locked
Computadores perdendo a falha na relação de confiança quando o serviço NETLOGON para no AD RRS feed

  • Pergunta

  • Bom dia, 

                       Estou com um problema na minha rede, tenho três controladores de domínio, o primário (server 2008 R2) o secundário (server 2008) e outro em outra filial (server 2012 R2).

                        Acontece que há uns 8 messes, depois de muito tempo sem energia, os nobreaks desligaram e os servidores desligaram abruptamente, depois desse episódio, o AD secundário não consegue mais sincronizar os serviços de AD com os demais. Além disso, a cada 2 meses, o serviço NETLOGON, simplesmente para, e quando se restarta ele, os computadores perdem a falha na relação de confiança, temos cerca de 150 estações, e toda vez umas 10 perdem a relação de confiança quando retornamos o serviço.

                         Sei que não é um processo muito complicado restabelecer a relação de confiança, porém, gostaria de uma solução definitiva para essa perda de relação.

                         Alguém pode ajudar?

    sexta-feira, 10 de março de 2017 11:26

Respostas

  • verifique pelo dcdiag que tipo de erros são registrados.. dcdiag /e /v  , dcdiag /test:dns

    analisar se os servidores estão se comunicando corretamente em todas as portas , caso haja um firewall entre as redes/servidores.

    https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd

    analise se há erros nas FSMOs , pode verificar pelo AD na opção mestre de operações. pode estar com erros ou apontando para um servidor inexistente, podendo utilizar o comando netdom query fsmo

    Faça uma varredura em seus DNS's, pois pode haver registros de servidores já removidos e você precisa limpar esses registros, caso saiba o nome do DC que foi removido, pode utilizar o comando ntdsutil metadata cleanup. e terá que assumir as funções em outro servidor.

    https://technet.microsoft.com/pt-br/library/cc816779(v=ws.10).aspx

    conferir se os apontamentos DNS (preferencial e alternativos) estão corretos, apontando para os DNS do domínio.

    https://social.technet.microsoft.com/Forums/office/en-US/b7bf37a2-6e1a-40a8-8d4b-1c15ee9bc0fa/2k8-best-practice-for-setting-the-dns-server-list-on-a-dcdns-server-for-an-interface?forum=winserverNIS

    Revisar o KB abaixo que faz indicação ao erro que publicou

    https://support.microsoft.com/en-us/help/2023007/troubleshooting-ad-replication-error-8456-or-8457-the-source-destination-server-is-currently-rejecting-replication-requests

    bom, há diversas configurações e analises que devem ser revistas.




    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 20 de março de 2017 14:02
    Moderador

Todas as Respostas

  • Boa tarde Edson Caetano

    Tudo bem contigo?

    Grato pela participação no Fórum Microsoft Technet.

    No desktop

    1- Entre em Propriedades do Sistema e na aba Nome do Computador clique em ID de rede.

    2- Deixe marcado a primeira opção e clique em AVANÇAR.

    3- Deixe marcado a primeira opção e clique em AVANÇAR.

    4- Clique em AVANÇAR.

    5- Digite o nome do usuário e senha do dominio do usuário da máquina.

    6- Vai pedir autorização. Digite usuário e senha de admin do dominio.

    7- AVANCE até pedir para reiniciar. Reinicie.

    8- Entre com o login e senha do usuário. PRONTO.

    9- RELAÇÃO DE CONFIANÇA REFEITA SEM PROBLEMAS E SEM PERDA DE NENHUM DADO.

    Espero ter ajudado.

    Documentação Adicional:

    Solucionando problemas de domínios e relações de confiança do Active Directory

    https://technet.microsoft.com/pt-br/library/cc770264(v=ws.11).aspx

    Thread similar para consulta:

    Falha na Relação de confiança entre a estação de trabalho e o dominio primario.

    https://social.technet.microsoft.com/Forums/pt-BR/999c6327-8f0b-4132-b9e9-491fcc9b0f94/falha-na-relao-de-confiana-entre-a-estao-de-trabalho-e-o-dominio-primario?forum=winvistapt

    Atenciosamente.

     

     


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.


    sexta-feira, 10 de março de 2017 16:59
  • Boa noite, 

                obrigado guilherme, mas como disse, sei restabelecer a relação de confiança, só que não pretendo ficar fazendo isso repetidamente. Gostaria de uma solução definitiva


    Edson Caetano

    sexta-feira, 10 de março de 2017 22:22
  • Edson,

    Acredito que o seu ambiente possa estar com problemas relacionados a DNS ou com a FSMOs.

    - Você precisa analisar o Eventviewer dos DCs em busca de informações relevantes , registro de aviso ou erros.

    - Utilize as ferramentas de diagnóstico (dcdgiag) (repadmin) para analisar a saúde do ambiente. 

    - Algum DC recente ou algum histórico de DC que parou de responder, foi removido da rede ? Talvez haja alguma "sujeira" no DNS de registros de ADs antigos que estejam impactando no seu ambiente.

    - Execute o comando netdom query fsmo para analisar se o servidor apresenta erros ou esta apontando para um servidor inexistente ou com erro na função.

    - Analise se o horário dos servidores e estações estão sincronizados 

    - DNS preferencial e alternativos corretamente configurados apontando para os DCs corretos ?


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    sexta-feira, 10 de março de 2017 23:21
    Moderador
  • Ola,

    Siga as dicas do amigo Felipe acima e para reforçar, revise se a replicação em "Active Directory Sites and Services" estão sendo efetuadas entre os servidores e se os compartilhamentos da SYSVOL estão funcionando nos três controladores.

    80% desse tipo de problema é relacionado ao DNS Server, rode um dcdiag /test:dns para ajudar na resolução do problema.

    Espero que ajude.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    domingo, 12 de março de 2017 02:49
    Moderador
  • Bom dia,

    Por falta de retorno, esta thread será encerrada.

    Caso seja necessário, por gentileza, abra uma nova thread.

    Atenciosamente


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 13 de março de 2017 13:33
  • - Algum DC recente ou algum histórico de DC que parou de responder, foi removido da rede ? Talvez haja alguma "sujeira" no DNS de registros de ADs antigos que estejam impactando no seu ambiente.


    Boa tarde Felipe, Tivemos sim problemas com um DC que parou de responder, e outro que foi removido, porém ainda aparece na lista dos DC's, estou em viagem, assim que retornar na semana que vem verifico e respondo os outros tópicos

    Obrigado


    Edson Caetano

    segunda-feira, 13 de março de 2017 19:32
  • Ola,

    Siga as dicas do amigo Felipe acima e para reforçar, revise se a replicação em "Active Directory Sites and Services" estão sendo efetuadas entre os servidores e se os compartilhamentos da SYSVOL estão funcionando nos três controladores.

    80% desse tipo de problema é relacionado ao DNS Server, rode um dcdiag /test:dns para ajudar na resolução do problema.

    Espero que ajude.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    Obrigado, conforme falei como Felipe, semana que vem poderei realizar os testes e informo aqui

    Edson Caetano

    segunda-feira, 13 de março de 2017 19:33
  • Bom dia,

    Por falta de retorno, esta thread será encerrada.

    Caso seja necessário, por gentileza, abra uma nova thread.

    Atenciosamente


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    Olha eu já tinha visto a reclamação de moderadores que simplesmente encerram os chamados sem motivo nenhum, 

                    Guilherme, se você observar minha "Falta de reorno" se deu das 22h de uma sexta feita até agora, que por sinal estou viajando a serviço, realmente, esse fórum está perdendo a credibilidade por conta de pessoas como você! Como assim, a minha dúvida fica aberta durante um final de semana e logo no primeiro horário da segunda você fica procurando fórum para simplesmente encerrar??? O que você e a Microsoft ganham com isso?? No caso eu deveria ter entrado na empresa de madrugada e testado todas as dicas que foram dadas?? Agora isso virou uma corrida contra o tempo??



    Edson Caetano

    segunda-feira, 13 de março de 2017 19:33
  • - Algum DC recente ou algum histórico de DC que parou de responder, foi removido da rede ? Talvez haja alguma "sujeira" no DNS de registros de ADs antigos que estejam impactando no seu ambiente.


    Boa tarde Felipe, Tivemos sim problemas com um DC que parou de responder, e outro que foi removido, porém ainda aparece na lista dos DC's, estou em viagem, assim que retornar na semana que vem verifico e respondo os outros tópicos

    Obrigado


    Edson Caetano

    Ok.

    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 13 de março de 2017 19:41
    Moderador
  • Ola Edson,

    Combinado e ficaremos no aguardo de novas notícias, precisando de um apoio entre em contato.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    segunda-feira, 13 de março de 2017 20:11
    Moderador
  • Bom dia Edson Caetano

    Tudo bem contigo?

    Primeiramente quero agradecer pela sua participação aqui no Fórum Microsoft Technet.

    Esclarecendo melhor esta situação.

    Por razões internas, temos que fechar as threads que possuem uma falta de retorno, mesmo que sejam durante o final de semana. Mas mesmo assim, vizando uma melhor experiência para o cliente, damos o direito de reabri-la a qualquer momento, para eventuais duvidas ou caso o problema realmente ainda não tenha sido solucionado, pois ela continua acessível no fórum Technet.

    Nós da equipe Microsoft buscamos sempre excelência na entrega de soluções a nossos clientes, juntamente com valorosos colaboradores da comunidade, não medimos esforços para sempre trazer as melhores soluções.

    Está thread no atual momento esta reaberta, e pelo o que eu percebi, você está em viagem, caso você não efetue um retorno em até 3 dias, a thread ira encerrar novamente.

    Caso não aconteça o retorno, como informei na resposta anterior, se for necessário, você pode criar uma nova thread, levando o maior numero de informações que você já adquiriu nesta e assim continuaremos trabalhando na busca da solução.

    Quaisquer dúvidas estamos totalmente a disposição.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    terça-feira, 14 de março de 2017 13:07
  • Edson,

    Acredito que o seu ambiente possa estar com problemas relacionados a DNS ou com a FSMOs.

    - Você precisa analisar o Eventviewer dos DCs em busca de informações relevantes , registro de aviso ou erros.

    - Utilize as ferramentas de diagnóstico (dcdgiag) (repadmin) para analisar a saúde do ambiente. 

    - Algum DC recente ou algum histórico de DC que parou de responder, foi removido da rede ? Talvez haja alguma "sujeira" no DNS de registros de ADs antigos que estejam impactando no seu ambiente.

    - Execute o comando netdom query fsmo para analisar se o servidor apresenta erros ou esta apontando para um servidor inexistente ou com erro na função.

    - Analise se o horário dos servidores e estações estão sincronizados 

    - DNS preferencial e alternativos corretamente configurados apontando para os DCs corretos ?


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    Bom dia Felipe, 

                  Rodando o comando REPADMIN /SHOWREPS  vi que o erro provavelmente se originou realmente no dia que tivemos a queda de energia, pois a data de última sincronização com sucesso foi justamente a data da imagem do servidor.

                    Já tentei despromover o servidor, mas ele diz que não consegue contactar o DC, testei o ping para o dominio, ele não estava correto, mas mesmo depois de corrigir, os erros persistem. 

                    Como posso reparar essa sincronização? Tanto o AD quanto o DNS não estão corretamente sincronizados.

                      Na pior das hipóteses, eu retiro a função desse servidor como controlador de domínio, uma vez que ele é secundário.

    DC=ForestDnsZones,DC=cdaraguaia,DC=com,DC=br
        LagoaTO\SRVAD-LAGOA via RPC
            DSA object GUID: 030088c9-47c4-4cbd-9026-90cfe7a0fd35
            Last attempt @ 2017-03-20 06:45:16 failed, result 8457 (0x2109):
                The destination server is currently rejecting replication requests.
            725 consecutive failure(s).
            Last success @ (never).
        AnapolisGO\SRVAD via RPC
            DSA object GUID: e7f5e781-edfb-49ed-926c-00575b3651dc
            Last attempt @ 2017-03-20 09:00:16 failed, result 8457 (0x2109):
                The destination server is currently rejecting replication requests.
            8733 consecutive failure(s).
            Last success @ 2016-07-01 10:04:07.


    Edson Caetano

    segunda-feira, 20 de março de 2017 12:16
  • verifique pelo dcdiag que tipo de erros são registrados.. dcdiag /e /v  , dcdiag /test:dns

    analisar se os servidores estão se comunicando corretamente em todas as portas , caso haja um firewall entre as redes/servidores.

    https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd

    analise se há erros nas FSMOs , pode verificar pelo AD na opção mestre de operações. pode estar com erros ou apontando para um servidor inexistente, podendo utilizar o comando netdom query fsmo

    Faça uma varredura em seus DNS's, pois pode haver registros de servidores já removidos e você precisa limpar esses registros, caso saiba o nome do DC que foi removido, pode utilizar o comando ntdsutil metadata cleanup. e terá que assumir as funções em outro servidor.

    https://technet.microsoft.com/pt-br/library/cc816779(v=ws.10).aspx

    conferir se os apontamentos DNS (preferencial e alternativos) estão corretos, apontando para os DNS do domínio.

    https://social.technet.microsoft.com/Forums/office/en-US/b7bf37a2-6e1a-40a8-8d4b-1c15ee9bc0fa/2k8-best-practice-for-setting-the-dns-server-list-on-a-dcdns-server-for-an-interface?forum=winserverNIS

    Revisar o KB abaixo que faz indicação ao erro que publicou

    https://support.microsoft.com/en-us/help/2023007/troubleshooting-ad-replication-error-8456-or-8457-the-source-destination-server-is-currently-rejecting-replication-requests

    bom, há diversas configurações e analises que devem ser revistas.




    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 20 de março de 2017 14:02
    Moderador
  • Bom dia,

    Por falta de retorno a 1 semana, esta thread será encerrada.

    Caso seja necessário, por gentileza, abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 27 de março de 2017 13:57