ADのDFSRを壊して直す。
あけましておめでとうございます。
さて年末年始のお片付けということで自宅Hyper-Vで検証環境として眠ったADを整理しよう。
業務本番環境とかで見かけると死にたくなるような状況ですが、 自宅なのでヘーキヘーキ。
まぁ別に壊しちゃって全削除でも何ら問題ない環境ですが、 意図的に壊れかけの状態から復旧手順のテストをするのもめんどくさいので、 せっかく機会だと思ってトラシューしてみた。
repadmin /showrepl
レプリケートに失敗してますね。まぁそうだろう。
強制レプリケートでどーん。
してみましたが拒否られる。
多分この辺。とおもって一通りためす。 Active Directory レプリケーション イベント ID 2042 (このコンピューターがレプリケートされた後、長すぎます) - Windows Server | Microsoft Docs
壊れているほう(上書きしたいほう)に入って実施してみるも拒否られる。
何が起こっているか? そんな時はこちらへ。
DCDIAG /TEST:CheckSecurityErrors 便利。
AD昇格した際に作られる諸々必要なDNSのレコードが消失している。っぽい? レプリ元がFSMOのADではなく、自身のローカルDNSサービスを参照しており乖離が発生していた模様。 参照先をFSMOに合わせることで解決。←ここが案外はまりポイントでした。
これでエラーの内容がサービスプリンシパルが異なる。という内容に変わる。 が、何度確かめてもサービスプリンシパルはあっている。
上書きされる側(FSMOじゃないほう)でkdcのサービスを止める。
net stop kdc
この状態で再試行すると成功した。
ただレプリケートは依然、トゥームストーンがうんぬんのエラーで連携できないので↓のレジストリフラグ1を0に。
あと、こっち レジストリ キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner をDWORDでレジストリに追加して1にする。(とても強力。)
repadmin /syncall
なおったー!
諸々チェックは必要ですがお掃除完了。
本番環境だとそうそう壊れて180日以上放置されるとかないと思いますけど、 直そうと思えば直せた。
久々に楽しかったw
下
