Я хочу удалить AD DS из Старый DC, готовясь к некоторым обновлениям, поэтому я побежал dcpromo на нем, и когда я дошел до последнего шага, он потерпел неудачу с ошибкой:
Код:
Операция завершилась неудачно, потому что: Ошибка управления сетевым сеансом с помощью NewDC2.MyDomain.pvt Ошибка входа в систему: неправильное имя целевой учетной записи».На основе эти инструкции Я остановил службу KDC на НовыйDC1, установите для запуска значение «Вручную», перезагрузите НовыйDC1, а затем запустил следующее на НовыйDC1:
Код:
netdom resetpwd /s: NewDC2 /ud: MyDomain\Administrator /pd:*и ввели тот же пароль, который мы использовали в течение последних нескольких месяцев и который сегодня успешно вошел на все 3 машины. сеть сообщил об успехе.
я перезагрузил Старый DC, зашел с тем же паролем, запустил dcpromo, и я получил ту же ошибку.
Я пытался просматривать с Старый DC поделиться на НовыйDC1 и НовыйDC2, и они терпят неудачу с аналогичной ошибкой:
Код:
\\NewDC2 недоступен. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Свяжитесь с администратором этого сервера, чтобы узнать, есть ли у вас права доступа. Ошибка входа в систему: неверное имя целевой учетной записи.Если я попробую из Старый DC:
Код:
чистое использование \\NewDC1 \общий ресурсчто приводит к:
Код:
Произошла системная ошибка 1396. Ошибка входа в систему: неверное имя целевой учетной записи.Любопытно, если я наберу IP-адреса НовыйDC1 и НовыйDC2 в проводнике Windows на Старый DC, например \\192.168.0.10 или \\192.168.0.6, соответственно, я могу посмотреть шары и открыть их содержимое, в том числе SYSVOL.
Это также удается:
Код:
чистое использование \\192.168.0.10 \доляСтарый DCTCP/IP настроен на использование НовыйDC1IP-адрес в качестве основного DNS-сервера и nslookup NewDC1 и nslookup NewDC2 от Старый DC оба возвращают правильные адреса.
Просмотр из НовыйDC1 и НовыйDC2 к \\Старый DC работает, и я вижу Старый DCакции.
Я перезагружал все 3 машины много-много раз, на всякий случай, это могло волшебным образом исправить это, но этого не произошло.
Какие еще есть варианты, чтобы исправить это? Или мне нужно исправить? Могу ли я удалить AD DS из OldDC другим способом? Я все еще хочу сохранить его в качестве члена домена. Если бы я обновил его на месте до Server 2012 -> Server 2022, это волшебным образом решило бы проблему?
На прошлой неделе я разговаривал в Zoom с консультантом, который пытался помочь мне с объектами групповой политики для кибербезопасности. периодические проблемы с сетью, которые у меня были в то время, но которые теперь исправлены, он велел мне захватывать роли у Старый DC либо НовыйDC1 или НовыйDC2 (не помню какой) с помощью обслуживание фсмо. Может ли это быть корнем проблемы?
Просто мысль: ошибка схемы? 2008 и 2022 годы нашей эры — это разные схемы.
Каков функциональный уровень леса в настоящее время? Я знаю, вы сказали, что DFL — это 2008R2, но FFL может не совпадать. Завершена ли миграция FRS в DFS-R?
Когда в последний раз крбтгт пароль был изменен? Если это действительно старый домен, его пароль может все еще использовать RC4, что не понравится 2022 году.
Я не пробовал запускать dcpromo, потому что думаю, что мне больше не захочется понижать их в должности, если я смогу их обновить (тестирование приложений, поскольку мы говорите!), но я мог просматривать как из OldDC, так и из OldDC2 в общие ресурсы на NewDC1 и в NewDC2, тогда как раньше я не мог, а раньше просмотр этих общих ресурсов вызвал ту же ошибку, что и при попытке завершить dcpromo, поэтому я предполагаю, что у них был один и тот же корень. причина.
FFL тоже был 2008 R2 для всех.