虛擬化現存域控制器 (2030452)
Symptoms
現象
l 一個轉換而來的域控制器不同步。
l 一個轉換而來的域控制器上的DNS服務沒有綁定到網絡接口。
l 新虛擬機中的本地域數據庫文件(Ntds.dit)損壞。
l 在Active Directory中域控制器變爲“tombstoned“,並且沒有同步。
l 與其他域控制器同步不穩定。
l 改變了虛擬機或源的新創建或刪除的對象,在Active Directory上再現。
l 在域控制器上發生更新或序列號意外變化。
l Kerberos身份驗證失敗或信任失敗。
l DNS查找失敗。
l 你看到如下錯誤:
LSASS.EXE - System Error, security accounts manager initialization failed because of the following error: Directory Services cannot start. Error status 0xc00002e1.
Event ID: 1103
Description: "The windows directory services database could not be initialized and returned error 1032. Unrecoverable error, the directory can't continue."
Event ID 2042: It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
Purpose
目的
本文探討了使用VMware Converter轉換一臺域控制器的技術和最佳實踐。域控制器對硬件變化非常敏感。
Resolution
解決方案
從一個活動域控創建的虛擬機可能會表現出意外行爲。域控制器對硬件變化非常敏感。當一臺虛擬服務器被虛擬化後,呈現給操作系統的硬件可能會有很大的不同。另外,一個虛擬域控與一個相同的物理域控同時運行是有可能的,進而可能導致在AD之間不可預知的複製問題,甚至出現“tombstone“情況。如果你正在使用Windows NT,這些變化可能使目錄或DNS服務器不能綁定網絡連接。
依據您的環境,執行如下解決方案之一:
Windows 2000,2003和2008服務器
l 使用DCPROMO退役現有的域控制器,並在一個新虛擬機的全新安裝的Windows服務器中提供一個新的域控。不要執行轉換,但使用源服務器的主機名和IP地址。 (推薦)
l 確保另一個域控制器網絡在線以及正確同步。如果該域控不可用,提供一個新的虛擬機域控制器並升級它。使用“DCPROMO“降級源域控制器。轉換之前設置靜態IP爲DHCP模式。轉換時,關閉源服務器的電源,重新分配一個靜態的IP地址,並升級虛擬服務器。
注:
l 在現有物理或源服務器退役後,儘快啓動實用新的虛擬機。否則會導致”tombstone”情況。
l 不要在轉換向導中使用定製選項。使用這個步驟將毀壞目標服務器。
l 在開啓有網絡連接的新虛擬機前,請確認源服務器已關閉或退役。
l 如果要被虛擬化的服務器擁有任何FSMO角色,將該角色轉移給現已運行的域控制器。如果在轉換過程中發生問題,您可以在Active Directory中提供新的域控並執行其他AD操作,無需從不可用域控中取得角色。關於在Windows Server 2003中FSMO角色的更多信息,請參考微軟知識庫文章324801.
l 對當前Windows Server 2003 活動目錄域帶一個Windows Server 2008域控, 通過運行repadmin和 showreps命令來驗證domain/forest功能性。在開始前,運行repadmin 和showreps命令來檢查錯誤。
l 如果可能,儘量避免轉換Windows NT域控。
l 不要在轉換向導中使用定製選項。使用這個步驟將毀壞目標服務器。
l 不要使用在轉換向導的定製選項。使用這個過程中摧毀目標服務器。
l 在開啓有網絡連接的新虛擬機前,始終確保源服務器已關閉或退役