iT邦幫忙

0

windows 2012 r2 在降級AD網域控制站時出錯

The operation failed because:

DFS Replication: 拒绝访问。

"Access is denied."

請問有人有遇到這問題過嗎?
https://ithelp.ithome.com.tw/upload/images/20190426/20017236MrEfyt4hW8.jpg

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
Ray
iT邦大神 1 級 ‧ 2019-04-26 17:18:44

降級前有先用 dcdiag /a 和 repadmin /showrepl /all 這兩個指令, 先檢查過所有 DC 狀態都是正常的嗎?

看更多先前的回應...收起先前的回應...
jarrys1 iT邦新手 4 級 ‧ 2019-04-26 17:50:47 檢舉

其他dc都正常,因為這台下線太久失聯了~導致影響其他DC複寫
本想將他降級後再重新加入,結果降不了

jarrys1 iT邦新手 4 級 ‧ 2019-04-26 17:59:40 檢舉

https://ithelp.ithome.com.tw/upload/images/20190426/20017236nf73EIvsns.jpg

Ray iT邦大神 1 級 ‧ 2019-04-27 02:43:30 檢舉

其他dc都正常
這句話其實誤解了 AD 的運作....

AD 裡面的所有 DC 都是生命共同體, 所有 DC 都必須同時存在, AD 才會正常. 所以你在沒降級的狀況下把一台 DC 關掉, 那一瞬間其實就已經不正常了....

但很多人會質疑:
我的 DC 沒有跳出任何錯誤訊息, 所有人也能正常登入/改密碼, 將電腦 Join/Dejoin 網域.....這樣還不正常嗎?

其實, AD 就像沉默的肝, 當他生病的時候, 不會主動告訴你, 他不會讓你痛, 也不會讓你有感覺, 就是默默地慢慢壞去....

要知道你的 AD/DC 到底正不正常? 唯一的方法就是....抽血驗 GTP/GOT/AST/ALT...喔, 講錯了, 是這兩個指令:

dcdiag /a
repadmin /showrepl /all

平時, 就算每一台 DC 都沒有跳出任何警告, 沒有出現任何錯誤畫面, 你一定要每天去跑上面這個指令, 才會真正知道他到底健不健康?....如果爆錯誤, 當天就要把它修好, 不要放著讓他爛掉...

回到您的環境:
當您在一台工作中的 DC 上, 沒有執行 dcpromo 降級動作, 就直接將他關機的話, 在關機之後的一個小時, 整個 AD 就已經進入不健康狀態, dcdiag 開始會爆錯誤出來了...(但是登入伺服器仍然不會有任何警示/提示, 除非你自己去跑 dcdiag)

在這種狀況下, 如果還持續進行 AD 物件的修改更新的話, 他的健康狀況會越來糟....但他就像肝一樣, 不撐到最後一刻, 你不會知道他快死了; 可是當他告訴你他不行的時候, 通常已經病危了....

第二個問題, 您說:
下線太久失聯
對已經 Join AD 的電腦來說, 長時間不跟 AD 聯繫是不被允許的事情. 對於長久沒有跟 AD 聯繫的電腦, AD 給他的期限是 60 天, 過了這個期限, 為了安全的緣故, AD 會認定這個物件已經失去信賴, 會將他註記成墓碑 (tombstone), 永遠不允許他回來重新驗證....

所以, 如果你的 DC 離線超過 60 天的話, 他其實已經被 AD 放棄隔離了, 想回來也回不來, 當然就無法再告訴 AD 說: 我想要降級啦....基本上, 這時候 AD 不會執行他說的任何指令...

如果以上情境為真的話, 你只能這樣做:

  1. 手動將這台離線的 DC 硬碟格式化
  2. 進入 AD 手動將這台 DC 物件刪掉

手動刪 DC 請試試這篇:
Step-By-Step: Removing A Domain Controller Server Manually

再強調幾件事:
DC 要下線, 絕對不是將他關機就沒事, 要離開的當下, 必須馬上做 dcpromo 降級, 才可以關機封存

電腦不可以離開 AD 太久, 否則回不來.

AD/DC 並不是螢幕上沒跳出警告, 就代表運作都正常, 所有狀態都要自己手動去跑 dcdiag /a 和 repadmin /showrepl /all 這兩個指令才會知道, 每天都要去檢查.

froce iT邦大師 1 級 ‧ 2019-04-29 08:54:29 檢舉

能順便問個蠢問題嗎?
dcdiag /a 和 repadmin /showrepl /all這兩個都要「以系統管理員身份執行」對吧?
用普通admin的帳戶去跑,Netlogon會說無法登入,dsreplicagetinfo()會跑error 8453跟你說沒權限。
用「以系統管理員身份執行」就不會了。

Ray iT邦大神 1 級 ‧ 2019-04-29 09:08:47 檢舉

yes

froce iT邦大師 1 級 ‧ 2019-04-29 16:04:26 檢舉

感謝,今天看到雷神回這個,特地跑去看AD狀態。
修了一個RPC防火牆的問題。其他都還算健康。

我要發表回答

立即登入回答