Причины ошибки 1311
Одна из самых печально известных ошибок репликации — это событие с кодом 1311, оно может быть вызвано рядом причины:
- Один или несколько контроллеров домена недоступны по сети или один или несколько контроллеров домена находятся в автономном режиме.
- Один или несколько сайтов не могут взаимодействовать друг с другом из сетевых ошибок, например один или несколько сайтов не содержатся в ссылке на сайт.
- Ссылки сайта содержат все сайты, но ссылки сайта не связаны между собой. Это условие известно как несвязанные ссылки на сайте.
- Контроллеры домена-плацдарма подключены, но возникают ошибки при попытке репликации необходимого раздела каталога между сайтами Active Directory.
- Предпочтительные серверы-плацдармы, определенные администратором, подключены к сети, но на них не размещен необходимый раздел каталога. Наиболее распространенная неправильная конфигурация — это определение серверов не глобального каталога в качестве серверов-плацдармов.
- Предпочтительные плацдармы правильно определены администратором, но в настоящее время они отключены.
- Сервер-плацдарм перегружен, поскольку сервер не производительный, слишком много сайтов филиалов пытаются реплицировать изменения с одного и того же контроллера домена-концентратора, или расписание репликации на сайтах слишком частое.
- Средство проверки согласованности знаний (KCC) создало альтернативный путь для обхода межсайтового соединения, но продолжает повторять попытку сбойного соединения каждые 15 минут.
- Мост включен в сайтах и службах Active Directory, но сеть не позволяет подключаться к сети между любыми двумя контроллерами домена в лесу.
- Предпочитаемый сервер-плацдарм настроен и отключен
- Ошибка разрешения DNS-имени
- Ошибка 1311 может быть просто результатом другой, более серьезной проблемы и исчезнет, когда эта проблема будет решена.
Осиротевшие объекты
Однажды один сервер глобального каталога был понижен в должности, но нетерпеливый администратор хотел ускорить очистку Active Directory, поэтому он сократил значение времени tombstonelifetime и затем принудительно запустил сборку мусора. К сожалению, он сделал это до того, как удаление сервера глобального каталога (GC) было отреплицировано на все DC и GC в лесу. Я получал ошибку 1311 вместе с множеством других, заявляющих, что Active Directory пытается реплицировать объект, у которого нет родителя, но он не идентифицирует родителя. В итоге я включал подробное ведение журнала и наконец определил GUID проблемного объекта. Используя инструмент LDP.exe, я смог удалить этот объект и остановить события 1311.
Как исправить ошибку репликации (8524)
Первое, что вы должны выполнить, это убедиться:
Что ваши контроллеры домена доступны по сети, вы точно должны увидеть, что порты по которым работает активный каталог, нормально доступны с контроллеров домена на которых нет проблем
Самое важное, чтобы все DNS-имена нормально резолвелись. Очень часто работающие контроллеры ссылаются на состояние 8524, если контроллер домена Active Directory не может разрешить удаленный DC с помощью полностью CNAME-записи.
Для проверки портов я советую использовать утилиту Telnet или PowerShell
100% быть уверенным, что на сбойном контроллере нет ошибки и состояния (1722) The RPC server is unavailable
Если с портами и доступностью все хорошо, и все контроллеры друг друга видят без ошибок, то попробуйте выполнить принудительную реплику по всем контроллерам через команду (Лучше это делать сначала на любом рабочем DC, потом можно на сбойном или имеющем ошибки):
repadmin /syncall /APed
Данная команда выполнятся может долго, зависит от количества сайтов и контроллеров домена.
- Проверьте правильность настройки ваших сайтов Active Directory, нет ли там устаревших связей, или сайтов которых уже нет, в которых могут быть уже выведенные контроллеры домена. Если такие присутствуют, то удалите сайт и такие объекты. На проблемы с сайтами может указывать ошибка с ID 8524, чтобы решить эту проблему, запустите сайты и службы Active Directory (dssite.msc). Затем перейдите в раздел «Серверы», выберите удаленный контроллер домена — Настройки NTDS и удалите подключения, удалите настройки NTDS, удалите от туда контроллер домена
- Обязательно проверьте в просмотре событий журналы «СИСТЕМА», «Active Directory Web Services», «DFS Replication», «Directory Service», «DNS Server» наличие альтернативных ошибок, которые вам могут, что-то подсказать, куда дальше копать.
