Narazil jsem při řešení havárie Active Directory na nutnost připojit zpět do infrastruktury doménový řadič, který byl delší dobu vypnutý. Situace, kdy aktivní doménové řadiče vykazovaly „podivné“ chyby, někteří uživatelé se nemohli ověřit, nefungoval RADIUS server pro ověření VPN, atd., naznačovala, že stávající AD obsahují nějakou chybu či chyby.

Bohužel, po zapnutí tohoto doménové řadiče ostatní s ním odmítaly replikovat. I při vynucení replikace v AD Sites and Services se objevovala hláška obsahující mimo jiné toto: „It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source. „

https://support.microsoft.com/en-us/kb/2020053

Znamená to, že AD se brání zařazení „starého“ DC kvůli možnosti kolize neexistujících či změněných záznamů. Přesto lze tuto „obranu“ Active Directory vypnout. Na DC, který budete chtít replikovat s tímto „starým“ DC, upravte registry následovně.

Založte v registrech ve větvi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters klíč typu DWORD s názvem „Allow Replication With Divergent and Corrupt Partner“ a nastavte hodnotu na 1. Není nutný restart DC.

Řešení je detailně popsáno zde:

https://technet.microsoft.com/en-us/library/cc757610%28v=ws.10%29.aspx