Автор Тема: Не могу синхронизировать два контроллера AD  (Прочитано 863 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Я

  • Начинающий
  • *
  • Сообщений: 22
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Псков
Не могу синхронизировать два контроллера AD
« Ответ #30 : 06 Апреля 2017, 18:39:38 »
SSH - могу дать доступ через TEAMWIEVER

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4351
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Не могу синхронизировать два контроллера AD
« Ответ #31 : 06 Апреля 2017, 18:43:34 »
емя с момента последней репликации с этим сервером превышает время жизни захоронения.
понятно, слишком долго не было репликации (по крайней мере ваши DC теперь нормально могут общаются друг с другом, но реплицироваться не могут) Надо понять, на каком из этих DC более достоверная и обновленная информация

Гуглите tombstone lifetime ad и смотрите, что можно сделать.

я бы действовал через demote - чистка AD - promote
Не забывайте про бэкап.
Помните, что понижение до рядового сервера в некоторых случая не поддерживается (например, если DC является центром выдачи сертификатов).

Оффлайн Я

  • Начинающий
  • *
  • Сообщений: 22
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Псков
Не могу синхронизировать два контроллера AD
« Ответ #32 : 06 Апреля 2017, 18:44:10 »
SHS - делаю dcchek /q - ошибок столько, что они в буфер консоли не умещаются, но вот в основном повторяющиеся ошибки:
         Возникла ошибка. Код события (EventID): 0xC00038D6
            Время создания: 04/06/2017   18:03:22
            Строка события:
            Службе пространства имен не удалось инициализировать сведения о дове
рительных отношениях между лесами на этом контроллере домена; она будет периодич
ески повторять выполнение операции. Код возврата находится в данных.
         Возникла ошибка. Код события (EventID): 0x40000004
            Время создания: 04/06/2017   18:03:36
            Строка события:
            Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/de
sign.gimenei. Использовалось конечное имя GC/design.gimenei/gimenei. Это означае
т, что конечному серверу не удалось расшифровать билет, предоставленный клиентом
. Это может быть из-за того, что имя участника службы конечного сервера (SPN) за
регистрировано на учетной записи, отличной от учетной записи, используемой конеч
ной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной
записи, используемой сервером. Причиной этой ошибки может быть еще и то, что кон
ечная служба использует другой пароль для учетной записи конечной службы, отличн
ый от пароля центра распределения ключей Kerberos (KDC) для учетной записи конеч
ной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использов
ать текущий пароль. Если имя сервера задано не полностью и конечный домен (GIMEN
EI) отличен от домена клиента (GIMENEI), проверьте, нет ли серверных учетных зап
исей с таким же именем в этих двух доменах, или используйте полное имя для идент
ификации сервера.

Оффлайн Я

  • Начинающий
  • *
  • Сообщений: 22
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Псков
Не могу синхронизировать два контроллера AD
« Ответ #33 : 06 Апреля 2017, 18:45:59 »
SHS - более достоверная на DESIGN - это 100%
ладно, башка уже не соображает. Пойду домой. ((( Завтра буду опять копать...
« Последнее редактирование: 06 Апреля 2017, 18:52:31 от Я »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4351
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Не могу синхронизировать два контроллера AD
« Ответ #34 : 06 Апреля 2017, 18:53:47 »
SHS - более достоверная на DESIGN - это 100%
ну тогда второй понизить (на том, который не Design), если понадобится вычистить AD от остатков информации об убиенном, повысить снова до DC (про все это есть инструкции на сайте MS)

Оффлайн Я

  • Начинающий
  • *
  • Сообщений: 22
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Псков
Не могу синхронизировать два контроллера AD
« Ответ #35 : 06 Апреля 2017, 23:22:15 »
SHS - по сути второй контроллер мне теперь уже совсем не нужен (после того, как я сделал нормальную сеть между офисами), разве только из соображений надежности. Со временем хочу все функции DESIGN перенести на SSS (который лучше), но там не все так просто, меня пугает то, что на предприятии в основном используется БД Access завязанная на SQL, который находится на DESIGNе, в этом Access-вском проекте черт ногу сломит, а программист, который писал его, погиб. Так что пока так. Из этого вопрос (мб глупый) - как мне попроще избавиться от второго контроллера домена? Если можно, прямые ссылки на проверенные мануалы. И еще совет нужен - как лучше поступить в данной ситуации? Оставить второй контроллер и пытаться настроить репликации? Или убить его?

Оффлайн Вьшекн

  • Старожил
  • ****
  • Сообщений: 559
  • Рейтинг: 10
  • Пол: Мужской
  • Подпись под аватаром
    • Просмотр профиля
  • Откуда: замкадбург
Не могу синхронизировать два контроллера AD
« Ответ #36 : 06 Апреля 2017, 23:34:42 »
Со вторым кд имхо всегда проще прибить, зачистить, и поднять новый.

Оффлайн Я

  • Начинающий
  • *
  • Сообщений: 22
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Псков
Не могу синхронизировать два контроллера AD
« Ответ #37 : 10 Апреля 2017, 16:14:02 »
1. прибил DC c помощью dcpromo /forceremoval.
2. возникла проблема при входе т.к. не знал пароля учетки Админа, решил с помощью - http://melfis.ru/%D1%81%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82-2/

Оффлайн Я

  • Начинающий
  • *
  • Сообщений: 22
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Псков
Не могу синхронизировать два контроллера AD
« Ответ #38 : 10 Апреля 2017, 23:22:39 »
поднял DC - пока все хорошо...