Light-electric.com

IT Журнал
146 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как реплицировать контроллер домена

Information Security Squad

stay tune stay secure

Инструмент Repadminl: проверка состояния репликации Active Directory

Чтобы поддерживать домен Active Directory в исправном состоянии, следует периодически проверять репликацию между контроллерами домена с помощью инструментов repadmin и dcdiag (мы рассмотрели использование утилиты dcdiag в предыдущем руководстве.

Репликация Active Directory полностью автоматизирована и правильно планирует конфигурацию архитектуры AD, сайтов и расписания репликации практически не требует ручного управления системным администратором.

Действительно, в небольших доменах AD с несколькими контроллерами домена (2-5) проблем с репликацией обычно почти нет, но в больших инфраструктурах из десятков и сотен контроллеров домена администратору домена часто приходится вмешиваться в процесс репликации и исправлять ошибки.

Средство командной строки repadmin можно использовать для мониторинга репликации, отслеживания сбоев репликации между контроллерами домена и принудительной репликации данных.

Утилита repadmin в Windows Server 2003 была включена в пакет средств поддержки, который необходимо было загрузить и установить вручную.

В Windows Server 2008 R2 и более поздних версиях средство repadmin автоматически устанавливается на контроллере домена при установке роли ADDS (доменные службы Active Directory).

Вы можете установить repadmin на настольные версии Windows (Wndows 10 / 8.1 / 7).

Для этого установите RSAT и включите опцию AD DS и AD LDS Tools.

Чтобы использовать repadmin, откройте командную строку от имени администратора.

Вы можете перечислить полный синтаксис команды, набрав:

Как видите, команда имеет довольно много опций.

Давайте попробуем изучить некоторые полезные примеры использования repadmin.

Чтобы быстро проверить работоспособность репликации между контроллерами домена, обычно используется следующая команда:

Как видите, в домене AD есть только 2 контроллера домена, между которыми в настоящее время нет ошибок репликации.

Каждый сервер действует как исходный DSA и целевой DSA.

Чтобы проверить оставшееся количество объектов каталога AD в очереди репликации, выполните:

Используя команду Repadmin / Showrepl, вы можете отобразить состояние репликации для текущего DC.

Она отображает время последней попытки репликации разделов Active Directory.

Если вы считаете, что какой-то контроллер домена не получает обновления репликации, выполните для него эту команду.

Совет. Для отображения подробной информации в любой команде используйте параметр /verbose.

Базовую доступность каталога LDAP на конкретном контроллере домена можно проверить с помощью команды:

Вы можете принудительно выполнить репликацию указанного контроллера домена со всеми партнерами по репликации DC, используя команду:

Не рекомендуется выполнять эту команду в больших доменах Active Directory, так как это может вызвать большую нагрузку на сеть.

Чтобы начать репликацию всех разделов Active Directory по всему лесу, выполните команду:

При использовании этой команды также возможна высокая нагрузка на каналы связи.

Команда Repadmin / kcc указывает KCC (Knowledge Consistency Checker) на указанном контроллере домена немедленно пересчитать топологию входящей репликации (она запускается автоматически каждые 15 минут).

Команда Repadmin / replicate позволяет вам реплицировать определенный раздел каталога с исходного DC на целевой. Например:

Диагностика репликации домена

Утилита Repadmin

REPADMIN /SHOWREPL
показывает состояние репликации для контроллера домена

REPADMIN /REPLSUMMARY
сводка репликации для всех DC леса

REPADMIN /SYNCALL
Запускает репликацию между DC и партнерами по репликации

Для более глубокого анализа можно задействовать команду:
REPADMIN *
(звездочка вместо использования имени DC).

Утилита FRSDiag

Диагностика с помощью утилиты FRSdiag.exe: в центре загрузки Microsoft есть утилиты «Windows 2003 support tools». Среди этих утилит (а возможно и отдельно от них) есть утилита «File Replication Service Diagnostics Tool» — FRSdiag.exe. Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать «GO». Утилита произведет диагностику и выдаст массу информации.

