ฉันเพิ่งเพิ่ม Server 2012 DC ใหม่และออฟไลน์ 2003 DC ก่อนหน้า ขณะนี้ Server 2012 DC เป็น DC เดียวในเครือข่าย ฉันยังเพิ่มนามแฝง (CNAME) เพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์ใหม่ได้ด้วยชื่อ DNS ของเซิร์ฟเวอร์เก่า

ตอนนี้ฉันเห็นข้อผิดพลาดและคำเตือนหลายรายการในบันทึกเหตุการณ์ซึ่งฉันสงสัยว่าเกี่ยวข้องกับ "สิ่งที่เหลือ" หรือการกำหนดค่าอื่นๆ ที่พยายามซิงค์กับเซิร์ฟเวอร์เก่า หนึ่งในเหตุการณ์เหล่านี้คือ: [ข้อผิดพลาด] Kerberos Event ID 4 - ไคลเอ็นต์ Kerberos ได้รับข้อผิดพลาด KRB_AP_ERR_MODIFIED จากเซิร์ฟเวอร์ new-srvr$ ชื่อเป้าหมายที่ใช้คือ cifs/old-srvr

ฉันหวังว่าจะมีคนให้ความกระจ่างมากกว่านี้ด้วยความละเอียดที่เป็นไปได้

อัปเดต: การเพิ่มรายละเอียดเพิ่มเติม ฉันได้ลดระดับ DC 2003 โดยใช้ dcpromo ก่อนที่จะออฟไลน์ ฉันต้องใช้ตัวเลือกบังคับ แต่เนื่องจากฉันได้รับข้อผิดพลาดที่เกี่ยวข้องกับ DomainDnsZones และ fSMOoleOwner ไม่แน่ใจว่าทำไมเพราะผมไม่ได้ตรวจสอบทั้งหมด 5 ของบทบาทเหล่านี้ได้โอนกรรมสิทธิ์ไปยังเซิร์ฟเวอร์ใหม่: แบบแผนหลักโดเมนตั้งชื่อต้นแบบหลักของโครงสร้างพื้นฐานสัมพัทธ์ ID (RID) โท PDC Emulator ผมทำตามคำแนะนำที่นี่

ประการที่สอง เหตุผลที่ฉันเพิ่ม CNAME นั้นมีไว้สำหรับ SMB และไม่เกี่ยวกับโดเมน ผมอยากให้ลูกค้าที่จะสามารถดำเนินการต่อเพื่อใช้งาน \ เก่าเซิร์ฟเวอร์และดังนั้นผมจึงทำตามคำแนะนำที่นี่

ฉันสงสัยว่าบางทีนี่อาจเป็นการปฏิบัติที่ "อันตราย" สำหรับ DC หรือไม่และไม่ควรทำ / ไม่ควรทำ

answer

"I also added an alias (CNAME) so that the new server can be accessed with the old server's DNS name."

ดีมาก แต่KRB_AP_ERR_MODIFIEDข้อผิดพลาดคือวิธีที่ Kerberos บอกให้คุณ $#@! ปิดเพราะชื่อไม่ตรงกัน ชื่อโฮสต์ ระเบียน DNS A และ SPN ทั้งหมดต้องตรงกัน ไม่สามารถใช้ระเบียน CNAME/alias ได้ในสถานการณ์นี้

(เพื่อให้เจาะจงยิ่งขึ้น ไคลเอนต์สร้าง SPN สำหรับ Kerberos โดยใช้ชื่อ DNS ของคอมพิวเตอร์ที่โฮสต์บริการที่ไคลเอนต์ต้องการเชื่อมต่อ หาก SPN นั้นไม่ได้ลงทะเบียนบนวัตถุคอมพิวเตอร์ใน AD ซึ่งจะไม่เป็น เนื่องจาก DC ใหม่มีชื่อต่างจาก DC เก่า Kerberos จะไม่ทำงาน)

คุณต้องดำเนินการล้างข้อมูลเมตาของ DC เก่า

https://technet.microsoft.com/en-us/library/Cc816907(v=WS.10).aspx

เลื่อนลงไปที่ด้านล่างของบทความซึ่งจะอธิบายวิธีใช้ ntdsutil เพื่อล้างข้อมูลเมตา

ลบ CNAME นั้น ลบระเบียน DNS ที่ยังหลงเหลือซึ่งอ้างถึงเซิร์ฟเวอร์เก่า ซึ่งรวมถึงระเบียน A, บันทึก SRV, บันทึก PTR เป็นต้น

ตรวจสอบสมาชิกโดเมนทุกคนและให้แน่ใจว่าพวกเขากำลังใช้ที่อยู่ IP ของตัวควบคุมโดเมนใหม่เป็นตัวแก้ไข DNS เพียงตัวเดียว