Понижение роли сервера Windows 2012 - http://emmell.ru/server/udalenie-vtorogo-kontrollera-domena-ili-ponizhenie-roli-ad-ds-windows-server-2012
Установить компоненты:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools Import-Module ServerManager Import-Module ADDSDeployment
Создать новый домен:
Install-ADDSForest -DomainName domain.site.com -DomainNetbiosName "DOMAIN" -InstallDns:$true -DatabasePath "C:\ActiveDirectory\NTDS" -SYSVOLPath "C:\ActiveDirectory\SYSvol" -LogPath "C:\ActiveDirectory\Logs" -SafeModeAdministratorPassword (Convertto-Securestring "<PASSWORD>" -asplaintext -Force) -NoRebootOnCompletion:$false -Force:$true
Active Directory Replication Status Tool - http://habrahabr.ru/company/netwrix/blog/149121/
Статус репликации всех контроллеров доменов во всех доменах в лесе:
repadmin /replsum
Корректность настройки dns проверяется:
dcdiag /test:dns
Пример настройки bind для 2-х AD серверов:
A 192.168.10.250 $ORIGIN domain.com. active A 192.168.10.250 twix A 192.168.10.121 gc._msdcs A 192.168.10.250 gc._msdcs A 192.168.10.121 $ORIGIN _msdcs.domain.com. 25adf637-fb10-4fb2-b366-918d1217be13 CNAME active.domain.com. 5109b0b8-b96d-44e4-96a4-008c24371ef3 CNAME twix.domain.com. _ldap._tcp.1de3c735-0611-4a77-808a-04709817cb0d.domains SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _kerberos._tcp.Default-First-Site-Name._sites.dc SRV 0 0 88 domain.com. SRV 0 100 88 active.domain.com. SRV 0 200 88 twix.domain.com. _ldap._tcp.Default-First-Site-Name._sites.dc SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _ldap._tcp.Default-First-Site-Name._sites.gc SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _kerberos._tcp.dc SRV 0 0 88 domain.com. SRV 0 100 88 active.domain.com. SRV 0 200 88 twix.domain.com. _ldap._tcp.dc SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _ldap._tcp.gc SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _ldap._tcp.pdc SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. $ORIGIN _tcp.domain.com. _ldap SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _kerberos SRV 0 0 88 domain.com. SRV 0 100 88 active.domain.com. SRV 0 200 88 twix.domain.com. _kpasswd SRV 0 0 464 domain.com. SRV 0 100 464 active.domain.com. SRV 0 200 464 twix.domain.com. $ORIGIN _udp.domain.com. _kerberos SRV 0 0 88 domain.com. SRV 0 100 88 active.domain.com. SRV 0 200 88 twix.domain.com. $ORIGIN _sites.domain.com. _ldap._tcp.Default-First-Site-Name SRV 0 0 389 domain.com. SRV 0 100 389 active.domain.com. SRV 0 200 389 twix.domain.com. _kerberos._tcp.Default-First-Site-Name SRV 0 0 88 domain.com. SRV 0 100 88 active.domain.com. SRV 0 200 88 twix.domain.com. _gc._tcp.Default-First-Site-Name SRV 0 0 3268 domain.com. SRV 0 100 3268 active.domain.com. SRV 0 200 3268 twix.domain.com.
| Флаг свойства | Шестнадцатеричное значение | Десятичное значение |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE Примечание Данное разрешение невозможно назначить при помощи прямой правки атрибута UserAccountControl. Для получения сведений о назначении разрешения программным путем см. раздел «Описание флагов свойств». | 0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
Примечание В домене под управлением Windows Server 2003 флаги LOCK_OUT и PASSWORD_EXPIRED заменены новым атрибутом ms-DS-User-Account-Control-Computed. Для получения дополнительных сведений о данном атрибуте посетите веб-узел:
Здесь приводятся значения UserAccountControl по умолчанию для некоторых объектов:
Обычный пользователь : 0x200 (512)
Контроллер домена : 0x82000 (532480)
Рабочая станция/сервер: 0x1000 (4096)
http://support.microsoft.com/kb/250455 - Изменеие схемы LDAP для автоматического назначения имени
http://support.microsoft.com/kb/277717 - Изменеие чуществующих записей с помощью vbs
При AD ошибках 8456 or 8457 (http://support.microsoft.com/kb/2023007) или Event ID 2095 NTDS Replication, 2103 NTDS General
Netlogon стоит на паузе.
Проверяем USN на каждом контролере, например:
на TEST-DC1:
> repadmin /showutdvec test-dc1 dc=lab,dc=local Caching GUIDs. .. Default-First-Site-Name\TEST-DC2 @ USN 13435 @ Time 2011-06-01 15:37:49 ... Default-First-Site-Name\TEST-DC1 @ USN 12146 @ Time 2011-06-01 15:52:08
на TEST-DC2:
> repadmin /showutdvec test-dc2 dc=lab,dc=local Caching GUIDs. .. Default-First-Site-Name\TEST-DC2 @ USN 13409 @ Time 2011-06-01 15:52:49 ... Default-First-Site-Name\TEST-DC1 @ USN 12146 @ Time 2011-06-01 15:04:22
В итоге, проблема заключается в том что TEST-DC1 имеет USN равный 13435, а TEST-DC2 знает о том что входящий USN был равен 13409 и как следствие выполняется блокировка обновления службы каталогов.
Метод №1
Данный метод не является лечением от USN Rollback, он скорее предотвращает его возникновение т.к. основан на ключе реестра который сообщает что служба каталогов была восстановлена из резервной копии.
При восстановлении снапшота виртуальной машины необходимо:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters
если есть значение DSA Previous Restore Count то ставим его в 0.
HKLM\System\CurrentControlSet\Services\NTDS\Parameters Data type: REG_DWORD Value: 1
Метод №2
Придется с проблемного контроллера удалять Active Directory, затем очистить метаданные из AD и восстанавливать роль контроллера.
Процедура чистки метаданных:
C:\>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server test-dc1 Binding to test-dc1 ... Connected to test-dc1 using credentials of locally logged on user. server connections: quit metadata cleanup: select operation target select operation target: list domains Found 1 domain(s) 0 - DC=lab,DC=local select operation target: select domain 0 No current site Domain - DC=lab,DC=local No current server No current Naming Context select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local Domain - DC=lab,DC=local No current server No current Naming Context select operation target: list servers in site Found 2 server(s) 0 - CN=TEST-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local 1 - CN=TEST-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local select operation target: select server 1 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local Domain - DC=lab,DC=local Server - CN=TEST-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local DSA object - CN=NTDS Settings,CN=TEST-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local DNS host name - TEST-DC2.lab.local Computer object - CN=TEST-DC2,OU=Domain Controllers,DC=lab,DC=local No current Naming Context select operation target: quit metadata cleanup: remove selected server Transferring / Seizing FSMO roles off the selected server. Removing FRS metadata for the selected server. Searching for FRS members under "CN=TEST-DC2,OU=Domain Controllers,DC=lab,DC=local". Deleting subtree under "CN=TEST-DC2,OU=Domain Controllers,DC=lab,DC=local". The attempt to remove the FRS settings on CN=TEST-DC2,CN=Servers, CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=lab,DC=local failed because "Element not found."; metadata cleanup is continuing. "CN=TEST-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=lab,DC=local" removed from server "test-dc1" metadata cleanup: quit ntdsutil: quit Disconnecting from test-dc1...
