Доступ к репликации заблокирован из-за ошибки с кодом состояния 8453 (0x2105)

Есть Главный Домен, поднял дочерний домен, создал сайт и репликацию на дочернем и на Главном. Репликация с стороны Дочернего проходит успешно, с стороны Главного – выдает ошибку. Все DC на Win2008R2.

  #####################################
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.
Контекст именования: DC=msk,DC=ruelta,DC=ru
Источник: RUELTAMSK\RUELTAMSK-PDC

******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.

Предполагаю что проблема кроется в правах, но конкретно где копать?

Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить

Обновление контроллеров домена до Windows Server 2016

2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».

4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.

6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.

Repadmin /syncall /AeS
repadmin /replsum

8. Перераспределяем роли FSMO:

[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]

9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.

10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить

repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum

11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.

Диагностика сервера каталогов

Выполнение начальной настройки:

Выполняется попытка поиска основного сервера…

Основной сервер = MSK-DC16

* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: SITE\MSK-DC16

Запуск проверки: Connectivity

……………………. MSK-DC16 – пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Maslovka\MSK-DC16

Запуск проверки: Advertising

……………………. MSK-DC16 – пройдена проверка Advertising

Запуск проверки: FrsEvent

……………………. MSK-DC16 – пройдена проверка FrsEvent

Запуск проверки: DFSREvent

За последние 24 часа после предоставления SYSVOL в общий доступ

зафиксированы предупреждения или сообщения об ошибках. Сбои при

репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 – пройдена проверка DFSREvent

Запуск проверки: SysVolCheck

……………………. MSK-DC16 – пройдена проверка SysVolCheck

Запуск проверки: KccEvent

……………………. MSK-DC16 – пройдена проверка KccEvent

Запуск проверки: KnowsOfRoleHolders

……………………. MSK-DC16 – пройдена проверка

KnowsOfRoleHolders

Запуск проверки: MachineAccount

……………………. MSK-DC16 – пройдена проверка MachineAccount

Запуск проверки: NCSecDesc

……………………. MSK-DC16 – пройдена проверка NCSecDesc

Запуск проверки: NetLogons

[MSK-DC16] В учетных данных пользователя отсутствует разрешение на

выполнение данной операции.

Учетная запись, используемая для этой проверки, должна иметь права на

вход в сеть

для домена данного компьютера.

……………………. MSK-DC16 – не пройдена проверка NetLogons

Запуск проверки: ObjectsReplicated

……………………. MSK-DC16 – пройдена проверка

ObjectsReplicated

Запуск проверки: Replications

[Проверка репликации,MSK-DC16] Сбой функции

DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105

“Доступ к репликации отвергнут.”

……………………. MSK-DC16 – не пройдена проверка Replications

Запуск проверки: RidManager

……………………. MSK-DC16 – пройдена проверка RidManager

Запуск проверки: Services

Не удалось открыть службу NTDS в MSK-DC16, ошибка 0x5

“Отказано в доступе.”

……………………. MSK-DC16 – не пройдена проверка Services

Запуск проверки: SystemLog

……………………. MSK-DC16 – пройдена проверка SystemLog

Запуск проверки: VerifyReferences

……………………. MSK-DC16 – пройдена проверка

VerifyReferences

Выполнение проверок разделов на: ForestDnsZones

Запуск проверки: CheckSDRefDom

……………………. ForestDnsZones – пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. ForestDnsZones – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones

Запуск проверки: CheckSDRefDom

……………………. DomainDnsZones – пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DomainDnsZones – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Schema

Запуск проверки: CheckSDRefDom

……………………. Schema – пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Schema – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Configuration

Запуск проверки: CheckSDRefDom

……………………. Configuration – пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Configuration – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DOMEN

Запуск проверки: CheckSDRefDom

……………………. DOMEN – пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DOMEN – пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: DOMEN.local

Запуск проверки: LocatorCheck

……………………. DOMEN.local – пройдена проверка LocatorCheck

Запуск проверки: Intersite

……………………. DOMEN.local – пройдена проверка Intersite

создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.

C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.

но при этом

Код: Выделить весь код

C:\Users\Администратор>dcdiag 
 
Диагностика сервера каталогов 
 
Выполнение начальной настройки: 
   Выполняется попытка поиска основного сервера... 
   Основной сервер = dcdom 
   * Идентифицирован лес AD. 
   Сбор начальных данных завершен. 
 
Выполнение обязательных начальных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Connectivity 
         ......................... DCDOM - пройдена проверка Connectivity 
 
Выполнение основных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Advertising 
         ......................... DCDOM - пройдена проверка Advertising 
      Запуск проверки: FrsEvent 
         ......................... DCDOM - пройдена проверка FrsEvent 
      Запуск проверки: DFSREvent 
         За последние 24 часа после предоставления SYSVOL в общий доступ 
         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при 
         репликации SYSVOL могут стать причиной проблем групповой политики. 
         ......................... DCDOM - не пройдена проверка DFSREvent 
      Запуск проверки: SysVolCheck 
         ......................... DCDOM - пройдена проверка SysVolCheck 
      Запуск проверки: KccEvent 
         ......................... DCDOM - пройдена проверка KccEvent 
      Запуск проверки: KnowsOfRoleHolders 
         ......................... DCDOM - пройдена проверка KnowsOfRoleHolders 
      Запуск проверки: MachineAccount 
         ......................... DCDOM - пройдена проверка MachineAccount 
      Запуск проверки: NCSecDesc 
         ......................... DCDOM - пройдена проверка NCSecDesc 
      Запуск проверки: NetLogons 
         ......................... DCDOM - пройдена проверка NetLogons 
      Запуск проверки: ObjectsReplicated 
         ......................... DCDOM - пройдена проверка ObjectsReplicated 
      Запуск проверки: Replications 
         ......................... DCDOM - пройдена проверка Replications 
      Запуск проверки: RidManager 
         ......................... DCDOM - пройдена проверка RidManager 
      Запуск проверки: Services 
         ......................... DCDOM - пройдена проверка Services 
      Запуск проверки: SystemLog 
         ......................... DCDOM - пройдена проверка SystemLog 
      Запуск проверки: VerifyReferences 
         ......................... DCDOM - пройдена проверка VerifyReferences 
 
 
   Выполнение проверок разделов на: DomainDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... DomainDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... DomainDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: domodedovo 
      Запуск проверки: CheckSDRefDom 
         ......................... domodedovo - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... domodedovo - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: ForestDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... ForestDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... ForestDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Schema 
      Запуск проверки: CheckSDRefDom 
         ......................... Schema - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Schema - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Configuration 
      Запуск проверки: CheckSDRefDom 
         ......................... Configuration - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Configuration - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок предприятия на: acoustic.local 
      Запуск проверки: LocatorCheck 
         ......................... acoustic.local - пройдена проверка 
         LocatorCheck 
      Запуск проверки: Intersite 
         ......................... acoustic.local - пройдена проверка Intersite

Код: Выделить весь код

C:\Users\Администратор>ipconfig /all 
 
Настройка протокола IP для Windows 
 
   Имя компьютера  . . . . . . . . . : dcdom 
   Основной DNS-суффикс  . . . . . . : domodedovo.acoustic.local 
   Тип узла. . . . . . . . . . . . . : Гибридный 
   IP-маршрутизация включена . . . . : Нет 
   WINS-прокси включен . . . . . . . : Нет 
   Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local 
                                       acoustic.local 
 
Ethernet adapter Подключение по локальной сети 2: 
 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it #2 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
   Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной) 
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   Основной шлюз. . . . . . . . . : 0.0.0.0 
                                       192.168.10.2 
   IAID DHCPv6 . . . . . . . . . . . : 302029826 
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61 
 
   DNS-серверы. . . . . . . . . . . : ::1 
                                       192.168.10.1 
                                       192.168.11.1 
   NetBios через TCP/IP. . . . . . . . : Включен 
 
Ethernet adapter Подключение по локальной сети: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61 
   DHCP включен. . . . . . . . . . . : Да 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер Подключение по локальной сети* 6: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да

между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html

Читайте также:  Skyforge ошибка 10029

результат нету.

создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.

C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.

но при этом

Код: Выделить весь код

C:\Users\Администратор>dcdiag 
 
Диагностика сервера каталогов 
 
Выполнение начальной настройки: 
   Выполняется попытка поиска основного сервера... 
   Основной сервер = dcdom 
   * Идентифицирован лес AD. 
   Сбор начальных данных завершен. 
 
Выполнение обязательных начальных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Connectivity 
         ......................... DCDOM - пройдена проверка Connectivity 
 
Выполнение основных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Advertising 
         ......................... DCDOM - пройдена проверка Advertising 
      Запуск проверки: FrsEvent 
         ......................... DCDOM - пройдена проверка FrsEvent 
      Запуск проверки: DFSREvent 
         За последние 24 часа после предоставления SYSVOL в общий доступ 
         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при 
         репликации SYSVOL могут стать причиной проблем групповой политики. 
         ......................... DCDOM - не пройдена проверка DFSREvent 
      Запуск проверки: SysVolCheck 
         ......................... DCDOM - пройдена проверка SysVolCheck 
      Запуск проверки: KccEvent 
         ......................... DCDOM - пройдена проверка KccEvent 
      Запуск проверки: KnowsOfRoleHolders 
         ......................... DCDOM - пройдена проверка KnowsOfRoleHolders 
      Запуск проверки: MachineAccount 
         ......................... DCDOM - пройдена проверка MachineAccount 
      Запуск проверки: NCSecDesc 
         ......................... DCDOM - пройдена проверка NCSecDesc 
      Запуск проверки: NetLogons 
         ......................... DCDOM - пройдена проверка NetLogons 
      Запуск проверки: ObjectsReplicated 
         ......................... DCDOM - пройдена проверка ObjectsReplicated 
      Запуск проверки: Replications 
         ......................... DCDOM - пройдена проверка Replications 
      Запуск проверки: RidManager 
         ......................... DCDOM - пройдена проверка RidManager 
      Запуск проверки: Services 
         ......................... DCDOM - пройдена проверка Services 
      Запуск проверки: SystemLog 
         ......................... DCDOM - пройдена проверка SystemLog 
      Запуск проверки: VerifyReferences 
         ......................... DCDOM - пройдена проверка VerifyReferences 
 
 
   Выполнение проверок разделов на: DomainDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... DomainDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... DomainDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: domodedovo 
      Запуск проверки: CheckSDRefDom 
         ......................... domodedovo - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... domodedovo - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: ForestDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... ForestDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... ForestDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Schema 
      Запуск проверки: CheckSDRefDom 
         ......................... Schema - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Schema - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Configuration 
      Запуск проверки: CheckSDRefDom 
         ......................... Configuration - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Configuration - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок предприятия на: acoustic.local 
      Запуск проверки: LocatorCheck 
         ......................... acoustic.local - пройдена проверка 
         LocatorCheck 
      Запуск проверки: Intersite 
         ......................... acoustic.local - пройдена проверка Intersite

Код: Выделить весь код

C:\Users\Администратор>ipconfig /all 
 
Настройка протокола IP для Windows 
 
   Имя компьютера  . . . . . . . . . : dcdom 
   Основной DNS-суффикс  . . . . . . : domodedovo.acoustic.local 
   Тип узла. . . . . . . . . . . . . : Гибридный 
   IP-маршрутизация включена . . . . : Нет 
   WINS-прокси включен . . . . . . . : Нет 
   Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local 
                                       acoustic.local 
 
Ethernet adapter Подключение по локальной сети 2: 
 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it #2 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
   Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной) 
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   Основной шлюз. . . . . . . . . : 0.0.0.0 
                                       192.168.10.2 
   IAID DHCPv6 . . . . . . . . . . . : 302029826 
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61 
 
   DNS-серверы. . . . . . . . . . . : ::1 
                                       192.168.10.1 
                                       192.168.11.1 
   NetBios через TCP/IP. . . . . . . . : Включен 
 
Ethernet adapter Подключение по локальной сети: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61 
   DHCP включен. . . . . . . . . . . : Да 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер Подключение по локальной сети* 6: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да

между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html

результат нету.

