יו איזה תסכול - שרת DC שני לא מגיב לאותנטיקציה

[בצג]

יו איזה תסכול - שרת DC שני לא מגיב לאותנטיקציה

כך לפחות זה נראה
מכונה אחת VM שהיא AD01 היא המקורית. אני מעוניין להחליף אותה במכונה פיזית ולכן הבאתי מחשב ועשיתי אותו AD02.
העברתי ל AD02 את כל ה FSMO וחשבתי שבזה הסתיים הסיפור (כמובן שיש עליו DNS, GC)
הורדתי את AD01 ואף מחשב לא עושה אותנטיקציה מול AD02. לא משנה מה ניסיתי.
רעיונות מישהו?

 

[lilimeshi]

כל התחנות מופנות לDNS של ה02 ?

ואגב. למה לא פשוט עשית V2P ? כלומר המרת את המכונה הוירטואלית והושבת אותה על מכונה פיזית בלי שינויים

 

[בצג]

שתי תשובות

1. חיובי, כל התחנות מופנות אל השרת AD02 ואל שרת AD01 לפי הסדר הזה
2. לא עשיתי כיוון שאני לא נמצא פיזית באתר, ולא ידעתי אם אצליח מרחוק לבצע V2P.

אשמח לעוד רעיונות

 

[lilimeshi]

במחילה מכבודך...

indulge me
&nbsp
תעשה מעבר לפי המאמר הזה (הוא מדבר על שדרוג אבל זה אותו דבר, העברת FSMO )
&nbsp
http://blogs.technet.com/b/canitpro/archive/2014/04/02/step-by-step-active-directory-migration-from-windows-server-2003-to-windows-server-2012.aspx
&nbsp
תוודא שעשית הכל נכון במעבר הFSMO והAD התרפלק לך כמו שצריך
&nbsp

 

[בצג]

מבחן התוצאה מספק? עדיין לא נפתר (דמט!)

&nbsp
עברתי בכל מקרה על כל ההגדרות כי אולי פספסתי משהו, אבל...
הפקודה netdom query fsmo מביאה את התוצאה הרצויה - כל החוקים על ה DC החדש.
יצירה של ערכים ב DC אחד מתרפלקים ל DC השני. בשני הכיוונים.
או לעבור על ההגדרות שוב? אני לא רואה משהו חריג...
אוף.

 

[lilimeshi]

לא הגיוני אחי

אתה בטוח שבתחנות הDNS הראשי הוא ה02 ?

 

[בצג]

מאה אחוז. תראה מה בדקתי

מדובר על מערכת שלא אני הקמתי, כן? אני על תקן מכבה השריפה.
ראשית בדקתי את כל קבצי ה HOSTS. חלקם היו עם ערכים - נטרלתי הכל.
לאחר מכן עברתי על כל התחנות והשרתים שמוגדרים ידנית והגדרתי אותם AD01 כ DNS ראשי ו AD01 כ DNS משני.
נכנסתי להגדרות כרטיס הרשת המתקדמות ב AD02 וסימנתי שם את קבלת הקריאות לדומיין Domain.com
לאחר מכן בדקתי פינגים לשרת AD01 ולשרת AD02
לאחר מכן עברתי על כ--ל רשומות ה DNS בשני ה DCים ובדקתי שכלום לא התפספס. מצאתי רשומת SRV _LDAP שלא התרפלקה. הוספתי אותה ידנית.
בדיקת פינגים ל domain.com כששרת AD01 כבוי לא עוברת. כך שאני די בטוח שהעניין הוא DNS אבל אני פשוט לא מוצא איפה הבעיה. אני לא רוצה גם שתחשוב בכיוון הזה כ אני חושש שאולי יש משהו אחר ואני נעול על ה DNS ואז אין טעם לסיעור מוחות....
גררררררררררררררררררררר
&nbsp

 

[lilimeshi]

בדוק בAD02 הגדרות DNS

חפש שם רשומה שמדברת על domain.com שתפנה לIP של 02
בדוק שאין שם רשומות סותרות
כמובן בסוף תעשה REFRESH וRELOAD ושאר MICROSOFT ושטויות

 

[בצג]

האם יכול להיות שזה קשור?

כמובן שאם אני בודק את זה משרת AD02 אז שניהם מזוהים

 

[lilimeshi]

לא נראה רלוונטי

משהו אחר אולי שראית?

 

[מיצו]

בדקת רפליקציה תקינה? איך בדקת?

האם בדקת גם רפליקציה של ה- SYSVOL? (למרות שזה לא קשור במאה אחוז לאותנתיקציה, אבל אם זה לא עובד יכול להיות שיש בעיה).
&nbsp
האם בדקת Eventים? משהו מיוחד?
&nbsp
בדוק לאיזה DC התחנה פונה, אתה יכול באמצעות פקודת nltest.
&nbsp
האם יש הגדרות של Sites? באיזה Site נמצא ה- DC השני?
&nbsp
האם הגדירו פורטים ידנית ב- DC הישן, ויש איזה FW איפושהו שחוסם את כל השאר?
&nbsp
האם התחנות מצליחות לתקשר עם ה- DC? איך אתה בודק ובאיזה פורטים?

 

[ronko]

FFL ו DFL.....?

יש מצב שה FFL וה DFL הם 2012 ולכן ה DC לא מזוהה כלל....
&nbsp
רונקו

 

[מיצו]

לא הגיוני

הוא לא ציין מהי רמת ה- DFL/FFL, אבל עובדה שהוא הצליח, לכאורה, להוסיף DC חדש של 2012 (אני מניח R2, לא יודע). מה גם שאין שום דרך שבה זה היה נמנע ממנו כי אין רמה גבוהה יותר מזה, זה לא שהוא מנסה להוסיף DC של 2003 או 2008.

 

[בצג]

תודה, תשובות ככל שיכולתי למצוא

&nbsp
ראשית נכנסתי לתיקיית c:\windows\sysvol\domain בשני השרתים והיא לא זהה. בראשון, העובד, יש את התיקיות שאמורות להיות שם עם Netlogon וכו' ובשני אין. כך שבהחלט יש פה בעיה. (איך אני מתחיל לבדוק מה הבעיה ואיך מתקנים אותה?)
&nbsp
ב Events אין משהו מיוחד עם שגיאות
&nbsp
שימוש בפקודת nltest לא מוכר לי וראיתי שיש המון מתגים - אבל נראה לי שזו לא הבעיה אלא (א)
&nbsp
אין הגדרות של Sites
&nbsp
לא הגדירו פורטים ידנית ואין חסימות
&nbsp
התחנות מגיעות ל DC ומבקשות ממנו שאילתות DNS אבל לא מבצעות מולו אותנטיקציה.
&nbsp
---
&nbsp
אני חושב שכיוון שהיו לי הרבה בעיות DNS עוד בשלב התקנת ה DC השני, יכול להיות שלא הכל עבד כמו שצריך היה לעבוד ולכן אני נתקל בבעיות האלה - עכשיו השאלה היא האם להשמיד את ה DC השני ולהתקין אותו מחדש או שיש דרך לתקן את מה שקיים.
&nbsp
הבדיקות של הרפליקציה שאני עשיתי היו יצירת משתמש וקבוצה ובדיקה שהם מופיעים בשני ה DCים.
&nbsp

 

[מיצו]

אם כך כנראה באמת יש לך בעיית רפליקציה

איך אתה בודק רפליקציה של AD?
&nbsp
איך אתה בודק רפליקציה של SYSVOL? (זה תלוי אם המערכת עובדת עם NTFRS או עם DFSR)
&nbsp
האם ל- DC השני יש את כל רשומות ה- DNS ? (בדוק והשווה SRV records עם הראשון)
&nbsp
האם להשמיד? לא יודע. כמה זמן יש לך להתעסק עם זה? בכל מקרה, אם אתה מחליט להשמיד, וודא שה- DC הראשון תקין, החזר אליו את כל ה- FSMO, ותן לזה זמן לתפוס. אחרי זה, הסר את ה- DC השני (אם לא הולך, אז בכוח). אבל הייתי עושה את זה רק אם לא היה לי זמן להתעסק בפתרון הבעיה, כי יכול להיות שיש לך בעיה הרבה יותר מהותית.
&nbsp
תעשה גיבוי של System State מה- DC הראשון על כל מקרה.
&nbsp
ואז תתחיל מהתחלה.

 

[בצג]

אני לא מצליח ליצור שום רפליקציה ולכן...

&nbsp
אני מתכוון להעיף את ה AD החדש ולהתקין אותו מחדש בתקווה שהפעם זה יעבוד.
האם לאחר netdom query fsmo ותשובה תקינה אני צריך לחכות עוד זמן מסוים או שזה מספיק?
&nbsp

 

[מיצו]

אם אין לך רפליקציה תקינה אז קח בחשבון

שגם החזרת ה- FSMO עלולה לא לעבוד.
&nbsp
אני מציע להתכונן לגרוע מכל. תבדוק גיבויים, תכין את עצמך למקרה שה- AD כולו נדפק. במקביל, תריץ גיבוי של System State (כמובן בלי לדרוס אף גיבוי קודם), תייצא אובייקטים ידנית (יוזרים, קבוצות, מה שאתה יכול), תגבה GPOים, סקריפטים, תעשה בדק בית כל עוד הכל עובד וכאמור תתכונן לגרוע מכל כל עוד הכל עדיין עובד איכשהו ב- DC הראשון.

 

[בצג]

מיצו, תודה על הליווי. כמה דברים

גיביתי ועשיתי, תודה. העברת ה FSMO עברה תקין, כך נראה (netdom נותן תשובות רצויות)
העפתי והקמתי מחדש את ה DC השני אבל אין רפליקציה.
ניסיתי REPADMIN וקיבלתי את ההודעות המצורפות.
ניסיתי DCDIAG על המחשב AD01 וקיבלתי בעיות ב DCOM.
איך אני ממשיך?

 

[מיצו]

נראה שמשהו שם נדפק לך.

אני לא יכול לעזור על סמך המידע הזה.
&nbsp
אגב, מה נותן ה- Event Viewer?
&nbsp
ומה תוצאת הפקודה הזו:
&nbsp
repadmin /showreps (תוסיף את שם ה- DC, נראה לי שיש לך 3)
&nbsp
וזאת:
&nbsp
repadmin /replsum * /bysrc /bydest /errorsonly /sort:error
&nbsp

 

[בצג]

רעיון מסוים

האם יכול להיות שכרטיס רשת וירטואלי לא מעביר חלק מהמידע?
נגיד, כרטיס וירטואלי "רגיל" לעומת כרטיס רשת וירטואלי מסוג "Legacy" ?