公司原一台2008 R2 一台2012 R2
在重灌2008 R2至2012 R2前,有將角色移轉到2012那台,再從AD站點和服務 刪除舊的2008 R2控制站
重灌後,新的2012 R2要加入網域控制站時出現如下圖錯誤,不知該如何解決
在AD管理中心 查看本機也會顯示 訪問失敗 請檢查數據可用性或訪問權限
其實之前2008 2012 DC並行時,2012在檔案/資料夾安全性裡的稽核 要新增用戶時,會找不到使用者,但安全性內要加用戶進權限設定則沒問題...好難解的問題,爬文懇求協助,感謝
已邀請的邦友 {{ invite_list.length }}/5
vicentli提到:
其實之前2008 2012 DC並行時,2012在檔案/資料夾安全性裡的稽核 要新增用戶時,會找不到使用者,
從這個現象看來, 當初在加入 2012 R2 DC 的時候, 就已經有問題存在了, 結果當時沒有把問題解掉, 就繼續讓原本健康的 2008 DC 下架, 導致現在 2012 DC 上面的資料庫是有缺陷的, 所以後續的動作都無法進行.
還有, 當初讓 2008 R2 下架的時候, 是在 2008 上面跑 dcpromo 去 demote 他嗎? 還是把她關機, 然後直接去刪站台? 若是後者的話, 那 AD 裡面可能會殘留許多 2008 的物件沒有被刪掉, 必須手動去找出來刪除·
Error 8333 的 Root cause 有很多種, 請先查看 Event Log 裡面, 是否曾經出現下面哪一種 Event ID? 才能根據 Event ID 來判定問題的根源:
2108, 1168, 1084, 1699, 1988, 1388, 8606, 1722
此外, 某些防毒軟體以及 DC 同步軟體 (例如: Office 365 所用的 DirSync) 也有可能造成此類問題, 建議先關掉這些軟體.
iT邦幫忙MVPraytracy提到:
還有, 當初讓 2008 R2 下架的時候, 是在 2008 上面跑 dcpromo 去 demote 他嗎? 還是把她關機, 然後直接去刪站台? 若是後者的話, 那 AD 裡面可能會殘留許多 2008 的物件沒有被刪掉, 必須手動去找出來刪除·
是後者,所以應如前輩所說AD裡可能殘留許多2008 R2物件,但不知道怎麼查刪,因我已經就能看見的與原服務器名稱有關的都刪了。剛測試再做一次升級網域控制站,在跳出該錯誤後,查看Event LOG,但沒看到相關錯誤記錄在日誌檔裡…網域控制站及要加入網域控制站的兩台電腦都有看,重開後再跑一次,一樣沒出現,不知道是否該把網域控制站重開機再試。
然後前幾天說稽核內要新增使用者時的錯誤問題,今天正常了~之前有時要變更擁有者後再操作才行
忘了說,沒安裝與DC相關同步軟體(DFS算嗎?),也關防毒軟體了~是否該還原到在還沒刪除2008 R2及從Server 2012 R2刪除站點前~然後用正常方式先退網域控制站,再重裝系統
6/29 凌晨有出現一個錯誤,
以下 FSMO 角色的所有权被设置到已删除或不存在的服务器。
在更正此情况之前,要求与 FSMO 操作主机 联系的操作均会失败。
FSMO 角色: CN=Schema,CN=Configuration,DC=xxxxxxx,DC=com
FSMO 服务器 DN: CN=NTDS Settings\0ADEL:e8e94438-63bd-495c-8494-622aadc62c47,CN=FILE\0ADEL:8527c567-b683-41d6-86ab-214f2f90854d,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxxxxxxx,DC=com
用户操作:
下列操作可能会受到影响:
架构: 将无法再修改此林的架构。
域命名: 将无法再从此林添加或删除域。
PDC: 将无法再执行主域控制器操作,如非 Active Directory 域服务帐户的组策略更新和密码重置。
RID: 将无法为新用户帐户、计算机帐户或安全组分配新的安全标识符。
结构: 如果删除或重命名其目标对象,则跨域名引用(如通用组成员身份)将不会正确更新。
iThome鐵人賽
看影片追技術