2 votes

Dom avatar

Le nouveau contrôleur de domaine principal ne démarrera pas Active Directory à moins que l'ancien DC ne soit démarré

Demandé el 25 de Mai, 2012
Quand la question a-t-elle été
8838 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je ne suis pas un sorcier d'Active Directory. Voici ce que j'ai fait :

  • L'ancien contrôleur de domaine W2003 R2 devait être remplacé par un nouveau serveur
  • J'ai déployé W2008R2 et utilisé DC Promo pour l'ajouter au domaine
  • En raison de quelques problèmes de DNS, j'ai eu un petit souci avec la réplication, mais j'ai mis en place le DNS sur le nouveau serveur, les ai tous les deux dirigés vers lui et la réplication ne semble pas avoir d'erreurs.
  • Reconstruit toutes les politiques de groupe, etc.
  • Élevé le niveau de fonctionnalité de la forêt et du domaine vers Serveur 2003
  • Utilisé tous les outils GUI pour changer chaque rôle dans tous les différents composants d'Active Directory vers le Nouveau Serveur
  • D'après tout ce que je peux dire, des instructions sur le web, le Nouveau Serveur est le PDC.

Le problème :

  • Lorsque d'ancien serveur fonctionne, tout va bien. Cependant, lorsque celui-ci ne fonctionne pas et que le Nouveau Serveur démarre, il ne charge pas Active Directory et le démarrage du système est interrompu pendant 10 minutes ou plus avec une erreur inconnue, quelque chose en rapport avec l'émulation de PDF (plus de détails disponibles sur demande, je ne suis pas actuellement sur place).

Je dois mettre en place le Nouveau Serveur pour agir correctement en tant que PDC afin que je puisse désactiver (dc promo) l'ancien serveur et m'en débarrasser. Comme c'est un SBS, il continue de menacer de s'arrêter car il ne peut y avoir deux serveurs avec des licences SBS dans AD.

Rôles :

Le serveur "commlec.local" connaît 5 rôles : Schéma - CN=NTDS Settings, CN=SERVER, CN=Servers, CN=DFSN, CN=Sites, CN=Configuration, DC=COMMLEC, DC=LOCAL Maître de noms - CN=NTDS Settings, CN=SERVER, CN=Servers, CN=DFSN, CN=Sites, CN=Configuration, DC=COMMLEC, DC=LOCAL PDC - CN=NTDS Settings, CN=SERVER, CN=Servers, CN=DFSN, CN=Sites, CN=Configuration, DC=COMMLEC, DC=LOCAL RID - CN=NTDS Settings, CN=SERVER, CN=Servers, CN=DFSN, CN=Sites, CN=Configuration, DC=COMMLEC, DC=LOCAL Infrastructure - CN=NTDS Settings, CN=SERVER, CN=Servers, CN=DFSN, CN=Sites, CN=Configuration, DC=COMMLEC, DC=LOCAL –

Éventuelles entrées de journal d'événements pertinentes (gardez à l'esprit que ces événements semblent se produire uniquement lorsque le Nouveau Serveur est redémarré avec l'Ancien Serveur éteint) :

Attention DNS Client 1014
La résolution du nom pour le nom _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.COMMLEC.LOCAL a expiré après que aucun des serveurs DNS configurés n'a répondu.

Erreur DfsSvc 14550
Le service de l'espace de noms DFS n'a pas pu initialiser les informations de trust entre forêts sur ce contrôleur de domaine, mais il réessaiera périodiquement l'opération. Le code de réponse est dans les données de l'enregistrement.

Attention DNS Client 1014
La résolution du nom pour le nom _ldap._tcp.COMMLEC.LOCAL a expiré après que aucun des serveurs DNS configurés n'a répondu.

Erreur DHCP=Server 1059
Le service DHCP n'a pas pu trouver de serveur d'annuaire pour l'autorisation.

Info Serveur DHCP 1044
Le service DHCP/BINL sur la machine locale, appartenant au domaine administratif Windows COMMLEC.LOCAL, a déterminé qu'il est autorisé à démarrer. Il sert désormais les clients.

Erreur DfsSvc 14550
Le service de l'espace de noms DFS n'a pas pu initialiser les informations de trust entre forêts sur ce contrôleur de domaine, mais il réessaiera périodiquement l'opération. Le code de réponse est dans les données de l'enregistrement.

