iT邦幫忙

0

新增網域控制站至現有網域出問題 錯誤:8333 延伸訊息:0000208D NameErr:DSID-03100238

公司原一台2008 R2 一台2012 R2
在重灌2008 R2至2012 R2前,有將角色移轉到2012那台,再從AD站點和服務 刪除舊的2008 R2控制站
重灌後,新的2012 R2要加入網域控制站時出現如下圖錯誤,不知該如何解決

在AD管理中心 查看本機也會顯示 訪問失敗 請檢查數據可用性或訪問權限

其實之前2008 2012 DC並行時,2012在檔案/資料夾安全性裡的稽核 要新增用戶時,會找不到使用者,但安全性內要加用戶進權限設定則沒問題...好難解的問題,爬文懇求協助,感謝

1 個回答

6
raytracy
iT邦大神 1 級 ‧ 2015-06-27 02:28:00
最佳解答

vicentli提到:
其實之前2008 2012 DC並行時,2012在檔案/資料夾安全性裡的稽核 要新增用戶時,會找不到使用者,

從這個現象看來, 當初在加入 2012 R2 DC 的時候, 就已經有問題存在了, 結果當時沒有把問題解掉, 就繼續讓原本健康的 2008 DC 下架, 導致現在 2012 DC 上面的資料庫是有缺陷的, 所以後續的動作都無法進行.

還有, 當初讓 2008 R2 下架的時候, 是在 2008 上面跑 dcpromo 去 demote 他嗎? 還是把她關機, 然後直接去刪站台? 若是後者的話, 那 AD 裡面可能會殘留許多 2008 的物件沒有被刪掉, 必須手動去找出來刪除·

Error 8333 的 Root cause 有很多種, 請先查看 Event Log 裡面, 是否曾經出現下面哪一種 Event ID? 才能根據 Event ID 來判定問題的根源:

2108, 1168, 1084, 1699, 1988, 1388, 8606, 1722

此外, 某些防毒軟體以及 DC 同步軟體 (例如: Office 365 所用的 DirSync) 也有可能造成此類問題, 建議先關掉這些軟體.

看更多先前的回應...收起先前的回應...
vicentli iT邦新手 3 級 ‧ 2015-06-28 23:12:28 檢舉

iT邦幫忙MVPraytracy提到:
還有, 當初讓 2008 R2 下架的時候, 是在 2008 上面跑 dcpromo 去 demote 他嗎? 還是把她關機, 然後直接去刪站台? 若是後者的話, 那 AD 裡面可能會殘留許多 2008 的物件沒有被刪掉, 必須手動去找出來刪除·

是後者,所以應如前輩所說AD裡可能殘留許多2008 R2物件,但不知道怎麼查刪,因我已經就能看見的與原服務器名稱有關的都刪了。剛測試再做一次升級網域控制站,在跳出該錯誤後,查看Event LOG,但沒看到相關錯誤記錄在日誌檔裡…網域控制站及要加入網域控制站的兩台電腦都有看,重開後再跑一次,一樣沒出現,不知道是否該把網域控制站重開機再試。

然後前幾天說稽核內要新增使用者時的錯誤問題,今天正常了~之前有時要變更擁有者後再操作才行

vicentli iT邦新手 3 級 ‧ 2015-06-28 23:58:47 檢舉

忘了說,沒安裝與DC相關同步軟體(DFS算嗎?),也關防毒軟體了~是否該還原到在還沒刪除2008 R2及從Server 2012 R2刪除站點前~然後用正常方式先退網域控制站,再重裝系統

vicentli iT邦新手 3 級 ‧ 2015-06-29 23:40:09 檢舉

6/29 凌晨有出現一個錯誤,
以下 FSMO 角色的所有权被设置到已删除或不存在的服务器。

在更正此情况之前,要求与 FSMO 操作主机 联系的操作均会失败。

FSMO 角色: CN=Schema,CN=Configuration,DC=xxxxxxx,DC=com
FSMO 服务器 DN: CN=NTDS Settings\0ADEL:e8e94438-63bd-495c-8494-622aadc62c47,CN=FILE\0ADEL:8527c567-b683-41d6-86ab-214f2f90854d,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxxxxxxx,DC=com

用户操作:

  1. 确定应拥有该问题角色的服务器。
  2. 配置视图可能已过时。如果问题服务器最近已升级, 请验证最近是否从新服务器 复制了配置分区。如果问题服务器最近已降级,并且 角色已转移,请验证此服务器最近是否复制了分区(包含最新的 角色所有权)。
  3. 确定在拥有 FSMO 角色的服务器上是否正确设置了该角色。如果未设置该角色,请使用 NTDSUTIL.EXE 转移 或获取角色。可以使用知识库文章 255504 和 324801 中提供的步骤(http://support.microsoft.com)完成此操作。
    4.验证是否已成功在拥有 FSMO 角色的服务器 与此服务器之间复制了 FSMO 分区。

下列操作可能会受到影响:
架构: 将无法再修改此林的架构。
域命名: 将无法再从此林添加或删除域。
PDC: 将无法再执行主域控制器操作,如非 Active Directory 域服务帐户的组策略更新和密码重置。
RID: 将无法为新用户帐户、计算机帐户或安全组分配新的安全标识符。
结构: 如果删除或重命名其目标对象,则跨域名引用(如通用组成员身份)将不会正确更新。

raytracy iT邦大神 1 級 ‧ 2015-06-29 23:59:22 檢舉

vicentli提到:
以下 FSMO 角色的所有权被设置到已删除或不存在的服务器

你的 FSMO 還留在被刪除的 2008 上面, 請嘗試在新的 2012 DC 上面奪取 FSMO 看可否可以成功?

vicentli iT邦新手 3 級 ‧ 2015-06-30 08:27:22 檢舉

raytracy提到:
FSMO

感謝,發現之前移轉FSMO,少移轉了 Active Directory 架構
目前要變更操作主機時,會出現

vicentli iT邦新手 3 級 ‧ 2015-06-30 17:55:57 檢舉

謝謝raytracy大,我用Ntdsutil覆蓋架構主機後就可以了

我要發表回答

立即登入回答