Tôi có một phòng thí nghiệm chứa miền ACME mà ACME-DC2 và ACME-DC3. Nó có một miền con gọi là LAB với LAB-DC1. Tôi đã thực hiện một số thay đổi cơ sở hạ tầng đối với môi trường của mình, điều này đã làm hỏng Active Directory DNS trong một thời gian. Bản sao giữa miền ACME của tôi sang miền LAB dường như bị hỏng:
Thử nghiệm bắt đầu: Bản sao
[Kiểm tra bản sao,LAB-DC1] Một lần sao chép gần đây không thành công:
Từ ACME-DC2 đến LAB-DC1
Bối cảnh đặt tên: DC=ForestDnsZones,DC=ACME,DC=local
Bản sao tạo ra lỗi (1256):
Hệ thống điều khiển từ xa không khả dụng. Để biết thông tin về khắc phục sự cố mạng, hãy xem Trợ giúp Windows.
Lỗi xảy ra lúc 2022-01-14 13:54:35.
Thành công cuối cùng xảy ra vào lúc 2019-05-03 19:45:51.
20747 lỗi đã xảy ra kể từ lần thành công cuối cùng.
CẢNH BÁO ĐỘ TRỄ SAO CHÉP
LỖI: Thiếu liên kết thông báo dự kiến.
Nguồn ACME-DC2
Việc sao chép các thay đổi mới dọc theo đường dẫn này sẽ bị trì hoãn.
Sự cố này sẽ tự khắc phục trong lần đồng bộ hóa định kỳ tiếp theo.
[Kiểm tra bản sao,LAB-DC1] Một lần sao chép gần đây không thành công:
Từ ACME-DC2 đến LAB-DC1
Bối cảnh đặt tên: CN=Schema,CN=Configuration,DC=ACME,DC=local
Bản sao tạo ra lỗi (5):
Truy cập bị từ chối.
Lỗi xảy ra lúc 2022-01-14 13:54:35.
Thành công cuối cùng xảy ra vào lúc 2019-05-03 19:45:51.
20738 lỗi đã xảy ra kể từ lần thành công cuối cùng.
[Kiểm tra bản sao,LAB-DC1] Một lần sao chép gần đây không thành công:
Từ ACME-DC2 đến LAB-DC1
Bối cảnh đặt tên: CN=Configuration,DC=ACME,DC=local
Bản sao tạo ra lỗi (5):
Truy cập bị từ chối.
Lỗi xảy ra lúc 2022-01-14 13:54:34.
Thành công cuối cùng xảy ra vào lúc 2019-05-03 19:45:51.
20771 lỗi đã xảy ra kể từ lần thành công cuối cùng.
CẢNH BÁO ĐỘ TRỄ SAO CHÉP
LỖI: Thiếu liên kết thông báo dự kiến.
Nguồn ACME-DC2
Việc sao chép các thay đổi mới dọc theo đường dẫn này sẽ bị trì hoãn.
Sự cố này sẽ tự khắc phục trong lần đồng bộ hóa định kỳ tiếp theo.
[Kiểm tra bản sao,LAB-DC1] Một lần sao chép gần đây không thành công:
Từ ACME-DC2 đến LAB-DC1
Bối cảnh đặt tên: DC=ACME,DC=local
Bản sao tạo ra lỗi (1256):
Hệ thống điều khiển từ xa không khả dụng. Để biết thông tin về khắc phục sự cố mạng, hãy xem Trợ giúp Windows.
Lỗi xảy ra lúc 2022-01-14 13:54:35.
Thành công cuối cùng xảy ra vào lúc 2019-05-03 20:16:26.
39498 lỗi đã xảy ra kể từ lần thành công cuối cùng.
CẢNH BÁO ĐỘ TRỄ SAO CHÉP
LỖI: Thiếu liên kết thông báo dự kiến.
Nguồn ACME-DC2
Việc sao chép các thay đổi mới dọc theo đường dẫn này sẽ bị trì hoãn.
C:\Users\administrator.ACME> repadmin /replicate LAB-DC1 ACME-DC2 "DC=ForestDnsZones,DC=ACME,DC=local"
DsReplicaSync() không thành công với trạng thái 5 (0x5):
Truy cập bị từ chối.
dcdiag báo cáo:
......................... Kiểm tra ACME-DC2 đã vượt qua Dịch vụ
Bắt đầu thử nghiệm: SystemLog
Một sự kiện cảnh báo đã xảy ra. ID sự kiện: 0x8000001C
Thời gian tạo: 22/01/2022 18:09:57
Chuỗi sự kiện:
Khi tạo giới thiệu nhiều lĩnh vực từ tên miền LAB.ACME.L
xác minh vé. Phiên bản khóa vé trong yêu cầu là 15 và avai
lỗi này là sự chậm trễ trong việc sao chép các phím. Để loại bỏ vấn đề này
của các phím xảy ra.
......................... ACME-DC2 đã vượt qua bài kiểm tra Nhật ký hệ thống
Bắt đầu thử nghiệm: VerifyReferences
......................... ACME-DC2 đã vượt qua bài kiểm tra VerifyReferences
Tôi đã thử nhiều thứ khác nhau để sửa nó. Thời gian nghỉ chắc chắn dài hơn 180 ngày, vì vậy tôi tin rằng LAB-DC đã bị chôn vùi hoặc ngược lại. Tôi đã thấy một số lỗi về điều này trước đây. Để khắc phục điều này, tôi đã đặt "Tính nhất quán của bản sao nghiêm ngặt" thành 0 trong Sổ đăng ký và chạy lại bản sao. Điều này dường như đã sửa một số lỗi nhưng tôi không thể khắc phục lỗi "TRUY CẬP BỊ TỪ CHỐI".
Tôi cũng có nhiều tham chiếu đến ACME-DC1 (một DC đã chết từ trước) trong dữ liệu DNS trên LAB-DC1. Tôi đã xem qua và đổi tên tất cả chúng thành ACME-DC2.
Bạn có biết cách khắc phục lỗi Truy cập bị Từ chối này không?
Có một vấn đề thứ hai trong đó miền LAB có ACME-DC1 cũ làm máy chủ đặt tên miền và lược đồ chính. DC đó đã tồn tại trong Trang web và Dịch vụ. Tôi đã cố xóa nó ở đó nhưng không được. Tôi đã phải sử dụng ADSIEdit để xóa nó khỏi khu vực CN=Configuration.
C:\Users\administrator.ACME>truy vấn netdom fsmo
Schema master *** Cảnh báo: chủ sở hữu vai trò là một DC đã bị xóa: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a93f-9c0c8e
b45c10,CN=Máy chủ,CN=Tên trang web đầu tiên mặc định,CN=Trang web,CN=Cấu hình,DC=ACME,DC=cục bộ
Chủ sở hữu tên miền *** Cảnh báo: chủ sở hữu vai trò đã bị xóa DC: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a93f-9c0c8e
b45c10,CN=Máy chủ,CN=Tên trang web đầu tiên mặc định,CN=Trang web,CN=Cấu hình,DC=ACME,DC=cục bộ
Phòng thí nghiệm PDC-dc1.lab.ACME.local
Trình quản lý nhóm RID lab-dc1.lab.ACME.local
Phòng thí nghiệm tổng thể về cơ sở hạ tầng-dc1.lab.ACME.local
Tôi đã cố sửa lỗi này bằng cách sử dụng ADSIEdit và thay đổi thuộc tính fsmoRoleOwner (??) và nhận được WILL_NOT_PERFORM. Tôi hơi do dự khi thử và nắm bắt một vai diễn.
Tôi cũng đã cố gắng thêm bộ điều khiển miền mới vào miền LAB nhưng nó cũng bị lỗi do tham chiếu không hợp lệ đến ACME-DC1.
Sẽ không phải là ngày tận thế nếu tôi phải dọn rác miền LAB nhưng tôi hy vọng rằng mình sẽ không làm như vậy.
Tôi cũng đã thử fixfsmo.ps1. Nó đã xác định các lỗi và cho biết nó đã sửa chúng. Khi tôi cố gắng netdom truy vấn fsmo mặc dù, vẫn hiển thị các mục cũ.
Chỉnh sửa
Tôi đã có thể sửa lỗi này. Tôi đã có nhiều vấn đề hơn.
Chia sẻ sysvol trên ACME-DC3 bị thiếu. Tôi đã có thể kéo dài thời gian ngoại tuyến tối đa ngày trong ngày để vượt qua lỗi hiển thị trong trình xem sự kiện sao chép DFS và khởi động lại dịch vụ sao chép DFS. SYSVOL và NETLOGON tái xuất hiện trên ACME-DC3. Sau đó, tôi đặt lại maxofflinetimeindays về 60.
Tôi cũng đã tìm thấy một số mục nhập bất thường hơn trong DNS của mình từ trước khi tôi đặt lại IP cho các DC.Đã sửa tất cả chúng.
Tôi đã thêm kết nối NTDS giữa LAB-DC1 và NETOPIA-DC3 theo cách thủ công. Không chắc điều này có hữu ích không, nhưng dcdiag đã phàn nàn rằng nó bị thiếu.
Kênh bảo mật giữa ACME-DC2 và ACME-DC3 đã chết. Tôi đã thử sử dụng netdom để sửa chữa nhưng vẫn bị lỗi. Cuối cùng tôi đã có thể sử dụng Active Directory Domains and Trusts để sửa chữa mối quan hệ tin cậy. Đây là một bước tiến lớn trong việc sửa chữa mọi thứ. Trước đây tôi đã thử sử dụng PowerShell và netdom hoặc nltest để sửa kênh bảo mật nhưng không được. Cuối cùng, tôi chỉ sử dụng công cụ này từ mỗi trong số 3 DC và cả hai hướng (con với cha và cha với con) và được chọn để xác thực kết nối và sửa chữa. Cuối cùng tôi đã làm cho nó hoạt động.
