none
Windows 2016 & 2019 上部署AD,但是3268端口不通 RRS feed

  • 问题

  • Windows 2016 & 2019 上部署AD,但是3268端口不通,在netstat -an里看不到3268,在其他机器上telnet,无法连接。

    PS: windows防火墙关闭,同一网段。


    2020年11月5日 4:49

答案

全部回复

  • 3268是GC正常工作的一个重要标志。你的机器是不是GC呢?

    如下是确认一个GC正常工作的流程:

    满足当前林设定的复制占有级别(Occupancy level),Win2000 SP2之前值为4Win2000 SP3后值为6,当林中域控复制完成后,IsGlobalCatalogReady值会立即置为True,服务器会同时开启TCP3268TCP3269端口,SRV记录也会立即得到更新,此时GC就开始正常工作了。

    1、验证GC是否提升成功

    使用LDP工具查看目标DCIsGlobalCatalogReady属性值为True

    从下图可以看出当前哪个域控制器是GC,且使用的端口是多少,默认的GC使用端口是3268

    2、验证提升后的全局编录服务器是否工作正常

    查看注册表HKLM\System\CurrentControlSet\Services\NTDS\Parameters

    键值”Global Catalog Promotion Complete”值为1,表示GC正常工作;

    同时查看32683269端口是否处于Listening监听的状态,如果处于,则说明对外正常提供服务。命令如下:

    2020年11月5日 7:09
  • 我个人猜测,可能是和组策略导致,也把组策略(默认域策略 和 默认 域控 策略)里的 Domain controller: LDAP server signing requirements 改成了 None,重启之后也还不行。

    1. isGlobalCatalogReady: FALSE

    2. DNS里,我的是在forward lookup zone->domain.com->_tcp里,显示_ldap和_gc,但是WS2016 & 2019没有_gc的值,但是_ldap有;在forward lookup zone->domain.com->_msdcs->gc->_tcp 里,则没有

    3. 注册表里,Global Catalog Promotion Complete 没有该条。

    4. 监听端口,无

    2020年11月5日 7:49
  • 3268只是GC对外提供服务的一个端口,客户端也是通过SRV记录定位GC的。

    默认情况下:域控制器策略不需要修改。此处的Domain controller: LDAP server signing requirements是不影响3268这个服务的。你可以尝试从如下着手:

    1,首先你要确认你的DC是否有提升GC这个动作。也在“Active Directory 站点和服务”里面,相应服务器里面的NTDS Settings勾选了“全局编录”。

    2、查看你的域控制器复制是否正常。命令最好是专门的查看复制的命令(我忘记那个命令怎么写了,你查查),dcdiag检查一域控整体,看哪个服务报错。

    3、只有满足了Occupancy level,IsGlobalCatalogReady才会等于True,才会有3268、3269提供服务。所以你要将重点放在这里。

    4、Global Catalog Promotion Complete 我的2016的AD中,注册表是有此值的。2019不知道没看过。

    另从你的描述中,可以确认你的DNS也不正常,像是有人动了手脚。

    DNS中,委派的_msdcs子域必须是如下结构(如不是,DNS可能不正常),不然就需重启netlogon服务,还不行,就要删除_msdcs.domain.com,然后新增主区域_msdcs.domain.com(在林中复制),然后在domain.com下委派_msdcs子域。


    监听端口,无。说明端口没开

    2020年11月5日 8:36
  • 我个人推测应该是你的林复制存在重大问题,造成当前故障DC的复制占有级无法达到,从而即便勾选当前DC为“全局编录”,也无法提升完成。你要重点解决林复制的问题。如下为GC故障排查及消除。

    https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/promoting-dc-to-global-catalog-server-issues

    https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/cannot-promote-dc-to-global-catalog-server

    2020年11月6日 0:47
  • 我之前在升级Exchange的时候,做过AD架构扩展,就遇到过这个问题,原始AD是2008R2,然后加了个2016的AD,3268端口不通,又加了台2012R2的AD,也不通,在WS2012R2的AD上,在注册表里,手动把键值 Global Catalog Partition Occupancy值改为0,端口就通了。但是这应该会影响到AD后期的复制。可以参考我之前的帖子: https://social.microsoft.com/Forums/zh-CN/f450c18d-31bd-475c-86a7-d4d081dc1f65/ldap-server-is-unavailable-error-when-preparing-ad-for-exchange-2016-install?forum=windowsserversystemzhchs

    ==================================

    一下内容是回答你前面回复的信息:

