Clonagem DC falha e cria um DC duplicado não clonados no Windows Server 2012

Traduções deste artigo Traduções deste artigo
ID do artigo: 2742970
Expandir tudo | Recolher tudo

Sintomas

Considere o seguinte cenário:
  • Use o controlador de domínio virtualizado clonagem recurso em um computador que esteja executando o Windows Server 2012.
  • Usar o endereçamento IP automático.
  • Tente clonar um controlador de domínio (DC).
Nesse cenário, o DC original não é clonado e ele inicia normalmente. Entretanto, um segundo controlador de domínio é criado é que não é um clone do DC de origem, mas é uma duplicata exata do DC de origem. Embora esse segundo DC ativamente solicitações de serviços, ele não confiável replicar alterações de serviços de domínio Active Directory (AD DS), a entrada ou saída, quando os dois DCs são executados simultaneamente. Além disso, DCs permitem alterações locais do AD DS.

Causa

Esse problema pode ocorrer se um dos seguintes motivos:
  • O arquivo de DcCloneConfig.xml criado durante a operação de clonagem não está em um dos seguintes locais apropriados:
    • O diretório de trabalho DSA
    • %systemroot%\NTDS.
    • Mídia removível de leitura/gravação, no nível da unidade raiz
  • O arquivo DcCloneConfig.xml está em um dos locais apropriados, mas reiniciado o computador de origem antes de executar a operação de clonagem. Esta ação fez o sistema renomear o arquivo DcCloneConfig.xml usando um carimbo de hora. O sistema levou essa ação para impedir a clonagem acidental porque a identificação de geração de VM não foi alterado.

Resolução

Para resolver esse problema, siga estas etapas.

Anotações
  • Essas etapas, os termos e os exemplos a seguir são usados:
    • DC1.corp.contoso.com ? "controlador de domínio existente/novo": um DC que o ambiente já existe ou que foi promovido como parte desse processo de reparo não duplicado
    • DC2.corp.contoso.com ? "Controlador de domínio de origem Original": O controlador de domínio que foi copiada para criar o clone
    • DC2.corp.contoso.com ? "Controlador de domínio duplicado": O DC que deveria ser clonado de DC original, mas agora é uma cópia idêntica
  • Você deve executar estas etapas em um prompt de comando elevado, enquanto estiver conectado como um membro do grupo Admins. Para simplificar a recuperação de todos os DCs são apontados principalmente para o mesmo servidor DNS.
  • Antes de iniciar essas etapas, certifique-se de que você sabe (ou definir) a senha do modo de reparo de serviços de diretório no DC de origem original usando o comando Ntdsutil. exe com as opções de definir a senha do dsrm .
  1. Na fonte original DC, execute os seguintes comandos de exemplo:
    bcdedit /set dsrepair às safeboot

    Shutdown /s /t 0
    Observação Esses comandos desligar o controlador de domínio original. O controlador de domínio inicia no modo de reparo do DS. Isso garante que se o controlador de domínio for reiniciado acidentalmente a qualquer momento antes de concluir essas etapas, você não precisará reiniciar o procedimento desde o início.
  2. Reinicie normalmente DC duplicado usando o seguinte comando:
    shutdown /r /t 0
  3. Pause o serviço Netlogon no controlador de domínio duplicado usando o seguinte comando:
    SC. exe pausa netlogon
    Observação Este comando impede que outros local automática do DC duplicado por usuários e computadores.
  4. Desative a entrada replicação do AD DS no controlador de domínio duplicado localmente usando o seguinte comando:
    Repadmin. exe help <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    Por exemplo, execute o seguinte comando:
    Repadmin. exe help DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    Observação Este comando impede que outras atualizações sendo feitas DC duplicado de outros controladores de domínio.
  5. Opcional: Se você ainda não tiver um terceiro "DC existente" (isto é, você tentou clonar o DC somente no domínio), você deve promover um novo DC normalmente no mesmo domínio do AD e do site como DC duplicado. Se um DC existente neste domínio não foi duplicado, ignore esta etapa.
  6. Se você executar a etapa 5, verifique se o controlador de domínio novo ou existente tem uma parceria de duplicação de entrada de DC duplicado. Se for necessário, use o comando DsSites.msc ou /addrepsto do Repadmin. exe para criar uma conexão manual. Verificar se o DC duplicado está configurado para replicar com êxito a saída com o controlador de domínio novo ou existente localmente, executando o seguinte comando no controlador de domínio duplicado:
    /Showrepl Repadmin. exe<new dc="" name=""></new>
    Por exemplo, execute o seguinte comando:
    Repadmin. exe /showrepl dc1.corp.contoso.com
    Importante O controlador de domínio novo ou existente deve ter uma conexão de duplicação de entrada de DC duplicado antes de prosseguir para a próxima etapa.

    O argumento /repsto também pode ser usado para determinar conexões de replicação de saída do DC duplicado dentro do mesmo site ou para determinar se a notificação de alteração é configurada em links entre sites.
  7. No controlador de domínio duplicado, configurar o Firewall do Windows com segurança avançada (ou um firewall de terceiros) definindo as regras de entrada para as seguintes portas para bloco:
    • Portas 138 e 445 (através de TCP e UDP)
    • Portas 389 e 636 (via TCP)
    Por exemplo, execute os seguintes comandos:
    netsh advfirewall firewall add rule name = "MSFT bloquear LDAP" protocolo = tcp dir = em localport = 389 ação = block

    netsh advfirewall firewall add rule name = "MSFT bloquear LDAPS" protocolo = tcp dir = em localport = ação 636 = block

    netsh advfirewall firewall add rule name = "MSFT bloquear SMB" protocolo = tcp dir = em localport = ação 445 = block

    netsh advfirewall firewall add rule name = "MSFT bloquear NB DG" protocolo = tcp dir = em localport = 138 ação = block
    Observação Esta etapa impede que usuários de origem mais atualizações no controlador de domínio duplicado através de protocolos comuns de AD DS.
  8. Certifique-se de que todas as alterações pendentes replicam DC duplicado para o controlador de domínio novo ou existente. Para isso, use o seguinte comando no controlador de domínio duplicado localmente para certificar-se de que todas as alterações sejam replicadas saída da nomeação de domínio, configuração de nomeação e contextos de nomeação do DNS.

    Observação Esses comandos é necessário o GUID do DSA exibido pelo comando repadmin no passo 6.
    Repadmin. exe /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    Por exemplo, execute os seguintes comandos:
    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398 4bd3 48a4 a80d fb2ebafb984f dc = corp, dc = contoso, dc = com

    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = configuração, dc = corp, dc = contoso, dc = com

    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    Observação Quando toda a replicação em sincronia, o valor de estatísticas para o objeto e atributos de campos será "0" (zero). Se você remover o argumento /statistics, você pode ver os atributos pendentes de replicação e objetos específicos.
  9. Use o snap-in Group Policy Management Console (. msc) no Windows Server 2012 msc para certificar-se de que todas as alterações SYSVOL tem replicado do DC duplicado ao parceiro DC novo ou existente. Para fazer isso, clique no Status guia no snap-in e examine o conteúdo do guia.

    Anotações
    • Defina o controlador de domínio duplicado como linha de base.
    • Se todos os servidores de executam uma instalação Server Core, use o GPMC de um cliente Windows 8 que tem o Microsoft Server Administração ferramentas remoto (RSAT) instalado.
    • Se os servidores estão fora de sincronia, certifique-se de antes de continuar para a próxima etapa que as atualizações ausentes replicada de outro DC. Nesse caso, as atualizações seria as alterações de diretiva de grupo que foram feitas após a replicação de entrada foi desabilitada neste servidor na etapa 4.
  10. Impedir que o DC duplicado nunca iniciar novamente como um duplicado. Para fazer isso, desligar DC duplicado, fazer backup de seus discos para fins de proteção e depois descartar seus discos e a máquina virtual.
  11. Certifique-se de que o controlador de domínio novo ou existente replicou todas as atualizações de DC duplicadas que são de saída para outros controladores de domínio.

    Observação Esta ação garante que delta de alterações que foram criados no controlador de domínio duplicado para sempre não são perdidos na floresta.
  12. Opcional: Se você criou um novo DC na etapa 5, rebaixe normalmente novo DC.
  13. Iniciar o controlador de domínio original e faça logon usando a conta de administrador do DSRM.
  14. Execute os seguintes comandos:
    Bcdedit /deletevalue. safeboot

    Shutdown /r /t 0
    Observação Esses comandos removem o sinalizador de inicialização DSRM automático para todas as reinicializações subseqüentes.
  15. Habilite localmente entrada replicação do AD DS no DC de origem original usando o seguinte comando:
    Repadmin. exe help <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    Por exemplo, use o seguinte comando:
    Repadmin. exe help DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. Certifique-se de que os novos objetos criados no ambiente (para e da fonte original DC) são replicados para qualquer DC existente.

Mais Informações

Ao clonar um DC, controlador de domínio virtualizado implementa proteções criando uma nova identificação de chamada e então invalidar o pool RID local. Isso permite que o DC duplicado continuar replicar entrada e criar novos objetos de segurança. No entanto, outros metadados do servidor duplicado impede a duplicação do AD DS e SYSVOL saída trabalhando com outros controladores de domínio que estão atualmente no ambiente. Somente um novo DC com nenhuma associação anterior com o controlador de domínio duplicado pode permitir a duplicação de entrada de DC duplicado.

As etapas na seção "Resolução" garantem nenhum delta de alterações é perdido permanentemente. Essa perda ocorre se você desativar o controlador de domínio duplicado e descartá-lo. Se você iniciar o DC duplicado e observe imediatamente que é uma duplicata, você tem a opção para desativar o controlador de domínio duplicado e descartá-lo sem executar as etapas neste artigo. No entanto, esteja ciente de que quaisquer alterações feitas no controlador de domínio duplicado (como criação de objeto recentes, alterações de senha ou modificação de associação de grupo) serão permanentemente perdidas.

O potencial de duplicação DC existiu início no Windows 2000. No entanto, o Windows Server 2012 VCC faz duplicação DC mais provável de ocorrer que era em versões anteriores de sistemas operacionais. Essas etapas são aplicáveis, mesmo se não clonar um DC mas, em vez disso, tente recuperar um DC duplicado (virtual ou físico) que foi criado por meio da clonagem de disco.

Recomendamos que todos os domínios têm mais de um controlador de domínio.

O diretório de trabalho DSA é definido pela seguinte registro valor REG_SZ:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters Diretório de trabalho DSA

Referências

Para baixar o Remote Server Administration ferramentas para Windows 8, visite o seguinte site do Centro de Download da Microsoft:
http://www.microsoft.com/en-us/download/Details.aspx?ID=28972
Para obter mais informações sobre como redefinir a senha do DSRM, clique no número a seguir para ir para o artigo da Base de dados de Conhecimento da Microsoft:
322672 Como redefinir a senha da conta Directory Services Restore modo administrador no Windows Server 2003
Para obter mais informações sobre como configurar e solucionar problemas de controlador de domínio virtualizado, vá para os seguintes tópicos do Microsoft TechNet:
Introdução à virtualização do domínio do Active Directory Services (AD DS) (nível 100)

Virtualizado domínio controlador referência técnica (nível 300)

Propriedades

ID do artigo: 2742970 - Última revisão: sexta-feira, 14 de setembro de 2012 - Revisão: 1.0
Palavras-chave: 
kbmt KB2742970 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2742970

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com