Восстановление репликации между контроллерами домена

Если по каким-то причинам один из контроллеров домена не работал более 60 дней, то прекращается синхронизация между контроллерами домена. Появляются разные сообщения об ошибках в логах. Чтобы восстановить синхронизацию, необходимо произвести несколько действий:

  1. провести диагностику с помощью утилиты FRSdiag.exe;
  2. удалить объекты, которые различаются на контроллерах домена. Обычно это устаревшие и уже давно удаленные объекты;
  3. разрешить репликацию с серверами, которых давно не было в сети;
  4. произвести репликацию, убедиться, что она успешная, и снова запретить репликацию с серверами, которых давно не было в сети.

1. Диагностика с помощью утилиты FRSdiag.exe

Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать «GO». Утилита произведет диагностику и выдаст массу информации. Если там будут следующие строки, переходите к следующим пунктам:

  • «Error 2042 It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime.»
  • «Use the «repadmin /removelingeringobjects» tool to remove inconsistent deleted objects and then resume replication.»

2. Удаление объектов, которые различаются на контроллерах домена

для этого служит команда:
Repadmin /removelingeringobjects
Не торопитесь ее выполнять! Там масса других параметров.
Описание здесь:
http://support.microsoft.com/kb/870695/en-us
НО! там тоже описано далеко не все! Вот более точная инструкция:
http://blogs.technet.com/b/glennl/archive/2007/07/26/clean-that-active-directory-forest-of-lingering-objects.aspx Что необходимо сделать: сначала надо «очистить» один из контроллеров домена, а потом будем использовать его в качестве эталона. Для этого сначала проводим инспекцию (что надо удалить). С этой целью используется опция /advisory_mode:

repadmin /removelingeringobjects Destination_domain_controller Source_domain_controller_GUID Directory_partition /advisory_mode
где:
Destination_domain_controller — имя контроллера, который будем «чистить».
Source_domain_controller_GUID — идентификатор контроллера, который будет использоваться в качестве «образца» для чистки.
Directory_partition — это разделы Active Directory (их можно посмотреть с помощью adsiedit.msc).

Узнать идентификатор контроллера несложно, есть 2 метода:

  1. At a command prompt, type repadmin /showrepl /v name of the authoritative server, and then press ENTER. The object GUID of the domain controller is listed in the DC object GUID field.
  2. Use the Active Directory Sites and Services tool to locate the object GUID of the source domain controller. To do this, follow these steps:
    1. Click Start, point to Administrative Tools, and then click Active Directory Sites and Services.
    2. Expand Sites, expand the site where your authoritative domain controller is located, expand Servers, and then expand the domain controller.
    3. Right-click NTDS Settings, and then click Properties.
    4. View the value in the DNS Alias box. The GUID that appears in front of _msdcs.forest_root_name.com is the object GUID of the domain controller. The Repadmin tool only requires the GUID. Do not include the _msdcs.forest_root_domain_name.com component in the Repadmin syntax.

Разделы Active Directory — как написано в инструкции:
?Domain directory partition (dc=domain_DN)
?Configuration directory partition (cn=Configuration,dc=forest_root_DN)
?Application directory partition or partitions
(cn=Application_directory_partition_name,dc=domain_DN)
(cn=Application_directory_partition_name,dc=forest_root_DN)
?Schema directory partition (cn=Schema, cn=Configuration,dc=,dc=forest_root_DN)

Итак, пример. У нас есть 3 контроллера домена: DC1, DC2, DC3, домен mydom.com. Сначала мы «почистим» DC1, используя в качестве образцов DC2 и DC3, а потом «почистим» DC2 и DC3, используя в качестве образца DC1: сначала берем «образец» для DC1 с DC2:
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 DC=ForestDNSZones,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 DC=DomainDNSZones,DC=MYDOM,DC=COM /advisory_mode

Читать еще:  Настройка доменной почты

потом залезаем в логи (Directory Service, источник NTDS Replication) и смотрим:

«Active Directory has completed the verification . Source domain controller: .
Number of objects examined and verified:
0
. «

Если количество объектов не 0, смотрим что это за объекты, и если все ок, грохаем (то же самое, но без advisory_mode):
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 CN=Configuration,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 DC=ForestDNSZones,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 DC=DomainDNSZones,DC=MYDOM,DC=COM

теперь берем «образец» для DC1 с DC3:
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 DC=ForestDNSZones,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 DC=DomainDNSZones,DC=MYDOM,DC=COM /advisory_mode

точно так же проверяем и выполняем те же команды, но уже без advisory_mode.

DC1 «очищен». Теперь так же «чистим» DC2 и DC3, но уже в качестве «образца» выступает DC1.
Для этого логинимся на DC2 (а потом на DC3) и выполняем:
Сначала с advisory_mode:
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 DC=ForestDNSZones,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 DC=DomainDNSZones,DC=MYDOM,DC=COM /advisory_mode

А потом то же самое без advisory_mode.

И то же самое повторяем для DC3: логинимся на него, запускаем эти команды с advisory_mode, смотрим логи, а потом запускаем без advisory_mode.

3. Разрешить/запретить репликацию с серверами, которых давно не было в сети

Для этого есть 2 ключа в реестре. Их необходимо выставить на каждом из контроллеров домена, чтобы между ними проходила репликация. После успешной синхронизации/репликации и (желательно неоднократной) проверки того, что все работает, указанные ключи проще всего удалить.

Содержимое REG файла:

После запуска разрешена синхронизация между контроллерами домена. Чтобы проверить, что контроллеры синхронизираются, необходимо на одном из них открыть: «Active Directory Sites and Services» -> Sites -> Default-First-Site-Name -> Servers Теперь по очереди открываем КАЖДЫЙ контроллер домена, у него — NTDS Settings, после чего кликаем правой кнопкой на имени контроллера домена (внутри NTDS Settings) и выбираем Replicate Now. Все должно синхронизироваться.

Теперь удаляем ключи из реестра (на всех контроллерах домена!):

Управление репликацией Active Directory

Обеспечение корректной репликации в лесу Active Directory – это одна из главных задач администратора AD. В этой статье попытаемся понять базовые принципы репликации базы Active Directory и методики диагностики неисправности. Стоит отметить, что репликации — один из основополагающих принципов построения современной корпоративной сети на базе AD, так, например, мы уже говорили о репликации групповых политик в домене AD и репликации зон DNS.

Для мониторинга репликации Active Directory в корпоративной среде Microsoft рекомендует использовать продукт SCOM (либо другие продукты мониторинга с похожим функционалом). Кроме того, для мониторинга репликации AD можно использовать утилиту repadmin (repadmin /showrepl * /csv) совместно с самописными скриптами анализа вывода этой утилиты. Типичные проблемы, связанные с ошибками репликации Active Directory, — ситуации, когда объекты не появляются в одном или нескольких сайтах (например, только что созданный пользователь, группа или другой объект AD не доступны на контроллерах домена в других сайтах).

Хорошая отправная точка для поиска неисправности в механизме репликации Active Directory – анализ журнала «Directory Services» на контроллерах домена. Конкретные действия будут зависеть от того, какие ошибки будут обнаружены в журнале, однако для разрешения проблем нужно достаточно четко понимать процессы репликации Active Directory.

Одним из базовых элементов управлением трафиком репликации между контроллерами домена являются сайты Active Directory. Сайты связаны между собой особыми связями, называемыми «site link», которые определяют стоимость маршрутизации данных AD (элементы леса, домена, папка SYSVOL и т.д.) между различными сайтами. Расчет алгоритма управления и маршрутизации трафика репликации в лесу ведется службой KCC.

KCC определяет партнеров по репликации для всех контроллеров домена в лесу. Для межсайтовой репликации KCC автоматически выбирает специальные сервера-плацдармы (bridgehead server), помимо этого, администратор домена может вручную указать контролеры домена, которые будут выполнять роль сервера-плацдарма для того или иного сайта, именно эти сервера и управляют межсайтовой репликацией. Сайты и сервера bridgehead нужны для того, чтобы удобно управлять трафиком репликации Active Directory, и чтобы уменьшить объем передаваемого трафика по сети.

Межсайтовую топологию в лесу можно проанализировать при помощи команды:

данная команда отобразит список сайтов в лесу Active Directory. Для каждого из сайтов указаны 3 значения: стоимость репликации между двумя сайтами, интервал репликации в минутах, а также дополнительные настроенные параметры межсайтовой связи. Вывод этой команды может выглядеть так:

В вышеприведённом логе видно, что в домене winitpro.ru существует 3 сайта, которые называется соответственно Site(0), Site(1) иSite(2). Каждый из сайтов имеет 3 набора репликационной информации, по одной для каждого сайта в лесу. Например, настроена связь между Sites(2) (LAB-Site3) и Site(0) (LAB-Site1), параметры этой связи — 10:30:0, что означает: 10 – стоимость репликации, и интервал репликации 30 минут. Также обратите внимание, что для сайта Site(2) задан сервер-плацдарм (bridgehead) – это контроллер домена с именем testlabdc2.

Контроллеры домена, партнеры по репликации – могут быть идентифицированы при помощи графического Gui или при помощи утилит командной строки. Откройте консоль MMC «Active Directory Sites and Services», разверните узел Sites, в нем найдите интересующий ваш сайт. В этом узле будут содержатся контроллеры домена, относящиеся к этому сайту. Развернув контроллер домена и выбрав пункт NTDS Settings, вы увидите всех партнеров по репликации данного контроллера домена.

В командной строке при помощи команды nslookup можно получить список контроллеров домена, относящихся к нашему сайту (естественно для этого необходимо, чтобы все DC имели корректные записи SRV). Формат команды такой:

на выходе получаем примерно следующее:

Чтобы для определенного контролера домена отобразить всех партнеров по репликации, с датой и временем последней репликации, воспользуйтесь командой:

Стоит отметить, что служба DNS – это важный компонент службы репликации Active Directory. Контроллеры домена регистрируют свои SRV записи в DNS. Каждый контроллер домена в лесу регистрирует записи CNAME вида dsaGuid._msdcs.forestName, где dsaGuid –GUID видимый у объекта в пункте NTDS Settings в консоли «AD Sites and Services». Если в журнале Directory Services есть ошибки, связанные со службой DNS, для проверки корректных записей типа CNAME и A для контроллера домена.

Если будут ошибки, перезапустите службу Netlogon, в результате чего произойдет перерегистрация отсутствующих dns записей. Если dcdiag все также будет выдавать ошибки, проверьте конфигурацию службы DNS и корректность DNS настроек на DC. Для более детального знакомства с темой тестирования служб dns, рекомендую обратиться к статье Диагностика проблем с поиском контроллера домена.

Читать еще:  Кроссдоменные запросы разрешить

Команда repadmin имеет специальный параметр /replsummary, который позволяет быстро проверить состояние репликации на конкретном контроллере домена (указывается его имя) или на всех контроллерах (опция wildcard).

В том случае, если ошибки репликации отсутствуют, в выводе этой команды будет видно, что ошибок – 0.:

В том случае, если ошибки все-таки будут, при помощи утилиты Repadmin можно получить более полную информацию. Каждый контроллер домена имеет собственный уникальный USN (Update Sequence Number), который инкрементируется каждый раз при успешном изменении обновлении объекта Active Directory. При инициализации репликации, партнеру передается USN, который сравнивается с USN, полученным в результате последней успешной репликации с данным партнером, тем самым определяя сколько изменений произошло в базе AD со времени последней репликации.

При помощи ключа /showutdvec, можно получить список текущих значений USN, хранящихся на указанном DC.

Запустив эту команду на контроллере домена, на котором наблюдаются проблемы с репликацией, можно понять насколько различаются базы AD, просто сравнив значения USN.

Тестирование репликации Active Directory при помощи утилиты repadmin можно осуществить несколькими способами:

  • replmon /replicate (позволяет запустить репликацию определенного раздела на указанный контроллер домена)
  • replmon /replsingleobj (репликация конкретного объекта между двумя DC)
  • replmon /syncall (синхронизация указанного контроллера домена со всем партнерами по репликации)

При наличии проблем с механизмом репликации Active Directory, нужно знать и уметь пользоваться утилитами repadmin, nslookup, dcdiag, крайне полезен при анализе журнал событий Directory Services. В особо сложный и нестандартных ситуациях может помочь база знаний Microsoft KB, в которой описаны типовые проблемы и методики их решения. Поиск по базе KB обычно осуществляется по идентификаторам ошибок (Event ID), полученным из указанного журнала..

Добавление дополнительного контроллера домена в существующий домен AD

Как вы знаете, службы Active Directory Domain Services (AD DS) устанавливаются на сервере, который называется контроллер домена (DC). В активный каталог домена AD можно добавить десятки дополнительных контроллеров для балансировки нагрузки, отказоустойчивости, уменьшения нагрузки на WAN каналы и т.д. Все контроллеры домена должны содержать одинаковую базу учетных записей пользователей, учетных записей компьютеров, групп и других объектов LDAP каталога.

Для корректной работы всем контроллерам домена необходимо синхронизироваться и копировать информацию между собой. Когда вы добавляете новый контроллер домена в существующий домен, контроллеры домена должны автоматически синхронизировать данные между собой. Если новый контроллер домена и существующий DC находятся в одном сайте, они могут легко реплицировать данные между собой. Если новый DC находится на удаленном сайте, то автоматическая репликация не так эффективна. Поскольку репликация будет идти через медленные (WAN каналы), которые как правило стоят дорого и скорость передачи данных по ним не велика.

В этой статье мы покажем, как добавить дополнительный контроллер домена в существующий домен Active Directory (Установка домена AD на примере Windows 2016).

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Настройка дополнительного контроллера домена

Теперь в мастере установки ролей нажмите ссылку «Promote this server to a domain controller».

Выберите «Add a domain controller to an existing domain», ниже укажите имя вашего домена AD. Если вы авторизованы под обычным пользователем, вы можете изменить учетные данные на администратора домена. Нажмите кнопку «Select», откроется новое окно, выберите имя вашего домена и нажмите «Ok», затем «Next».

На странице Domain Controller Options, можно выбрать, что нужно установить роль DNS-сервера на вашем DC. Также выберите роль Global Catalog. Введите пароль администратора для режима DSRM и подтвердите его, затем нажмите кнопку «Next».

На странице Additional options укажите сервер, с которым вы хотите выполнить первоначальную репликацию базы Active Directory ( с указанного сервера будет скопирована схема и все объекты каталога AD). Вы можете сделать снимок (snapshot) текущего состояния Active Directory на одном из контроллеров домена и применить его на новой машине. После этого база AD этого сервера будет представлять собой точную копию имеющегося контроллера домена. Подробнее о функции Install From Media (IFM) – установки нового DC с носителя в одной из следующих статей (https://vmblog.ru/razvertyvanie-kontrollera-domena-s-pomoshhyu-install-from-media-ifm/):

На страницах «Paths and Review options» нам ничего не придется настраивать, пропустите их, нажав кнопку «Next». На странице «Prerequisite», если вы видите какую-либо ошибку, проверьте и выполните все указанные требования, затем нажмите кнопку «Install».

Настройка репликации между новым и имеющимся контроллером домена

Мы почти закончили, теперь проверим и запустим репликацию между первичным DC (DC01.vmblog.ru) и новым DC (DC02.vmblog.ru). При копировании информации между этими двумя контроллерами домена данные базы Active Directory будут скопированы из DC01.vmblog.ru в DC02.vmblog.ru. После завершения процесса все данные корневого контроллера домена появятся на новом контроллере домена.

В «Server Manager» выберите вкладку «Tools» затем пункт «Active directory sites and services».

В левой панели разверните вкладку Sites -> Default-First-Site-Name -> Servers. Оба новых DC находятся в одном сайте AD (это подразумевает, что они находятся в одной подсети, либо сетях, соединенных высокоскоростным каналом связи). Затем выберите имя текущего сервера, на котором вы сейчас работаете, затем нажмите «NTDS Settings». В моем случае DC01 является корневым контроллером домена, в данный момент консоль запущена на DC02, который будет дополнительным контроллером домена.

Щелкните правой кнопкой мыши по элементу с именем «automatically generated». Нажмите «Replicate now». Появится предупреждение о запуске репликации между корневым контроллером домена и новым контроллером домена.

Сделайте то же самое для DC01. Разверните вкладку DC01 и нажмите «NTDS Settings». Щелкните правой кнопкой мыши на «automatically generated», затем нажмите «Replicate now». Оба сервера реплицируются друг с другом, и все содержимое DC01 будет скопировано в DC02.

Итак, мы закончили! Вы успешно добавили новый DC и принудительно запустили репликацию между двумя контроллерами домена.

Как реплицировать контроллер домена

Сообщения: 4
Благодарности:

добрый день всемогущий All
начну попорядку

домен filial.com.ua — — осн домен
otd1.filial.com.ua — — дочерние домены
otd2.filial.com.ua — —
.
otd19.filial.com.ua

Все на 2003 сервере. Незнаю, кто делал до меня, но этот контроллер(на осн домене) единственный. решил установить резервный КД.
Установка вроде прошла без ошибок, во всяком случае в логах ничего не было

Читать еще:  Права на папку в домене

а вот дольша начались приколы.
1. заметил что не работает репликация между осн и дочерними(судя по всему она и не работала, но об это позже)

2.самое обиное, что не работает репликация между осн и резервным КД. При попытке сделать вручную репликацию выдает следующее

в логах появляется следующее

NTDS Replication
1988

Локальный контроллер домена предпринял попытку репликации следующего объекта со следующего исходного контроллера домена. Этот объект отсутствует на локальном контроллере домена, поскольку он уже удален и собран в качестве мусора.

Исходный контроллер домена:
50ba501a-6abb-43ae-8642-3a71d3b05133._msdcs.FILIAK.COM.UA
Объект:
DC=35.0,DC=120.10.in-addr.arpa,CN=MicrosoftDNS,DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
GUID объекта:
4b668f8c-b383-4ec5-a917-13ccc009ac83

Пока эта ситуация не будет разрешена, репликация с исходным контроллером домена выполняться не будет.

Действие пользователя
Убедитесь, этот объект был удален на этом контроллере домена или в лесе. Если требуется восстановить этот объект, принудительно восстановите его на исходном контроллере домена. Если восстановление не требуется, установите средства поддержки, имеющиеся на установочном компакт-диске «repadmin /removelingeringobjects», на исходный контроллер домена, чтобы удалить объект из леса и продолжить репликацию. Чтобы разрешить автоматическое восстановление этого и похожих объектов, установите следующий параметр реестра.

Параметр реестра:
HKLMSystemCurrentControlSetServicesNTDSParametersStrict Replication Consistency

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».

Локальный контроллер домена предпринял попытку репликации следующего объекта со следующего исходного контроллера домена. Этот объект отсутствует на локальном контроллере домена, поскольку он уже удален и собран в качестве мусора.

Исходный контроллер домена:
f4d15ddc-d487-4ca1-a6af-8f2b0babb8f3._msdcs.FILIAL.COM.UA
Объект:
DC=otd17.filial.com.ua,CN=MicrosoftDNS,DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
GUID объекта:
aee64160-9fa6-47aa-a9d4-293da78d4483

Пока эта ситуация не будет разрешена, репликация с исходным контроллером домена выполняться не будет.

Действие пользователя
Убедитесь, этот объект был удален на этом контроллере домена или в лесе. Если требуется восстановить этот объект, принудительно восстановите его на исходном контроллере домена. Если восстановление не требуется, установите средства поддержки, имеющиеся на установочном компакт-диске «repadmin /removelingeringobjects», на исходный контроллер домена, чтобы удалить объект из леса и продолжить репликацию. Чтобы разрешить автоматическое восстановление этого и похожих объектов, установите следующий параметр реестра.

Параметр реестра:
HKLMSystemCurrentControlSetServicesNTDSParametersStrict Replication Consistency

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».

пробовал запускать repadmin /removelingeringobjects — не помогло. Параметр реестра тоже пробовал ставить

Netdiag проходит без ошибок, а вот dcdiag (привожу тока ошибки)

Starting test: Replications
[Replications Check,DC1] A recent replication attempt failed:
From SERVER8 to DC1
Naming Context: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
The replication generated an error (8524)
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.
The failure occurred at 2009-04-22 19:16:44.
The last success occurred at 2005-07-08 15:46:06.
15082 failures have occurred since the last success.
The guid-based DNS name 51361d51-8493-4be7-9029-f0cfa78cf623._msdcs.FILIAL.COM.UA
is not registered on one or more DNS servers.
[SERVER8] DsBindWithSpnEx() failed with error 1722,
Сервер RPC недоступен..
[Replications Check,DC1] A recent replication attempt failed:
From SERVER1 to DC1
Naming Context: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
The replication generated an error (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.
The failure occurred at 2009-04-22 19:16:44.
The last success occurred at 2008-10-21 11:51:46.
317 failures have occurred since the last success.
The guid-based DNS name 5fed24c0-918d-4ed9-a36c-54549fd6e503._msdcs.FILIAL.COM.UA
is not registered on one or more DNS servers.

An Error Event occured. EventID: 0xC00007D0
Time Generated: 04/22/2009 18:43:08
Event String: The server’s call to a system service failed

. DC1 failed test systemlog

Server1, Server2. Server19 — это ДК дочерних доменов
насколько я понимаю это все относится к репликации с дочерними доменами.

В логах ДНС ошибок нет

как удаить эти объекты из базы. Пробовал разобраться с LDP, но как искать там нужные объекты, чтобы попытаться их восстановить, а потом снова удалить

на всякий случай настройки серверов
Dc1
10.120.0.35———IP
255.255.255.0——MASK
10.120.0.5———GW cisco
10.120.0.35———DNS1
10.120.0.45———DNS1
10.120.0.35———WINS(нужен для W98)

пробовал делать так

repadmin running command /showconn against server localhost

Base DN: CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
==== KCC CONNECTION OBJECTS ============================================
Connection —
Connection name : DC1
Server DNS name : server18.OTD18.FILIAL.COM.ua
Server DN name : CN=NTDS Settings,CN=SERVER18,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Source: Default-First-Site-NameDC1
******* 53605 CONSECUTIVE FAILURES since 2008-04-25 01:43:00
Last error: 8614 (0x21a6):
Репликация Active Directory с этим сервером невозможна, поскольку время с момента последней репликации с этим сервером превышает время жизни захоронения.
TransportType: intrasite RPC
ReplicatesNC: CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
Replica link has been added.
ReplicatesNC: CN=Schema,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
Replica link has been added.
ReplicatesNC: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
Replica link has been added.
Connection —
Connection name : 0a090d85-ec4b-4c91-b23d-9340bde8c2dd
Server DNS name : newserver2.OTD2.FILIAL.COM.UA
Server DN name : CN=NTDS Settings,CN=NEWSERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
DsBindWithCred to NEWSERVER2 failed with status -2146892976 (0x80090350):
Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.
Source: Default-First-Site-NameSERVER7
No Failures.
TransportType: intrasite RPC
options: isGenerated
ReplicatesNC: CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
ReplicatesNC: CN=Schema,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
ReplicatesNC: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology

CALLBACK MESSAGE: Error contacting server 51361d51-8493-4be7-9029-f0cfa78cf62b._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server 5fed24c0-918d-4ed9-a36c-54549fd6e500._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server b463984e-0431-4ce8-b567-5e4ac71d42dd._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server 41c521d3-cdff-4b62-93f5-bafc95608b99._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server cf496452-d902-46f2-804b-cd1c9365bd85._msdcs.FILIAL.COM.UA (network error): -2146892976 (0x80090350):
Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.
CALLBACK MESSAGE: Error contacting server 5ebba45a-ff6e-42ea-8229-27405c3ad7b8._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: The following replication is in progress:
From: 4e15de51-6c9f-41ec-870a-e42ce921ffe8._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: 4e15de51-6c9f-41ec-870a-e42ce921ffe8._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: 50ba501a-6abb-43ae-8642-3a71d3b05197._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: 50ba501a-6abb-43ae-8642-3a71d3b05197._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: 141c059a-6317-4bde-a17a-f54c2f8fc3b2._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: 141c059a-6317-4bde-a17a-f54c2f8fc3b2._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: f4d15ddc-d487-4ca1-a6af-8f2b0babb8f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: f4d15ddc-d487-4ca1-a6af-8f2b0babb8f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: b1704056-04a8-4862-8b6d-dd1a1ed1a1f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: b1704056-04a8-4862-8b6d-dd1a1ed1a1f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: SyncAll Finished.

SyncAll reported the following errors:
Error contacting server 51361d51-8493-4be7-9029-f0cfa78cf62b._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server 5fed24c0-918d-4ed9-a36c-54549fd6e500._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server b463984e-0431-4ce8-b567-5e4ac71d42dd._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server 41c521d3-cdff-4b62-93f5-bafc95608b99._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server cf496452-d902-46f2-804b-cd1c9365bd85._msdcs.FILIAL.COM.UA (network error): -2146892976 (0x80090350):
Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.
Error contacting server 5ebba45a-ff6e-42ea-8229-27405c3ad7b8._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.

——-
Ваши руки ввели идиотскую комманду и будут ампутированы

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector