Nettoyage après avoir démoli le vieux DC

J'ai récemment ajouté un nouveau server 2012 DC et j'ai pris le DC 2003 précédent hors connection. Le server 2012 DC est maintenant le seul DC sur le réseau. J'ai également ajouté un alias (CNAME) afin d'accéder au nouveau server avec le nom DNS du server ancien.

Je vois maintenant une erreur et plusieurs avertissements dans le journal des events que je soupçonne sont liés à certains "rests" ou autrement configuration qui tente de synchroniser avec l'ancien server. L'un de ces events est: [Erreur] Kerberos Event ID 4 – Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du server new-srvr $. Le nom cible utilisé était cifs / old-srvr.

J'espérais que quelqu'un pourrait faire plus de lumière avec une résolution possible.

MISE À JOUR: En ajoutant plus de détails, j'ai démoli le DC 2003 en utilisant dcpromo avant de le mettre hors ligne. Je devais utiliser l'option force mais parce que j'avais une erreur liée à DomainDnsZones et fSMORoleOwner. Je ne sais pas pourquoi parce que j'ai vérifié que tous les 5 de ces rôles ont transféré la propriété sur le nouveau server: Maître de schéma Maître Maître ID Maître d'infrastructure Maître PDC Emulator J'ai suivi le guide ici .

Deuxièmement, la raison pour laquelle j'ai ajouté le CNAME est pour SMB et non sur le domaine. Je voulais que les clients puissent continuer à utiliser \ old-server et j'ai donc suivi les instructions ici .

Je me request si c'est peut-être une pratique "dangereuse" pour les DC et ne peut / ne doit pas être fait.

One Solution collect form web for “Nettoyage après avoir démoli le vieux DC”

"J'ai également ajouté un alias (CNAME) afin d'accéder au nouveau server avec le nom DNS du server ancien."

Bon essai, mais l'erreur KRB_AP_ERR_MODIFIED est la manière de Kerberos de vous dire $ # @! parce que les noms ne correspondent pas. Tous les noms d'hôtes, les loggings DNS A et les SPN doivent correspondre. Les loggings CNAME / alias ne peuvent pas être utilisés dans cette situation.

(Pour être plus précis, les clients construisent des SPN pour Kerberos en utilisant le nom DNS de l'ordinateur qui héberge le service auquel le client souhaite se connecter. Si ce SPN n'est pas enregistré sur l'object informatique dans AD, ce ne sera pas , car le nouveau DC a un nom différent de l'ancien DC, Kerberos ne fonctionnera pas.)

Vous devez effectuer le nettoyage des métadonnées de l'ancien DC.

https://technet.microsoft.com/en-us/library/Cc816907(v=WS.10).aspx

Faites défiler vers le bas vers le bas de l'article où il explique comment utiliser ntdsutil pour effectuer le nettoyage des métadonnées.

Supprimez ce CNAME. Supprimez les loggings DNS existants qui se réfèrent à l'ancien server. Cela comprend les loggings A, les loggings SRV, les loggings PTR, etc.

Vérifiez tous les membres du domaine et assurez-vous qu'ils utilisent l'adresse IP du nouveau controller de domaine comme leur seul résolveur DNS.

  • Qu'est-ce qu'un controller de domaine?
  • Impossible de se connecter à Domain après la rétrogradation de la DC primaire
  • Qu'est-ce qui peut aller mal lorsque les controllers de domaine ont été déplacés hors de l'unité de contrôle de domaine OU?
  • Un second controller de domaine, avec un périphérique de disque dur buggy, peut-il provoquer une corruption dans Active Directory?
  • Missing DomainControllers dans Active Directory Object
  • Quelle est la difficulté à exécuter Exchange 2016 sur un controller de domaine Windows 2012 R2 pour une petite organisation avec certainement less de 25 users?
  • Définir l'ordre dans lequel les services sont arrêtés lors d'un arrêt du système dans Windows Server 2003
  • Utilisation d'Exchange 2013 avec Samba en tant que DC
  • Si d'autres fonctions sont autorisées sur le server de active directory
  • Le controller de domaine récemment promu ne crée pas et ne réplique pas les dossiers SYSVOL et NETLOGON
  • WMI "Accès refusé" au controller de domaine à lecture seule
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.