Как перенести контроллер домена если отвалился Керберос?

Question

[Антон Нагаец]

Добрый день.
Есть несколько контроллеров домена.
DC- Главный, держатель ролей FSMO, WIN2016

netdom query fsmo
Schema master DC.domain.local
Domain naming master DC.domain.local
PDC DC.domain.local
RID pool manager DC.domain.local
Infrastructure master DC.domain.local
The command completed successfully.

DC2 - Подчиненный WIN2019
DC1- Новый. WIN2019
После установки обновления знаменитого KB от 8 ноября 2022 на держателе ролей отвалился Kerberos.
Было принято решение перенести все роли на новый контроллер с повышением версии ОС и понижением сервера DC до рядового.
При диагностике домена перед переносом вышли ошибки по основному контроллеру

An error event occurred. EventID: 0xC0001B6F
Time Generated: 11/28/2022 10:38:51
Event String: "IsmServ" -
......................... DC1 failed test SystemLog
: kdc DC, - DISABLED, - AUTO_START
kdc [DC]
Test results for domain controllers:

DC: DC.local.domain
Domain: local.domain

TEST: Basic (Basc)
Error: kdc service is not running

TEST: Records registration (RReg)
Error: Record registrations cannot be found for all the network adapters

DC: dc2.local.domain
Domain: local.domain

TEST: Records registration (RReg)
Error: Record registrations cannot be found for all the network adapters

DC: dc1.local.domain
Domain: local.domain

TEST: Records registration (RReg)
Error: Record registrations cannot be found for all the network adapters

Summary of DNS test results:

Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: local.domain
DC PASS FAIL PASS PASS PASS FAIL n/a
dc2 PASS PASS PASS PASS PASS FAIL n/a
dc1 PASS PASS PASS PASS PASS FAIL n/a

......................... local.domain failed test DNS

Контроллеры реплицированы без ошибок.

repadmin /showrepl

Repadmin: running command /showrepl against full DC DC.domain.local
Default-First-Site-Name\DC
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: bf974387-10a0-4b2d-af12-ac5f00e456a6
DSA invocationID: bf974387-10a0-4b2d-af12-ac5f00e456a6

==== INBOUND NEIGHBORS ======================================

DC=domain,DC=local
Default-First-Site-Name\DC1 via RPC
DSA object GUID: b3e78b65-831f-48c8-8f62-8180f7c23fb6
Last attempt @ 2022-11-28 11:19:28 was successful.
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 139ed268-9460-42ba-8e36-5258f95137e8
Last attempt @ 2022-11-28 11:20:49 was successful.

CN=Configuration,DC=domain,DC=local
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 139ed268-9460-42ba-8e36-5258f95137e8
Last attempt @ 2022-11-28 10:57:04 was successful.
Default-First-Site-Name\DC1 via RPC
DSA object GUID: b3e78b65-831f-48c8-8f62-8180f7c23fb6
Last attempt @ 2022-11-28 10:57:04 was successful.

CN=Schema,CN=Configuration,DC=domain,DC=local
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 139ed268-9460-42ba-8e36-5258f95137e8
Last attempt @ 2022-11-28 10:57:04 was successful.
Default-First-Site-Name\DC1 via RPC
DSA object GUID: b3e78b65-831f-48c8-8f62-8180f7c23fb6
Last attempt @ 2022-11-28 10:57:04 was successful.

DC=DomainDnsZones,DC=domain,DC=local
Default-First-Site-Name\DC1 via RPC
DSA object GUID: b3e78b65-831f-48c8-8f62-8180f7c23fb6
Last attempt @ 2022-11-28 10:57:04 was successful.
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 139ed268-9460-42ba-8e36-5258f95137e8
Last attempt @ 2022-11-28 10:57:04 was successful.

DC=ForestDnsZones,DC=domain,DC=local
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 139ed268-9460-42ba-8e36-5258f95137e8
Last attempt @ 2022-11-28 10:57:04 was successful.
Default-First-Site-Name\DC1 via RPC
DSA object GUID: b3e78b65-831f-48c8-8f62-8180f7c23fb6
Last attempt @ 2022-11-28 10:57:04 was successful.

repadmin /replsummary
Replication Summary Start Time: 2022-11-28 11:23:42

Beginning data collection for replication summary, this may take awhile:
......
Source DSA largest delta fails/total %% error
DC1 28m:29s 0 / 10 0
DC2 28m:29s 0 / 10 0
DC 28m:30s 0 / 10 0

Destination DSA largest delta fails/total %% error
DC1 28m:29s 0 / 10 0
DC2 28m:30s 0 / 10 0
DC 26m:38s 0 / 10 0

При проверке dcdiag /test:netlogons все контроллеры "passed test Connectivity / Netlogons" но ошибка по RREG
Пользователи авторизуются на втором DC2 т.к. керберос на DC отключен, включить пока нельзя, отвалятся пользователи.

Можно ли при таких вводных провести перенос ролей и чем череваты ошибки ?

Answer 1

[Роман Безруков]

1. выполните не передачу, а захват ролей FSMO:

Move-ADDirectoryServerOperationMasterRole -Identity DC1 -OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster, DomainNamingMaster -Force

2. 17 ноября были выпущены Out-of-Band обновления, исправляющие проблемы с Kerberos и DC - скачиваются из Microsoft Update Catalog и устанавливаются вручную: KB5021654 для Windows Server 2016 и KB5021655 для Windows Server 2019

Comments

[Антон Нагаец]

Я читал про исправление исправлений, но уже как то ссыкатно ставить, да и обновить редакцию надо.
По поводу захвата не пришло в голову. Всегда передачу делал, а тут вот оно что.
Спасибо за совет.

[Роман Безруков]

Антон Нагаец, я уже неделю наблюдаю за инфраструктурой (~350 пользователей, DC на Windows Server 2019, Exchange2019, ферма RDS 2019) после установки Out-of-Band обновлений - все работает, пока тихо...

да и обновить редакцию надо

- не очень понял...редакции Standard достаточно для контроллера домена, режим работы леса/домена для 2016/2019/2022 один и тот же, версия схемы для 2016 = 87, для 2019/2022 = 88

[Alexey Dmitriev]

Антон Нагаец, что мешает удалить проблемное обновление с основного контроллера ?

[Антон Нагаец]

Alexey Dmitriev, наверно то что оно не удаляемое и изменяет порядковый номер редакции ОС.

[Антон Нагаец]

Роман Безруков, неправильно выразился. Обновление версии с 16 на 19. Там еще несколько факторов есть сторонних, почему и потребовался перенос.