Аватара для ejik_off

Старожил

Сообщения: 471

Благодарности: 11

Доступ к репликации заблокирован из-за ошибки с кодом состояния 8453 (0x2105)


Профиль

|
Отправить PM


| Цитировать


Изменения

Всем доброго времени суток!!!!
Нужна помощь в решении проблем с репликациями, не понятно по какой причине начались проблемы. Вот на что обратил внимание, на DC-02 не смог зайти в оснастку ДНС, выходит ошибкаФайл 116870
В остнастке ДНС на сервере DC-01 Файл 116871. Отмечена запись – старый кд, его я использовал как промежуточное звено. Сейчас этот кд отключен (странно видимо я забыл его понизить и вывести из домена). Но это не главное, главное куда делись записи текущих КД, я думаю они здесь должны присутствовать. Так же на обоих КД куча ругани в евентах.
Логи с TNS-DC-01

Код: Выделить весь код

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          09.09.2014 21:25:41
Код события:   4015
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'" (может отсутствовать). Данные о событии содержат сведения об ошибке.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DNS-Server-Service" Guid="{71A551F5-C893-4849-886B-B5EC8502641E}" EventSourceName="DNS" />
    <EventID Qualifiers="49152">4015</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-09T15:25:41.000000000Z" />
    <EventRecordID>450</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>DNS Server</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security />
  </System>
  <EventData Name="DNS_EVENT_DS_INTERFACE_ERROR">
    <Data Name="param1">0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'</Data>
    <Binary>52000000</Binary>
  </EventData>
</Event>

Код: Выделить весь код

Имя журнала:   System
Источник:      Microsoft-Windows-Security-Kerberos
Дата:          09.09.2014 21:26:08
Код события:   4
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера tns-dc-02$. Использовалось целевое имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (INTEC.TNS-INTEC.KZ) отличается от домена клиента (INTEC.TNS-INTEC.KZ), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
    <EventID Qualifiers="16384">4</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-09T15:26:08.000000000Z" />
    <EventRecordID>29234</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="Server">tns-dc-02$</Data>
    <Data Name="TargetRealm">INTEC.TNS-INTEC.KZ</Data>
    <Data Name="Targetname">E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz</Data>
    <Data Name="ClientRealm">INTEC.TNS-INTEC.KZ</Data>
    <Binary>
    </Binary>
  </EventData>
</Event>

Код: Выделить весь код

Имя журнала:   System
Источник:      Microsoft-Windows-DistributedCOM
Дата:          10.09.2014 19:35:31
Код события:   10028
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  INTEC\x.viktor
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
Не удалось установить связь DCOM с компьютером TNS-DC-02.intec.tns-intec.kz через какой-либо из настроенных протоколов; запрос от PID     13c4 (C:\Windows\system32\ServerManager.exe).
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
    <EventID Qualifiers="0">10028</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-10T13:35:31.818973700Z" />
    <EventRecordID>30424</EventRecordID>
    <Correlation />
    <Execution ProcessID="628" ThreadID="716" />
    <Channel>System</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security UserID="S-1-5-21-1521604521-4016093352-2431814431-1668" />
  </System>
  <EventData>
    <Data Name="param1">TNS-DC-02.intec.tns-intec.kz</Data>
    <Data Name="param2">    13c4</Data>
    <Data Name="param3">C:\Windows\system32\ServerManager.exe</Data>
    <Binary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inary>
  </EventData>
</Event>

