none
SAM удаляет учетные записи и компьютеры из домена, затем netLogon ругается что таких пользователей нет в базе данных и блокирует доступ RRS feed

  • Общие обсуждения

  • Всем Добрый день! Последняя надежда на УМНЫХ людей.

    Опишу вкратце что произошло.

    Имел 3 контроллера домена (w3k). Основной имел все роли FSMO. На одном из субконтроллеров установлен Exchange 2007.

    Требовалось, вывести идин из субконтроллеров, не с Exchange. Добавить в сеть новый субконтролер Windows Server 2012. Перенести все роли на новый сервер. У cтарого сервера понизить роль и убрать-удалить из домена. Оставалось два сервера: PDC Windows Server 2012 и субконтроллекр Windows Server 2003 с Exchange 2007.

    Все что требовалось было смоделировано в изолированной сети на сервере 2012 на виртуальных машинах. Все было ок. Ни каких ошибок. Система работала с неделю.

    Затем тоже самое было сделано с реальными серверами. Все прошло отлично. Ни каких ошибок net diag, DCDIAG, все роли у нового сервера (NETDOM QUERY FSMO). Вдруг на следующий день, замечаю, что часов через 12 после создания новых серверов, SAM выдает ошибку дублирования учетных записей и удаляет ряд пользователей и компьютеров.

    Была надежда, что возможно это результат ошибки репликации при передаче ролей и GC, потому что в дальнейшем ошибок не было. Но как только начал включать компьютеры в сети, повалились ошибки от NETLOGON (5722, 5723, 5805) и под пользователями невозможно было зайти в сеть.

    Подумал, что возможно смена PDC и удаление прежнего PDC. НЕ ПОМОГЛО. Также выдает ошибки: 

    SAM  (12293);

    NETLOGON (5722, 5723, 5805).

    Помогите, где копать, что делать. Есть бэкап старого PDC, сделал перед установкой. Бэкапов FDC, нету. В настоящий момент PDC бывший субконтроллер на котором Exchange. не делал, так как с ним не предполагалось делать ни какних манипуляций. Есть бэкап с Exchange сделаный за 2 месяца до бэкапа FDC.

    12 января 2014 г. 9:37

Все ответы

  • Привет,

    Посмотрите статьй, одна для сервера 2008 R2, но может навести на путь как восстановить профили:

    Event ID 12293 — Account Integrity

    User accounts deleted when creating new security principals


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.


    13 января 2014 г. 8:11
    Модератор
  • По данным ссылкам уже смотрел. К сожалению не помогло. Тут появились новые события.

    После долгих манипуляций с серверами. Решил восстановить в системе старый PDS из образа, который был сделан перед сменой ролей серверов. Как писала ранее, все было промоделировано на виртуальных машинах в изолированной среде. Все отлично работало.

    После восстановления из резервной копии PDS, сначала на виртулку. Оказалось AD не работает. Затем уже чтобы наверняка восстановил PDS на прежнее железо. Доступ к AD нету. Начал копать логи. Оказалось ошибка SAM появилась за 2 дня до переноса серверов. Тогда заблокировалась учетка IIS после перезапуска IIS все заработало. Похоже RID master не работает корректно. Еще раннее были Предупреждения KDC 20. Служба лицензирования не работает сейчас. В общем все плохо. Более ранних  бэкапов не оказалось. Прийдется похоже создовать новый домен. Мигрировать из такой глючной системы пользователей страшно. Ни так уж их и много (30). Ручками перезабью. А вот с Exchange похоже прийдется попарится. Может у кого есть соображения как можно граммотно выйти из данной ситуации.

    15 января 2014 г. 5:13
  • Решил восстановить в системе старый PDS из образа, который был сделан перед сменой ролей серверов. Как писала ранее, все было промоделировано на виртуальных машинах в изолированной среде. Все отлично работало.
    Очень важный вопрос - вы восстановили PDC из образа или всё же с использованием backup/restore классическими методами (через VSS)?

    Active Directory? Ask me how.

    15 января 2014 г. 6:32
    Модератор