DCPromo для удаления AD DS не удается с ошибкой входа в систему: неправильное имя целевой учетной записи.

Хорошо, что это только моя тестовая сеть! У меня есть клон ВМ моего древнего ВС 2008 Р2 ("Старый DC") запуск AD DS в тестовой сети вместе с двумя элегантными новыми экземплярами ВС 2022 (НовыйDC1 и НовыйDC2), оба также работают с AD DS, все на Функциональный уровень домена 2008 R2.

Я хочу удалить AD DS из Старый DC, готовясь к некоторым обновлениям, поэтому я побежал dcpromo на нем, и когда я дошел до последнего шага, он потерпел неудачу с ошибкой:

Код:

Операция завершилась неудачно, потому что: Ошибка управления сетевым сеансом с помощью NewDC2.MyDomain.pvt Ошибка входа в систему: неправильное имя целевой учетной записи».

На основе эти инструкции Я остановил службу KDC на НовыйDC1, установите для запуска значение «Вручную», перезагрузите НовыйDC1, а затем запустил следующее на НовыйDC1:

Код:

netdom resetpwd /s: NewDC2 /ud: MyDomain\Administrator /pd:*

и ввели тот же пароль, который мы использовали в течение последних нескольких месяцев и который сегодня успешно вошел на все 3 машины. сеть
сообщил об успехе.

я перезагрузил Старый DC, зашел с тем же паролем, запустил dcpromo, и я получил ту же ошибку.

Я пытался просматривать с Старый DC поделиться на НовыйDC1 и НовыйDC2, и они терпят неудачу с аналогичной ошибкой:

Код:

\\NewDC2 недоступен. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Свяжитесь с администратором этого сервера, чтобы узнать, есть ли у вас права доступа. Ошибка входа в систему: неверное имя целевой учетной записи.

Если я попробую из Старый DC:

Код:

чистое использование \\NewDC1 \общий ресурс

что приводит к:

Код:

Произошла системная ошибка 1396. Ошибка входа в систему: неверное имя целевой учетной записи.

Любопытно, если я наберу IP-адреса НовыйDC1 и НовыйDC2 в проводнике Windows на Старый DC, например \\192.168.0.10 или \\192.168.0.6, соответственно, я могу посмотреть шары и открыть их содержимое, в том числе SYSVOL.

Это также удается:

Код:

чистое использование \\192.168.0.10 \доля

Старый DCTCP/IP настроен на использование НовыйDC1IP-адрес в качестве основного DNS-сервера и nslookup NewDC1 и nslookup NewDC2 от Старый DC оба возвращают правильные адреса.

Просмотр из НовыйDC1 и НовыйDC2 к \\Старый DC работает, и я вижу Старый DCакции.

Я перезагружал все 3 машины много-много раз, на всякий случай, это могло волшебным образом исправить это, но этого не произошло.

Какие еще есть варианты, чтобы исправить это? Или мне нужно исправить? Могу ли я удалить AD DS из OldDC другим способом? Я все еще хочу сохранить его в качестве члена домена. Если бы я обновил его на месте до Server 2012 -> Server 2022, это волшебным образом решило бы проблему?

На прошлой неделе я разговаривал в Zoom с консультантом, который пытался помочь мне с объектами групповой политики для кибербезопасности. периодические проблемы с сетью, которые у меня были в то время, но которые теперь исправлены, он велел мне захватывать роли у Старый DC либо НовыйDC1 или НовыйDC2 (не помню какой) с помощью обслуживание фсмо. Может ли это быть корнем проблемы?

Просто мысль: ошибка схемы? 2008 и 2022 годы нашей эры — это разные схемы.

Что на выходе dcdiag /e /q /c выглядит как? Устраните любые вопиющие ошибки.

Каков функциональный уровень леса в настоящее время? Я знаю, вы сказали, что DFL — это 2008R2, но FFL может не совпадать. Завершена ли миграция FRS в DFS-R?

Когда в последний раз крбтгт пароль был изменен? Если это действительно старый домен, его пароль может все еще использовать RC4, что не понравится 2022 году.

Попробовав кучу разных вещей, я в итоге попробовал обновление до Server 2012 R2 на месте. После завершения обновления учетные данные были исправлены не только для OldDC, но и для OldDC2.

Я не пробовал запускать dcpromo, потому что думаю, что мне больше не захочется понижать их в должности, если я смогу их обновить (тестирование приложений, поскольку мы говорите!), но я мог просматривать как из OldDC, так и из OldDC2 в общие ресурсы на NewDC1 и в NewDC2, тогда как раньше я не мог, а раньше просмотр этих общих ресурсов вызвал ту же ошибку, что и при попытке завершить dcpromo, поэтому я предполагаю, что у них был один и тот же корень. причина.

FFL тоже был 2008 R2 для всех.

Последнее сообщение в блоге

Microsoft изо всех сил старается скрыть роль в нулевых днях, вызвавших взлом электронной почты
September 24, 2023

... С учетом затрат... Разве Microsoft не является в буквальном смысле гангстером, требующим денег за защиту?E5 — это «настоящий» сервис MS365, а в...

Microsoft изо всех сил старается скрыть роль в нулевых днях, вызвавших взлом электронной почты
October 12, 2023

... С учетом затрат... Разве Microsoft не является в буквальном смысле гангстером, требующим денег за защиту?E5 — это «настоящий» сервис MS365, а в...

Microsoft изо всех сил старается скрыть роль в нулевых днях, вызвавших взлом электронной почты
September 24, 2023

... С учетом затрат... Разве Microsoft не является в буквальном смысле гангстером, требующим денег за защиту?E5 — это «настоящий» сервис MS365, а в...