none
Problemi sincronizzazione active directory su due server in due siti diversi. RRS feed

  • Domanda

  • Salve a tutti.

    Ho due server in due siti diversi e con due classi di rete diverse e collegate tra loro tramite VPN. Questi server sono entrambi 2008 R2 e sono stati installati nello stesso periodo. Il dominio è replicato in entrambi i server. Il catalogo globale è presente in entrambi i server.

    Il DNS è configurato sui due server con la classe di ricerca diretta e inversa. Tutto sembra essere stato configurato bene ed è sempre andato bene per un anno o più.

    Da un periodo a questa parte invece, uno dei due server (DC02) ha cominciato a dare errori svariati e i client nella sua rete locale anche. Gli errori sono i seguenti:

    Nel DNS - il server DC02 non riesce più ad accedere e risponde (accesso negato):
    - ID Evento 4000 - Server DNS: impossibile aprire Active Directory. Il server DNS è configurato...non è in grado di caricare la zona senza di essa. Controllare che Active Directory funzioni correttamente...

    Server DFS - ID Evento 1204 - Servizio replica DFS: impossibile contattare il controller di dominio... etc...

    Servizi Web Active Directory - ID Evento 1206 - Servizi Web Active Directory: impossibile determinare se il computer è un server di catalogo globale.

    Servizio Directory - ID Evento 1311 - Controllo coerenza KCC: non sono disponibili informazioni sulla connettività dei siti... non sono in grado di replicare le informazioni sulla partizione di directory... server directory non accessibile.
    ID Evento 1566 - tutti i server directory... sono attualmente non disponibili.
    ID Evento 1865 - KCC non riesce a creare una topologia di rete.
    ID Evento 2093 - Il server remoto, proprietario di un ruolo FSMO, non risponde. Il server non ha eseguito le repliche con il proprietario FSMO...

    A mio parere tutto è successo perché per un periodo la VPN non è stata più attiva.
    Ho provato ad effettuare una replica forzata di NTFS senza successo
    http://www.umts-italia.net/viewtopic.php?t=13001
    Cercando su vari forum ho trovato vari articoli:

    http://support.microsoft.com/kb/2751452
    http://www.andreabeggi.net/2006/10/23/problemi-di-sincronia-tra-domain-controllers/

    Ho provato con il comando netdom resetpwd /server:DC01.dominio.local /userd:dominio\administrator /passwordd:*
    Il comando mi da un errore e non riesco ad eseguirlo.

    Consigliano anche di fermare il servizio KDC prima di eseguire netdom resetpwd ma non ho provato perché su qualche forum ho letto che a qualcuno si sono fermate le condivisioni di rete e rischierei di fermare una decina di persone che lavorano.

    Chiedo a qualcuno di Voi se avete già avuto questo problema e come lo avete risolto... (qualcuno consiglia di fare un dcpromo demote del dominio e poi di nuovo un dcpromo per risolvere ma è una soluzione alquanto drastica...)

    Grazie.


    venerdì 25 luglio 2014 08:15

Risposte

Tutte le risposte

  • Se la VPN e quindi la replica sono state inattive per molto tempo, alcuni oggetti Active Directory potrebbero aver superato il tombstone lifetime. Potresti inserire l'output di un "dcdiag"?

    Nel DNS di entrambi i server trovi tutti i record relativi al server dell'altra sede? In caso crea manualmente i record necessari per la risoluzione del nome del server dell'altra sede e prova a forzare nuovamente una replica.

    • Contrassegnato come risposta Anca Popa giovedì 31 luglio 2014 07:33
    venerdì 25 luglio 2014 08:45
    Moderatore
  • Ciao Fabrizio,

    nel mio caso non credo che la VPN sia stata inattiva per molto tempo, forse per qualche giorno, tempo non sufficiente per entrare in tombstone lifetime. Sul DC01 che accede ancora al suo DNS trovo i record DNS corretti e il ping risolve i nomi Net Bios in entrambi i casi... anche il DC02 pinga il DC01...

    venerdì 25 luglio 2014 09:29
  • I server sono già stati riavviati? Inserisci poi il risultato del "dcdiag" per entrambi.
    venerdì 25 luglio 2014 10:01
    Moderatore
  • Ciao Marco, prova ad eseguire un'analisi incrociata dai due site attraverso l'AD Replication Status Tool.

    Trovi un esempio di utilizzo in questo post Windows Server 2012 – AD Replication Status Tool.


    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 25 luglio 2014 11:39
    Moderatore
  • Ciao Nino,

    Grazie del consiglio, il tool è molto bello, e mi da delle risposte abbastanza decifrabili:

    Tool eseguito dal DC01

    Sul DC01 non vi sono problemi.
    Sul DC02 invece ho una serie di errori:
    -2146893022 DC02.dominio.local | dominio.local | nome sito | Dest DC Is GC | The target principal name is incorrect.

    -1256 DC02.dominio.local | dominio.local | nome sito | Dest DC Is GC | The remote system is not available.

    Tool eseguito dal DC02

    Nessun risultato. Nella scheda "select target" vedo la foresta e il dominio ma non vedo i server e non posso selezionarli per fare il test.

    venerdì 25 luglio 2014 14:05
  • Dai una lettura alla seguente documentazione http://technet.microsoft.com/en-us/library/replication-error-1256-the-remote-system-is-not-available%28v=ws.10%29.aspx ed al seguente articolo http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx. Una volta ottenuto l'errore dal tool dovresti essere in grado arrivare ad un documento on-line.

    Registra i due server con ipconfig /registerdns e dopo un paio di minuti riavvia il servizio DNS.

    Il dcdiag chiesta da Fabrizio Giammarini potrebbe riportare qualche indizio importante...

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    • Contrassegnato come risposta Anca Popa giovedì 31 luglio 2014 07:33
    venerdì 25 luglio 2014 14:26
    Moderatore