บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

ปัญหาการจำลองแบบระหว่างโดเมน Active Directory ย่อยและพาเรนต์

ธง us
cdnscubaguy

ฉันมีห้องปฏิบัติการที่มีโดเมน ACME ซึ่ง ACME-DC2 และ ACME-DC3 มีโดเมนย่อยชื่อ LAB กับ LAB-DC1 ฉันทำการเปลี่ยนแปลงโครงสร้างพื้นฐานบางอย่างกับสภาพแวดล้อมของฉันซึ่งทำให้ Active Directory DNS พังไปชั่วขณะ การจำลองแบบระหว่างโดเมน ACME ของฉันไปยังโดเมน LAB ดูเหมือนจะใช้งานไม่ได้:

 เริ่มต้นการทดสอบ: การจำลองแบบ
        [Replications Check,LAB-DC1] ความพยายามจำลองล่าสุดล้มเหลว:
           จาก ACME-DC2 ถึง LAB-DC1
           บริบทการตั้งชื่อ: DC=ForestDnsZones,DC=ACME,DC=local
           การจำลองแบบสร้างข้อผิดพลาด (1256):
           ระบบรีโมตไม่พร้อมใช้งาน สำหรับข้อมูลเกี่ยวกับการแก้ไขปัญหาเครือข่าย ดูวิธีใช้ Windows
           ความล้มเหลวเกิดขึ้นเมื่อ 2022-01-14 13:54:35 น.
           ความสำเร็จครั้งล่าสุดเกิดขึ้นเมื่อ 2019-05-03 19:45:51 น.
           ความล้มเหลว 20747 เกิดขึ้นตั้งแต่ความสำเร็จครั้งล่าสุด
        คำเตือนเวลาแฝงของการจำลอง
        ข้อผิดพลาด: ลิงก์การแจ้งเตือนที่คาดไว้ขาดหายไป
        ที่มา ACME-DC2
        การจำลองการเปลี่ยนแปลงใหม่ตามเส้นทางนี้จะล่าช้า
        ปัญหานี้ควรแก้ไขด้วยตนเองในการซิงค์เป็นระยะครั้งถัดไป
        [Replications Check,LAB-DC1] ความพยายามจำลองล่าสุดล้มเหลว:
           จาก ACME-DC2 ถึง LAB-DC1
           บริบทการตั้งชื่อ: CN=Schema,CN=Configuration,DC=ACME,DC=local
           การจำลองแบบทำให้เกิดข้อผิดพลาด (5):
           การเข้าถึงถูกปฏิเสธ.
           ความล้มเหลวเกิดขึ้นเมื่อ 2022-01-14 13:54:35 น.
           ความสำเร็จครั้งล่าสุดเกิดขึ้นเมื่อ 2019-05-03 19:45:51 น.
           ความล้มเหลว 20738 ครั้งเกิดขึ้นตั้งแต่ความสำเร็จครั้งล่าสุด
        [Replications Check,LAB-DC1] ความพยายามจำลองล่าสุดล้มเหลว:
           จาก ACME-DC2 ถึง LAB-DC1
           บริบทการตั้งชื่อ: CN=Configuration,DC=ACME,DC=local
           การจำลองแบบทำให้เกิดข้อผิดพลาด (5):
           การเข้าถึงถูกปฏิเสธ.
           ความล้มเหลวเกิดขึ้นเมื่อ 2022-01-14 13:54:34
           ความสำเร็จครั้งล่าสุดเกิดขึ้นเมื่อ 2019-05-03 19:45:51 น.
           ความล้มเหลว 20771 ครั้งเกิดขึ้นตั้งแต่ความสำเร็จครั้งล่าสุด
        คำเตือนเวลาแฝงของการจำลอง
        ข้อผิดพลาด: ลิงก์การแจ้งเตือนที่คาดไว้ขาดหายไป
        ที่มา ACME-DC2
        การจำลองการเปลี่ยนแปลงใหม่ตามเส้นทางนี้จะล่าช้า
        ปัญหานี้ควรแก้ไขด้วยตนเองในการซิงค์เป็นระยะครั้งถัดไป
        [Replications Check,LAB-DC1] ความพยายามจำลองล่าสุดล้มเหลว:
           จาก ACME-DC2 ถึง LAB-DC1
           บริบทการตั้งชื่อ: DC=ACME,DC=local
           การจำลองแบบสร้างข้อผิดพลาด (1256):
           ระบบรีโมตไม่พร้อมใช้งาน สำหรับข้อมูลเกี่ยวกับการแก้ไขปัญหาเครือข่าย ดูวิธีใช้ Windows
           ความล้มเหลวเกิดขึ้นเมื่อ 2022-01-14 13:54:35 น.
           ความสำเร็จครั้งล่าสุดเกิดขึ้นเมื่อ 2019-05-03 20:16:26 น.
           ความล้มเหลว 39498 ครั้งเกิดขึ้นตั้งแต่ความสำเร็จครั้งล่าสุด
        คำเตือนเวลาแฝงของการจำลอง
        ข้อผิดพลาด: ลิงก์การแจ้งเตือนที่คาดไว้ขาดหายไป
        ที่มา ACME-DC2
        การจำลองการเปลี่ยนแปลงใหม่ตามเส้นทางนี้จะล่าช้า

C:\Users\administrator.ACME> repadmin /replicate LAB-DC1 ACME-DC2 "DC=ForestDnsZones,DC=ACME,DC=local"
DsReplicaSync() ล้มเหลวด้วยสถานะ 5 (0x5):
    การเข้าถึงถูกปฏิเสธ.

รายงาน dcdiag:

         ......................... ACME-DC2 ผ่านการทดสอบบริการ
      เริ่มต้นการทดสอบ: SystemLog
         เกิดเหตุการณ์เตือนภัย รหัสเหตุการณ์: 0x8000001C
            เวลาที่ลง: 22/01/2565 18:09:57น
            สตริงเหตุการณ์:
            เมื่อสร้างการอ้างอิงข้ามขอบเขตจากโดเมน LAB.ACME.L
ตรวจสอบตั๋ว เวอร์ชันคีย์ตั๋วในคำขอคือ 15 และ avai
ข้อผิดพลาดนี้ทำให้เกิดความล่าช้าในการจำลองคีย์ เพื่อขจัดปัญหานี้
 ของคีย์ที่จะเกิดขึ้น
         ......................... ACME-DC2 ผ่านการทดสอบ SystemLog
      เริ่มต้นการทดสอบ: VerifyReferences
         ......................... ACME-DC2 ผ่านการทดสอบ VerifyReferences

ฉันได้ลองแก้ไขหลายอย่างแล้ว การหยุดพักนั้นยาวนานกว่า 180 วันอย่างแน่นอน ดังนั้นฉันจึงเชื่อว่า LAB-DC ถูกฝังด้วยหินหรือในทางกลับกัน ฉันเคยเห็นข้อผิดพลาดบางอย่างเกี่ยวกับเรื่องนี้มาก่อน ในความพยายามที่จะแก้ไขปัญหานี้ ฉันตั้งค่า "ความสอดคล้องของการจำลองแบบเข้มงวด" เป็น 0 ในรีจิสทรี และรันการจำลองซ้ำอีกครั้ง ดูเหมือนว่าจะแก้ไขข้อผิดพลาดบางอย่างแล้ว แต่ฉันไม่สามารถแก้ไข "การเข้าถึงถูกปฏิเสธ" ได้

ฉันยังมีการอ้างอิงต่างๆ ถึง ACME-DC1 (DC ที่เสียจากก่อนหน้านี้) ในข้อมูล DNS บน LAB-DC1 ฉันผ่านและเปลี่ยนชื่อทั้งหมดเป็น ACME-DC2

มีความคิดใดที่จะแก้ไขข้อผิดพลาด Access Denied นี้

มีปัญหาที่สองที่โดเมน LAB มี ACME-DC1 เก่าเป็นต้นแบบสคีมาและเซิร์ฟเวอร์การตั้งชื่อโดเมน DC นั้นมีอยู่ในไซต์และบริการ ฉันพยายามลบที่นั่น แต่ทำไม่ได้ ฉันต้องใช้ ADSIEdit เพื่อลบออกจาก CN=พื้นที่การกำหนดค่า

C:\Users\administrator.ACME>การค้นหา netdom fsmo
Schema master *** คำเตือน: เจ้าของบทบาทเป็น DC ที่ถูกลบ: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a93f-9c0c8e
b45c10,CN=เซิร์ฟเวอร์,CN=ค่าเริ่มต้น-ชื่อไซต์แรก,CN=ไซต์,CN=การกำหนดค่า,DC=ACME,DC=ในเครื่อง
ต้นแบบการตั้งชื่อโดเมน *** คำเตือน: เจ้าของบทบาทเป็น DC ที่ลบแล้ว: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a93f-9c0c8e
b45c10,CN=เซิร์ฟเวอร์,CN=ค่าเริ่มต้น-ชื่อไซต์แรก,CN=ไซต์,CN=การกำหนดค่า,DC=ACME,DC=ในเครื่อง
PDC lab-dc1.lab.ACME.local
ตัวจัดการพูล RID lab-dc1.lab.ACME.local
ต้นแบบโครงสร้างพื้นฐาน lab-dc1.lab.ACME.local