Удаляем домен из ДНС. На вкладке “Name Servers” оснастки DNS удаляем записи контроллера из Forest и Domain DNS зон. В завершении открываем оснастку Active Directory Sites and Services и удаляем проблемный контроллер.
http://blog.wadmin.ru/2011/07/usn-rollback/
http://support.microsoft.com/default.aspx?scid=kb;EN-US;875495
http://technet.microsoft.com/ru-ru/library/dd363545(v=ws.10).aspx
https://technet.microsoft.com/ru-ru/magazine/2008.05.adbackup.aspx - Резервное копирование и восстановление Active Directory в Windows Server 2008
Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
Ошибка 2094. Невозможно удалить объект DSA0x2094
Ветка реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- устанавливается значением типа REG_DWORD. Наибольший приоритетом и/или весом обладает наименьшее значение.
После установки значения веса/приоритета можно посмотреть в следующем файле: %SystemRoot%\System32\Config\netlogon.dns
Для применения значения - перезапустить службу netlogon!
Перезапустить с включённым debug логом:
nltest /dbflag:2080ffff net stop netlogon net start netlogon
Отключить debug лог:
nltest /dbflag:0 net stop netlogon net start netlogon
Проверить приоритет:
nslookup -querytype=srv _ldap._tcp.default-first-site-name._sites.dc._msdcs.domain.com
http://forum.ru-board.com/topic.cgi?forum=8&topic=17305
https://social.technet.microsoft.com/Forums/ru-RU/83564f0c-b236-41a8-b9cf-9ba576ad2018/ad-sites-vs-ldapsrvpriority-for-ldap-services?forum=winserverDS
Порты для обмена:
TCP - 88,135,389,445,49152:65535 UDP - 53,389
DNS записи (при блокировке 53 порта UDP):
A для domain.com.
(same as parent folder) ad1.domain.com
SRV для _tcp.Default-First-Site-Name._sites.dc._msdcs.domain.com.
Service: _kerberos Protocol: _tcp Priority: 0 Weight: 100 Port Number: 88 Host offering this service: ad1.domain.com.
Service: _ldap Protocol: _tcp Priority: 0 Weight: 100 Port Number: 389 Host offering this service: ad1.domain.com.
https://technet.microsoft.com/en-us/library/cc772393%28WS.10%29.aspx - Active Directory Certificate Services Step-by-Step Guide
В сообщении об ошибке ищем строчки:
The DFS Replication service stopped replication on the folder with the following local path: D:\msi. This server has been disconnected from other partners for 75 days, which is longer than the time allowed by the MaxOfflineTimeInDays parameter (60).
где 75 сколько дней не происходит репликация директория D:\msi. Параметр MaxOfflineTimeInDays (60) - как долго можно не реплицироваться.
Изменить этот параметр:
wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=7
Не реплицируется папка SYSVOL
На PDC и остальных DC останавливаем службу dfsr:
sc stop dfsr
На PDC в дереве LDAP «CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DC1,OU=Domain Controllers,DC=<domain>» с помощью:
ADSIEDIT.MSC
редактируем на:
msDFSR-Enabled=FALSE msDFSR-options=1
На остальных DC редактируем только:
msDFSR-Enabled=FALSE
На PDC в оснастке «AD - сайты и службы» реплицируем конфигурацию на все не авторитетные DC.
На не авторитетных DC проверяем, что прошла последняя репликация:
repadmin /showrepl
На PDC запускаем dfsr:
sc start dfsr
На PDC возвращаем параметр:
msDFSR-Enabled=TRUE
и в оснастке «AD - сайты и службы» снова реплицируем конфигурацию на все не авторитетные DC.
Убеждаемся на не авторитетных DC проверяем, что прошла последняя репликация:
repadmin /showrepl
На PDC выполняем:
DFSRDIAG POLLAD
На остальных не авторитетные DC выполняем:
sc start dfsr
возвращаем параметр:
msDFSR-Enabled=TRUE
и выполняем:
DFSRDIAG POLLAD
DFSMGMT.MSC
DFSRDIAG.EXE POLLAD
DFSRDIAG.EXE POLLAD