Тут вы можете обнаружить ряд событий, которые будут причиной ошибки репликации «(8524) The DSA operation is unable to proceed because of a DNS lookup failure»:
-
- ID 1926 — Попытка установить ссылку репликации на раздел каталога только для чтения со следующими параметрами не удалась
- ID 1925 — Попытка установить ссылку на репликацию для следующего раздела каталога writable не удалась.
- ID 1865 — KCC не смог сформировать полную топологию сети деревьев. В результате, следующий список сайтов не может быть достигнут с локального сайта
- ID 1308 — KCC обнаружил, что последовательные попытки реплицироваться со следующей службой каталогов последовательно сбой.
- ID 1655 — Active Directory попытался связаться со следующим глобальным каталогом, и попытки оказались безуспешными
- ID 2023 — Этот сервер каталогов не смог реплицировать изменения на следующий удаленный сервер каталога для следующего раздела каталога
- Если сбойный контроллер домена уже не будет в сети и просто не может работать, то нужно его полностью удалить с очисткой метаданных.
- Можете еще попробовать поискать дополнительные подсказки через инструмент Active Directory Replication Status Tool
После того, как сбойный контроллер домена был введен в боевое состояние, проверены нужные пункты из указанных выше, реплика восстановилась. Об этом стало говорить уменьшающееся количество ошибок при попытке реплики.
Надеюсь, что смог чем-то помочь, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Как устранить ошибку ID 2042
Первое, что вам необходимо сделать, это вычислить имя контроллера домена с которого у вас не идет репликация на сбойный, это можно сделать несколькими методами. В тексте ошибки есть GUID контроллера домена, выглядит он приблизительно вот так 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org. Понятно, что для нас он не читаем. Откройте командную строку и введите команду PING.
ping 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
На выходе вы получите точное имя контроллера домена.
Либо через оснастку DNS в разделе _msdcs.root, где вы увидите псевдонимы CNAME в виде привычных имен контроллеров домена.
Теперь зная имя контроллера домена источника, вам необходимо произвести на сбойном контроллере домена правку реестра Windows, чтобы слегка ослабить уровень контроля к репликации. Запустите оснастку реестра Windows и перейдите в раздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters
Найдите там ключ «Allow Replication With Divergent and Corrupt Partner», по умолчанию он имеет значение «». Поменяйте его на единицу «1». Перезагружать ничего не нужно, все применится сразу.
Повторите эти действия на тех контролерах домена, на которых наблюдается ошибка 2042. После этого в командной строке вам нужно воспользоваться утилитой Repadmin.
repadmin /syncall
После того, как ошибка репликации ID 2042 исчезнет, вам необходимо ключу «Allow Replication With Divergent and Corrupt Partner» вернуть значение «0». Если не хотите возиться с реестром или вы боитесь это делать на контроллере домена, то можно через команду для определенного контроллера снять повышенные ограничения при репликации. Для этого в командной строке в режиме администратора вам нужно выполнить команды:
repadmin /regkey <hostname> -allowDivergent
- /regkey — (+) Включает и отключает значение записи реестра Строгую согласованность репликации в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ Parameters(-)
- <hostname> — Имя контроллера домена с которого будет реплицироваться дельта, можно вообще поставить значок звездочки «*», чтобы разрешить репликацию со всех контроллеров домена.
- +allowDivergent/-allowDivergent — Позволяет начать новую репликацию с партнером, убедитесь, что у вас удалены все устаревшие объекты (По поводу устаревших объектов можно почитать вот тут https://support.microsoft.com/ru-ru/help/4469622/active-directory-replication-event-id-2042-it-has-been-too-long-since и советую почитать про дублированные имена и ID 11)
repadmin /regkey dc2.root.pyatilistnik.org -allowDivergent
Для dc2.root.pyatilistnik.org будет установлен Allow Replication With Divergent and Corrupt Partner со значением «0». На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Очистка метаданных сервера с помощью средств графического пользовательского интерфейса
при использовании средства удаленного администрирования сервера (RSAT) или консоли Active Directory пользователи и компьютеры (Dsa. msc), включенной в Windows Server для удаления учетной записи компьютера контроллера домена из подразделения контроллеров домена (OU), очистка метаданных сервера выполняется автоматически. до Windows Server 2008 необходимо было выполнить отдельную процедуру очистки метаданных.
Можно также использовать консоль сайтов и служб Active Directory (Dssite. msc) для удаления учетной записи компьютера контроллера домена, которая также автоматически завершает очистку метаданных. однако Active Directory сайты и службы удаляют метаданные автоматически только при первом удалении объекта Параметры NTDS под учетной записью компьютера в Dssite. msc.
если вы используете версии Windows Server 2008 или более поздних версий RSAT (Dsa. msc) или Dssite. msc, метаданные можно автоматически очищать для контроллеров домена под управлением более ранних версий Windows операционных систем.
Членство в группах «Администраторы домена» или «эквивалентное» является минимальным требованием для выполнения этих процедур.
Очистка метаданных сервера с помощью Active Directory пользователей и компьютеров
- Откройте оснастку Пользователи и компьютеры Active Directory.
- Если вы определили партнеров репликации при подготовке к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши узел Active Directory пользователи и компьютеры и выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
- Разверните домен контроллера домена, который был принудительно удален, и выберите пункт контроллеры домена.
- В области сведений щелкните правой кнопкой мыши объект компьютера контроллера домена, метаданные которого необходимо очистить, и выберите команду Удалить.
- В диалоговом окне домен Active Directory службы убедитесь, что отображается имя контроллера домена, который вы хотите удалить, и нажмите кнопку Да , чтобы подтвердить удаление объекта компьютера.
- В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
- Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
- Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена. Этот контроллер домена нельзя изменить. Если вы хотите переместить роль на другой контроллер домена, необходимо переместить роль после завершения процедуры очистки метаданных сервера.
Очистка метаданных сервера с помощью Active Directory сайтов и служб
- Откройте оснастку «Active Directory — сайты и службы».
- Если вы определили партнеров репликации в процессе подготовки к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши Active Directory сайты и службы, а затем выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
- разверните узел контроллера домена, который был принудительно удален, разверните узел серверы, разверните имя контроллера домена, щелкните правой кнопкой мыши объект NTDS Параметры и выберите команду удалить.
- в диалоговом окне Active Directory сайты и службы нажмите кнопку да , чтобы подтвердить удаление NTDS Параметры.
- В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
- Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
- Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена.
- Щелкните правой кнопкой мыши контроллер домена, который был принудительно удален, и выберите команду Удалить.
- В диалоговом окне домен Active Directory службы нажмите кнопку Да , чтобы подтвердить удаление контроллера домена.
Контрольный список по устранению неполадок
Используйте следующий контрольный список для устранения следующих проблем репликации:
-
События ошибок и предупреждений в журнале событий службы каталогов указывают на конкретное ограничение, вызывающее сбой репликации на исходном или конечном контроллере домена. Если сообщение о событии предлагает шаги для решения, попробуйте выполнить действия, описанные в событии.
-
Средства диагностики, такие как предоставление сведений, которые могут помочь в устранении сбоев репликации. Чтобы отслеживать репликацию и диагностировать ошибки, используйте один из следующих методов:
- Скачайте и запустите средство служба поддержки Майкрософт и помощника по восстановлению.
- Используйте средство состояния репликации Active Directory , если требуется только проанализировать состояние репликации.
-
Исключения преднамеренные сбои или сбои оборудования.
-
В сценарии: контроллер домена создается на промежуточном сайте. Контроллер домена в настоящее время находится в автономном режиме и ожидает его развертывания на последнем рабочем сайте, удаленном сайте, например в филиале.
Когда другой контроллер домена пытается выполнить репликацию с контроллером домена, он сообщает об ошибках репликации. Вы можете указать такие ошибки репликации.
-
Проблемы репликации могут быть вызваны сбоем оборудования.
-
Вызовы удаленных процедур репликации Active Directory (RPC) выполняются динамически через доступный порт через RPC Endpoint Mapper (RPCSS) через порт 135. Убедитесь, Защитник Windows брандмауэр с расширенной безопасностью и другими брандмауэрами настроен правильно для включения репликации.
После исключения намеренного отключения и сбоев оборудования проблемы с репликацией могут иметь одну из следующих причин:
- Сетевое подключение: сетевое подключение может быть недоступно или параметры сети могут быть настроены неправильно.
- Разрешение имен. Неправильные настройки DNS являются распространенной причиной сбоев репликации.
- Подсистема репликации. Если расписания межсайтовых репликации слишком короткие, очереди репликации могут быть слишком большими для обработки во время, необходимое для расписания исходящей репликации. В этом случае репликация некоторых изменений может быть приостановлена на неопределенное время или достаточно долго, чтобы превысить время существования отметки удаления.
- Топология репликации: контроллеры домена должны иметь межсайтовую связь в доменные службы Active Directory (AD DS), которые сопоставляются с реальной глобальной сетью (WAN) или VPN-подключениями. При создании объектов в AD DS для топологии репликации, которые не поддерживаются фактической топологией сайта сети, репликация, требуемая для неправильно настроенной топологии, завершается ошибкой.
- Проверка подлинности и авторизация. Проблемы с проверкой подлинности и авторизацией приводят к ошибкам «отказано в доступе», когда контроллер домена пытается подключиться к партнеру по репликации.
- Хранилище базы данных каталогов: база данных каталогов может не обрабатывать транзакции достаточно быстро, чтобы обеспечить время ожидания репликации.
Получение состояния репликации с помощью Repadmin
Состояние репликации — это важный способ оценки состояния службы каталогов. Если репликация работает без ошибок, известно, что контроллеры домена подключены к сети. Вы также знаете, что работают следующие системы и службы:
- Инфраструктура DNS
- Протокол проверки подлинности Kerberos
- служба времени Windows (W32time)
- Удаленный вызов процедур (RPC)
- Возможность подключения к сети
Используйте Repadmin для ежедневного мониторинга состояния репликации, выполнив команду, которая оценивает состояние репликации всех контроллеров домена в лесу. Процедура создает файл .csv, который можно открыть в Microsoft Excel и отфильтровать по сбоям репликации.
Следующую процедуру можно использовать для получения состояния репликации всех контроллеров домена в лесу.
Требования
Для выполнения данной процедуры требуется как минимум членство в группе Администраторы предприятия или в эквивалентной группе.
Средства:
- Repadmin.exe
- Excel (Microsoft Office)
Создание электронной таблицы repadmin /showrepl для контроллеров домена
-
Откройте командную строку от имени администратора: на меню щелкните правой кнопкой мыши командную строку и выберите команду «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», укажите Enterprise учетные данные администратора, если это необходимо, и нажмите кнопку «Продолжить».
-
В командной строке введите следующую команду и нажмите клавишу ВВОД:
-
Откройте Excel.
-
Нажмите кнопку Office, нажмите кнопку «Открыть», перейдите к showrepl.csv и нажмите кнопку «Открыть».
-
Скрыть или удалить столбец A, а также столбец «Тип транспорта» следующим образом:
-
Выберите столбец, который нужно скрыть или удалить.
- Чтобы скрыть столбец, щелкните его правой кнопкой мыши и выберите команду «Скрыть».
- Чтобы удалить столбец, щелкните правой кнопкой мыши выбранный столбец и выберите команду «Удалить».
-
Выберите строку 1 под строкой заголовка столбца. На вкладке «Вид» нажмите кнопку «Закрепить области» и нажмите кнопку «Закрепить верхнюю строку».
-
Выберите всю электронную таблицу. На вкладке «Данные» нажмите кнопку «Фильтр».
-
В столбце «Время последнего успеха» щелкните стрелку вниз и нажмите кнопку «Сортировка по возрастанию».
-
В столбце исходного контроллера домена щелкните стрелку вниз, наведите указатель мыши на текстовые фильтры и нажмите кнопку «Настраиваемый фильтр».
-
В диалоговом окне «Настраиваемый автофильтр» в разделе «Показать строки», где щелчок не содержится. В соседнем текстовом поле введите , чтобы исключить результаты для удаленных контроллеров домена.
-
Повторите шаг 11 для столбца времени последнего сбоя, но используйте значение не равно, а затем введите значение 0.
-
Устранение сбоев репликации.
Для каждого контроллера домена в лесу электронная таблица показывает партнера по исходной репликации, времени последнего возникновения репликации и времени последнего сбоя репликации для каждого контекста именования (секции каталога). С помощью автофильтра в Excel можно просмотреть работоспособность репликации только для рабочих контроллеров домена, только неудачных контроллеров домена или контроллеров домена, которые являются наименьшими или наиболее актуальными, и вы увидите партнеров репликации, которые успешно реплицируются.
Причина
Эта проблема может возникнуть, если один из сетевых адаптеров подключен к внешней сети (например, Интернету) на контроллере домена с несколькими адресами, а также если трафик протокола LDAP (LDAP) и Kerberos между внутренней и внешней сетями частично или полностью ограничен из-за прокси-сервера, сервера ISA, сервера NAT или другого устройства брандмауэра.
В этом сценарии сетевые адаптеры на контроллерах домена с несколькими адресами регистрируют как внутренние, так и внешние IP-адреса на DNS-сервере. Запросы поиска разрешения DNS-имен возвращают записи с циклическим перебором, меняя внутренние и внешние IP-адреса. Для операций репликации требуется несколько запросов на поиск записей SRV. В этом случае половина запросов на поиск DNS возвращает IP-адрес, с который невозможно связаться, и операция репликации завершается сбоем.
Решение
Проверьте журнал событий службы каталогов на целевом контроллере домена на наличие события репликации NTDS 1645 и обратите внимание на следующее:
В консоли KDC, указанной на шаге 1, введите .
Запустите тест указателя NLTEST сразу после попытки репликации, которая завершается ошибкой 1396 на целевом контроллере домена.
Это должно идентифицировать сборку мусора, в которую KDC выполняет поиск имени субъекта-службы.
Сборка мусора, для которой выполняется поиск в KDC, также может быть задана в Microsoft-Windows-ActiveDirectory_DomainService 1655.
Найдите имя субъекта-службы, обнаруженное на шаге 1 в глобальном каталоге, обнаруженном на шаге 2.
или
Убедитесь, что объект узла для имени субъекта-службы существует.
Проверьте путь к DN для объекта узла, в том числе указывает, является ли объект cnF/conflict искаженным или находится в потерянном и найденном контейнере.
Убедитесь, что имя субъекта-службы репликации AD исходного контроллера домена зарегистрировано только в исходной учетной записи компьютера контроллера домена.
Если имя субъекта-службы репликации отсутствует, определите, зарегистрировал ли исходный контроллер домена свое имя субъекта-службы и отсутствует ли имя субъекта-службы в кластере сборок, используемом KDC, из-за простой задержки репликации или сбоя репликации.
Проверьте работоспособность безопасного канала и работоспособность доверия.
В этой таблице перечислены другие симптомы, причины и способы их устранения.
Симптом | Причина | Решение |
---|---|---|
Контроллер домена не работает и регистрирует события с идентификаторами 1925 и 1411 на контроллерах домена Windows Server 2008 и контроллерах домена Windows Server 2003 в том же домене, который был достоверным образом восстановлен. | Эти проблемы возникают из-за увеличения номера версии учетной записи KRBTGT при выполнении полномочного восстановления. Учетная запись KRBTGT — это учетная запись службы, используемая службой центра распространения ключей Kerberos (KDC). | В этом случае может потребоваться применить исправление в KB939820. |
Сопоставление диска с помощью net useC:\Documents and Settings\wschong>net use z: \<server_name>\c$ System error 1396.Сбой входа: неправильное имя целевой учетной записи.В этом случае сервер регистрл события с идентификатором 333 и использовал большой объем памяти, SQL Server с наибольшим объемом памяти. | Если ошибка возникает при сопоставлении диска с использованием сети, причиной может быть временное недостаточное количество памяти в невыстраиваемом или страничного пула. Система сохраняет запись таких событий до перезапуска компьютера или выгрузки связанного куста, даже если временная нехватка памяти останавливается. Дополнительные сведения о проблемах SQL Server производительности см. в разделе «Устранение неполадок с производительностью в SQL Server 2005 г.». | Чтобы предотвратить постоянное ведение журнала события 333 системой в будущем, примените исправление 970054 на сервере и задайте для следующего значения реестра значение 1:
|
Неправильное время контроллера домена. | Контроллер домена — это виртуальная машина, настроенная на синхронизацию времени с узлом VMware, вызвавшая события 1925, 1645. | снят флажок синхронизации времени виртуального контроллера домена с узла VMWare, чтобы он можно было синхронизировать время с PDC. |
Dcpromo завершается ошибкой на экране: сбой установки Active Directory. Не удалось выполнить операцию, так как:Службе каталогов не удалось создать объект сервера для параметров CN=NTDS, CN=ServerBeingPromoted, CN=Servers,CN=Site, CN=Sites,CN=Configuration,DC=contoso, DC=com на сервере ReplicationSourceDC.contoso.com. Убедитесь, что предоставленные сетевые учетные данные имеют достаточный доступ для добавления реплики.Сбой входа: неправильное имя целевой учетной записи.В этом случае на сервере, на котором выполняется повышение уровня, регистрируются события с идентификаторами 1645, 1168 и 1125. | Во время dcpromo имя субъекта-службы на вспомогательном контроллере домена (контроллер домена источника репликации) является недопустимым. | Для ошибки dcpromo, когда вспомогательное имя субъекта-службы контроллера домена недопустимо, используйте SetSPN для создания нового имени субъекта-службы на вспомогательном контроллере домена в формате GC/serverName.contoso.com. |
Причина
Ошибка 8453 (доступ к репликации запрещен) имеет несколько основных причин, в том числе:
-
Атрибут UserAccountControl в целевой учетной записи компьютера контроллера домена отсутствует в любом из следующих флагов:SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION
-
Разрешения по умолчанию не существуют в одном или нескольких разделах каталога, чтобы обеспечить выполнение запланированной репликации в контексте безопасности операционной системы.
-
По умолчанию или пользовательские разрешения не существуют в одном или нескольких разделах каталогов, чтобы пользователи могли активировать нерегламентированную или немедленную репликацию с помощью DSSITE. MSC реплицирует сейчас, или аналогичные команды.
-
Разрешения, необходимые для активации нерегламентированной репликации, правильно определены в соответствующих разделах каталогов. Однако пользователь не является членом каких-либо групп безопасности, которым предоставлено разрешение на изменение каталога репликации.
-
Пользователь, запускавший нерегламентируемую репликацию, является членом требуемых групп безопасности, и этим группам безопасности предоставлено разрешение на репликацию изменений каталога . Однако членство в группе, которая предоставляет разрешение на изменение реплицированного каталога, удаляется из маркера безопасности пользователя с помощью функции разделения маркера доступа пользователя в элементе управления учетной записью. Эта функция была представлена в Windows Vista и Windows Server 2008.
Примечание.
Не путайте функцию безопасности разбиения маркера управления учетными записями пользователей, появившиеся в Vista и Windows Server 2008, с атрибутом UserAccountControl , определенным в учетных записях компьютера роли контроллера домена, которые хранятся в службе Active Directory.
-
Если конечным контроллером домена является RODC, RODCPREP не был запущен в доменах, где в настоящее время размещены контроллеры домена только для чтения, или группа контроллеров домена Enterprise Read-Only не имеет разрешений на репликацию изменений каталога для секции, которая не реплицирована.
-
Контроллеры домена, работающие под управлением новых версий операционной системы, были добавлены в существующий лес, в котором установлен Сервер связи Office.
-
У вас есть экземпляры служб LDS. Объект NTDS Settings для затронутых экземпляров отсутствует в контейнере конфигурации LDS. Например, вы увидите следующую запись:
Ошибки и события Active Directory, такие как упомянутые в разделе Симптомы», также могут возникать и создавать сообщение об ошибке 5 (доступ запрещен).
Действия для ошибки 5 или ошибки 8453, упомянутые в разделе «Разрешение», не устраняют сбои репликации на компьютерах, на которых в настоящее время происходит сбой репликации и создает другое сообщение об ошибке.
Ниже перечислены основные причины сбоев операций Active Directory, вызывающих ошибку 5.
- Чрезмерное неравномерное распределение времени
- Фрагментация пакетов Kerberos в формате UDP промежуточными устройствами в сети
- Отсутствует доступ к этому компьютеру из сетевых прав.
- Неработающие безопасные каналы или отношения доверия внутри домена
- CrashOnAuditFail = 2 запись в реестре
Причина
Это состояние репликации возвращается при наличии задач репликации с более высоким приоритетом в целевой входящей очереди контроллеров домена. Оно не указывает на условие сбоя. Задача репликации не отменяется, а помещается в шаблон удержания до завершения работы с более высоким приоритетом
Обычно это сообщение периодически возвращается в больших средах, и важно отметить, что условие является временным
Хотя эта проблема является распространенной и временной, некоторые другие проблемы репликации AD могут привести к невыполненной работе в очереди. В этом случае может возникнуть частое замещение задач репликации. Частое ведение журнала события 2094 «Предупреждение о производительности» (пример события показан в разделах «Симптомы» и «Решение») является еще одним признаком того, что может потребоваться устранение неполадок.
Изучите эти проблемы
Объяснение приоритета репликации и ее приоритета
Анализ выходных данных очереди с течением времени для определения того, обрабатываются ли задачи
Описание
Загрузка репликации
- Слишком много партнеров
- Слишком частое обновление объектов и атрибутов
- Частые обновления в сочетании с уведомлением об изменениях между сайтами, что приводит к высокой частоте избыточных уведомлений об изменениях
- Небольшое окно расписания репликации
Описание ситуации
И так у меня есть лес и 3 домена Active Directory, развитая сеть сайтов AD. Утром в систему мониторинга поступило уведомление, что появились проблемы с репликацией между контроллерами домена, при выводе команды repadmin /replsummary, я увидел ряд ошибок:
- (8524) The DSA operation is unable to proceed because of a DNS lookup failure
- (1722) The RPC server is unavailable.
Если с ошибкой «(1722) The RPC server is unavailable.» я сталкивался и ее успешно решал, то вот «(8524) The DSA operation is unable to proceed because of a DNS lookup failure» я видел впервые.
Также я вам советую сразу запустить массовую диагностику и выгрузить весь результат в текстовые файлы, для этого создайте bat-файл вот с таким содержанием:
@echo off chcp 855 repadmin /replsummary > c:\temp\replsummary.log repadmin /syncall > c:\temp\syncall.txt repadmin /Queue > c:\temp\Queue.txt repadmin /istg * /verbose > c:\temp\istg.txt repadmin /bridgeheads * /verbose > c:\temp\bridgeheads.txt repadmin /syncall /APed > c:\temp\APed.txt dcdiag /a /q > c:\temp\dcdiag.txt
repadmin /showrepl > c:\temp\showrepl.txt
Например я также через showrepl вижу ошибку:
Last attempt @ 2022-09-23 09:09:37 failed, result 1722 (0x6ba):
Диагностика и устранение ошибки 1311
KCC — это специальный процесс, который выполняется абсолютно на всех контроллерах домена и создает топологию репликации для Active Directory леса. KCC создает отдельные топологии репликации в зависимости от того, выполняется ли репликация на сайте (внутрисайтовая) или между сайтами (межсайтовой). KCC также динамически корректирует топологию, чтобы она соответствовала добавлению новых контроллеров домена, удалению существующих контроллеров домена, перемещению контроллеров домена на сайты, изменяющимся затратам и расписаниям, а также к контроллерам домена, временно недоступен или находится в состоянии ошибки.
Если вы подробно еще раз посмотрите ошибку 1311, то там нет точного упоминания какой именно контроллер домена является проблемным. Для этого мы с вами можем воспользоваться уже знакомой утилитой Repadmin по проверке репликации Active Directory. Выполните команду:
repadmin /replsummary
Несмотря на то, что 1311 может не отображаться здесь, для него характерно сопряжение с событием «1722 Сервер RPC недоступен (The RPC server is unavailable)» (что в основном означает отсутствие физической связи). Тут же я вижу, что контроллер недоступен более 60 дней.
так же полезно будет выполнить команду, которая покажет подробную топологию по сайтам:
repadmin /bridgeheads
Вот вам пример, когда отсутствует связь с контроллером домена «The remote system is not available. For information about network troubleshooting».
Элементарно проверить сетевую доступность нужного контроллера домена можно с помощью утилит командной строки ping и tracert. Убедитесь, что у вас правильные настройки ip адреса на недоступном контроллере, правильные маршруты, нет блокировок на уровне брандмауэра, разрешены порты Active Directory.
Если по сети контроллер отвечает, то нужно убедиться, что существует адекватное подключение к сайту. Выполните следующую процедуру на каждом контроллере домена, на котором размещен раздел, для которого KCC сообщает, что путь репликации не может быть вычислен. Начните с контроллера домена, который сообщает об этой проблеме. Для выполнения этой процедуры у вас должно быть членство в группе «Администраторы домена» или вам должны быть делегированы соответствующие полномочия. Чтобы убедиться, что контроллеры домена, на которых размещен указанный раздел каталога, доступны откройте командную строку в режиме администратора и введите:
dcdiag /test:connectivity
Эта команда проверяет, доступны ли контроллеры домена и правильно ли они зарегистрированы на серверах системы доменных имен (DNS). Устраните все проблемы, обнаруженные при запуске этого теста.
Более подробную диагностическую информацию можно получить из команды представленной ниже, единственное необходимо в рамках леса иметь права администратора предприятия.
dcdiag /a /q
Если вы видите ошибки в топологии сайтов, то вы можете проверить вот такие вещи:
Настройте предпочтительный сервер-плацдарм. В Windows 2003 и выше все контроллеры домена рандомизируются в качестве серверов-плацдармов вместо того, чтобы иметь один единственный, как требуется для Windows 2000. При установке этого значения один контроллер домена становится сервером-плацдармом — и, если вы установите только один, и он будет не доступен, то проверка согласованности знаний (KCC) не найдет других партнеров? Просто скажи нет на этом. Если у вас есть какие-либо из них, отмените их, сняв флажок в оснастке «Сайты и службы».
Убедитесь, что все сайты определены в ссылках сайта — это может показаться очевидным, но вы будете удивлены, насколько часто это проблема. В одном случае администратор сообщил, что один регион, содержащий несколько сайтов AD, вообще не реплицировался. После проверки я обнаружил, что на сайте хаба в этом регионе не было ссылок на сайты, определенные для какого-либо сайта. Я был поражен, что они не обнаружили это раньше, так как не было никакой репликации на любой другой DC вообще.