    1. 在AD站点与服务里,WS2016、2019的GC都是 勾选 的。

    2. AD复制:

    repadmin /showrepl *  里,没有显示failure, last success time都在1小时内

    repadmin /showrepl  我只在新部署的WS2019和WS2012R2的DC上各运行了1次(5-6个DC,3298的问题解决之后,后面下线),有1个报错,如下

    Source: Default-First-Site-Name\AD05
    ******* 1 CONSECUTIVE FAILURES since 2020-11-06 14:23:55
    Last error: 8464 (0x2110):
                Synchronization attempt failed because the destination DC is currently waiting to synchronize new partial attributes from source. This condition is normal if a recent schema change modified the partial attribute set. The destination partial attribute set is not a subset of source partial attribute set.
    Naming Context: DC=bcc,DC=contoso,DC=com,DC=cn
    Source: Default-First-Site-Name\AD05
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    AD05的机器在AWS上,WS2012R2,该机器和Local AD,是端口全开。

    这个BCC的子域,已无AD服务器,但是在NTDSUTIL和ADSI里都无法删除,显示如下,看不明白具体意思。

    DsRemoveDSDomainW error 0x2015(The directory service can perform the requested operation only on a leaf object.)  

    repadmin /replsum 没有报错

    DCDiag的结果

    Doing primary tests

       Testing server: Default-First-Site-Name\DC06   #(新的WS2019AD)
          Starting test: Advertising
             Warning: DsGetDcName returned information for \\DC01.contoso.com.cn, when we were trying to reach DC06.   #(DC01是WS2016的DCC,3298端口也不通)
             SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
             ......................... DC06 failed test Advertising
          Starting test: FrsEvent
             ......................... DC06 passed test FrsEvent
          Starting test: DFSREvent
             ......................... DC06 passed test DFSREvent
          Starting test: SysVolCheck
             ......................... DC06 passed test SysVolCheck
          Starting test: KccEvent
             An event occurred.  EventID: 0x40000617
                Time Generated: 11/06/2020   14:31:47
                Event String:
                The local domain controller has been selected to be a global catalog. However, the domain controller does not host a read-only replica of the following directory partition.
             An event occurred.  EventID: 0x4000062A
                Time Generated: 11/06/2020   14:31:47
                Event String:
                Promotion of the local domain controller to a global catalog has been delayed because the directory partition occupancy requirements have not been met. The occupancy requirement level and current domain controller level are as follows.
             An event occurred.  EventID: 0x40000456
                Time Generated: 11/06/2020   14:31:47
                Event String: Promotion of this domain controller to a global catalog will be delayed for the following interval.
             A warning event occurred.  EventID: 0x80000786
                Time Generated: 11/06/2020   14:36:19
                Event String: The attempt to establish a replication link to a read-only directory partition with the following parameters failed.
             ......................... DC06 passed test KccEvent
          Starting test: KnowsOfRoleHolders
             ......................... DC06 passed test KnowsOfRoleHolders
          Starting test: MachineAccount
             ......................... DC06 passed test MachineAccount
          Starting test: NCSecDesc
             ......................... DC06 passed test NCSecDesc
          Starting test: NetLogons
             Unable to connect to the NETLOGON share! (\\DC06\netlogon)
             [DC06] An net use or LsaPolicy operation failed with error 67, The network name cannot be found..
             ......................... DC06 failed test NetLogons
          Starting test: ObjectsReplicated

    ======================================================

    之前,我测试过,WS2019的AD,默认情况下,安装完,3298端口是开的,也可看到有 监听,WS2016的忘了。

    稍后,我重新弄个测试环境,和现在的生成环境做个对比,包括DNS,看下哪些地方有不一致的。

    2020年11月6日 6:52
  • 你这问题比较复杂:但总的原因来说,就是因为林的复制占用级未达到造成。因子域是非正常手段卸载让,通常新增的域控制器Occupancy将无法达到。你可以尝试将残留项做一个删除。 在根域的一台DC中,重启后进入DSRM模式,使用ntdsutil进行强制卸载残留项(步骤如下,不要禁用ADDS后使用ntdsutil)。 1、在CMD中,输入ntdsutil并回车 2、在ntdsutil提示符下,激活目录数据库实例 3、键入metadata cleanup并回车,在metadata cleanup提示符下,输入connections并回车 4、在server connections提示符下,输入connect to server XXX,其中XXX是您打算从中清理故障域控制器的元数据的域控制器(同一域中的根域拥有Schemma角色的域控制器)。 5、输入quit并回车,以返回到metadata cleanup提示符。 键入S O T(select operation target),然后回车。 6、输入list domains,然后回车。 这时会列出林中的所有域,且每个域会关联一个数字 7、输入选择域对应的数字,其中数字是故障服务器所在域的对应数字,并回车 8、输入list sites并回车 9、输入所选站点对应的编号,其中number表示域控制器所属的站点的编号,并回车。 10、再输入list servers,回车。这将列出该站点中具有相应编号的所有服务器。 11、输入所选服务器对应的编号,然后回车,其中编号是指要删除的域控制器。 12、输入quit,这时退到Metadata cleanup提示符界面 13、输入remove selected server并回车 14、此时,Active Directory确认已成功删除域控制器。如果收到错误消息,即找不到该对象,则可能是Active Directory已从域控制器中删除 15、输入quit,然后回车,直到返回CMD界面 重启DC,然后正常模式进入,在“Active Directory 域和信任关系”删除子域及信任关系,在Active Directory 站点和服务中删除相关服务器,并重选桥头堡服务器,并重构站点链接。
    2020年11月9日 8:49
  • Hi volnno

    1. 在list domain in site里,目前只有一个根域,子域没了

    2. 当我尝试在ADSI里删除 子域 (CN=bcc,CN=Partitions,CN=Configuration,DC=contoso,DC=com,DC=cn)的信息的时候  , 提示错误,内容见下方截图

    3. 目录服务的日志里有下面的warning

    The attempt to establish a replication link to a read-only directory partition with the following parameters failed. 
     
    Directory partition: 
    DC=bcc,DC=contoso,DC=com,DC=cn 
    Source domain controller: 
    CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com,DC=cn 
    Source domain controller address: 
    98b2dfb1-f684-4487-b2d4-dc9e1df1a735._msdcs.contoso.com.cn 
    Intersite transport (if any): 
     
    Additional Data 
    Error value: 
    8464 Synchronization attempt failed because the destination DC is currently waiting to synchronize new partial attributes from source. This condition is normal if a recent schema change modified the partial attribute set. The destination partial attribute set is not a subset of source partial attribute set.

    2020年11月11日 9:56
  • 你这故障超出我的意外了。现在我能给出的的方案是:

    你尝试重建一台同计算机名和域名子域(务必是同名,最好是子域DC同原环境同IP、同子网、同站点。这样会在配置分区里面注册原来不变的信息)。如果不可以,我只能建议你准备好重新搭建一套环境,做好域帐号和邮箱的跨林迁移。这是最后的无奈。因为Global Catalog Partition Occupancy的值不建议修改。这一定会造成后续的复制故障。

    如果可以顺利搭建,搭建完成后,在“Active Directory 站点和服务”里面复制一下桥头堡服务器和站点链接。观察相关域日志,等上一天左右后再正常卸载子域。如实在不能正常卸载,注册表项键值中,将LanmanServer改为NTServer,重启确认一下子域的相关域服务无法启动(无法登陆,无法联系到域控制器),然后关闭子域DC。然后再执行ntdsutil做清理操作。

    2020年11月13日 0:57
  • 你好



    只是检查以查看所提供的信息是否有帮助。

    如果您需要进一步的帮助,请告诉我们。



    最好的祝福,

    Vicky

      

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月27日 7:53
  • 没有重做子域,已经提交case
    2020年11月27日 8:49
  • 我仔细看了你以前的贴子,造成GC提升不成功,是复制占用级未达到造成的。先理一下你的林架构(父子域)。父域为contoso.com.cn,子域为bcc.contoso.com.cn

    一、林根域为contoso.com.cn,共有5台机器,分别为如下1-5。

    这5台域控的三个目录分区在contoso.com.cn域内完全一致。但显然,5号域控在扩展AD架构前已经无法工作了,这会造成一直尝试同步5号,因为你没有使用ntdsutil清理5号域控的残留。

    *安装Ex2016会扩展架构,其实在安装Exchange之前就应该使用常用命令查一下,查看域控的健康状态和复制情况是否正常。特别是这种多站点,多域的单林环境。如下命令还是很不错的。

    "dcdiag /v > c:\dc20201202.txt"

    "repadmin /showrepl * /csv > C:\showrepl.csv"

    “repadmin /showrepl >c:\showrepl.txt”

    “repadmin /replsum >c:\replsum.txt”

    1、DC01.contoso.com.cn

    2、WSUS.contoso.com.cn

    3、WSUS3.contoso.com.cn

    4、FS05.contoso.com.cn

    5、UPDT.contoso.com.cn(非正常卸载,同一个域内复制全部报错)

    二、子域bcc.contoso.com.cn,共4台机器。分别为:

    1、Contoso_AD_Pro01.bcc.contoso.com.cn

    2、Contoso_AD_Pro02.bcc.contoso.com.cn

    3、Contoso_AD_Pro03.bcc.contoso.com.cn

    4、Contoso_AD_Pro04.bcc.contoso.com.cn

    我现在理解的是:

    1、子域的4台域控全部为非正常卸载,你们确实比较狠。如果这样,4台子域会全部残留于活动目录中,因父子域有两个分区是林级别的同步的,configuration和Schema这两个目录分区在整个林中是完全同步的。

    2、除UPDT复制不正常外,其它根域控均正常复制。

    总之这一系列问题,造成占有级无法达到,你的GC终将无法提升成功。原因微软也说的很清楚的。如下和你类式问题的链接:

    Windows Server 2008 R2域控升级后GC一直未生效 (microsoft.com)

    而你想通过修改:Global Catalog Partition Occupancy注册表值来临时让GC工作起来,这是强列不推荐修改的。微软针对Occupancy的值有它的考量。默认2000SP3之后统一为6。6的解释在上面链接中有解释。

    现在还是强烈建议你按下面的来做,肯定是可以解决你的问题的:

    1、搭建子域之前,建立同子网(务必同子网,你可以在交换机上划个vlan,vlanif起个IP。确保和父域所有域控互通)。因我看你之前帖子,所有域控全部都在Default-First-Site-Name中。所以站点的就不用划分。如果以前在不同站点,就还要建以前相同名的站点。

    2、搭建一台同计算机名、域名的子域,,比如:Contoso_AD_Pro01.bcc.contoso.com.cn

    (最好08R2系统,不需要额外扩展域架构和Exchange架构字段)

    3、然后,在Contoso_AD_Pro01.bcc.contoso.com.cn这台DC上,使用ntdsutil工具删除所有子域。因为你在父域的DC上只能删除同域名的DC残留比如UPDT.contoso.com.cn这台。是没法删除子域的DC的残留的。步骤我再整理重发一下,重启Contoso_AD_Pro01.bcc.contoso.com.cn进入DSRM模式。

    1、在CMD中,输入ntdsutil并回车

    2、在ntdsutil提示符下,激活目录数据库实例

    3、键入metadata cleanup并回车,在metadata cleanup提示符下,输入connections并回车

    4、在server connections提示符下,输入connect to server Contoso_AD_Pro01.bcc.contoso.com.cn

    5、输入quit并回车,以返回到metadata cleanup提示符。 键入S O T(select operation target),然后回车。

    6、输入list domains,然后回车。 这时会列出林中的所有域,且每个域会关联一个数字

    7、输入选择域对应的数字,其中数字是故障服务器所在域的对应数字,并回车

    8、输入list sites并回车

    9、输入所选站点对应的编号,其中number表示域控制器所属的站点的编号,并回车。

    10、再输入list servers,回车。这将列出该站点中具有相应编号的所有服务器。

    11、输入所选服务器对应的编号,然后回车,其中编号是指要删除的域控制器。

    12、输入quit,这时退到Metadata cleanup提示符界面

    13、输入remove selected server并回车

    14、此时,Active Directory确认已成功删除域控制器。

    15、使用这样的方法删除其3台子域在域中的残留。注意3台分别是:

    Contoso_AD_Pro02.bcc.contoso.com.cn

    Contoso_AD_Pro03.bcc.contoso.com.cn

    Contoso_AD_Pro04.bcc.contoso.com.cn

    16、退出DSRM,使用正常的方式卸载Contoso_AD_Pro01.bcc.contoso.com.cn。这样是为是清除这个子域在林中所有5分区数据。

    17、同样的方法,进入根域某台DC的DSRM。使用同样的方法卸载UPDT.contoso.com.cn。

    这样问题是可以解决的。

    因为你通过NTDSUTIL工具清理子域,父子域这两个分区是相互复制的。

    CN=Configuration,DC=contoso,DC=com,DC=cn

    CN=Schema,CN=Configuration,DC=contoso,DC=com,DC=cn

    ,这可以删除与之相关,林中所有域控的注册表键值。而如果你使用ADDSEDIT来直接删,有些东西是删除不了的,会在注册表中有残留。这点务必要注意,不是特别情况不使用ADSIEDIT删除子域残留项。








    • 已编辑 volnno 2020年12月2日 7:35
    2020年12月2日 3:56
  • 在ADSI里,删了点东西,就OK了
    • 已标记为答案 往往外 2020年12月24日 1:41
    2020年12月24日 1:41
  • 意思是说,你在ADSI里面删除一些东西,整个林架构复制就完全正常了吗?


    2020年12月28日 8:33