Exchange災難恢復之GC轉移和ex轉移實錄

最早是一臺ip為192.168.0.1（下稱a）的服務器做單獨的dc，一個單dc域環境，在防火墻（netscreen）做nat，這個dc又作為外部mail（ex2k）服務器，后來又添置兩臺ibm服務器，做了另外兩個dc，ip分別是192.168.0.6（作為代理服務器ISA，下稱b），192.168.0.10（作為郵件服務器ex2k，下稱c），全局編錄gc是a（192.168.0.1），pdc，rid，基礎結構都是a，后來我想把a降級，停用，把全局編錄，pdc，rid，基礎結構服務器都設置成b，重啟服務器以后，把a從網絡中移開，發現客戶端登陸域非常慢（后來發現是某些客戶端的網關指向a，更改即可），并且outlook登陸ex2k無法通過，提示找不到exchange服務器。服務器上總共出現三個典型一點的錯誤日志，分別是event id：9176，5778和36872，后兩種的內容如下：
事件類型: 警告
事件來源: Schannel
事件類別目錄: 無
事件識別碼: 36872
日期:  2003/8/14
時間:  下午 07:19:58
使用者:  不適用
計算機: b
描述:
這個系統不存在適合的預設服務器認證。這樣會防止 預期利用系統預設認證的服務器應用程序接受 SSL 聯機。 目錄服務器就是這樣的一個例子。管理自己認證的應用程序， 例如 internet 信息服務器不受這個影響。
事件類型: 信息
事件來源: NETLOGON
事件類別目錄: 無
事件識別碼: 5778
日期:  2003/8/14
時間:  下午 07:14:28
使用者:  不適用
計算機: b
描述:
ƉRD01@# 嘗試借著尋找 IP 地址 (192.168.0.131) 來判定它 在 DS Configuration\Sites\Subnets 容器中的站臺。找不到和 這個 IP 地址相符的子網絡。請考慮為這個 IP 地址新增一個子網絡對象。 

我找了9176的解決辦法，微軟稱：
XADM：錯誤消息：Network Problems Are Preventing Connection to the Microsoft Exchange Server Computer
這篇文章中的信息適用于: 
·    Microsoft Exchange 2000 Server
癥狀
重建全局編錄服務器后，MAPI 客戶端（如 Microsoft Outlook）無法連接到 Exchange 2000 Server 計算機。Outlook 客戶端可能收到下列錯誤消息之一： 
The name could not be resolved.Network problems are preventing connection to
the Microsoft Exchange Server Computer.Contact your system administrator if 
this condition persists.

Unable to expand the folder.The set of folders could not be opened.The 
information store could not be opened. 
您或許能夠使用 Internet 消息訪問協議版本 4rev1 (IMAP4) 和郵局協議版本 3 (POP3) 訪問郵箱。

在 Exchange 2000 Server 的應用程序日志中，可能記錄下列事件： 
Event Type: Error
Event Source: MSExchangeSA 
Event Category: (11)
Event ID: 9176
Date: 9/30/2000
Time: 9:58:21 AM
User: N/A 
Computer: EXCHANGESRVR

Description:NSPI Proxy can contact Global Catalog GCName but it does not support
the NSPI service.After a Domain Controller is promoted to a Global Catalog, the 
Global Catalog must be rebooted to support MAPI Clients.Reboot GCName as soon as possible.

For more information, click http://www.microsoft.com/contentredirect.asp. 
如果您重新啟動全局編錄服務器，并不能修復該問題。在該問題發生前連接到該服務器的 Outlook 2000 和更高版本的客戶端仍然可以連接。然而，新的客戶端連接嘗試不會成功。出現該行為的原因在于由智能客戶端功能和目錄服務檢索（RFR 接口）生成的緩存值。 
原因
出現該問題的原因在于名稱服務提供程序接口 (NSPI) 不是由全局編錄服務器公布的。 
解決方案
該問題在 Windows 2000 Service Pack 3 (SP3) 中得到修復。 
替代方法
要解決該問題，請將域控制器從全局編錄服務器身份降級，重新啟動全局編錄服務器，然后將該域控制器再次升級為全局編錄服務器。

備注：有關將 Windows 2000 域控制器升級為全局編錄服務器的信息，請參閱 Windows 2000 Server 聯機幫助。

在該域控制器報告它再次作為全局編錄服務器成功公布（通過在目錄服務事件日志中記錄事件 ID 1119）之后，請重新啟動該服務器以公布 NSP 接口。

停止然后重新啟動 Exchange 服務，或重新啟動 Exchange Server 計算機。Exchange Server 現在應該能夠連接到全局編錄服務器。 
更多信息
有關目錄服務檢索的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
256976 XCLN：How MAPI Clients Aclearcase/" target="_blank" >ccess Active Directory（MAPI 客戶端如何訪問 Active Directory） 
302914 XCCC：How Outlook 2000 Accesses Active Directory（Outlook 2000 如何訪問 Active Directory） 
有關在將 Windows 2000 域控制器升級為全局編錄服務器時 Exchange 2000 的相關注意事項，以及有關如何使用全局編錄 Partition Occupancy 注冊表值指示全局編錄升級進程，在公布自身之前，完成所有名稱上下文的完整復制的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
304403 XADM：Exchange Considerations for Promoting a Domain Controller to a Global Catalog
 Server（將域控制器升級為全局編錄服務器時 Exchange 的相關注意事項） （http://support.microsoft.com/default.aspx?scid=kb;zh-cn;280401）

后來,在Friday哥哥得教導之下,知道遷移gc關鍵是要讓新舊勢力共存2個小時左右,于是又找了一天下午免費加班測試,

以前是將a的身份降下來,然后立即停掉后,所有客戶端的outlook登陸時無法通過exchange2k驗證,昨天我測試將a這臺GC降級,將GC身份轉移到b這臺dc上面(包括操作主機,pdc,rid,基礎結構).讓2臺dc并行2個小時左右,讓原gc的信息充分復制到新的gc上面,發現以前的outlook登陸exchange2k驗證出錯問題不存在了,但是可能是由于dns出錯,所有用戶不能瀏覽internet(包括server),a上出現event,id是1265,并且每十五分鐘會出現一次.
事件類型:       警告 
事件來源:       NTDS KCC 
事件類別目錄:   知識一致性檢查程式 
事件識別碼:     1265 
日期:           2003/8/18 
時間:           18:46:31 
使用者:         不適用 
電腦:   A 
描述: 
嘗試建立一個含有下列參數的複寫連結: 
  
磁碟分割: CN=Schema,CN=Configuration,DC=gsmc,DC=com,DC=cn 
來源 DSA DN: CN=NTDS Settings,CN=MAILSRV,CN=Servers,CN=gsmc,CN=Sites,
CN=Configuration,DC=gsmc,DC=com,DC=cn 
來源 DSA 位址: 50231c98-b38f-459b-af50-bc9c6e1d1ed8._msdcs.gsmc.com.cn 
站臺間傳輸 (如果有的話): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=gsmc,DC=com,DC=cn 
  
但這操作失敗，下列為失敗的狀態: 
  
DSA 操作無法繼續，因為 DNS 對應失敗。 
  
記錄資料是狀態碼。將會再重試這個操作。 
資料: 
0000: 4c 21 00 00               L!..    
我查詢相關資料,發現:
As per Microsoft: "If this error is being reported for Active Directory 
replication between two domain controllers of different domains which have
a parent/child or tree root trust relationship, this error may be due to an
 absent critical object that represents the trust relationship between the two domains."
Status: "The DSA operation is unable to proceed because of a DNS lookup failure." See Q319202,
this issue occurs because the DNS Database does not have a service (SRV) resource record for the
domain controller.
而微軟的相關KB提示如下:
SYMPTOMS
When you try to replicate changes between replica partners in Active Directory directory service 
Sites and Services, you may receive the following error message: 

The following error occurred during the attempt to synchronize the domain controllers. 
The naming context is in the process of being removed or is not replicated from the specified server. 
An event ID message that is similar to the following may also be logged in the System event log:

Event ID: 1265
Source: NTDS KCC
Type: Warning
Category: Knowledge Consistency

The attempt to establish a replication link with parameters

Partition: DC=yourinfo,DC=yourinfo,DC=yourinfo,DC=com Source DSA DN: CN=NTDS Settings,CN=NT5-PCI-20,CN=Servers,CN=GSCIntranet,CN=Sites,CN=Configuration,DC=child,DC=yourdomain,DC=com
Source DSA Address: 
YourDomainController. YourDomain.com
Inter-site Transport (if any): 

failed with the following status:

The DSA operation is unable to proceed because of a DNS lookup failure. The record data 
is the status code. This operation will be retried. CAUSE
This issue occurs because the DNS Database does not have a service (SRV) resource record 
for the YourDomainController.YourDomain.com domain controller. 
RESOLUTION
To resolve this issue, follow these steps: 
1.    Ping the Domain Controller. To do so, type YourDomainController.YourDomain.com at the
 command prompt, and then press ENTER. 

If you receive a reply that the ping request could not find the host, the domain controller@#s
 SRV record is not populated in the DNS Database. 
2.    Check the configuration of DNS and make sure that Allow Dynamic Updates is enabled. 
To do this, follow these steps: 
1.    Click Start, point to Programs, click Administrative Tools, and then click DNS. 
2.    Expand the DNS folder. 
3.    Expand the Forward Lookup Zones folder. 
4.    Right-click the folder, and then click Properties. 
5.    In the Allow Dynamic Updates box, click Yes. 
6.    Click OK. 
7.    Stop and then restart DNS. 
3.    Stop and then restart the Netlogon service on YourDomainController. 

By doing this, you force the domain controller to register the appropriate SRV records. The 
change is then replicated to DNS. 
STATUS
Microsoft has confirmed this to be a problem in Microsoft Windows 2000. 

我檢查a的dns-Forward Lookup Zones-Properties,已經是支持動態更新的了,并且我也重啟了dns和netlogon服務.但是這個錯誤event還是每隔十五分鐘出現一次.

后來昨天終于發現一些問題了,大家注意事件1265里面得那個: CN=MAILSRV,話說這個mailsrv可有來頭,是我來之前那個水貨網管建立得一個測試服務器,最早是做單獨得dc來用得.然后我到ad站點和域控制臺一看,果不其然,有一個site,里面含有兩臺dc:mailsrv和mailserver.這兩臺dc現在根本就沒有用到了.于是我點擊右鍵刪除之….結果提示:無法刪除ads組件,狂暈一陣,然后到M$網站找到方法了,裝win2k tools,然后用adsi修改,刪除里面多余得dc,這樣問題解決了,event里面再也沒有出現錯誤提示了.

現在我又開始進行我得初衷:將a徹底得從我得dc群組里面消失掉,發現一旦停掉a,普通用戶還是會有那個無法找到exchange得錯誤.這個時候俺已經豁出去了,深呼吸一下,開始找一些問題點.突然發現在建立用戶得時候要選擇一個ex得母服務器,難不成是這個原因??于是,我新建一個用戶,選擇ex服務器是b,關掉a,測試---------各位觀眾,ok了…一切正常了,那么原來選擇exa得用戶我可以用exchage tasks得move mailbox遷移郵箱到b.這樣把a干掉.于是我手起刀落.唰…這個世界安靜了……..

綜上所述:問題一共有這幾個:gc,操作主機遷移造成dns錯誤提示,解決辦法:刪除作廢得或者退位得dc.(需要安裝windows2000 surport tools利用里面得adsi edit)
Ex2k遷移造成outlook登陸解析名稱錯誤,解決辦法:利用ex得tsks里面得move mailbox方法遷移郵箱.
,

原文轉自：http://www.kjueaiud.com