2016 Domain Controller Unreachable/Unrecoverable 需要搶占角色
有一個新創建的 DC(在 VM 上),它是我們森林中樹域的 DC,但它有問題。不幸的是,當它倒閉時,這是我為這個域提升的唯一 DC。
作業系統狀態不佳(類未註冊,DCOM 離線,SFC 和 DISM 不起作用)並且沒有可用於配置的網路適配器,因此我無法訪問它來提升額外的 DC。
所以此時是否有可能從另一個域樹(同一個林)中的一個 DC 中獲取離線 DC 的角色。
或者在這方面有更好的選擇嗎?
我願意解決上述問題,但到目前為止,我所經歷的一切通常都以“你應該重新成像”結束。當然,即使我確實恢復了網路並且能夠推廣另一個 DC,我還是會廢棄這個 VM。
我希望避免從我的林中手動刪除離線域,以便我可以重建它。
更新
在我發現我的網路管理員啟用了埠安全性後,我可以在帶有 VM 主機的交換機上獲取損壞的 DC。
這台機器仍然很壞,但它現在可以作為一個幾乎功能齊全的域控制器工作(不確定如何)。
我現在的問題是當我嘗試添加輔助 DC 和移動 FSMO 角色時,新 DC 沒有正確完成它的初始複製。我能夠移動 PDC、RID 和基礎結構角色,但伺服器沒有正確複製,因為它實際上沒有初始化,我無法進行 D2/D4 恢復(無法編輯 ADSI 屬性)。
我試圖將 OperatialRoles 移回,但我從損壞的 DC 中得到一個失去的二進制錯誤。
基本上我需要讓第二個 DC 聯機,這樣我就可以取出損壞的 DC 並重新映像(由於缺少二進製文件,我無法將損壞的 DC 降級)。
所以我能夠解決這個問題的大部分,這就是我發現的。
- 我的網路管理員在限制模式下啟用了埠安全性,並預設啟用了 MAC 地址數量,因此交換機對我的所有虛擬機來說都是一個黑洞,但對主機來說不是。一旦解決了這個問題,我就在 PDC 上恢復了網路並提升了 ADC。
- ADC 未正確完成初始同步。由於 PDC 上的 Powershell 已損壞,我在新提升但仍損壞的 ADC 上使用了 Powershell,並將 PDC、RID 和基礎架構角色移至新的 DC。
- 因為 DFSR 沒有在新的 DC 上完成它的工作,DCDIAG 顯示廣告被破壞並且 SYSVOL NTLOGON 文件夾沒有同步。測試伺服器:Default-First-Site\server
Starting test: Advertising Warning: DsGetDcName returned information for \\DC01.xyz.local, when we were trying to reach DC02. SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.我此時閱讀的每篇文章都說要進行權威恢復,但我遇到了一個問題,即新提升的 DC 的 mDFSR-Enable 和 mDFSR-Options 屬性在 ADSI 編輯中不可更改。我發現我必須連接到在第一個域控制器上執行的架構來編輯兩個 DC 的屬性,因為新的 DC 從未真正正確地完成了它的升級。
進入 ADSI 後,我就按照這篇文章來寫信。
新的 DC 現在是 PDC 並通過所有 DCDIAG 檢查。
不幸的是,因為舊的 DC Unistall-ADDSDominController 上的所有二進製文件和類都搞砸了,所以我必須手動從 AD/DNS 中刪除它並清理元數據。