Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Привет, обыскал весь гугл. Везде только подобные заголовки тем без ответа.

есть 2 домен контролера DC1 и DC2, работающие в паре и взаимозаменяемые. Суть в том, что на DC1 были созданы групповые политики, которые почему то не отреплицировались на DC2. Папка sysvol на dc2 имееет только 2 политики ( Domain user policy & Domain Controller Policy) вместо 11 как на DC1.

Из за этого куча проблем с пользовательскими компьютерами, на которых то применяются групповые политики, то не применяются.

Где можно включить репликацию и синхронизацию?

п.с. домен настраивал не я.

Привет, обыскал весь гугл. Везде только подобные заголовки тем без ответа.

есть 2 домен контролера DC1 и DC2, работающие в паре и взаимозаменяемые. Суть в том, что на DC1 были созданы групповые политики, которые почему то не отреплицировались на DC2. Папка sysvol на dc2 имееет только 2 политики ( Domain user policy & Domain Controller Policy) вместо 11 как на DC1.

Из за этого куча проблем с пользовательскими компьютерами, на которых то применяются групповые политики, то не применяются.

Где можно включить репликацию и синхронизацию?

п.с. домен настраивал не я.

Есть Главный Домен, поднял дочерний домен, создал сайт и репликацию на дочернем и на Главном. Репликация с стороны Дочернего проходит успешно, с стороны Главного – выдает ошибку. Все DC на Win2008R2.

  #####################################
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.
Контекст именования: DC=msk,DC=ruelta,DC=ru
Источник: RUELTAMSK\RUELTAMSK-PDC

******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.

Предполагаю что проблема кроется в правах, но конкретно где копать?

 PhotosФотки   Слежу за темойСлежу за темой   ПоискПоиск   Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo Пользователи   ПрофильПрофиль/Профиль2   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfoВсе новые темы

Начать новую тему   Ответить на тему    Список форумов SYSAdmins.RU
-> WINDOWS
На страницу 1, 2, 3, 4  След.
 
Автор

sanay72
Новичок

Зарегистрирован: 15.05.2013
Пользователь #: 146,417
Сообщения: 32

Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пт 24 Май, 2013 15:28    Заголовок сообщения: Нет реплики серверов 2008 R2 Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Зарегистрируйтесь и реклама исчезнет!

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Maley
Активный участник

Зарегистрирован: 07.04.2007
Пользователь #: 54,097
Сообщения: 731
Откуда: Moscow
Репутация: 107.3 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 11

СообщениеДобавлено: Пт 24 Май, 2013 15:30    Заголовок сообщения: Ответить с цитатой


_________________
MCSA -> MCSE
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
sanay72
Новичок

Зарегистрирован: 15.05.2013
Пользователь #: 146,417
Сообщения: 32

Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пт 24 Май, 2013 15:34    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Maley
Активный участник

Зарегистрирован: 07.04.2007
Пользователь #: 54,097
Сообщения: 731
Откуда: Moscow
Репутация: 107.3 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 11

СообщениеДобавлено: Пт 24 Май, 2013 15:39    Заголовок сообщения: Ответить с цитатой


_________________
MCSA -> MCSE
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
sanay72
Новичок

Зарегистрирован: 15.05.2013
Пользователь #: 146,417
Сообщения: 32

Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пт 24 Май, 2013 15:41    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
sanay72
Новичок

Зарегистрирован: 15.05.2013
Пользователь #: 146,417
Сообщения: 32

Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пт 24 Май, 2013 15:50    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
sanay72
Новичок

Зарегистрирован: 15.05.2013
Пользователь #: 146,417
Сообщения: 32

Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пт 24 Май, 2013 16:23    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Maley
Активный участник

Зарегистрирован: 07.04.2007
Пользователь #: 54,097
Сообщения: 731
Откуда: Moscow
Репутация: 107.3 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 11

СообщениеДобавлено: Пт 24 Май, 2013 16:44    Заголовок сообщения: Ответить с цитатой


_________________
MCSA -> MCSE
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
sanay72
Новичок

Зарегистрирован: 15.05.2013
Пользователь #: 146,417
Сообщения: 32

Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пт 24 Май, 2013 16:49    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
NotAvailable
подпись на выбор, в личку sklifу

Зарегистрирован: 24.10.2008
Пользователь #: 72,497
Сообщения: 22887

Репутация: 1.1 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 137

СообщениеДобавлено: Пт 24 Май, 2013 16:52    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Похожие темы
Нет новых сообщений Дом стр клиента Lotus Notes – открыва… RomanRK IBM Lotus 9 Пт 24 Май, 2013 15:22 Посмотреть последнее сообщение
Нет новых сообщений Не могу настроить spamasassin на wind… qqwertyy SOFTWARE 7 Пт 24 Май, 2013 15:10 Посмотреть последнее сообщение
Нет новых сообщений Что за сервера Sector89 Компьютеры, серверы и любое железо 0 Пт 24 Май, 2013 13:24 Посмотреть последнее сообщение
Нет новых сообщений Не добавляются DNS записи на сервер FIL-23 WINDOWS 1 Пт 24 Май, 2013 8:17 Посмотреть последнее сообщение
Нет новых сообщений Нужен совет по оптимизации использова… Fe1ix ВИРТУАЛИЗАЦИЯ 0 Чт 23 Май, 2013 21:18 Посмотреть последнее сообщение
Похожие темы

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете добавлять приложения в этом форуме
Вы можете скачивать файлы в этом форуме

Пишите нам!
Архитектурная мастерская.
Продвижение сайтов от optimism.ru

Page generation time: 0.2063s (PHP: 81% – SQL: 19%) – SQL queries: 44 – GZIP disabled – Debug off

 
Автор

paulcom
Новичок

Зарегистрирован: 17.12.2009
Пользователь #: 83,737
Сообщения: 86

Репутация: 35.3Репутация: 35.3Репутация: 35.3Репутация: 35.3 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Вт 11 Фев, 2014 13:09    Заголовок сообщения: Не перехватываются роли у серверов в AD Ответить с цитатой


_________________
Чтобы научиться, чего не надо делать, лучше всего – потерять все, что имеешь. А когда знаешь, чего не надо делать, чтобы не терять деньги, начинаешь учиться тому, что надо делать, чтобы выигрывать.
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Зарегистрируйтесь и реклама исчезнет!

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
splintorjke
Житель sysadmins

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Зарегистрирован: 23.11.2008
Пользователь #: 73,699
Сообщения: 7662
Откуда: Из Окна в Европу
Репутация: 411.2Репутация: 411.2 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 78

СообщениеДобавлено: Вт 11 Фев, 2014 14:46    Заголовок сообщения: Ответить с цитатой


_________________
+0.01 cry MCP

(。◕‿‿◕。)
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
paulcom
Новичок

Зарегистрирован: 17.12.2009
Пользователь #: 83,737
Сообщения: 86

Репутация: 35.3Репутация: 35.3Репутация: 35.3Репутация: 35.3 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Вт 11 Фев, 2014 15:07    Заголовок сообщения: Ответить с цитатой


_________________
Чтобы научиться, чего не надо делать, лучше всего – потерять все, что имеешь. А когда знаешь, чего не надо делать, чтобы не терять деньги, начинаешь учиться тому, что надо делать, чтобы выигрывать.
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
PitDron
Активный участник

Зарегистрирован: 12.03.2013
Пользователь #: 145,365
Сообщения: 616

Репутация: 141.5 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 26

СообщениеДобавлено: Вт 11 Фев, 2014 16:43    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
splintorjke
Житель sysadmins

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Зарегистрирован: 23.11.2008
Пользователь #: 73,699
Сообщения: 7662
Откуда: Из Окна в Европу
Репутация: 411.2Репутация: 411.2 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 78

СообщениеДобавлено: Вт 11 Фев, 2014 16:50    Заголовок сообщения: Ответить с цитатой


_________________
+0.01 cry MCP

(。◕‿‿◕。)
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Hubo
Активный участник

Зарегистрирован: 16.09.2003
Пользователь #: 9,797
Сообщения: 988
Откуда: Moskow
Репутация: 165Репутация: 165 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 4

СообщениеДобавлено: Ср 12 Фев, 2014 12:23    Заголовок сообщения: Ответить с цитатой


_________________
Не стоит бояться смерти. Пока ты жив – её ещё нет, вогда умер – её уже не будет.
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
paulcom
Новичок

Зарегистрирован: 17.12.2009
Пользователь #: 83,737
Сообщения: 86

Репутация: 35.3Репутация: 35.3Репутация: 35.3Репутация: 35.3 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Ср 12 Фев, 2014 17:33    Заголовок сообщения: Ответить с цитатой


_________________
Чтобы научиться, чего не надо делать, лучше всего – потерять все, что имеешь. А когда знаешь, чего не надо делать, чтобы не терять деньги, начинаешь учиться тому, что надо делать, чтобы выигрывать.
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Diamante
Активный участник

Зарегистрирован: 27.07.2004
Пользователь #: 19,320
Сообщения: 691
Откуда: Moscow
Репутация: 129.7 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 4

СообщениеДобавлено: Ср 12 Фев, 2014 20:36    Заголовок сообщения: Ответить с цитатой


_________________
have trouble in windows – reboot, have trouble in linux, be root
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Hubo
Активный участник

Зарегистрирован: 16.09.2003
Пользователь #: 9,797
Сообщения: 988
Откуда: Moskow
Репутация: 165Репутация: 165 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 4

СообщениеДобавлено: Чт 13 Фев, 2014 10:39    Заголовок сообщения: Ответить с цитатой


_________________
Не стоит бояться смерти. Пока ты жив – её ещё нет, вогда умер – её уже не будет.
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Похожие темы
Нет новых сообщений Выбор SSD под типа “сервер” corbenSG Компьютеры, серверы и любое железо 10 Вт 11 Фев, 2014 7:19 Посмотреть последнее сообщение
Нет новых сообщений Виртуализация сервера ibm x3400 vsslava ВИРТУАЛИЗАЦИЯ 12 Пн 10 Фев, 2014 13:05 Посмотреть последнее сообщение
Нет новых сообщений Link Agregation кроссом м/у двумя сер… МаксимК NETWORKS 1 Пн 10 Фев, 2014 3:22 Посмотреть последнее сообщение
Нет новых сообщений Где можно быстро продать серверы? Крашеклон Курилка 3 Чт 06 Фев, 2014 22:50 Посмотреть последнее сообщение
Нет новых сообщений Передача файлов из внутренней сети на… kuhtikov WINDOWS 3 Чт 06 Фев, 2014 22:04 Посмотреть последнее сообщение
Похожие темы

 PhotosФотки   Слежу за темойСлежу за темой   ПоискПоиск   Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo Пользователи   ПрофильПрофиль/Профиль2   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfoВсе новые темы

Начать новую тему   Ответить на тему    Список форумов SYSAdmins.RU
-> WINDOWS
На страницу 1, 2  След.
 
Автор

rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пн 01 Апр, 2013 15:19    Заголовок сообщения: Репликация AD Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Зарегистрируйтесь и реклама исчезнет!

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Daemon-FF
Участник форума

Зарегистрирован: 20.05.2008
Пользователь #: 69,246
Сообщения: 493
Откуда: Пермь
Репутация: 68.7 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 3

СообщениеДобавлено: Пн 01 Апр, 2013 16:58    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пн 01 Апр, 2013 17:40    Заголовок сообщения: Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пн 01 Апр, 2013 18:39    Заголовок сообщения: Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пн 01 Апр, 2013 18:54    Заголовок сообщения: Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пн 01 Апр, 2013 20:26    Заголовок сообщения: Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Пн 01 Апр, 2013 21:20    Заголовок сообщения: Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Daemon-FF
Участник форума

Зарегистрирован: 20.05.2008
Пользователь #: 69,246
Сообщения: 493
Откуда: Пермь
Репутация: 68.7 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 3

СообщениеДобавлено: Вт 02 Апр, 2013 8:00    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
PowerUser
Житель sysadmins

Зарегистрирован: 03.05.2005
Пользователь #: 26,085
Сообщения: 7498
Откуда: Москва
Репутация: 397.9Репутация: 397.9 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен
Голоса: 21

СообщениеДобавлено: Вт 02 Апр, 2013 9:09    Заголовок сообщения: Ответить с цитатой

Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
rezets
Участник форума

Зарегистрирован: 04.12.2008
Пользователь #: 74,177
Сообщения: 117

Репутация: 46Репутация: 46Репутация: 46Репутация: 46Репутация: 46 Добавь репутацию, если тебе помоглиСними репутацию если пользователь неадекватен

СообщениеДобавлено: Вт 02 Апр, 2013 9:45    Заголовок сообщения: Ответить с цитатой


_________________
недолго мучилась старушка…
Вернуться к началу

Посмотреть профиль Отправить личное сообщение Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo
Похожие темы
Нет новых сообщений Репликация папок разных сетей без исп… snuk WINDOWS 12 Пт 22 Мар, 2013 14:08 Посмотреть последнее сообщение
Нет новых сообщений Полная репликация всех баз и папок Viking007 IBM Lotus 12 Пт 22 Мар, 2013 8:39 Посмотреть последнее сообщение
Нет новых сообщений Проблема с репликацией windows 2003 JohnLemon WINDOWS 12 Вт 19 Мар, 2013 10:50 Посмотреть последнее сообщение
Нет новых сообщений Проблема с репликацией контроллеров д… m7a7s7 WINDOWS 0 Пн 04 Мар, 2013 18:58 Посмотреть последнее сообщение
Нет новых сообщений переодическая ошибка репликации домена. amsher WINDOWS 7 Пт 01 Мар, 2013 16:32 Посмотреть последнее сообщение
Похожие темы

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете добавлять приложения в этом форуме
Вы можете скачивать файлы в этом форуме

Пишите нам!
Архитектурная мастерская.
Продвижение сайтов от optimism.ru

Page generation time: 0.1177s (PHP: 56% – SQL: 44%) – SQL queries: 39 – GZIP disabled – Debug off

Аватара для ejik_off

Старожил

Сообщения: 471

Благодарности: 11

Доступ к репликации запрещен с кодом состояния 8453 для dsreplicagetinfo


Профиль

|
Отправить PM


| Цитировать


Изменения

Всем доброго времени суток!!!!
Нужна помощь в решении проблем с репликациями, не понятно по какой причине начались проблемы. Вот на что обратил внимание, на DC-02 не смог зайти в оснастку ДНС, выходит ошибкаФайл 116870
В остнастке ДНС на сервере DC-01 Файл 116871. Отмечена запись – старый кд, его я использовал как промежуточное звено. Сейчас этот кд отключен (странно видимо я забыл его понизить и вывести из домена). Но это не главное, главное куда делись записи текущих КД, я думаю они здесь должны присутствовать. Так же на обоих КД куча ругани в евентах.
Логи с TNS-DC-01

Код: Выделить весь код

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          09.09.2014 21:25:41
Код события:   4015
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'" (может отсутствовать). Данные о событии содержат сведения об ошибке.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DNS-Server-Service" Guid="{71A551F5-C893-4849-886B-B5EC8502641E}" EventSourceName="DNS" />
    <EventID Qualifiers="49152">4015</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-09T15:25:41.000000000Z" />
    <EventRecordID>450</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>DNS Server</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security />
  </System>
  <EventData Name="DNS_EVENT_DS_INTERFACE_ERROR">
    <Data Name="param1">0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'</Data>
    <Binary>52000000</Binary>
  </EventData>
</Event>

Код: Выделить весь код

Имя журнала:   System
Источник:      Microsoft-Windows-Security-Kerberos
Дата:          09.09.2014 21:26:08
Код события:   4
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера tns-dc-02$. Использовалось целевое имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (INTEC.TNS-INTEC.KZ) отличается от домена клиента (INTEC.TNS-INTEC.KZ), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
    <EventID Qualifiers="16384">4</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-09T15:26:08.000000000Z" />
    <EventRecordID>29234</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="Server">tns-dc-02$</Data>
    <Data Name="TargetRealm">INTEC.TNS-INTEC.KZ</Data>
    <Data Name="Targetname">E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz</Data>
    <Data Name="ClientRealm">INTEC.TNS-INTEC.KZ</Data>
    <Binary>
    </Binary>
  </EventData>
</Event>

Код: Выделить весь код

Имя журнала:   System
Источник:      Microsoft-Windows-DistributedCOM
Дата:          10.09.2014 19:35:31
Код события:   10028
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  INTEC\x.viktor
Компьютер:     TNS-DC-01.intec.tns-intec.kz
Описание:
Не удалось установить связь DCOM с компьютером TNS-DC-02.intec.tns-intec.kz через какой-либо из настроенных протоколов; запрос от PID     13c4 (C:\Windows\system32\ServerManager.exe).
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
    <EventID Qualifiers="0">10028</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2014-09-10T13:35:31.818973700Z" />
    <EventRecordID>30424</EventRecordID>
    <Correlation />
    <Execution ProcessID="628" ThreadID="716" />
    <Channel>System</Channel>
    <Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
    <Security UserID="S-1-5-21-1521604521-4016093352-2431814431-1668" />
  </System>
  <EventData>
    <Data Name="param1">TNS-DC-02.intec.tns-intec.kz</Data>
    <Data Name="param2">    13c4</Data>
    <Data Name="param3">C:\Windows\system32\ServerManager.exe</Data>
    <Binary>3C5265636F726423313A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D313732323B47656E636F6D703D323B4465746C6F633D313731303B466C6167733D303B506172616D733D313B7B506172616D23303A307D3E3C5265636F726423323A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D313732323B47656E636F6D703D31383B4465746C6F633D313434323B466C6167733D303B506172616D733D313B7B506172616D23303A544E532D44432D30322E696E7465632E746E732D696E7465632E6B7A7D3E3C5265636F726423333A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D313732323B47656E636F6D703D31383B4465746C6F633D3332323B466C6167733D303B506172616D733D303B3E3C5265636F726423343A20436F6D70757465723D286E756C6C293B5069643D3632383B392F31302F323031342031333A33353A33313A3831373B5374617475733D31313030313B47656E636F6D703D31383B4465746C6F633D3332303B466C6167733D303B506172616D733D313B7B506172616D23303A544E532D44432D30322E696E7465632E746E732D696E7465632E6B7A7D3E</Binary>
  </EventData>
</Event>

вывод repadmin

Код: Выделить весь код

C:\Users\x.viktor>repadmin /showrepl

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\TNS-DC-01
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 4c330cbc-ea76-48e4-8891-f19b85ffef75
DSA - код вызова: 0a8b4e90-4ec4-45ed-930e-fee3e039c257

==== ВХОДЯЩИЕ СОСЕДИ   ======================================

DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        3562 последовательных ошибок.
        Последний успех @ 2014-09-09 16:25:08.

CN=Configuration,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        34 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

CN=Schema,CN=Configuration,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        33 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

DC=DomainDnsZones,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        35 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.

DC=ForestDnsZones,DC=intec,DC=tns-intec,DC=kz
    Default-First-Site-Name\TNS-DC-02 через  RPC
        DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
        Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        33 последовательных ошибок.
        Последний успех @ 2014-09-09 15:59:49.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

и dcdiag

Код: Выделить весь код

C:\Users\x.viktor>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = TNS-DC-01
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\TNS-DC-01
      Запуск проверки: Connectivity
         Узел 4c330cbc-ea76-48e4-8891-f19b85ffef75._msdcs.intec.tns-intec.kz не
         удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
         и т. д.
         Получена ошибка при проверке подключения LDAP и RPC. Проверьте
         параметры брандмауэра.
         ......................... TNS-DC-01 - не пройдена проверка
         Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\TNS-DC-01
      Пропуск всех проверок, так как сервер TNS-DC-01 не отвечает на запросы
      службы каталогов.


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: intec
      Запуск проверки: CheckSDRefDom
         ......................... intec - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... intec - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: intec.tns-intec.kz
      Запуск проверки: LocatorCheck
         Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
         1355
         Не удается найти основной контроллер домена.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
         1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции
         DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         ......................... intec.tns-intec.kz - не пройдена проверка
         LocatorCheck
      Запуск проверки: Intersite
         ......................... intec.tns-intec.kz - пройдена проверка
         Intersite

Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.

В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:

  • Error 2146893022 (главное конечное имя неверно);
  • Error 1908 (не удалось найти контроллер домена);
  • Error 8606 (недостаточно атрибутов для создания объекта);
  • Error 8453 (доступ к репликации отвергнут).

Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.

Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.

Архитектура леса
Рисунок. Архитектура леса

Роли системы и настройки

Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.

Два недостающих контроллера домена
Экран 1. Два недостающих контроллера домена

В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.

Статус репликации контроллеров домена
Экран 2. Статус репликации контроллеров домена

Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.

Ошибки репликации, возникающие в лесу Contoso
Экран 3. Ошибки репликации, возникающие в лесу Contoso

Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:

Repadmin /showrel * /csv > ShowRepl.csv

Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:

  1. Из меню Home щелкните Format as table и выберите один из стилей.
  2. Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
  3. Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
  4. Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
  5. Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
  6. Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.

Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:

1. Перейдите к приглашению PowerShell и введите команду

Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.

3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.

4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.

Задание фильтра
Экран 4. Задание фильтра

Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.

Исправление ошибки AD Replication Error -2146893022

Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:

Repadmin /showrepl dc2

На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.

Проблема с DC2 - целевое основное имя неверно
Экран 5. Проблема с DC2 – целевое основное имя неверно

Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:

Repadmin /bind DC1

На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).

Сообщение о событии с Event ID 4
Экран 6. Сообщение о событии с Event ID 4

Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:

Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta1.txt
Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta2.txt

Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.

KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:

Net stop kdc

Теперь требуется начать репликацию корневого раздела Root:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:

Net start kdc

Обнаружение и устранение ошибки AD Replication Error 1908

Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:

Nltest /dbflag:2080fff

Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:

Repadmin /replicate dc1 childdc1 dc=child,dc=root,
dc=contoso,dc=com

Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.

Репликация не состоялась, потому что DC домена не может быть найден
Экран 7. Репликация не состоялась, потому что DC домена не может быть найден

Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:

Nltest /dsgetdc:child /kdc

Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:

Nltest /dsgetdc:child

В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.

Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:\Windows\debug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:

DSGetDcName function called: client PID=2176,
Dom:child Acct:(null) Flags:KDC

Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.

Пример потока 3372

Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:

Dcdiag /test:dns /dnsdelegation > Dnstest.txt

На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.

Пример файла Dnstest.txt
Экран 8. Пример файла Dnstest.txt

Чтобы устранить проблему DNS, сделайте следующее:

1. На DC1 откройте консоль управления DNS.

2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.

3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.

4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.

5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.

6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.

7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.

8. Дважды нажмите кнопку OK.

9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.

10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:

Nltest /dsgetdc:child /kdc /force

11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду

Repadmin /replicate dc1 childdc1 «dc=child,dc=root,
dc=contoso,dc=com»

Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.

Использование оснастки Active Directory Sites и?Services
Экран 9. Использование оснастки Active Directory Sites и?Services

После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.

Ошибка при репликации
Экран 10. Ошибка при репликации

Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.

Устранение ошибки AD Replication Error 8606

Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).

Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:

Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.

Ошибка из-за наличия устаревшего объекта
Экран 11. Ошибка из-за наличия устаревшего объекта
Событие с кодом 1988
Экран 12. Событие с кодом 1988

Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.

Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:

Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt

Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).

Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:

Repadmin /showrepl DC1 > Showrepl.txt

В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:

DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e

Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.

Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4-
b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com»
/Advisory_mode

Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.

Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.

Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:

Repldiag /removelingeringobjects
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:

Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=root,dc=contoso,dc=com» /Advisory_mode

После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.

Сообщение об удалении устаревших объектов
Экран 13. Сообщение об удалении устаревших объектов

Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.

Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.

Устранение ошибки AD Replication Error 8453

Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.

Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:

Repadmin /showrepl childdc2 > Repl.txt

Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:

Boulder\ChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
WARNING: Not advertising as a global catalog

Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:

Source: Boulder\TRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
Replication access was denied
Naming Context: DC=treeroot,DC=fabrikam,DC=com

Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.

Отсутствие связи репликации
Экран 14. Отсутствие связи репликации

Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:

Dcdiag /test:checksecurityerror

На экране 15 показан фрагмент вывода DCDiag.exe.

Фрагмент вывода DCDiag.exe
Экран 15. Фрагмент вывода DCDiag.exe

Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.

Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:

1. На TRDC1 откройте оснастку ADSI Edit.

2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.

3. Выберите вкладку Security.

4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.

5. Нажмите Add.

6. В окне Enter the object names to select наберите ROOT\Enterprise Read-Only Domain Controllers.

7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.

8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений

*Read

*Read domain password &amp; lockout policies («Чтение политики блокировки и пароля домена»)

*Read Other domain parameters

9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.

10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду

Repadmin /kcc childdc2
Включение разрешения Replicating Directory Change
Экран 16. Включение разрешения Replicating Directory Change

Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.

Состояние репликации критически важно

Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.

Листинг 1. Команды для удаления устаревших объектов из Reference DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.
root.contoso.com 0b457f73-96a4-429b-ba81-
1a3e0f51c848 «dc=forestdnszones,dc=root,
dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Root.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»

Листинг 2. Команды для удаления устаревших объектов из остальных DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects dc1.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones–Root.
Repadmin /removelingeringobjects dc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=domaindnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Child.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones-Child.
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена TreeRoot.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc1.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 — единственный контроллер домена
  • DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:\Windows\system32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене «mydomain.local» из «\\dc1.mydomain.local». dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:\Windows\system32&gt;dsquery server «CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local» «CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local»

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary repadmin /queue repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 … Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ……………………. DC2 — не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd — консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

Читайте также:  VPN-key-TSL и WIN10

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *