2003, ma non si avvia più e nel registro eventi ho il seguente errore:

Il server DNS non è riuscito ad aprire la directory. Lo stato dell'errore è nei dati. Il server DNS è configurato in modo da utilizzare le informazioni del servizio directory e non può operare senza accedere alla directory.

Hai qualche idea per uscire da questo imbroglio? Ho perso completamente il mio Dominio?
Mi consigli di iniziare a prepararne uno nuovo?

venerdì 19 agosto 2016 13:33

Risposta

|

Citazione
0

Registrati per votare

Però ho il clone del 2008 nella sua situazione originale, che seppur con i problemi fin qua visti, ha tutto configurato e DNS attivo, credi che se lo rimetto in piedi posso salvare qualcosa?

venerdì 19 agosto 2016 13:36

Risposta

|

Citazione
0

Registrati per votare

Nel link che ho mandato sopra spiega come vedere se le zone ci sono con adsiedit (cerca "procedure with screenshots" nella pagina). Dal messanggio di errore pare il servizio DNS non riesca ad accedere ad AD, quindi é molto probabile che lezone ci siano ancora.

Che dns ha impostato come primario? Verifica che non sia il 2008

Ci sono errori nell'event viewer Directory Services?
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

venerdì 19 agosto 2016 14:05

Risposta

|

Citazione
0

Registrati per votare

Ciao, ho provato l'utility adsiedit.msc,

Default naming context non è presente nel menu a tendina, ho solo domain, configuration, rootDSE e schema le altre due, Domaindnszones partition e forestdnszones partition, le ho inserite ma solo nella prima ho il valore CN=MicrosoftDNS, dove effettivamente sono presenti tutte le mie zone del DNS.

Per quanto riguarda il DNS configurato sulla scheda di rete della macchina ho inserito se stessa (c'era come pensavi il 2008) ma la situazione non è variata, ho provato più volte a riavviare il servizio senza successo.

Nell'eventviewer Active directory, ci sono svariati errori tutti riconducibili alla mancata comunicazione con il Catalogo Globale, prima individua se stesso come catalogo globale:

Active Directory ha individuato un catalogo globale nel seguente sito.

Catalogo globale:
\\RPVLH01.rpv.local
Sito:
Default-First-Site-Name

a seguire ho questi errori:

Impossibile comunicare con il seguente catalogo globale.

Catalogo globale:
\\RPVLH01.rpv.local

È possibile che l'operazione in corso non sia in grado di continuare. Active Directory utilizzerà il servizio di individuazione dei controller di dominio per cercare di trovare un server di catalogo globale disponibile.

Dati aggiuntivi
Valore di errore:
5 Accesso negato.

e

Impossibile stabilire una connessione con il catalogo globale.

Dati aggiuntivi
Valore di errore:
8430 Errore interno rilevato dal servizio directory.
ID interno:
3200c89

Rimedio:
Accertarsi che sia disponibile un catalogo globale nell'insieme di strutture e che sia raggiungibile da questo controller di dominio. L'utilità nltest può facilitare la diagnosi del problema.

Credi che se riaccendo il vecchio 2008 incasino di più la situazione? Grazie per il supporto che mi stai gentilmente dando.

sabato 20 agosto 2016 21:29

Risposta

|

Citazione
0

Registrati per votare
Credi che se riaccendo il vecchio 2008 incasino di più la situazione?

Il 2008 è stato ripristinato con un metodo non supportato, quindi come ti hanno già detto va declassato a server membro oppure (se non ha altri servizi importanti) direttamente reinstallato da zero e poi promosso a DC utilizzando il server rimanente. Reinserirlo in rete non è di aiuto perché in quello stato non potrà mai ricevere una replica dei dati aggiornati.

La cosa ideale sarebbe quella di avere un backup di Active Directory eseguito con un metodo supportato, ma non è il tuo caso quindi l'unica opzione è quella di cercare di recuperare il tutto dal DC Windows Server 2003 oppure ricreare il dominio (se non si trattano di molti client e l'infrastruttura non è complessa potrebbe anche essere la strada preferibile per risolvere velocemente).

In ogni caso RPVLH01.rpv.local è la vecchia macchina virtuale Windows Server 2008?
- Modificato Fabrizio GiammariniMVP, Moderator sabato 20 agosto 2016 22:29
sabato 20 agosto 2016 22:27

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Ciao il 2008 l'ho già declassato, e dopo il suo declassamento il server DNS installato su rpvlh01 (DC rimasto w2k3) ha perso completamente la configurazione.
Certo a mali estremi estremi rimedi... sto valutando anche di ricreare da 0 l'intero dominio, i client sono tantini ma in un modo o nell'altro devo risolvere entro settembre!
se optassi di ricreare il dominio da 0 secondo voi come sarebbe meglio procedere? Considerando che attualmente ho solo il 2003 attivo con server DNS non funzionante. Disinstallo anche dal 2003 il DNS e ripromuovo il 2008 (attualmente macchina pulita e declassata a server membro) e ripromuovo ad DC il 2008 e reinstallo da 0 il server dns? oppure declasso anche il 2003 a server membro e riparto completamente da 0? in tal caso dovrei rimettere in dominio tutti i client? o questo passaggio posso evitarlo?
- Modificato Fabio Pignataro domenica 21 agosto 2016 14:23
domenica 21 agosto 2016 14:22

Risposta

|

Citazione
0

Registrati per votare
Se ricrei il dominio tutti i client vanno reinseriti e tutti i DC declassati e poi ripromossi, l'unico modo per evitarlo è con una migrazione, ma se il vecchio dominio non è funzionante...