C'est la dernière erreur, le serveur fonctionne ensuite normalement. Il y a quelques autres erreurs diverses concernant l'impossibilité d'enregistrer les ressources du serveur dans le DNS (car il a décidé qu'il n'avait pas d'informations AD), l'échec de la Politique de groupe sans serveur de domaine et WinRM ne créant pas de SPN (peu importe ce que c'est).

Demandé el 25 de Mai, 2012 par Dom

3 votes

Avatar de SmallClanger

Il n'y a pas de tel chose comme un PDC (dans le sens où vous utilisez le terme). Lisez ceci : petri.co.il/understanding_fsmo_roles_in_ad.htm puis suivez les liens connexes en bas de page, en particulier celui sur le transfert des rôles FSMO. (Vous ne devriez pas avoir besoin de les saisir, car vos DC fonctionnent tous les deux.)

Commenté el 25 de Mai, 2012 par SmallClanger

0 votes

Avatar de Dom

J'ai transféré tous les rôles, un par un, vers le Nouveau Serveur, et j'ai sélectionné le Catalogue Global. C'est pourquoi je suis confus. Il a tous les rôles, la réplication semble fonctionner, mais lorsque je le démarre sans l'Ancien Serveur en cours d'exécution, il décide qu'il n'y a pas de dépôt Active Directory valide disponible et il plante.

Commenté el 25 de Mai, 2012 par Dom

0 votes

Avatar de Rob Moir

Avez-vous vérifié que le DNS est configuré correctement sur le nouveau serveur, et que les paramètres DNS dans la carte réseau / les paramètres IPv4 sur le nouveau serveur sont configurés pour pointer vers lui-même, et ne pointent pas vers l'ancien serveur?

Commenté el 25 de Mai, 2012 par Rob Moir
Afficher 1 autres commentaires

Réponses

Trop de publicités?

2voto

user1008764 avatar
user1008764 Points 1176

La réplication Active Directory n'est pas encore prête, et votre nouveau contrôleur de domaine n'est pas un contrôleur de domaine à moins que 13516 ne soit enregistré et que sysvol et netlogon seront partagés (la réplication de sysvol est terminée). Voici quelques étapes à suivre :

  • Avec NSLookup, vérifiez si votre nouveau DC peut résoudre le nom de domaine, lui-même et l'ancien DC. Vérifiez à la fois la recherche avant et arrière
  • Exécutez repadmin /kcc
  • Attendez quelques minutes
  • Exécutez repadmin /syncall
  • Attendez quelques minutes
  • Si l'ID d'événement 13516 n'est pas enregistré, exécutez dcdiag et postez la sortie. Postez également tout message d'erreur survenant lors de l'exécution de ces étapes.
Répondu el 25 de Mai, 2012 par user1008764 (1176 Points )

0 votes

Avatar de Dom

Désolé, j'ai lu rapidement votre publication auparavant et je n'ai pas regardé dans le journal des événements de réplication de fichiers, mais je l'ai récemment recommandé. Je reçois cet événement "Le volume du système a été correctement initialisé et le service Netlogon a été notifié que le volume du système est désormais prêt à être partagé en tant que SYSVOL"

Commenté el 25 de Mai, 2012 par Dom

0 votes

Avatar de user1008764

Pas de problème. ci-dessus, j'ai vu que vous avez des erreurs de clients DNS pour les enregistrements de services DNS. peut-être que tous les enregistrements de services n'ont pas été créés correctement. redémarrez le service Netlogon et après cela, dans une fenêtre d'invite de commande, exécutez ipconfig /registerdns. exécutez également un dcdiag et postez le résultat ici.

Commenté el 25 de Mai, 2012 par user1008764

1voto

Bart De Vos avatar
Bart De Vos Points 17611

Placez le code suivant dans un fichier .bat:

set /p DC=Veuillez fournir le nom d'un contrôleur de domaine:
ECHO.
Ntdsutil roles Connections "Connect to server %DC%" Quit "select Operation Target" "List roles for connected server"

Et exécutez-le (meilleures chances de succès en l'exécutant sur le nouveau DC). Il vous demandera certaines autorisations et une invitation devrait s'ouvrir. Pouvez-vous coller le contenu dans votre question?

Il se pourrait que tous les rôles FSMO n'aient pas été transférés.

Répondu el 25 de Mai, 2012 par Bart De Vos (17611 Points )

0 votes

Avatar de Dom

Ntdsutil : maintenance des rôles fsmo : Connexions connexions serveur : Se connecter au serveur commlec.local Liaison à commlec.local ... Connecté à commlec.local en utilisant les informations d'identification de l'utilisateur connecté localement. connexions serveur : Quitter maintenance fsmo : sélectionner Cible de l'opération sélectionner la cible de l'opération : Lister les rôles pour le serveur connecté

Commenté el 25 de Mai, 2012 par Dom

0 votes

Avatar de Dom

Le serveur "commlec.local" connaît 5 rôles Schéma - CN=Paramètres NTDS,CN=SERVEUR,CN=Serveurs,CN=DFSN,CN=Sites,CN=Configurat‌​ion,DC=COMMLEC,DC=LO‌​CAL Maître de Nommage - CN=Paramètres NTDS,CN=SERVEUR,CN=Serveurs,CN=DFSN,CN=Sites,CN=Configurat‌​ion,DC=COMMLEC,DC=LO‌​CAL PDC - CN=Paramètres NTDS,CN=SERVEUR,CN=Serveurs,CN=DFSN,CN=Sites,CN=Configurat‌​ion,DC=COMMLEC,DC=LO‌​CAL RID - CN=Paramètres NTDS,CN=SERVEUR,CN=Serveurs,CN=DFSN,CN=Sites,CN=Configurat‌​ion,DC=COMMLEC,DC=LO‌​CAL Infrastructure - CN=Paramètres NTDS,CN=SERVEUR,CN=Serveurs,CN=DFSN,CN=Sites,CN=Configurat‌​ion,DC=COMMLEC,DC=LO‌​CAL

Commenté el 25 de Mai, 2012 par Dom

1voto

Dom avatar
Dom Points 731

OMG Résolu - c'est un comportement prévu.

Parce que SBS est autorisé pour un serveur dans un domaine, Server 2008 tente de le contacter et refuse de démarrer ou de fonctionner correctement sans lui, même si 2008 a tous les rôles FSMO et le catalogue global.

Pour résoudre ce problème, vous devez démotez le serveur SBS 2003 et vérifier que toutes les entrées SBS 2003 dans DNS et Sites/Services ont été supprimées ou converties en compte d'ordinateur.

Ma réflexion était : Après avoir configuré le serveur 2008 et transféré les rôles FSMO, éteindre le serveur 2003 pour vérifier que tout fonctionne correctement, avant de le déclasser et de le détruire.

La réalité est : Vous n'avez aucune chance de tester le transfert avec SBS 2003. Une fois les rôles transférés, vous devez déclasser SBS 2003 avant que 2008 ne fonctionne.

Répondu el 30 de Mai, 2012 par Dom (731 Points )

0voto

mario avatar
mario Points 1

Je pense que vous avez mal configuré la carte réseau de votre nouveau serveur. Avez-vous entré l'adresse IP de l'ancien serveur en tant que serveur DNS sur le nouveau ? Cela pourrait être la raison pour laquelle tout fonctionne bien lorsque l'ancien serveur est en cours d'exécution et le retard de démarrage du nouveau serveur lorsque l'ancien serveur est hors service. Le nouveau serveur est incapable d'effectuer des requêtes DNS.

Répondu el 25 de Mai, 2012 par mario (1 Points )

0 votes

Avatar de Dom

Non. Le DNS primaire du nouveau serveur est lui-même et le secondaire est 127.0.0.1. Le DNS de l'ancien serveur est pointé vers le nouveau serveur.

Commenté el 25 de Mai, 2012 par Dom

0 votes

Avatar de mario

Sur le nouveau serveur, vérifiez le journal d'événements -> service de réplication de fichiers : y a-t-il un événement avec l'identifiant 13516?

Commenté el 25 de Mai, 2012 par mario

0 votes

Avatar de Dom

Oui, peu de temps après le démarrage : Le service de réplication de fichiers n'empêche plus l'ordinateur SERVER de devenir un contrôleur de domaine. Le volume système a été initialisé avec succès et le service Netlogon a été notifié que le volume système est désormais prêt à être partagé en tant que SYSVOL. Tapez "net share" pour vérifier le partage SYSVOL.

Commenté el 25 de Mai, 2012 par Dom

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X