Bare Metal Восстановление дочернего домена (проблема Active Directory)

Question

Bare Metal Восстановление дочернего домена (проблема Active Directory)

Поскольку у меня есть родительский и дочерний домены в моей сети, так как родительский домен находится в другом географическом местоположении, и они оба подключены через VPN, когда я работал над процессом резервного копирования и восстановления Bare Metal, и неожиданно обнаружил, что после создания резервной копии дочернего домена и восстановление его на отдельном оборудовании, которое я не подключил к той же сети родителя.

(Примечание: восстановление прошло успешно)

Проблемы, с которыми я столкнулся после восстановления, упомянуты ниже. (Примечание: я не подключил его к той же сети, что и родительский).

После процесса восстановления мы обнаружили, что Active Directory, DNS и DHCP полностью работоспособны.
Мы обнаружили некоторые проблемы с активным каталогом, так как мы не смогли создать новую учетную запись пользователя или компьютерный объект в Active Directory.
Существующие учетные записи пользователей домена не могут войти на рабочую станцию.
Требуется ли родительское подключение после восстановления дочернего домена?

...

Действительно был бы признателен, если бы кто-то пролил свет на этот вопрос.

0

active-directory windows-server-2008 backup-restoration bare-metal

Источник

Samuel Fernandes 01 янв '15 в 12:34

1 ответ

Другие вопросы по тегам active-directory windows-server-2008 backup-restoration bare-metal

Katherine Villyard 02 янв '15 в 17:36 2015-01-02 17:36 · Answer 1 · 2015-01-02 17:36

Я приведу цитату из статьи базы знаний, которая появляется при поиске вашего сообщения об ошибке: "Windows не может создать объект (имя объекта), потому что: службам каталогов не удалось выделить относительный идентификатор":

Эта проблема может возникнуть, если контроллер домена, который выполнял роль хозяина операций (также известную как гибкие операции с одним мастером или FSMO) мастера RID, был удален из домена и восстановлен из резервной копии. Если роль мастера RID была перенесена на другой контроллер домена в качестве временной замены, когда исходный мастер RID восстанавливается и возвращается в домен, он не реплицируется со своим партнером по прямой репликации и не восстанавливает роль мастера RID.
В Windows 2000 с пакетом обновления 3 (SP3) и Windows Server 2003 были представлены функции, разработанные, чтобы помочь избежать нежелательных последствий дублирования ролей хозяина операций, существующих в одном лесу или домене. Контроллеры домена выполняют начальную синхронизацию при запуске для каждого контекста именования, размещенного на конкретном контроллере домена. Контроллер домена, который содержит роль хозяина схемы, хозяина именования доменов, хозяина RID, эмулятора PDC или роль хозяина инфраструктуры, не принимает на себя ответственность за роль, пока не синхронизируется хотя бы с одним соседом для каждого доступного для записи контекста именования.

Эта статья на самом деле предназначена для 2000 и 2003 годов, но, безусловно, звучит похоже на вашу ситуацию. В статье Technet говорится:

Новый DC не получил распределение RID от Мастера RID. Возможно, этот DC не может связаться с мастером RID, возможно, из-за проблем с DNS. Вы получаете ошибки при запуске dcdiag на DC?

и предлагает вам запустить команду netdom query fsmo найти мастера RID. Я подозреваю, что он скажет вам, что восстановленный DC не является мастером RID для дочернего домена и / или что он отказывается брать на себя роль мастера RID, пока он не "говорит" хотя бы с одним другим DC.