Comunque riesci a vedere le zone DNS? Teoricamente dovrebbero esserci. Oppure ricevi un messaggio di errore non appena carichi lo snap-in?
In futuro esegui un backup di Active Directory e/o dell'intero server utilizzando un metodo supportato (ad esempio Windows Server Backup). In questo modo potrai eseguire un ripristino non autorevole evitando tutte queste problematiche.
- Modificato Fabrizio GiammariniMVP, Moderator domenica 21 agosto 2016 15:48
domenica 21 agosto 2016 15:44

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Secondo me la tua AD ha piú di un problema, le zone dns ci sono ma il server non riesce a leggerle.

Partire da zero sarebbe la soluzione piú pulita, dovrai rimettere i client a dominio ma potresti avere altri problemi se hai roaming profiles o altre cose legate al dominio.

Verifica che il 2003 sia global catalog: https://technet.microsoft.com/en-us/library/cc755257(v=ws.11).aspx

Hai fatto il metadata cleanup?
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

domenica 21 agosto 2016 16:24

Risposta

|

Citazione
0

Registrati per votare

Se ricrei il dominio tutti i client vanno reinseriti e tutti i DC declassati e poi ripromossi, l'unico modo per evitarlo è con una migrazione, ma se il vecchio dominio non è funzionante...

Comunque riesci a vedere le zone DNS? Teoricamente dovrebbero esserci. Oppure ricevi un messaggio di errore non appena carichi lo snap-in?
In futuro esegui un backup di Active Directory e/o dell'intero server utilizzando un metodo supportato (ad esempio Windows Server Backup). In questo modo potrai eseguire un ripristino non autorevole evitando tutte queste problematiche.

Le zone DNS non le vedo ho errore appena apro lo snap in. Il tuo consiglio di eseguire un backup con un metodo supportato lo terrò sicuramente in considerazione.

lunedì 22 agosto 2016 12:41

Risposta

|

Citazione
0

Registrati per votare

Che errore ti viene restituito? Vedi anche eventuali errori con origine DNS presenti nel registro eventi.

lunedì 22 agosto 2016 12:47

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Secondo me la tua AD ha piú di un problema, le zone dns ci sono ma il server non riesce a leggerle.

Partire da zero sarebbe la soluzione piú pulita, dovrai rimettere i client a dominio ma potresti avere altri problemi se hai roaming profiles o altre cose legate al dominio.

Verifica che il 2003 sia global catalog: https://technet.microsoft.com/en-us/library/cc755257(v=ws.11).aspx

Hai fatto il metadata cleanup?

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

Si il 2003 è Global Catalog ed ho effettuato la pulizia dei Metadata.

Infatti mi sto convincendo di ricreare tutto da 0, quindi ti riassumo quanto ho intenzione di fare:

- Declasso il 2003 a server membro, disinstallando anche il server DNS
- Promuovo il 2008 ad AD e a server DNS
- Ripristino un Backup di una zona DNS che ho creato manualmente, la zona del dominio si popolerà automaticamente quando inserisco i client in dominio
- rimetto tutti i client in dominio (su questo punto ho un dubbio, dato che creerò gli stessi utenti il profilo dell'utente, sul client, verrà ereditato? o si creerà un nuovo desktop e dovrò reinstallare tutti i sw che erano installati su quell'utente, il prmo che mi viene in mente è il profilo outlook..,)

Grazie

lunedì 22 agosto 2016 12:59

Risposta

|

Citazione
0

Registrati per votare

Secondo me la tua AD ha piú di un problema, le zone dns ci sono ma il server non riesce a leggerle.

Partire da zero sarebbe la soluzione piú pulita, dovrai rimettere i client a dominio ma potresti avere altri problemi se hai roaming profiles o altre cose legate al dominio.

Verifica che il 2003 sia global catalog: https://technet.microsoft.com/en-us/library/cc755257(v=ws.11).aspx

Hai fatto il metadata cleanup?

This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

Si il 2003 è Global Catalog ed ho effettuato la pulizia dei Metadata.

Infatti mi sto convincendo di ricreare tutto da 0, quindi ti riassumo quanto ho intenzione di fare:

- Declasso il 2003 a server membro, disinstallando anche il server DNS
- Promuovo il 2008 ad AD e a server DNS
- Ripristino un Backup di una zona DNS che ho creato manualmente, la zona del dominio si popolerà automaticamente quando inserisco i client in dominio
- rimetto tutti i client in dominio (su questo punto ho un dubbio, dato che creerò gli stessi utenti il profilo dell'utente, sul client, verrà ereditato? o si creerà un nuovo desktop e dovrò reinstallare tutti i sw che erano installati su quell'utente, il prmo che mi viene in mente è il profilo outlook..,)

Grazie

Se fai un domino nuovo non serve che fai il restore del dns, viene ricreato tutto. I provili degli utenti vanno migrati. Vista la situazione di AD potresti considerare windows easy transfer ma sinceramente non so con con quali risultati, certo puoi testare su un client e vedere come va: https://www.microsoft.com/en-IE/download/details.aspx?id=4503

La cosa migliore e aprire una richiesta di supporto al servizio a pagamanto Microsoft, forse riescono a recuperare la situazione, su un forum é troppo complicato e inefficace.
This post is provided AS IS with no warranties or guarantees, and confers no rights.
~~~
Questo post non fornisce garanzie e non conferisce diritti

lunedì 22 agosto 2016 19:51

Risposta

|

Citazione
0

Registrati per votare
Ciao a tutti,

prima di tutto volevo ringraziervi per la disponibilità che mi avete mostrato!
Volevo aggiornarvi sulla mia situazione, in pratica, mi sono ricordato di aver fatto una snapshot del w2k8 risalente ad un po di tempo fa, quando ancora era l'unico DC della mia rete, ho fatto il revert a questa immagine (staccando dalla rete il w2k3), e tutto è filato liscio, ho dovuto rimettere in dominio alcuni PC ai quali nel tempo avevo cambiato il nome e ricreato un paio di utenti, ma nulla più. Quando ho visto che tutto funzionava regolarmente, ho declassato il w2k3 a server membro e l'ho rimesso in rete.
Attualmente, quindi, ho un solo DC, ma è mia intenzione eleggere un'altra macchina w2k8 che mi faccia da secondario, e sopratutto effettuare BK settimanali con l'utility Windows Server Backup, ma ho un paio di dubbi che vorrei condividere con voi.
Come spesso accade, questa brutta esperienza mi ha permesso di accrescere la mia conoscenza su Windows Server, ma una cosa non mi è chiara in uno scenario come quello che avevo io... mi spiego, il PDC ha tutti i ruoli FSMO, se aggiungo un altro Domain Controller, e il primario va giù questi ruoli non vengono trasferiti in automatico verso il secondario? Inoltre per evitare che possa ricapitarmi la stessa situazione con il server DNS, in che modo dovrei configurarlo sul secondario, affinchè si replichi il tutto ma in caso di fault del primario la configurazione resti in piedi? (mi era parso di capire che il mio DNS su server secondario faceva sempre riferimento al primario e per questo una volta disinstallato non aveva più zone al suo interno).
Inoltre, per un backup efficace cosa mi consigliate di fare? un Backup completo del server con l'utility Windows server Backup? Conoscete altri metodi? Come mail WSB non mi permette di salvare su una share il Backup Schedulato?
- Modificato Fabio Pignataro giovedì 8 settembre 2016 14:50
giovedì 8 settembre 2016 14:48

Risposta

|

Citazione
0

Registrati per votare
[cut] ma una cosa non mi è chiara in uno scenario come quello che avevo io... mi spiego, il PDC ha tutti i ruoli FSMO, se aggiungo un altro Domain Controller, e il primario va giù questi ruoli non vengono trasferiti in automatico verso il secondario?

no, questa operazione di trasferimento ruoli è sempre manuale perchè non è possibile sapere quanto rimarrà off line il detentore dei ruoli

Inoltre per evitare che possa ricapitarmi la stessa situazione con il server DNS, in che modo dovrei configurarlo sul secondario, affinchè si replichi il tutto ma in caso di fault del primario la configurazione resti in piedi? (mi era parso di capire che il mio DNS su server secondario faceva sempre riferimento al primario e per questo una volta disinstallato non aveva più zone al suo interno).

i dns server installati sui dc con una installazione di default si replicano automaticamente

Inoltre, per un backup efficace cosa mi consigliate di fare? un Backup completo del server con l'utility Windows server Backup?

per una macchina che eroga un servizio come active directory, dns, dhcp, ecc.ecc. il metodo più rapido di backup e di ripristino è windows backup perchè il restore della macchina sarà sempre totale. diverso il caso di una macchina che fa da file server dove puoi aver la necessità di recuperare solo un singolo file.
ciao.
Edoardo Benussi
Microsoft MVP - Enterprise Mobility
edo[at]mvps[dot]org
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator venerdì 9 settembre 2016 09:46
venerdì 9 settembre 2016 09:46

Risposta

|

Citazione

Moderatore

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Mancata Replica AD

Domanda

Risposte

Tutte le risposte