Início / server / Perguntas / 676867
Accepted
Massimo
Asked: 2015-03-20 14:21:00 +0800 CST

Erro ao adicionar o domínio filho do Active Directory à floresta existente

  • 772

Estou construindo um ambiente de teste contendo vários domínios do Active Directory na mesma floresta, mas estou tendo problemas estranhos ao tentar adicionar um domínio filho ao domínio raiz da floresta.

Todos os servidores são VMs do Windows Server 2012 R2 em execução na plataforma de nuvem Azure, conectados à mesma rede virtual; eles têm endereços IP estaticamente reservados e podem se comunicar sem nenhum problema de rede.

Minha estrutura de domínio é (ou pelo menos deveria ser) a seguinte:

    A0.lab (forest root)            B0.lab
   /  \                            /  \
  A1  A2                          B1  B2
  |                               |
  A3                              B3

Desta forma:

  • A0.lab (raiz da floresta)
  • A1.A0.lab
  • A2.A0.lab
  • A3.A1.A0.lab
  • B0.lab
  • B1.B0.lab
  • B2.B0.lab
  • B3.B1.B0.lab

Eu criei o domínio raiz da floresta (A0.lab) com sucesso e defini um site AD e sua sub-rede; o domínio está operando corretamente.

Em seguida, configurei o servidor que deve se tornar o controlador de domínio para o primeiro domínio filho (A1.A0.lab) para usar o DC raiz como seu servidor DNS e iniciei o assistente de promoção; Preenchi todos os parâmetros, incluindo a conta de usuário do administrador do domínio para o domínio raiz e a opção de criar uma delegação de DNS; todas as verificações de pré-requisito são bem-sucedidas.

Quando inicio o processo de promoção real, ele para no estágio "Replicando a partição do diretório de esquema". O log de eventos "Directory Service" é preenchido repetidamente com vários erros:

ID do evento 1963, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: The following local directory service received an exception from a
remote procedure call (RPC) connection. Extensive RPC information was requested. This
is intermediate information and might not contain a possible cause. 

Process ID:  
540  

Reported error information:  
Error value:  
Could not find the domain controller for this domain. (1908)  
directory service:  
DCA0.a0.lab  

Extensive error information:  
Error value:  
A security package specific error occurred. 1825  
directory service:  
DCA1  

Additional Data  
Internal ID:  
5000e02

ID do evento 1961, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: This log entry is a continuation from the preceding extended error
information entry on the following error and directory service. 

Extended information:  
Error value:  
A security package specific error occurred. (1825)  
directory service:  
DCA1  

Supplemental information:  
Detection location:  
1461  
Generating component:  
RPC Runtime  
Time at directory service:  
2015-03-19 21:44:04  

Additional Data  
Error value:  
A security package specific error occurred. (1825)

ID do evento 2839, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: This log entry is a continuation from the preceding extended error
information entry. 

Extended information:  
Extended Error Parameters:  
0  
Parameter 1:  
(NULL)  
Parameter 2:  
(NULL)  
Parameter 3:  
(NULL)  
Parameter 4:  
(NULL)  
Parameter 5:  
%6  
Parameter 6:  
%7  
Parameter 7:  
%8

ID do evento 1962, origem ActiveDirectory_DomainService, categoria de tarefa DS RPC Client:

Internal event: The local directory service received an exception from a remote
procedure call (RPC) connection. Extended error information is not available. 

directory service:  
DCA0.a0.lab  

Additional Data  
Error value:  
Could not find the domain controller for this domain. (1908)

ID do evento 1125, fonte ActiveDirectory_DomainService, categoria de tarefa Configuração:

The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to
establish connection with the following domain controller. 

Domain controller:
DCA0.a0.lab 

Additional Data  
Error value:  
1908 Could not find the domain controller for this domain.

Esses erros são repetidos várias vezes, mas não há progresso ou falha, o processo de promoção permanece parado.

Aqui está o conteúdo do dcpromo.logarquivo:

03/19/2015 22:43:35 [INFO] Promotion request for domain controller of new domain
03/19/2015 22:43:35 [INFO] DnsDomainName  a1.a0.lab
03/19/2015 22:43:35 [INFO]  FlatDomainName  A1
03/19/2015 22:43:35 [INFO]  SiteName  Lab
03/19/2015 22:43:35 [INFO]  SystemVolumeRootPath  C:\Windows\SYSVOL
03/19/2015 22:43:35 [INFO]  DsDatabasePath  C:\Windows\NTDS, DsLogPath  C:\Windows\NTDS
03/19/2015 22:43:35 [INFO]  ParentDnsDomainName  a0.lab
03/19/2015 22:43:35 [INFO]  ParentServer  DCA0.a0.lab
03/19/2015 22:43:35 [INFO]  Account A0\AdmA0
03/19/2015 22:43:35 [INFO]  Options  5243072
03/19/2015 22:43:35 [INFO] Validate supplied paths
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\SYSVOL.
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO]  Path is on an NTFS volume
03/19/2015 22:43:35 [INFO] Child domain creation -- check the new domain name is child of parent domain name.
03/19/2015 22:43:35 [INFO] Domain Creation -- check that the flat name is unique.
03/19/2015 22:43:40 [INFO] Start the worker task
03/19/2015 22:43:40 [INFO] Request for promotion returning 0
03/19/2015 22:43:42 [INFO] Using supplied domain controller: DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Using supplied site: Lab
03/19/2015 22:43:42 [INFO] Forcing time sync
03/19/2015 22:43:42 [INFO] Forcing a time sync with DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Reading domain policy from the domain controller DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
03/19/2015 22:43:42 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
03/19/2015 22:43:42 [INFO] StopService on NETLOGON returned 0
03/19/2015 22:43:42 [INFO] Configuring service NETLOGON to 1 returned 0
03/19/2015 22:43:42 [INFO] Stopped NETLOGON
03/19/2015 22:43:42 [INFO] Creating the System Volume C:\Windows\SYSVOL
03/19/2015 22:43:42 [INFO] Deleting current sysvol path C:\Windows\SYSVOL 
03/19/2015 22:43:44 [INFO] Preparing for system volume replication using root C:\Windows\SYSVOL
03/19/2015 22:43:44 [INFO] Created the system volume
03/19/2015 22:43:44 [INFO] Copying initial Directory Service database file C:\Windows\system32\ntds.dit to C:\Windows\NTDS\ntds.dit
03/19/2015 22:43:44 [INFO] Installing the Directory Service
03/19/2015 22:43:44 [INFO] Calling NtdsInstall for a1.a0.lab
03/19/2015 22:43:44 [INFO] Starting Active Directory Domain Services installation
03/19/2015 22:43:44 [INFO] Validating user supplied options
03/19/2015 22:43:44 [INFO] Determining a site in which to install
03/19/2015 22:43:44 [INFO] Examining an existing forest...
03/19/2015 22:43:44 [INFO] Configuring the local computer to host Active Directory Domain Services
03/19/2015 22:43:48 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1094  
Software write caching for the following disk drive has been disabled to prevent possible data loss during system failures such as power outages or hardware component failures that can cause a sudden shutdown of the system. The disk drive that stores Active Directory Domain Services log files is the only drive affected by this change.

Disk drive:  
c:

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2013  
Active Directory Domain Services is rebuilding the following number of indices as part of the initialization process.

Number of indices:  
1

Indices:  
LCL_ABVIEW_index00000410 +ATTb590468 

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2014  
Active Directory Domain Services successfully completed rebuilding the following number of indices.

Indices:  
1

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2120  
This Active Directory Domain Services server does not support the Recycle Bin. Deleted objects may be undeleted, however, when an object is undeleted, some attributes of that object may be lost.  Additionally, attributes of other objects that refer to the object being undeleted may also be lost.

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2405  
This Active Directory Domain Services server does not support the "Recycle Bin Feature" optional feature.

03/19/2015 22:44:00 [INFO] Replicating the schema directory partition

Depois disso, os mesmos erros relatados no log de eventos são registrados.

Encontrei este artigo que afirma que esse erro pode ocorrer se a conta do administrador tiver a mesma senha no novo controlador de domínio e no domínio no qual você está fazendo logon; Não estou usando a conta interna do Administrador, já que são VMs do Azure, mas na verdade estava usando o mesmo nome de usuário e senha em todos os servidores durante meu primeiro teste, portanto, imaginei que esse poderia ser o motivo do erro. erro; no entanto, reconstruí todos os servidores e criei uma conta de administrador local distinta em cada um (AdmA0, AdmA1, AdmA2...), com uma senha distinta; Também certifiquei-me de especificar as credenciais para o domínio pai no formulário A0\AdmA0; mas o erro voltou a acontecer.

O que está acontecendo e como posso corrigir isso?

active-directory

1 respostas

  1. Best Answer

    Parece que estou enfrentando (uma variante de?) Este problema : a promoção é concluída com êxito se eu usar credenciais de logon "longas", ou seja, A0.lab\AdmA0em vez de A0\AdmA0.

    No entanto, com base no artigo, esse problema só deve ocorrer se o NetBIOS sobre TCP/IP estiver desabilitado, mas na verdade estiver habilitado , e isso pode ser verificado na ipconfigsaída. Também tentei configurar as VMs com configurações de rede estáticas em vez de usar DHCP (que é exigido pelo Azure) e forçar o NetBIOS sobre TCP/IP para "Ativado", mas sempre acontece o erro; a única maneira de o processo de promoção funcionar é usando credenciais "longas".

    No entanto, isso definitivamente parece ser uma peculiaridade específica do Azure: criei um ambiente de teste idêntico em um servidor Hyper-V local e tudo funciona como deveria.

    Parece que o Azure está fazendo algo estranho no nível da rede que bloqueia o NetBIOS ou os modelos de VM do Windows Server 2012 R2 do Azure têm algum comportamento estranho relacionado ao NetBIOS que faz com que a promoção do DC falhe dessa maneira peculiar.

    Atualizar:

    Culpado encontrado: https://msdn.microsoft.com/en-us/library/azure/dn133803.aspx .

    Does Virtual Network support multicast or broadcast?

No. We do not support multicast or broadcast.

    As redes virtuais do Azure não oferecem suporte a transmissão ; portanto, mesmo que o NetBIOS esteja ativado, ele simplesmente não funciona. E parece que o Windows Server 2012 R2 realmente precisa disso para que uma promoção de DC funcione.

    Solução alternativa: use credenciais de logon "longas" durante a promoção de DC ( full.domain.fqdn\usernameem vez de NetBIOSDomain\username).

    Quanto ao motivo pelo qual as redes virtuais do Azure não oferecem suporte à transmissão e como elas conseguem fazer isso enquanto ainda dependem tanto do DHCP ... isso está além da minha capacidade de entender. E não tenho certeza se realmente quero entender; A rede do Azure é bem conhecida por ser bastante peculiar .

    • 5

relate perguntas