域控制器在2个月内处于离线状态,现在无法同步

8

简洁版本

设置了域控制器,然后使脱机时间超过了逻辑删除限制。现在,我无法再次复制它。

相关错误消息

在dc2上(关于exchangedc1都存在相同的错误消息):

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.

另一个相关的错误(事件ID 2042):

知识一致性检查器(KCC)检测到使用以下域控制器进行的连续复制尝试始终失败。尝试:12域控制器:CN = NTDS设置,CN = DC1,CN =服务器,CN = MainSite,CN = Sites,CN =配置,DC = mydomain,DC =本地时间段(分钟):105103该域控制器将被忽略,并且将建立新的临时连接以确保复制继续。使用此域控制器恢复复制后,临时连接将被删除。其他数据错误值:2148074274目标主体名称不正确。

事件ID 1925: The attempt to establish a replication link for the following writable directory partition failed.

其他详情

两个站点都通过VPN连接。在主站点上,我有两个域控制器(我们将其称为exchangedc1)。两者都是Server2003。如果有关系,dc1将担任所有FSMO角色。

为了准备设置远程站点,我设置了一个名为dc2的域控制器,运行Server 2003 R2,并在AD站点和服务中配置了单独的站点,并配置了从dc1dc2的复制。我什至可以通过路由器将其连接到远程站点的正确子网中(这是在站点连接到VPN之前,因此没有IP冲突)。

一切都很好,所以我关闭了电源,准备好取出来了。但是事情一直拖延了两个多月,现在dc2无法正常复制。

我尝试过的

删除域控制器角色-失败,出现: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."

通过以下方式重置机器密码:

Disable and stop KDC service

klist /purge

netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword

Reboot

Reenable KDC service

由于“目标主体名称不正确”错误,我在到达逻辑删除寿命后所经历的有关修复复制的大多数知识库文章都被卡住了。

active-directory 
格兰特
source

Answers:

12

看来,最简单的方法确实是删除活动目录并重新安装它,并且无需清除整个服务器即可完成。这将使服务器上的其他所有内容保持不变。但是,由于无法正确删除活动目录,因此必须强制将其从服务器中删除,然后在良好的域控制器上手动进行清理。

  • 断开有问题的服务器与网络的连接,以防止这其中的任何一个潜在破坏正常服务器上的活动目录。

  • 在问题服务器上,运行dcpromo /forceremoval。这使您可以删除系统上的活动目录,而不必删除其他域控制器上的所有记录。

  • 从良好的域控制器使用ntdsutil从活动目录中删除问题服务器。当您运行dcpromo / forceremoval或在此处时,说明位于帮助链接中:http ://technet.microsoft.com/zh-cn/library/cc736378%28WS.10%29.aspx

  • 删除广告站点和服务中的服务器对象

  • 如果仍然存在,请删除“ AD用户和计算机”中的服务器

  • 从DNS删除服务器:

    • 删除反向查找区域中的NS条目
    • 删除正向查找区域中的A条目
    • 删除正向查找\ domain_msdcs中的CNAME条目
    • 删除指向问题服务器的_msdcs,_sites,_tcp和_udp下的大量SRV记录

  • 重新升级问题服务器并像配置全新DC一样配置站点设置。

格兰特
source
4

此时,使用ntdsutil创建新的DC并从AD中清除dc2可能更容易。

乔伊维蒂
source
如果不是针对该服务器上配置的其他软件,则可能会更容易。这是一个选择,但我愿意尽最大努力避免这种情况。
格兰特(Grant)
此时,由于当前的问题,该软件无法使用,是吗?如果是这样,那么从头开始可能会更容易,更有效。
joeqwerty,2012年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.