none
DC之間無法複寫AD與DNS的資料? RRS feed

  • 問題

  • Dear all 以下是我環境發生的情況,請大家協助看一下,感謝 感謝!

    平台都是Windows Server 2003 r2 (sp2以上)

    AD網域中有兩台DC,稱之為AD1(主DC FSMO)與AD2(皆為實體機器),因測試關係所以將AD1轉移到虛擬機器上去(將實體AD1的網路線拔除但不關機),將VM的AD1網卡Enable,從此AD1(VM)與AD2(實體)皆正常複寫,網域環境也都OK。

    為了容錯機制所以我在虛擬機器又建了一台AD3當作第二台次DC,此時3台DC間的複寫皆正常運作。

    但因為主管希望主DC能放回實體機器,所以在過了幾天後,我就將AD1(虛擬)的網路線停用,AD1(實體)的網路線插回,問題發生了。

    Client開始反應無法登入網域(找不到網域控制站),我去查看AD1 (實體)的DNS結果卻皆變成空白,也無法複寫其他DC,Event Log DNS出現4013錯誤,我緊急把主DC切回虛擬的AD1上,Client就又恢復正常,但結果就是.....

    AD1切換不回去實體機器,AD1(VM)與AD3(VM)能正常複寫,但AD2(實體)無法成功複寫,強制複寫時Event Log DNS出現4013錯誤,AD2(實體)的DNS也是無法使用?

    我查了些資料,應該是時間超過DNS與AD的複寫時間,所以AD1(實體)與AD2(實體)無法複寫AD?

    用這方法不知是否有用?

    在目錄服務日誌中收到事件識別碼 1265「存取被拒」。或是,從 repadmin 命令收到「存取被拒」。

    • 原因:如果本機網域控制站在建立複寫連結或嘗試覆寫現有連結時,對其複寫協力電腦認證失敗,便會產生此錯誤。通常當網域控制站與整個網路的連線已中斷很長一段時間,且其電腦帳戶密碼並未與儲存在複寫協力電腦目錄中的電腦帳戶密碼同步時,便會發生這種情形。
    • 解決方案:請執行下列作業:
    1. 使用 net stop KDC,停止金鑰發佈中心 (KDC) 服務。
    2. 清除本機網域控制站上的票證快取。
    3. 使用 netdom /resetpwd,重設網域主控站 (PDC) 模擬器主機上的網域控制站帳戶密碼。(在 [Windows 支援工具] 中便能找到 Netdom.exe。)
    4. 將複寫協力電腦的網域目錄磁碟分割與 PDC 模擬器主機同步
    5. 以手動的方式在複寫協力電腦和 PDC 模擬器主機之間強制複寫。
    6. 啟動本機網域控制站上的 KDC:
      net start KDC

    請問各位大大有沒有解決的方法呢?感謝各位....

     

     

    2010年11月23日 上午 08:07

解答

  • 您所提到的狀況及方法,可能國外才有可能比較多人試過,
    因為一般測試 P2V 是不會接上生產環境使用。

    如果現在被 P2V 後的 AD1 才能正常跟其他 DC 溝通及服務,
    那麼我自己的作法會有三種,給您參考看看:
    1. 將 P2V 後的 AD1 做 V2P 至實體機器上。
    2. 將 P2V 後的 AD1 (後面簡稱 AD1_V)上所擁有的角色及 GC 功能移轉至其他台 DC 上。
    然後再將 AD1_V 主機降級並退出網域,最後再重灌實體機器的 AD1,並重新加回網域及升級DC,移轉角色和 GC。
    原實體機器除了重灌時接上網路,其他時候可能就要當做不存在了。
    3. 將現有的錯誤環境用 P2V 的方式轉至私有的虛擬環境做測試,
    再用你現有的方法看能否恢復正常運作,
    如果可以,再到生產環境做修復動作。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已標示為解答 alexsu7 2010年11月25日 上午 04:46
    2010年11月24日 下午 12:14
    版主

所有回覆

  • 您所提到的狀況及方法,可能國外才有可能比較多人試過,
    因為一般測試 P2V 是不會接上生產環境使用。

    如果現在被 P2V 後的 AD1 才能正常跟其他 DC 溝通及服務,
    那麼我自己的作法會有三種,給您參考看看:
    1. 將 P2V 後的 AD1 做 V2P 至實體機器上。
    2. 將 P2V 後的 AD1 (後面簡稱 AD1_V)上所擁有的角色及 GC 功能移轉至其他台 DC 上。
    然後再將 AD1_V 主機降級並退出網域,最後再重灌實體機器的 AD1,並重新加回網域及升級DC,移轉角色和 GC。
    原實體機器除了重灌時接上網路,其他時候可能就要當做不存在了。
    3. 將現有的錯誤環境用 P2V 的方式轉至私有的虛擬環境做測試,
    再用你現有的方法看能否恢復正常運作,
    如果可以,再到生產環境做修復動作。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已標示為解答 alexsu7 2010年11月25日 上午 04:46
    2010年11月24日 下午 12:14
    版主
  • 感謝您的回答~~

    您所回答的第二點方式,是我接下來要做部分,其中當然包括了正常的轉移FSMO以及正常退出網域再加入網域,感謝您!

    補充說明的是:我用的是Third party的軟體進行轉移P2V,其保存了一模一樣的Hostname與SID,所以我才覺得好像是與AD的複寫機制有關係。

    至於AD2(實體)與AD1(虛擬)的AD同步問題,我使用上述的 netdom /resetpwd,重設網域主控站 (PDC) 模擬器主機上的網域控制站帳戶密碼的方式,就成功將DNS與AD資料庫複寫,但我想進一步請問的是在微軟的AD中KDC的複寫機制究竟是怎麼運作的?是不是因為某些複寫的Time Out規則所以才導致AD2(實體)需要重新驗證KDC,感謝您的回答.....

    2010年11月25日 上午 05:00