none
Rimozione Domain controller RRS feed

  • Domanda

  • Ciao a tutti non riesco a fare la rimozione di un domain controller aggiuntivo nello stesso domainio.

    Mi spiego meglio:

    Il seguente scenario è a scopo didattico quindi su due macchine virtuale sulla stessa macchina host.

    Ho la seguente foresta roma.local con DC A poi decido di aggiungere un DC B sempre in roma.local (Non è un RODC).

    Quando eseguo da powershell su DC B il comando uninstall-addsdomaincontroller all'inizio sempre che la replica della partizione di schema e configurazione si avvia dopo circa un minuto genera l'errore:

    uninstall-addsdomaincontroller: The operation failed because:

    A domain controller could not be contacted for the domain roma.local that contained an account for this computer. Make the computer a member of workgroup then rejoin the domain before retrying the promotion.

    "The specified domain either does not exit or could not be contacted."

    Prima di questo errore mi dava un altro errore circa l'rpc che non era avviato. Ho controllato sia su server A sia B RPC locator era su stopped quindi ho messo automatico.

    Poi ho anche verificato il firewall inbound è tutto ok e per prova ho anche disabilitato tutti i firewall nel caso avessi dimenticato qualcosa giusto per test.

    Ho notato un altro particolare quando faccio un ping -t tra i due server ogni tanto esce una entry su time out una tantum.

    Quindi ricapitolando dopo aver verificato rpc disabilitato e per tagliar la test al toro disabilitato tutti i firewall, mi si ripresenta il messaggi odi errore che ho scritto sopra.

    Negli event log in security mostra un tentativo di log on riuscito poi alla fine un log su log off.Nell'event log directory service mi genera l'errore:

    Event ID 2023 Task Category Replication.

    This directory server was unable to replicate changes to the following remote directory server for the following directory partition.

    Error value: 1818 The remote procedure call was cancelled.

    Secondo voi può essere un problema di comunicazione continua tra le due macchine virtuali?

    O cosa?

    giovedì 3 settembre 2015 16:56

Risposte

  • Ciao i due DC sono entrambi DNS?

    Hai fatto le zone inverse?

    Se lo sono metti nel DCA come 1° DNS l'ip del DCB e viceversa

    poi assicurati che ci sia il record DNS corretto e fai su entrambi i DC

    ipconfig/registerdns

    verifica che funzioni sia la zona inversa che diretta facendo

    sul DCA e sul DCB esegui questi comandi:

    nslookup DCA (deve risponderti con l'ip)

    nslookup <ip del DCA>  (deve risponderti con il nome)

    nslookup DCB (deve risponderti con l'ip)

    nslookup <ip del DCB>  (deve risponderti con il nome)

    se tutto è corretto allora riprova la rimozione

    ciao

    • Contrassegnato come risposta Nicla1990 mercoledì 9 settembre 2015 13:55
    sabato 5 settembre 2015 07:09

Tutte le risposte

  • Come è stato configurato l'ordine dei server DNS nelle schede di rete dei due DC?

    Una delle cause che potrebbero portare a questo genere di problemi è lasciare l'indirizzo di loopback come prima voce della lista:

    https://technet.microsoft.com/it-it/library/Ff807362(v=WS.10).aspx

    Se invece la configurazione dei DNS è corretta, allora è necessario eseguire qualche test con dcdiag per analizzare meglio la situazione:

    https://technet.microsoft.com/en-us/library/cc731968.aspx

    giovedì 3 settembre 2015 22:08
    Moderatore
  • posta l'ipconfig /all di entrambi i dc inoltre verifica che non ci siano errori di replica nel registro eventi sezioni system, application e ntfrs, se ci sono riportali qui.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 4 settembre 2015 08:59
    Moderatore
  • Come è stato configurato l'ordine dei server DNS nelle schede di rete dei due DC?

    Una delle cause che potrebbero portare a questo genere di problemi è lasciare l'indirizzo di loopback come prima voce della lista:

    https://technet.microsoft.com/it-it/library/Ff807362(v=WS.10).aspx

    Se invece la configurazione dei DNS è corretta, allora è necessario eseguire qualche test con dcdiag per analizzare meglio la situazione:

    https://technet.microsoft.com/en-us/library/cc731968.aspx


    Allora i dns sono configurati correttamente così: DC Master forest ip:192.168.0.1 con dns se stesso 192.168.0.1  DC2 192.168.0.1 per contattare il master e  192.168.0.2 eseguendo dcdiag effettivamente ci sono errori di replica che posterò a breve
    venerdì 4 settembre 2015 17:53
  • I DNS non sono configurati correttamente, molto probabilmente è quello a creare problemi di replica e quindi all'abbassamento di livello. Active Directory utilizza un sistema di replica multimaster, quindi non c'è un DC "principale" (i ruoli FSMO hanno scopi diversi dalla replica), questo vuol dire che anche il DC che definisci master deve avere nelle impostazioni DNS l'indirizzo IP dell'altro server.


    venerdì 4 settembre 2015 19:49
    Moderatore
  • Ho appena inserito l'ip dell'altro server, ora mi dice che anche se non è l'ultimo domain controller, non riesce a contattare l'altro domain controller ed i dns ci sono tutti su entrambi i server

    Comunque al di là dei dns la prima volta che ho svolto l'operazione, la verifica dei requisiti mi dava ok; infatti si vedevano scritte le voci di replica e schema per poi generare dopo un pò l'errore.

    Adesso invece dopo il test dei requisiti mi dà subito errore.

    • Modificato Nicla1990 venerdì 4 settembre 2015 20:25
    venerdì 4 settembre 2015 20:21
  • I DNS non sono configurati correttamente, molto probabilmente è quello a creare problemi di replica e quindi all'abbassamento di livello. Active Directory utilizza un sistema di replica multimaster, quindi non c'è un DC "principale" (i ruoli FSMO hanno scopi diversi dalla replica), questo vuol dire che anche il DC che definisci master deve avere nelle impostazioni DNS l'indirizzo IP dell'altro server.


    Adesso ho fatto un altro tentativo non sono esperta quindi mi dovete scusare.... ho forzato la rimozione usando con l'opzione -IgnoreLastDCInDomainMismatch -force e mi dice: che un Dc potrebbe non essere contattato per il dominio che contiene un account per questo computer. Rendi il computer membro di un workgroup poi ricollegalo al dominio prima di ritentare la promozione.

    Vado nelle proprietà e vedo giustamente che non è possibile passarlo a workgroup come dice lui..... allora vado sull'altro domain controller e rimuovo il computer account poi lo ricreo. Riavvio i server ma niente come se niente fosse.

    venerdì 4 settembre 2015 20:50
  • Ciao i due DC sono entrambi DNS?

    Hai fatto le zone inverse?

    Se lo sono metti nel DCA come 1° DNS l'ip del DCB e viceversa

    poi assicurati che ci sia il record DNS corretto e fai su entrambi i DC

    ipconfig/registerdns

    verifica che funzioni sia la zona inversa che diretta facendo

    sul DCA e sul DCB esegui questi comandi:

    nslookup DCA (deve risponderti con l'ip)

    nslookup <ip del DCA>  (deve risponderti con il nome)

    nslookup DCB (deve risponderti con l'ip)

    nslookup <ip del DCB>  (deve risponderti con il nome)

    se tutto è corretto allora riprova la rimozione

    ciao

    • Contrassegnato come risposta Nicla1990 mercoledì 9 settembre 2015 13:55
    sabato 5 settembre 2015 07:09
  • Ciao i due DC sono entrambi DNS?

    Hai fatto le zone inverse?


    solo per completezza la Reverse Lookup Zone serve che sia popolata solo quando c'è di mezzo un mail server altrimenti, per il solo funzionamento di active directory, è sufficiente che sia configurata correttamente solo la zona di ricerca diretta.

    per quanto riguarda "incrociare o meno" i dns sui domain controller ci sono tesi diverse in base al fatto che l'avvio di un dc che cerca su se stesso il dns ha probabilità maggiori di successo che contattare un altro dns sulla rete che potrebbe essere down però quando si deve fare una rimozione è meglio far puntare il dc da rimuovere ad un altro dns e non a se stesso. comunque, incrociati o no, si fa presto ad invertire la configurazione dns su una scheda di rete.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 5 settembre 2015 08:46
    Moderatore
  • Ho appena inserito l'ip dell'altro server, ora mi dice che anche se non è l'ultimo domain controller, non riesce a contattare l'altro domain controller ed i dns ci sono tutti su entrambi i server

    Comunque al di là dei dns la prima volta che ho svolto l'operazione, la verifica dei requisiti mi dava ok; infatti si vedevano scritte le voci di replica e schema per poi generare dopo un pò l'errore.

    Adesso invece dopo il test dei requisiti mi dà subito errore.

    puoi postare l'ipconfig /all di entrambi i dc ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 5 settembre 2015 10:21
    Moderatore
  • Scusa il ritardo ho risolto, ho ricreato tutte le zone anche se così come stavano le ho ricreate.

    Non ho fatto niente di particolare

    mercoledì 9 settembre 2015 13:55