вывод repadmin

Читайте также:  СИНИЙ ЭКРАН КОДЫ ОШИБОК КОД 1049

Код: Выделить весь код

C:\Users\x.viktor>repadmin /showrepl

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\TNS-DC-01
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 4c330cbc-ea76-48e4-8891-f19b85ffef75
DSA - код вызова: 0a8b4e90-4ec4-45ed-930e-fee3e039c257

==== ВХОДЯЩИЕ СОСЕДИ   ======================================

DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        3562 последовательных ошибок.
        Последний успех @ 2014-09-09 16:25:08.

CN=Configuration,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        34 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

CN=Schema,CN=Configuration,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        33 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

DC=DomainDnsZones,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        35 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

DC=ForestDnsZones,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        33 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

и dcdiag

Код: Выделить весь код

C:\Users\x.viktor>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = TNS-DC-01
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\TNS-DC-01
      Запуск проверки: Connectivity
         Узел 4c330cbc-ea76-48e4-8891-f19b85ffef75._msdcs.intec.tns-intec.kz не
         удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
         и т. д.
         Получена ошибка при проверке подключения LDAP и RPC. Проверьте
         параметры брандмауэра.
         ......................... TNS-DC-01 - не пройдена проверка
         Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\TNS-DC-01
      Пропуск всех проверок, так как сервер TNS-DC-01 не отвечает на запросы
      службы каталогов.


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: intec
      Запуск проверки: CheckSDRefDom
         ......................... intec - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... intec - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: intec.tns-intec.kz
      Запуск проверки: LocatorCheck
         Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
         1355
         Не удается найти основной контроллер домена.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
         1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции
         DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         ......................... intec.tns-intec.kz - не пройдена проверка
         LocatorCheck
      Запуск проверки: Intersite
         ......................... intec.tns-intec.kz - пройдена проверка
         Intersite

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL – наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 – единственный контроллер домена
  • DC2 – новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли “Доменные службы Active Directory” и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:\Windows\system32>nltest /dclist:mydomain.local
Получить список контроллеров домена в домене "mydomain.local" из "\\dc1.mydomain.local".
    dc1.mydomain.local [PDC]  [DS] Сайт: Default-First-Site-Name
    DC2.mydomain.local        [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:\Windows\system32>dsquery server
"CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
"CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary
repadmin /queue
repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:\Users\pnm>netdom query FSMO
Хозяин схемы                dc1.mydomain.local
Хозяин именования доменов   dc1.mydomain.local
PDC                         dc1.mydomain.local
Диспетчер пула RID          dc1.mydomain.local
Хозяин инфраструктуры       dc1.mydomain.local
Команда выполнена успешно. 

Перенос ролей можно сделать двумя способами:

1. через оснастку “Active Directory – Домены и доверие”, открыв её из Диспетчера серверов – Средства.

Читайте также:  Ошибка сервера 400 на ютубе андроид как восстановить

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:\Users\pnm>ntdsutil 
ntdsutil: roles
fsmo maintenance: connections 
server connections: connect to server dc2
Привязка к dc2 ...
Подключен к dc2 с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize naming master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize schema master
quit
quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:\Users\pnm>netdom query FSMO
Хозяин схемы                dc2.mydomain.local
Хозяин именования доменов   dc2.mydomain.local
PDC                         dc2.mydomain.local
Диспетчер пула RID          dc2.mydomain.local
Хозяин инфраструктуры       dc2.mydomain.local
Команда выполнена успешно. 

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC2
    Запуск проверки: Connectivity
       Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
       разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
       Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
       брандмауэра.
       ......................... DC2 - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC2
      Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd – консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 — единственный контроллер домена
  • DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:\Windows\system32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене «mydomain.local» из «\\dc1.mydomain.local». dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:\Windows\system32&gt;dsquery server «CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local» «CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local»

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary repadmin /queue repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 … Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ……………………. DC2 — не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd — консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *