我正在将我的系统从 2012 R2 升级到 2016 服务器。在此过程中,我发现当我的 PDC 关闭时,我的辅助域控制器没有联机。我运行了 dcdiag 并在尝试修复错误后决定使用新的域控制器重新开始可能会更容易。
但是,我对这些问题不是很有经验,我想问一下我需要注意什么,或者我可能需要采取哪些重要步骤来避免有经验的操作员熟悉但我可能不熟悉的问题。我知道基础知识。我创建了 PDC 和辅助服务器并将它们连接起来进行复制。在某一时刻,我什至清理了所有错误。当问题发生时,我只是没有跟上解决问题的步伐。
系统相当小。一个 TFS 服务器、构建机器和几个客户端 PC。我可以轻松地写下所有计算机、服务帐户和用户,并在必要时重新输入它们。但我想确保我不会错过任何可能导致需要大量工作才能修复的问题的步骤。
我在Microsoft找到了这个链接。虽然它较旧,但我想知道这些步骤是否仍然是一个很好的指南。本指南谈到更换单个域控制器,这实际上是我的情况,因为我的辅助 DC 无论如何都不再正常运行。
在每个请求的初始帖子之后添加评论:dcdiag /q PDC 上的输出。当然 BDC 也有一系列错误,第一个 BDC 错误很重要:BDC 广告失败,我不知道如何修复它。
在 PDC 上,第一个错误:
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... VSVR-WBC-DC01 failed test DFSREvent
第二个错误:
An error event occurred. EventID: 0xC0000827
Time Generated: 08/02/2017 12:13:42
Event String:
Active Directory Domain Services could not resolve the following DNS
host name of the source domain controller to an IP address. This error
prevents additions, deletions and changes in Active Directory Domain
Services from replicating between one or more domain controllers in the
forest. Security groups, group policy, users and computers and their
passwords will be inconsistent between domain controllers until this error
is resolved, potentially affecting logon authentication and access to
network resources.
A warning event occurred. EventID: 0x8000051C
Time Generated: 08/02/2017 12:18:06
Event String:
The Knowledge Consistency Checker (KCC) has detected that successive
attempts to replicate with the following directory service has consistently
failed.
......................... VSVR-WBC-DC01 failed test KccEvent
第三个错误和证据我很长时间未能在 DC 上登记。我不会再这样做了!
[Replications Check,VSVR-WBC-DC01] A recent replication attempt failed:
From VSVR-WBC-DC02 to VSVR-WBC-DC01
Naming Context: DC=ForestDnsZones,DC=wbc,DC=local
The replication generated an error (8524):
The DSA operation is unable to proceed because of a DNS lookup failure.
The failure occurred at 2017-08-02 12:14:07.
The last success occurred at 2015-10-09 17:57:42.
11059 failures have occurred since the last success.
The guid-based DNS name 8e9f6660-68b8-4273-b79c-6be31f66cd9d._msdcs.wbc.local is not registered on one or more DNS servers.
......................... VSVR-WBC-DC01 failed test Replications
上面的 (8524) 错误又重复了 4 次,但为了实用起见,这里只显示一次。
第四个错误:
The DS has corrupt data: rIDPreviousAllocationPool value is not valid
......................... VSVR-WBC-DC01 failed test RidManager
第五个错误:
An error event occurred. EventID: 0x00000423
Time Generated: 08/02/2017 12:13:21
Event String:
The DHCP service failed to see a directory server for authorization.
An error event occurred. EventID: 0x0000410B
Time Generated: 08/02/2017 12:13:35
Event String:
The request for a new account-identifier pool failed. The operation
will be retried until the request succeeds. The error is
......................... VSVR-WBC-DC01 failed test SystemLog
上面的 EventID: 0x00000423 错误重复了一次,但为了实用起见,这里只显示一次。
感谢您希望查看 dcdiag 报告。因为错误列表很长,而且我在清理东西时遇到了麻烦,这就是我决定重新开始的原因。因此,我的问题是,我必须注意什么或做什么才能使 DC 游戏尽可能轻松。
如果复制良好并且 dcdiag 没有显示错误,我建议检查您的 DHCP 配置。由于 PDC/BDC 概念不再存在,并且两者都应该同时工作。
一个常见的错误是只为域计算机提供一个 DNS 服务器。确保第二个 DC 也在那里,作为最佳实践,仅此而已,请不要将 DHCP 配置为提供外部 DNS。它也会防止奇怪的错误。
tl; dr - 正如 yagmoth555 所指出的,您需要将 DC 用于 DNS。
然后,确保复制工作正常,并且您已经在另一个 DC 上获得了整个结构。
如果是这样,请将角色 RID 主机、PDC 仿真器和基础结构主机移动到另一个/新 DC。
成功移动它们后,从旧 DC 中删除 DC 角色。