Удастся ли «помирить» контроллеры домена?

Question

[Николай Шевцов]

Добрый день, Коллеги!
Так получилось, что в лесу Active Directory 2 контроллера одного домена оказались с несколько отличающимися ОС:
Основной контроллер в центральном офисе (DC) - Windows 2008 SP2 x86 (6.0.6002) - все FSMO роли
Вторичный контроллер в филиале Челябинска (DC-CHEL) - Windows 2008 R2 SP1 x64 (6.1.7601) - только GC
Всё это каким-то образом работало какое-то время, пока не начались вполне осязаемые пользователями проблемы с резолвом DNS-имен хостов домена.
Как позже я выяснил, какое-то время (довольно продолжительное) контроллеры не видели друг друга, а DC-CHEL вообще скорее всего был выключен. В журнале DNS с самого начала было предупреждение 4013, то есть ожидалось завершение первичной синхронизации каталога. И примерно через год она сменилась ошибкой 4000, после чего пользователи и ощутили неладное. В системном журнале каких-то прямых предпосылок увидеть не удалось. Косвенно возможно повлияли: предупреждение 29 от Kerberos-Key-Distribution-Center, и далее, когда пошла ошибка 4000 от DNS, посыпались 1055 от GroupPolicy, 4 от Security-Kerberos.
Очевидно, что изначально что-то мешало репликации. Контроллеры находятся в разных сайтах и разных подсетях. В стеке TCP/IP все в порядке, хотя был один момент, когда обратный маршрут на DC отсутствовал, но это исправили.
Возможных причин я вижу несколько:
1. Из-за различий версий Windows (R2 и не R2) службы AD не могут работать корректно вместе.
2. Предупреждение DNS 4013. Гугл приводит в совершенно разные топики. И советы тоже разные. Вплоть до выноса зоны DNS в отдельный DNS-сервер (не интегрированный в AD). Так и не понял до конца.
Возможно я что-то упустил. По ходу дополю, если что.
Какие варианты решения:
1. Понижение роли контроллера DC-CHEL (что тоже еще пока еще не осуществимо стандартными способами, dcpromo /forceRemoval не помогает, выдает ошибку "DFS Replication: Главное конечное имя неверно.") до рядового сервера. Приведение контроллеров к одной версии Windows.
2. Если все же совместная работа этих версий Windows возможна, то как-то заставить из реплицироваться.

repadmin /replsum
Время запуска сводки по репликации: 2015-09-24 01:51:25

Начат сбор данных для сводки по репликации, подождите:
  .....
Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
 DC               >60 days            5 /   5  100  (2148074274) Главное конечное имя неверно.

Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
 DC-CHEL          >60 days            5 /   5  100  (2148074274) Главное конечное имя неверно.

Возникли следующие ошибки при попытке получения сведений о репликации:
        8341 - dc.epa.net

В общем, что сейчас не делай с контроллером DC-CHEL, всё упирается в одну ошибку "Главное конечное имя неверно." Может подскажете что-нибудь более эффективное при меньших трудозатратах, чтобы контроллер не пришлось везти на переустановку винды из Челябинска, а потом обратно.

Answer 1

[Николай Шевцов]

Итак.
Помирить так и не удалось. Но после танцев с бубном таки сработало dcpromo /forceremoval. После чистки всех метаданных, поднял на нем RODC, что изначально и надо было сделать.

Answer 2

[Александр Никитин]

Различные версии Windows не мешают работать AD (главное что бы уровень леса и домена был равен самой старшей версии домена - в вашем случае Windows 2008).

Проблема ваша сугубо в репликации. Если один из контроллеров не мог реплицировать данные с другого более 180 дней - это печаль.

forum.oszone.net/thread-212829-4.html

Почитайте тут, похожий случай.