虚拟化现存域控制器 (2030452)
Symptoms
现象
l 一个转换而来的域控制器不同步。
l 一个转换而来的域控制器上的DNS服务没有绑定到网络接口。
l 新虚拟机中的本地域数据库文件(Ntds.dit)损坏。
l 在Active Directory中域控制器变为“tombstoned“,并且没有同步。
l 与其他域控制器同步不稳定。
l 改变了虚拟机或源的新创建或删除的对象,在Active Directory上再现。
l 在域控制器上发生更新或序列号意外变化。
l Kerberos身份验证失败或信任失败。
l DNS查找失败。
l 你看到如下错误:
LSASS.EXE - System Error, security accounts manager initialization failed because of the following error: Directory Services cannot start. Error status 0xc00002e1.
Event ID: 1103
Description: "The windows directory services database could not be initialized and returned error 1032. Unrecoverable error, the directory can't continue."
Event ID 2042: It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
Purpose
目的
本文探讨了使用VMware Converter转换一台域控制器的技术和最佳实践。域控制器对硬件变化非常敏感。
Resolution
解决方案
从一个活动域控创建的虚拟机可能会表现出意外行为。域控制器对硬件变化非常敏感。当一台虚拟服务器被虚拟化后,呈现给操作系统的硬件可能会有很大的不同。另外,一个虚拟域控与一个相同的物理域控同时运行是有可能的,进而可能导致在AD之间不可预知的复制问题,甚至出现“tombstone“情况。如果你正在使用Windows NT,这些变化可能使目录或DNS服务器不能绑定网络连接。
依据您的环境,执行如下解决方案之一:
Windows 2000,2003和2008服务器
l 使用DCPROMO退役现有的域控制器,并在一个新虚拟机的全新安装的Windows服务器中提供一个新的域控。不要执行转换,但使用源服务器的主机名和IP地址。 (推荐)
l 确保另一个域控制器网络在线以及正确同步。如果该域控不可用,提供一个新的虚拟机域控制器并升级它。使用“DCPROMO“降级源域控制器。转换之前设置静态IP为DHCP模式。转换时,关闭源服务器的电源,重新分配一个静态的IP地址,并升级虚拟服务器。
注:
l 在现有物理或源服务器退役后,尽快启动实用新的虚拟机。否则会导致”tombstone”情况。
l 不要在转换向导中使用定制选项。使用这个步骤将毁坏目标服务器。
l 在开启有网络连接的新虚拟机前,请确认源服务器已关闭或退役。
l 如果要被虚拟化的服务器拥有任何FSMO角色,将该角色转移给现已运行的域控制器。如果在转换过程中发生问题,您可以在Active Directory中提供新的域控并执行其他AD操作,无需从不可用域控中取得角色。关于在Windows Server 2003中FSMO角色的更多信息,请参考微软知识库文章324801.
l 对当前Windows Server 2003 活动目录域带一个Windows Server 2008域控, 通过运行repadmin和 showreps命令来验证domain/forest功能性。在开始前,运行repadmin 和showreps命令来检查错误。
l 如果可能,尽量避免转换Windows NT域控。
l 不要在转换向导中使用定制选项。使用这个步骤将毁坏目标服务器。
l 不要使用在转换向导的定制选项。使用这个过程中摧毁目标服务器。
l 在开启有网络连接的新虚拟机前,始终确保源服务器已关闭或退役