ฉันพยายามแก้ไขโดยใช้ ADSIEdit และแก้ไขแอตทริบิวต์ fsmoRoleOwner (??) และได้รับ WILL_NOT_PERFORM ฉันค่อนข้างลังเลที่จะลองรับบทบาทนี้

ฉันพยายามเพิ่มตัวควบคุมโดเมนใหม่ไปยังโดเมน LAB แต่ก็เกิดข้อผิดพลาดเนื่องจากการอ้างอิงถึง ACME-DC1 ไม่ถูกต้อง

มันไม่ใช่จุดจบของโลกถ้าฉันต้องทิ้งโดเมน LAB แต่ฉันหวังว่าจะไม่ทิ้ง

ฉันยังลอง fixfsmo.ps1 มันระบุข้อผิดพลาดและบอกว่าได้แก้ไขแล้ว เมื่อฉันพยายาม netdom แบบสอบถาม fsmo แม้ว่ายังคงแสดงรายการเก่า

แก้ไข

ฉันสามารถแก้ไขปัญหานี้ได้ ฉันมีปัญหาอีกหลายอย่าง

sysvol ที่ใช้ร่วมกันบน ACME-DC3 หายไป ฉันสามารถขยาย maxofflinetimeindays วันเพื่อผ่านข้อผิดพลาดที่แสดงในตัวแสดงเหตุการณ์การจำลองแบบ DFS และเริ่มบริการการจำลองแบบ DFS ใหม่ SYSVOL และ NETLOGON ปรากฏขึ้นอีกครั้งบน ACME-DC3 ฉันรีเซ็ต maxofflinetimeindays กลับเป็น 60 หลังจากนั้น

ฉันยังพบรายการที่ผิดปกติเพิ่มเติมใน DNS ของฉันก่อนที่ฉันจะ IPed DC ใหม่แก้ไขทั้งหมดของพวกเขา

ฉันเพิ่มการเชื่อมต่อ NTDS ระหว่าง LAB-DC1 และ NETOPIA-DC3 ด้วยตัวเอง ไม่แน่ใจว่าสิ่งนี้ช่วยได้หรือไม่ แต่ dcdiag บ่นว่ามันหายไป

ช่องทางที่ปลอดภัยระหว่าง ACME-DC2 และ ACME-DC3 นั้นใช้งานไม่ได้ ฉันลองใช้ netdom เพื่อซ่อมแซม แต่ยังคงได้รับข้อผิดพลาด ในที่สุดฉันก็สามารถใช้ Active Directory Domains and Trusts เพื่อซ่อมแซมความสัมพันธ์ที่ไว้วางใจได้ นี่เป็นขั้นตอนใหญ่ในการแก้ไขสิ่งต่างๆ ก่อนหน้านี้ฉันได้ลองใช้ PowerShell และ netdom หรือ nltest เพื่อซ่อมแซมช่องทางที่ปลอดภัย แต่ทำไม่ได้ ในที่สุดฉันก็ใช้เครื่องมือนี้จาก DC ทั้ง 3 ตัวและทั้งสองทิศทาง (ลูกถึงแม่และแม่ถึงลูก) และเลือกเพื่อตรวจสอบการเชื่อมต่อและซ่อมแซม ในที่สุดฉันก็ได้มันมาทำงาน

159
0 + 0
Davidw avatar
in flag
Davidw
บัญชีนี้เป็นผู้ดูแลโดเมนหรือไม่
0
ตอบกลับ
ZivkoK avatar
ru flag
ZivkoK
เป็นไปได้มากว่ารหัสผ่านบัญชีคอมพิวเตอร์ (DC) หมดอายุแล้ว (สิ่งที่คุณสงสัยว่าจะถูกฝังไว้) โดยการรีเซ็ตรหัสผ่านคอมพิวเตอร์ คุณอาจแก้ปัญหาการทำซ้ำที่คุณกำลังเผชิญอยู่ได้ ลองทำตามขั้นตอนง่ายๆ นี้ดูไหม? https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-reset-computer-account-dc
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา