Вопросы Теги

Ошибка, добавляющая дочерний домен Active Directory к существующему лесу

Я создаю тестовую среду, содержащую несколько доменов Active Directory в том же лесу, но у меня есть странные проблемы при попытке добавить дочерний домен к лесному корневому домену.

Всеми серверами является Windows Server 2012 R2 VMs, работающий на облачной платформе Azure, подключенной к той же виртуальной сети; они статически зарезервировали IP-адреса, и они могут говорить друг с другом без любой сетевой проблемы.

Моя доменная структура (или по крайней мере должен быть), следующим образом:

    A0.lab (forest root)            B0.lab
   /  \                            /  \
  A1  A2                          B1  B2
  |                               |
  A3                              B3

Таким образом:

  • A0.lab (лесной корень)
  • A1. A0.lab
  • A2. A0.lab
  • A3. A1. A0.lab
  • B0.lab
  • B1. B0.lab
  • B2. B0.lab
  • B3. B1. B0.lab

Я создал лесной корневой домен (A0.lab) успешно, и я определил AD сайт и его подсеть; домен работает правильно.

Затем, я настроил сервер, который должен стать контроллером домена для первого дочернего домена (A1. A0.lab) для использования корневого DC в качестве его сервера DNS, и я запустил мастер продвижения; я заполнил все параметры, включая учетную запись пользователя администратора домена для корневого домена и опции создать делегацию DNS; все необходимые как условие проверки успешны.

Когда я запускаю фактический процесс продвижения, он останавливается при "Тиражировании этапа" раздела каталога схемы. Журнал событий "Службы каталогов" неоднократно заполнен несколькими ошибками:

Идентификатор события 1963, источник ActiveDirectory_DomainService, категория DS RPC Client задачи:

Internal event: The following local directory service received an exception from a
remote procedure call (RPC) connection. Extensive RPC information was requested. This
is intermediate information and might not contain a possible cause. 

Process ID:  
540  

Reported error information:  
Error value:  
Could not find the domain controller for this domain. (1908)  
directory service:  
DCA0.a0.lab  

Extensive error information:  
Error value:  
A security package specific error occurred. 1825  
directory service:  
DCA1  

Additional Data  
Internal ID:  
5000e02

Идентификатор события 1961, источник ActiveDirectory_DomainService, категория DS RPC Client задачи:

Internal event: This log entry is a continuation from the preceding extended error
information entry on the following error and directory service. 

Extended information:  
Error value:  
A security package specific error occurred. (1825)  
directory service:  
DCA1  

Supplemental information:  
Detection location:  
1461  
Generating component:  
RPC Runtime  
Time at directory service:  
2015-03-19 21:44:04  

Additional Data  
Error value:  
A security package specific error occurred. (1825)

Идентификатор события 2839, источник ActiveDirectory_DomainService, категория DS RPC Client задачи:

Internal event: This log entry is a continuation from the preceding extended error
information entry. 

Extended information:  
Extended Error Parameters:  
0  
Parameter 1:  
(NULL)  
Parameter 2:  
(NULL)  
Parameter 3:  
(NULL)  
Parameter 4:  
(NULL)  
Parameter 5:  
%6  
Parameter 6:  
%7  
Parameter 7:  
%8

Идентификатор события 1962, источник ActiveDirectory_DomainService, категория DS RPC Client задачи:

Internal event: The local directory service received an exception from a remote
procedure call (RPC) connection. Extended error information is not available. 

directory service:  
DCA0.a0.lab  

Additional Data  
Error value:  
Could not find the domain controller for this domain. (1908)

Идентификатор события 1125, источник ActiveDirectory_DomainService, категория Setup задачи:

The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to
establish connection with the following domain controller. 

Domain controller:
DCA0.a0.lab 

Additional Data  
Error value:  
1908 Could not find the domain controller for this domain.

Те ошибки повторяются снова и снова, но нет никакого прогресса или отказа, процесс продвижения просто остается остановленным.

Вот содержание dcpromo.log файл:

03/19/2015 22:43:35 [INFO] Promotion request for domain controller of new domain
03/19/2015 22:43:35 [INFO] DnsDomainName  a1.a0.lab
03/19/2015 22:43:35 [INFO]  FlatDomainName  A1
03/19/2015 22:43:35 [INFO]  SiteName  Lab
03/19/2015 22:43:35 [INFO]  SystemVolumeRootPath  C:\Windows\SYSVOL
03/19/2015 22:43:35 [INFO]  DsDatabasePath  C:\Windows\NTDS, DsLogPath  C:\Windows\NTDS
03/19/2015 22:43:35 [INFO]  ParentDnsDomainName  a0.lab
03/19/2015 22:43:35 [INFO]  ParentServer  DCA0.a0.lab
03/19/2015 22:43:35 [INFO]  Account A0\AdmA0
03/19/2015 22:43:35 [INFO]  Options  5243072
03/19/2015 22:43:35 [INFO] Validate supplied paths
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\SYSVOL.
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO]  Path is on an NTFS volume
03/19/2015 22:43:35 [INFO] Child domain creation -- check the new domain name is child of parent domain name.
03/19/2015 22:43:35 [INFO] Domain Creation -- check that the flat name is unique.
03/19/2015 22:43:40 [INFO] Start the worker task
03/19/2015 22:43:40 [INFO] Request for promotion returning 0
03/19/2015 22:43:42 [INFO] Using supplied domain controller: DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Using supplied site: Lab
03/19/2015 22:43:42 [INFO] Forcing time sync
03/19/2015 22:43:42 [INFO] Forcing a time sync with DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Reading domain policy from the domain controller DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
03/19/2015 22:43:42 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
03/19/2015 22:43:42 [INFO] StopService on NETLOGON returned 0
03/19/2015 22:43:42 [INFO] Configuring service NETLOGON to 1 returned 0
03/19/2015 22:43:42 [INFO] Stopped NETLOGON
03/19/2015 22:43:42 [INFO] Creating the System Volume C:\Windows\SYSVOL
03/19/2015 22:43:42 [INFO] Deleting current sysvol path C:\Windows\SYSVOL 
03/19/2015 22:43:44 [INFO] Preparing for system volume replication using root C:\Windows\SYSVOL
03/19/2015 22:43:44 [INFO] Created the system volume
03/19/2015 22:43:44 [INFO] Copying initial Directory Service database file C:\Windows\system32\ntds.dit to C:\Windows\NTDS\ntds.dit
03/19/2015 22:43:44 [INFO] Installing the Directory Service
03/19/2015 22:43:44 [INFO] Calling NtdsInstall for a1.a0.lab
03/19/2015 22:43:44 [INFO] Starting Active Directory Domain Services installation
03/19/2015 22:43:44 [INFO] Validating user supplied options
03/19/2015 22:43:44 [INFO] Determining a site in which to install
03/19/2015 22:43:44 [INFO] Examining an existing forest...
03/19/2015 22:43:44 [INFO] Configuring the local computer to host Active Directory Domain Services
03/19/2015 22:43:48 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1094  
Software write caching for the following disk drive has been disabled to prevent possible data loss during system failures such as power outages or hardware component failures that can cause a sudden shutdown of the system. The disk drive that stores Active Directory Domain Services log files is the only drive affected by this change.

Disk drive:  
c:

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2013  
Active Directory Domain Services is rebuilding the following number of indices as part of the initialization process.

Number of indices:  
1

Indices:  
LCL_ABVIEW_index00000410 +ATTb590468 

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2014  
Active Directory Domain Services successfully completed rebuilding the following number of indices.

Indices:  
1

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2120  
This Active Directory Domain Services server does not support the Recycle Bin. Deleted objects may be undeleted, however, when an object is undeleted, some attributes of that object may be lost.  Additionally, attributes of other objects that refer to the object being undeleted may also be lost.

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2405  
This Active Directory Domain Services server does not support the "Recycle Bin Feature" optional feature.

03/19/2015 22:44:00 [INFO] Replicating the schema directory partition

После этого те же ошибки, о которых сообщают в конечном счете, регистрируются, зарегистрированы.

Я нашел эту статью, в которой говорится, что эта ошибка может произойти, если учетная запись Администратора имеет тот же пароль на новом DC, и на домене Вы входите в систему; я не использую во всей встроенной учетной записи Администратора, так как это Azure VMs, но я на самом деле использовал то же имя пользователя и пароль на всех серверах во время моего первого теста, таким образом я предположил, что это, возможно, действительно было причиной ошибки; однако, я с тех пор восстановил все серверы и создал отличную локальную администраторскую учетную запись на каждом (AdmA0, AdmA1, AdmA2...), с отличным паролем; я также удостоверился, что указал учетные данные для родительского домена в форме A0\AdmA0; но ошибка произошла снова.

Что происходит, и как я могу зафиксировать его?

6
задан 7 November 2018 в 21:22
1 ответ

Похоже, я сталкиваюсь с (вариантом?) этой проблемой : продвижение успешно завершается, если я использую «длинные» учетные данные для входа, например A0 .lab \ AdmA0 вместо A0 \ AdmA0 .

Однако, согласно статье, эта проблема должна возникать только в том случае, если NetBIOS через TCP / IP отключен, , но фактически включен , и это можно проверить в выходных данных ipconfig . Я также попытался настроить виртуальные машины со статическими сетевыми параметрами вместо использования DHCP (который требуется для Azure) и принудительно установить NetBIOS через TCP / IP на «Включено», но ошибка возникает всегда; единственный способ сработать для процесса продвижения - использовать «длинные» учетные данные.

Однако это определенно похоже на причуду Azure: я создал идентичную тестовую среду на локальном сервере Hyper-V, и все работает должным образом.

Похоже, либо Azure делает что-то странное на сетевом уровне, что блокирует NetBIOS, либо шаблоны виртуальных машин Azure Windows Server 2012 R2 имеют какое-то странное поведение, связанное с NetBIOS, из-за которого продвижение DC таким своеобразным образом не выполняется.

Обновление:

Обнаружен преступник: https://msdn.microsoft.com/en-us/library/azure/dn133803.aspx . 

Does Virtual Network support multicast or broadcast?

No. We do not support multicast or broadcast.

Виртуальные сети Azure не поддерживают широковещательную рассылку ; таким образом, даже если NetBIOS включен, он просто не работает. И похоже, что Windows Server 2012 R2 действительно нуждается в нем для работы повышения DC.

Решение: используйте «длинные» учетные данные для входа в систему во время повышения DC ( full.domain.fqdn \ username вместо NetBIOSDomain \ username ).

Что касается , почему виртуальные сети Azure не поддерживают трансляцию, и как им это удается хотя я все еще так сильно полагаюсь на DHCP ... это вне моего понимания. И я не совсем уверен, что действительно хочу понять; Сети Azure, как известно, довольно своеобразны .

5
ответ дан 3 December 2019 в 00:32

Теги

Похожие вопросы