Доступ к репликации заблокирован из-за ошибки с кодом состояния 8453 (0x2105)

Есть Главный Домен, поднял дочерний домен, создал сайт и репликацию на дочернем и на Главном. Репликация с стороны Дочернего проходит успешно, с стороны Главного – выдает ошибку. Все DC на Win2008R2.

  #####################################
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.
Контекст именования: DC=msk,DC=ruelta,DC=ru
Источник: RUELTAMSK\RUELTAMSK-PDC

******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.

Предполагаю что проблема кроется в правах, но конкретно где копать?

Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить

Обновление контроллеров домена до Windows Server 2016

2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».

4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.

6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.

Repadmin /syncall /AeS
repadmin /replsum

8. Перераспределяем роли FSMO:

[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]

9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.

10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить

repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum

11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.

Диагностика сервера каталогов

Выполнение начальной настройки:

Выполняется попытка поиска основного сервера…

Основной сервер = MSK-DC16

* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: SITE\MSK-DC16

Запуск проверки: Connectivity

……………………. MSK-DC16 – пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Maslovka\MSK-DC16

Запуск проверки: Advertising

……………………. MSK-DC16 – пройдена проверка Advertising

Запуск проверки: FrsEvent

……………………. MSK-DC16 – пройдена проверка FrsEvent

Запуск проверки: DFSREvent

За последние 24 часа после предоставления SYSVOL в общий доступ

зафиксированы предупреждения или сообщения об ошибках. Сбои при

репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 – пройдена проверка DFSREvent

Запуск проверки: SysVolCheck

……………………. MSK-DC16 – пройдена проверка SysVolCheck

Запуск проверки: KccEvent

……………………. MSK-DC16 – пройдена проверка KccEvent

Запуск проверки: KnowsOfRoleHolders

……………………. MSK-DC16 – пройдена проверка

KnowsOfRoleHolders

Запуск проверки: MachineAccount

……………………. MSK-DC16 – пройдена проверка MachineAccount

Запуск проверки: NCSecDesc

……………………. MSK-DC16 – пройдена проверка NCSecDesc

Запуск проверки: NetLogons

[MSK-DC16] В учетных данных пользователя отсутствует разрешение на

выполнение данной операции.

Учетная запись, используемая для этой проверки, должна иметь права на

вход в сеть

для домена данного компьютера.

……………………. MSK-DC16 – не пройдена проверка NetLogons

Запуск проверки: ObjectsReplicated

……………………. MSK-DC16 – пройдена проверка

ObjectsReplicated

Запуск проверки: Replications

[Проверка репликации,MSK-DC16] Сбой функции

DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105

“Доступ к репликации отвергнут.”

……………………. MSK-DC16 – не пройдена проверка Replications

Запуск проверки: RidManager

……………………. MSK-DC16 – пройдена проверка RidManager

Запуск проверки: Services

Не удалось открыть службу NTDS в MSK-DC16, ошибка 0x5

“Отказано в доступе.”

……………………. MSK-DC16 – не пройдена проверка Services

Запуск проверки: SystemLog

……………………. MSK-DC16 – пройдена проверка SystemLog

Запуск проверки: VerifyReferences

……………………. MSK-DC16 – пройдена проверка

VerifyReferences

Выполнение проверок разделов на: ForestDnsZones

Запуск проверки: CheckSDRefDom

……………………. ForestDnsZones – пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. ForestDnsZones – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones

Запуск проверки: CheckSDRefDom

……………………. DomainDnsZones – пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DomainDnsZones – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Schema

Запуск проверки: CheckSDRefDom

……………………. Schema – пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Schema – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Configuration

Запуск проверки: CheckSDRefDom

……………………. Configuration – пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Configuration – пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DOMEN

Запуск проверки: CheckSDRefDom

……………………. DOMEN – пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DOMEN – пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: DOMEN.local

Запуск проверки: LocatorCheck

……………………. DOMEN.local – пройдена проверка LocatorCheck

Запуск проверки: Intersite

……………………. DOMEN.local – пройдена проверка Intersite

создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.

C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.

но при этом

Код: Выделить весь код

C:\Users\Администратор>dcdiag 
 
Диагностика сервера каталогов 
 
Выполнение начальной настройки: 
   Выполняется попытка поиска основного сервера... 
   Основной сервер = dcdom 
   * Идентифицирован лес AD. 
   Сбор начальных данных завершен. 
 
Выполнение обязательных начальных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Connectivity 
         ......................... DCDOM - пройдена проверка Connectivity 
 
Выполнение основных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Advertising 
         ......................... DCDOM - пройдена проверка Advertising 
      Запуск проверки: FrsEvent 
         ......................... DCDOM - пройдена проверка FrsEvent 
      Запуск проверки: DFSREvent 
         За последние 24 часа после предоставления SYSVOL в общий доступ 
         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при 
         репликации SYSVOL могут стать причиной проблем групповой политики. 
         ......................... DCDOM - не пройдена проверка DFSREvent 
      Запуск проверки: SysVolCheck 
         ......................... DCDOM - пройдена проверка SysVolCheck 
      Запуск проверки: KccEvent 
         ......................... DCDOM - пройдена проверка KccEvent 
      Запуск проверки: KnowsOfRoleHolders 
         ......................... DCDOM - пройдена проверка KnowsOfRoleHolders 
      Запуск проверки: MachineAccount 
         ......................... DCDOM - пройдена проверка MachineAccount 
      Запуск проверки: NCSecDesc 
         ......................... DCDOM - пройдена проверка NCSecDesc 
      Запуск проверки: NetLogons 
         ......................... DCDOM - пройдена проверка NetLogons 
      Запуск проверки: ObjectsReplicated 
         ......................... DCDOM - пройдена проверка ObjectsReplicated 
      Запуск проверки: Replications 
         ......................... DCDOM - пройдена проверка Replications 
      Запуск проверки: RidManager 
         ......................... DCDOM - пройдена проверка RidManager 
      Запуск проверки: Services 
         ......................... DCDOM - пройдена проверка Services 
      Запуск проверки: SystemLog 
         ......................... DCDOM - пройдена проверка SystemLog 
      Запуск проверки: VerifyReferences 
         ......................... DCDOM - пройдена проверка VerifyReferences 
 
 
   Выполнение проверок разделов на: DomainDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... DomainDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... DomainDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: domodedovo 
      Запуск проверки: CheckSDRefDom 
         ......................... domodedovo - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... domodedovo - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: ForestDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... ForestDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... ForestDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Schema 
      Запуск проверки: CheckSDRefDom 
         ......................... Schema - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Schema - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Configuration 
      Запуск проверки: CheckSDRefDom 
         ......................... Configuration - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Configuration - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок предприятия на: acoustic.local 
      Запуск проверки: LocatorCheck 
         ......................... acoustic.local - пройдена проверка 
         LocatorCheck 
      Запуск проверки: Intersite 
         ......................... acoustic.local - пройдена проверка Intersite

Код: Выделить весь код

C:\Users\Администратор>ipconfig /all 
 
Настройка протокола IP для Windows 
 
   Имя компьютера  . . . . . . . . . : dcdom 
   Основной DNS-суффикс  . . . . . . : domodedovo.acoustic.local 
   Тип узла. . . . . . . . . . . . . : Гибридный 
   IP-маршрутизация включена . . . . : Нет 
   WINS-прокси включен . . . . . . . : Нет 
   Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local 
                                       acoustic.local 
 
Ethernet adapter Подключение по локальной сети 2: 
 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it #2 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
   Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной) 
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   Основной шлюз. . . . . . . . . : 0.0.0.0 
                                       192.168.10.2 
   IAID DHCPv6 . . . . . . . . . . . : 302029826 
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61 
 
   DNS-серверы. . . . . . . . . . . : ::1 
                                       192.168.10.1 
                                       192.168.11.1 
   NetBios через TCP/IP. . . . . . . . : Включен 
 
Ethernet adapter Подключение по локальной сети: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61 
   DHCP включен. . . . . . . . . . . : Да 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер Подключение по локальной сети* 6: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да

между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html

Читайте также:  43, 51, 128, ошибки VAN

результат нету.

создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.

C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.

но при этом

Код: Выделить весь код

C:\Users\Администратор>dcdiag 
 
Диагностика сервера каталогов 
 
Выполнение начальной настройки: 
   Выполняется попытка поиска основного сервера... 
   Основной сервер = dcdom 
   * Идентифицирован лес AD. 
   Сбор начальных данных завершен. 
 
Выполнение обязательных начальных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Connectivity 
         ......................... DCDOM - пройдена проверка Connectivity 
 
Выполнение основных проверок 
 
   Сервер проверки: domodedovo\DCDOM 
      Запуск проверки: Advertising 
         ......................... DCDOM - пройдена проверка Advertising 
      Запуск проверки: FrsEvent 
         ......................... DCDOM - пройдена проверка FrsEvent 
      Запуск проверки: DFSREvent 
         За последние 24 часа после предоставления SYSVOL в общий доступ 
         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при 
         репликации SYSVOL могут стать причиной проблем групповой политики. 
         ......................... DCDOM - не пройдена проверка DFSREvent 
      Запуск проверки: SysVolCheck 
         ......................... DCDOM - пройдена проверка SysVolCheck 
      Запуск проверки: KccEvent 
         ......................... DCDOM - пройдена проверка KccEvent 
      Запуск проверки: KnowsOfRoleHolders 
         ......................... DCDOM - пройдена проверка KnowsOfRoleHolders 
      Запуск проверки: MachineAccount 
         ......................... DCDOM - пройдена проверка MachineAccount 
      Запуск проверки: NCSecDesc 
         ......................... DCDOM - пройдена проверка NCSecDesc 
      Запуск проверки: NetLogons 
         ......................... DCDOM - пройдена проверка NetLogons 
      Запуск проверки: ObjectsReplicated 
         ......................... DCDOM - пройдена проверка ObjectsReplicated 
      Запуск проверки: Replications 
         ......................... DCDOM - пройдена проверка Replications 
      Запуск проверки: RidManager 
         ......................... DCDOM - пройдена проверка RidManager 
      Запуск проверки: Services 
         ......................... DCDOM - пройдена проверка Services 
      Запуск проверки: SystemLog 
         ......................... DCDOM - пройдена проверка SystemLog 
      Запуск проверки: VerifyReferences 
         ......................... DCDOM - пройдена проверка VerifyReferences 
 
 
   Выполнение проверок разделов на: DomainDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... DomainDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... DomainDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: domodedovo 
      Запуск проверки: CheckSDRefDom 
         ......................... domodedovo - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... domodedovo - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: ForestDnsZones 
      Запуск проверки: CheckSDRefDom 
         ......................... ForestDnsZones - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... ForestDnsZones - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Schema 
      Запуск проверки: CheckSDRefDom 
         ......................... Schema - пройдена проверка CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Schema - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок разделов на: Configuration 
      Запуск проверки: CheckSDRefDom 
         ......................... Configuration - пройдена проверка 
         CheckSDRefDom 
      Запуск проверки: CrossRefValidation 
         ......................... Configuration - пройдена проверка 
         CrossRefValidation 
 
   Выполнение проверок предприятия на: acoustic.local 
      Запуск проверки: LocatorCheck 
         ......................... acoustic.local - пройдена проверка 
         LocatorCheck 
      Запуск проверки: Intersite 
         ......................... acoustic.local - пройдена проверка Intersite

Код: Выделить весь код

C:\Users\Администратор>ipconfig /all 
 
Настройка протокола IP для Windows 
 
   Имя компьютера  . . . . . . . . . : dcdom 
   Основной DNS-суффикс  . . . . . . : domodedovo.acoustic.local 
   Тип узла. . . . . . . . . . . . . : Гибридный 
   IP-маршрутизация включена . . . . : Нет 
   WINS-прокси включен . . . . . . . : Нет 
   Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local 
                                       acoustic.local 
 
Ethernet adapter Подключение по локальной сети 2: 
 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it #2 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
   Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной) 
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной) 
   Маска подсети . . . . . . . . . . : 255.255.255.0 
   Основной шлюз. . . . . . . . . : 0.0.0.0 
                                       192.168.10.2 
   IAID DHCPv6 . . . . . . . . . . . : 302029826 
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61 
 
   DNS-серверы. . . . . . . . . . . : ::1 
                                       192.168.10.1 
                                       192.168.11.1 
   NetBios через TCP/IP. . . . . . . . : Включен 
 
Ethernet adapter Подключение по локальной сети: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab 
it 
   Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61 
   DHCP включен. . . . . . . . . . . : Да 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да 
 
Туннельный адаптер Подключение по локальной сети* 6: 
 
   Состояние среды. . . . . . . . : Среда передачи недоступна. 
   DNS-суффикс подключения . . . . . : 
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 
   DHCP включен. . . . . . . . . . . : Нет 
   Автонастройка включена. . . . . . : Да

между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html

результат нету.

Аватара для ejik_off

Старожил

Сообщения: 471

Благодарности: 11

Доступ к репликации заблокирован из-за ошибки с кодом состояния 8453 (0x2105)


Профиль

|
Отправить PM


| Цитировать


Изменения

Всем доброго времени суток!!!!
Нужна помощь в решении проблем с репликациями, не понятно по какой причине начались проблемы. Вот на что обратил внимание, на DC-02 не смог зайти в оснастку ДНС, выходит ошибкаФайл 116870
В остнастке ДНС на сервере DC-01 Файл 116871. Отмечена запись – старый кд, его я использовал как промежуточное звено. Сейчас этот кд отключен (странно видимо я забыл его понизить и вывести из домена). Но это не главное, главное куда делись записи текущих КД, я думаю они здесь должны присутствовать. Так же на обоих КД куча ругани в евентах.
Логи с TNS-DC-01

Код: Выделить весь код

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          09.09.2014 21:25:41
Код события:   4015
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'" (может отсутствовать). Данные о событии содержат сведения об ошибке.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DNS-Server-Service" Guid="{71A551F5-C893-4849-886B-B5EC8502641E}" EventSourceName="DNS" />
    <EventID Qualifiers="49152">4015</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-09T15:25:41.000000000Z" />
    <EventRecordID>450</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>DNS Server</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security />
  </System>
  <EventData Name="DNS_EVENT_DS_INTERFACE_ERROR">
    <Data Name="param1">0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'</Data>
    <Binary>52000000</Binary>
  </EventData>
</Event>

Код: Выделить весь код

Имя журнала:   System
Источник:      Microsoft-Windows-Security-Kerberos
Дата:          09.09.2014 21:26:08
Код события:   4
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера tns-dc-02$. Использовалось целевое имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (INTEC.TNS-INTEC.KZ) отличается от домена клиента (INTEC.TNS-INTEC.KZ), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
    <EventID Qualifiers="16384">4</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-09T15:26:08.000000000Z" />
    <EventRecordID>29234</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="Server">tns-dc-02$</Data>
    <Data Name="TargetRealm">INTEC.TNS-INTEC.KZ</Data>
    <Data Name="Targetname">E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz</Data>
    <Data Name="ClientRealm">INTEC.TNS-INTEC.KZ</Data>
    <Binary>
    </Binary>
  </EventData>
</Event>

Код: Выделить весь код

Имя журнала:   System
Источник:      Microsoft-Windows-DistributedCOM
Дата:          10.09.2014 19:35:31
Код события:   10028
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  INTEC\x.viktor
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
Не удалось установить связь DCOM с компьютером TNS-DC-02.intec.tns-intec.kz через какой-либо из настроенных протоколов; запрос от PID     13c4 (C:\Windows\system32\ServerManager.exe).
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
    <EventID Qualifiers="0">10028</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-10T13:35:31.818973700Z" />
    <EventRecordID>30424</EventRecordID>
    <Correlation />
    <Execution ProcessID="628" ThreadID="716" />
    <Channel>System</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security UserID="S-1-5-21-1521604521-4016093352-2431814431-1668" />
  </System>
  <EventData>
    <Data Name="param1">TNS-DC-02.intec.tns-intec.kz</Data>
    <Data Name="param2">    13c4</Data>
    <Data Name="param3">C:\Windows\system32\ServerManager.exe</Data>
    <Binary>3C5265636F726423313A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D313732323B47656E636F6D703D323B4465746C6F633D313731303B466C6167733D303B506172616D733D313B7B506172616D23303A307D3E3C5265636F726423323A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D313732323B47656E636F6D703D31383B4465746C6F633D313434323B466C6167733D303B506172616D733D313B7B506172616D23303A544E532D44432D30322E696E7465632E746E732D696E7465632E6B7A7D3E3C5265636F726423333A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D313732323B47656E636F6D703D31383B4465746C6F633D3332323B466C6167733D303B506172616D733D303B3E3C5265636F726423343A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D31313030313B47656E636F6D703D31383B4465746C6F633D3332303B466C6167733D303B506172616D733D313B7B506172616D23303A544E532D44432D30322E696E7465632E746E732D696E7465632E6B7A7D3E</Binary>
  </EventData>
</Event>

вывод repadmin

Читайте также:  Не могу войти в сбербанк онлайн с телефона код ошибки 30 02

Код: Выделить весь код

C:\Users\x.viktor>repadmin /showrepl

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\TNS-DC-01
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 4c330cbc-ea76-48e4-8891-f19b85ffef75
DSA - код вызова: 0a8b4e90-4ec4-45ed-930e-fee3e039c257

==== ВХОДЯЩИЕ СОСЕДИ   ======================================

DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        3562 последовательных ошибок.
        Последний успех @ 2014-09-09 16:25:08.

CN=Configuration,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        34 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

CN=Schema,CN=Configuration,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        33 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

DC=DomainDnsZones,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        35 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

DC=ForestDnsZones,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        33 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

и dcdiag

Код: Выделить весь код

C:\Users\x.viktor>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = TNS-DC-01
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\TNS-DC-01
      Запуск проверки: Connectivity
         Узел 4c330cbc-ea76-48e4-8891-f19b85ffef75._msdcs.intec.tns-intec.kz не
         удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
         и т. д.
         Получена ошибка при проверке подключения LDAP и RPC. Проверьте
         параметры брандмауэра.
         ......................... TNS-DC-01 - не пройдена проверка
         Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\TNS-DC-01
      Пропуск всех проверок, так как сервер TNS-DC-01 не отвечает на запросы
      службы каталогов.


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: intec
      Запуск проверки: CheckSDRefDom
         ......................... intec - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... intec - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: intec.tns-intec.kz
      Запуск проверки: LocatorCheck
         Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
         1355
         Не удается найти основной контроллер домена.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
         1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции
         DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         ......................... intec.tns-intec.kz - не пройдена проверка
         LocatorCheck
      Запуск проверки: Intersite
         ......................... intec.tns-intec.kz - пройдена проверка
         Intersite

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL – наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 – единственный контроллер домена
  • DC2 – новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли “Доменные службы Active Directory” и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:\Windows\system32>nltest /dclist:mydomain.local
Получить список контроллеров домена в домене "mydomain.local" из "\\dc1.mydomain.local".
    dc1.mydomain.local [PDC]  [DS] Сайт: Default-First-Site-Name
    DC2.mydomain.local        [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:\Windows\system32>dsquery server
"CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
"CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary
repadmin /queue
repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:\Users\pnm>netdom query FSMO
Хозяин схемы                dc1.mydomain.local
Хозяин именования доменов   dc1.mydomain.local
PDC                         dc1.mydomain.local
Диспетчер пула RID          dc1.mydomain.local
Хозяин инфраструктуры       dc1.mydomain.local
Команда выполнена успешно. 

Перенос ролей можно сделать двумя способами:

1. через оснастку “Active Directory – Домены и доверие”, открыв её из Диспетчера серверов – Средства.

Читайте также:  Ошибка времени исполнения с кодом исключения 0x80041002 — ExtraLAN.ru

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:\Users\pnm>ntdsutil 
ntdsutil: roles
fsmo maintenance: connections 
server connections: connect to server dc2
Привязка к dc2 ...
Подключен к dc2 с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize naming master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize schema master
quit
quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:\Users\pnm>netdom query FSMO
Хозяин схемы                dc2.mydomain.local
Хозяин именования доменов   dc2.mydomain.local
PDC                         dc2.mydomain.local
Диспетчер пула RID          dc2.mydomain.local
Хозяин инфраструктуры       dc2.mydomain.local
Команда выполнена успешно. 

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC2
    Запуск проверки: Connectivity
       Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
       разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
       Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
       брандмауэра.
       ......................... DC2 - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC2
      Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd – консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 — единственный контроллер домена
  • DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:\Windows\system32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене «mydomain.local» из «\\dc1.mydomain.local». dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:\Windows\system32&gt;dsquery server «CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local» «CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local»

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary repadmin /queue repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 … Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ……………………. DC2 — не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd — консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *