none
AD Users and Computers: container non compare su alcuni DC RRS feed

  • Domanda

  • In Azienda abbiamo tre DC (SE0010 / DC2 / DC4 / DC6)

    - SE0010 - 2008 R2 (PDC / FSMO) <site 1>
    - DC2 - 2016 (DC) <site 1>
    - DC4 - 2016 (DC) <site 2>
    - DC6 - 2016 (DC) <site 3>

    In AD abbiamo una semplice struttura di container così formata:

    <dominio>
    |- Container 1
    |- Container 2
    .
    .
    |- Users
           |- Production Groups
                |- Group 1
                |- ...
                |- Group n
    .
    .
    ecc ...

    Dalla mmc di Active Directory Users and Computers di SE0010 e di DC2 vedo correttamente il container "Production Groups", mentre in DC4 e DC6 non mi compare.

    Se però da DC4 o da DC6 eseguo una ricerca di uno degli item contenuti in "Production Groups" (ad es. "Group 1"), questo viene regolarmente trovato.

    Ho controllato nelle filter options ma l'impostazione è già settata in "Show all types of objects".

    Cos'altro posso verificare ?

    ALex.



    • Modificato Alex_B_ venerdì 28 maggio 2021 13:57
    venerdì 28 maggio 2021 13:56

Tutte le risposte

  • Verifica se ci sono errore negli eventi dei DC e fai un po' di controlli con i seguenti comandi

    nltest /dclist:nomedominio

    netdiag

    dcsiag


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    domenica 30 maggio 2021 09:02
    Moderatore
  • Ciao,
    Innanzitutto, si consiglia di confermare che tutti i controller di dominio funzionino correttamente e che la replica funzioni correttamente tra i controller di dominio.
    Dcdiag / v> c: \ dcdiag1.log
    Repadmin / showrepl> C: \ repl.txt
    Repadmin / showreps * 

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    lunedì 31 maggio 2021 02:53
  • Ok, l'NLTEST riporta l'elenco dei DC corretto, che già conoscevo:

    "Get list of DCs in domain 'mycompany.com' from '\\SE0010FI.mycompany.com'.

    SE0010FI.mycompany.com [PDC]  [DS] Site: Modena10
    SE0011FI-VMDC01.mycompany.com        [DS] Site: Firenze20
    SE0011FI-VMDC02.mycompany.com        [DS] Site: Firenze20
    SE0011FI-VMDC05.mycompany.com        [DS] Site: Firenze20
    DC4.mycompany.com        [DS] Site: Firenze20
    DC2.mycompany.com        [DS] Site: Modena10
    DC6.mycompany.com        [DS] Site: Milano50
    SE0012FI.mycompany.com [RODC] [DS] Site: Bologna40
    SE0015FI.mycompany.com [RODC] [DS] Site: BolognaPMI70"

    i DC:

    SE0011FI-VMDC01
    SE0011FI-VMDC02
    SE0011FI-VMDC05
    SE0012FI
    SE0015FI

    sono vecchi server "fantasma" che negli anni per vai motivi abbiamo "perduto" e che via via in questi giorni (con molta cautela) sto eradicando manualmente.

    Il DCDIAG riporta anche esso alcuni errori legati alla presenza dei suddetti server "ghost", ad esempio l' SE0011FI-VMDC05:

    "Starting test: Replications

             * Replications Check
             * Replication Latency Check
             REPLICATION-RECEIVED LATENCY WARNING

             SE0010FI:  Current time is 2021-06-03 08:50:47.

                DC=ForestDnsZones,DC=mycompany,DC=it
                   Last replication received from SE0011FI-VMDC05 at 2019-02-14 08:23:43 
                   WARNING:  This latency is over the Tombstone Lifetime of 180 days!"

    Però c'è un un errore che invece è consistente:

    "Testing server: Modena10\SE0010FI

          Starting test: Advertising

             The DC SE0010FI is advertising itself as a DC and having a DS.
             The DC SE0010FI is advertising as an LDAP server
             The DC SE0010FI is advertising as having a writeable directory
             The DC SE0010FI is advertising as a Key Distribution Center
             The DC SE0010FI is advertising as a time server
             The DS SE0010FI is advertising as a GC.
             ......................... SE0010FI passed test Advertising

          Test omitted by user request: CheckSecurityError
          Test omitted by user request: CutoffServers

          Starting test: FrsEvent

             * The File Replication Service Event log test 
             Skip the test because the server is running DFSR.

             ......................... SE0010FI passed test FrsEvent

          Starting test: DFSREvent

             The DFS Replication Event Log. 
             There are warning or error events within the last 24 hours after the SYSVOL has been shared. 

    Failing SYSVOL replication problems may cause Group Policy problems. 
             A warning event occurred.  EventID: 0x80001396

                Time Generated: 06/02/2021   23:03:38

                Event String:

                The DFS Replication service is stopping communication with partner DC2 for replication group Domain System Volume due to an error. The service will retry the connection periodically. 

                Additional Information: 

                Error: 9036 (Sospensione per backup o ripristino)
                Connection ID: F9BCDEC1-12C2-4A76-9EC4-459753F5B9FA 
                Replication Group ID: A07EBD81-84B7-4544-85FC-FAF0F4A728FD"


    Infatti sul SE0010FI (PDC) sembra che sia presente un processo attivo di Windows Backup bloccato dall'ultima volta che è stato lanciato qualche settimana fa ...

    ALex.


    giovedì 3 giugno 2021 07:04

  • C'è un po' di lavoro da fare, per prima cosa bisogna rimuovere i DC non più esistenti:

    Clean up server Metadata
    http://technet.microsoft.com/en-us/library/cc736378(WS.10).aspx

    Clean Up Server Metadata
    http://technet.microsoft.com/en-us/library/cc816907(WS.10).aspx

    How to remove data in Active Directory after an unsuccessful domain controller demotion
    http://support.microsoft.com/kb/216498

    Step-By-Step: Manually Removing A Domain Controller Server
    https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-manually-removing-a-domain-controller-server/ba-p/280564

    Una volta che hai ripulito il tutto, riporta gli errori che trovi negli eventi e l'output di Get-DfsrBacklog e dfsdiag qui trovi altri check utili https://askme4tech.com/how-monitoring-dfs-replication-windows-server-2016


    fase 2

    provare a forzare la replica

    How to force authoritative and non-authoritative synchronization for DFSR-replicated sysvol replication




    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    giovedì 3 giugno 2021 08:44
    Moderatore
  • Sto procedendo alla eliminazione dei riferimenti a tutti i domain controller persi.

    Devo dire che in proposito ho trovato molto ben fatta questa guida: https://anticameradelcestino.wordpress.com/2007/06/18/come-rimuovere-un-domain-controller-dc-non-piu-funzionante/

    Per tenere velocemente sotto controllo la situazione ho scaricato l' MS AD Replication Status Tool Ver.1.0, non è forse accurato come repadmin, ma da GUI devo dire che le verifiche sono decisamente molto pratiche. 

    ALex.




    • Modificato Alex_B_ lunedì 7 giugno 2021 13:48
    lunedì 7 giugno 2021 07:05
  • Ok, credo di essere riuscito ad eliminare tutti i DC ghost.

    nltest /dclist:mycompany.com riporta correttamente l'elenco dei DC attivi:

    SE0010FI.politecnica.it [PDC]  [DS] Site: Modena10
    DC4.mycompany.com  [DS] Site: Firenze20
    DC2.mycompany.com  [DS] Site: Modena10
    DC6.mycompany.com  [DS] Site: Milano50

    AL DCDIAG permane purtroppo il seguente errore di replica:             

    "...
    Starting test: DFSREvent
    The DFS Replication Event Log. 

    There are warning or error events within the last 24 hours after the SYSVOL has been shared.  
    Failing SYSVOL replication problems may cause

    Group Policy problems. 
    A warning event occurred.  EventID: 0x80001396

    Time Generated: 06/06/2021   23:02:51
    Event String:

    The DFS Replication service is stopping communication with partner DC2 for replication group Domain System Volume due to an error. The service will retry the connection periodically. 

    Additional Information:  Error: 9036 (Sospensione per backup o ripristino) 
    Connection ID: F9BCDEC1-12C2-4A76-9EC4-459753F5B9FA 
    Replication Group ID: A07EBD81-84B7-4544-85FC-FAF0F4A728FD
    ..."

    Il problema credo sia legato ad un processo di Windows Backup che è rimasto bloccato sul DC SE0010FI (infatti se si cerca di lanciare un nuovo backup si ottiene una risposta di errore), quindi per andare avanti bisognerebbe capire come fare il kill di quel processo (il DC SE0010FI non posso riavviarlo perchè non sono certo che ripartirebbe).

    • Modificato Alex_B_ lunedì 7 giugno 2021 16:45
    lunedì 7 giugno 2021 16:40
  • Quale software di backup usi? Perchè temi che non che il server riavvii?

    Verifica se i server sono aggiornati

    Guarda se trovi unapatch che faccia al caso tuo

    Elenco degli aggiornamenti rapidi attualmente disponibili per le tecnologie di File System distribuito (DFS) in Windows Server 2008 e Windows Server 2008 R2

    Troubleshooting DFS Replication


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    lunedì 7 giugno 2021 22:26
    Moderatore
  • Quale software di backup usi? Perchè temi che non che il server riavvii?

    Verifica se i server sono aggiornati

    Guarda se trovi unapatch che faccia al caso tuo

    Elenco degli aggiornamenti rapidi attualmente disponibili per le tecnologie di File System distribuito (DFS) in Windows Server 2008 e Windows Server 2008 R2

    Troubleshooting DFS Replication


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    Il DC SE0010FI (PDC + ruoli FSMO) è un server fisico 2008 R2 molto vecchio che ha segnalato più volte problematiche legate al controller SCSI e che va sostituito il prima possibile. Ho timore a riavviarlo proprio per i problemi di cui sopra e siccome è ancora il PDC e detiene ancora gli FSMO volevo cercare di non perderlo prima di avere trasferito i ruoli.

    Di quella macchina una decina di giorni fa ho eseguito un system state con Windows Server Backup per avere una copia di backup del database di Active Directory (non si sa mai) e lo ha correttamente eseguito, però quando qualche giorno dopo ho tentato di fare un secondo backup ha abortito con l'avviso "The process cannot access the file because it is being used by another process ...", da qui il dubbio che il processo di backup per qualche motivo non si sia chiuso in maniera ordinata, e questo giustificherebbe il suddetto errore di replica Error: 9036 (Sospensione per backup o ripristino) che si presenta anche se in realtà non c'è nessun processo di backup in corso.

    ALex. 

     


    • Modificato Alex_B_ martedì 8 giugno 2021 13:26
    martedì 8 giugno 2021 13:24
  • Dovresti riportare eventuali errori che trovi nelle'event viewer del server SE0010FI, farei dcdiag,netdiae tutto ciò che puoi per capire se ci cono problemi nella topologia delle repliche e quali server sono coinvolti.

    Se hai un dc che non presenta problemi di replica con il sever vecchio e gli sposterei i ruoli FMSO al più presto.


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    martedì 8 giugno 2021 17:34
    Moderatore
  • Niente, nonostante le repliche funzionino regolarmente il problema del container "Production Groups" che compare regolarmente utilizzando Active Directory Users and Computers  su SE0010FI ma non sugli altri DC non si risolve.

    - SE0010FI -

    - DC2 -

    Utilizzando invece ADSIEdit tool il container compare anche sul DC2


    Le repliche funzionano regolarmente: ho provato a creare da SE0010FI il seguente nuovo container "Users\Test Container"  e dopo pochi secondi è comparso anche sul DC2:

    - SE0010FI -

    - DC2 -

    Non sembra un problema legato alla replica e coinvolge esclusivamente il container "Production Groups".

    Potrebbe essere legato al nome del container, che non piace oppure che contiene qualche reserverd key di Active Directory ?

    Sinceramente non so più cosa pensare.

    ALex.



    • Modificato Alex_B_ giovedì 10 giugno 2021 10:54
    giovedì 10 giugno 2021 10:10
  • Purtroppo se ti tutte le  OU, meno una , non è una condizione sufficiente per affermare "Le repliche funzionano regolarmente: ", anzi è sintomo che qualcosa non funziona.

    DEVI utilizzare dfsdiag, ntdsutil, dcdiag, netdiag e controllare l'event viewer per individuare le problematiche, il nome non è influente, potrebbero esserlo i permessi associati alla OU "Production Groups", in questi casi un workaound potrebbe essere ricreare la "Production Groups" nuovamente (la rinomini es:old prod G crei la nuova "Production Groups" e sposti gli oggetti nel nuovo container).

    Potrebbe funzionare e comunque non sarebbe risolutiva del vero problema....


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here


    venerdì 11 giugno 2021 12:21
    Moderatore
  • Bonjour,

    Si les informations fournies ci-dessus ont été utiles, vous pouvez les marquer comme réponse pour aider plus de personnes et mettre fin à ce fil.
    N'hésitez pas à nous faire savoir si vous avez besoin d'aide supplémentaire.

    Meilleures salutations,

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    domenica 13 giugno 2021 23:45
  • ma perchè continuate a scrivere in una lingua che non è quella del forum ?

    potete evitare ?

    grazie


    Edoardo Benussi
    e[dot]benussi[at]gmx[dot]com

    lunedì 14 giugno 2021 05:26
    Moderatore