none
Replica DC RRS feed

  • Domanda

  • Tipo evento:    Errore
    Origine evento:    NTDS Replication
    Categoria evento:    Replica
    ID evento:    1864
    Data:        20/05/2012
    Ora:        15.12.11
    Utente:        NT AUTHORITY\ACCESSO ANONIMO
    Computer:    Server A
    Descrizione:
    Indica lo stato della replica per la seguente partizione di directory sul controller di dominio locale.

    Ciao a tutti,

    sono purtroppo completamente estraneo al mondo Active Directory ma per "cause di forza maggiore" mi trovo a dover far fronte ad un problema su esso e non ho tempo per aspettare la sostituzione della persona che si occupava di questo ambiente, per cui chiedo il vostro aiuto.

    Ho tre server Domain Controller, due Windows Server 2003 R2 (diciamo "A" e "B") e un Windows Server 2008 R2 Standard (diciamo "C").

    All'interno dei rispettivi file Hosts sono presenti le corrette corrispondenze Server/IP - Server.dominio/IP e fra le macchine non ci sono problemi a livello di firewall.

    Mentre i server A e B si replicano correttamente mentre la replica su C, recentemente, ha smesso di funzionare.

    Purtroppo come dicevo non sono al corrente di eventuali recenti modifiche apportate alle macchine.

    Di seguito lo scenario di errore:

    Server "A":

    - da "Siti e Servizi di Active Directory": Sites / Inter-Site transport / Server / Server C / NTDS Settings / Replica Dal server A o B:

    "é stato riscontrato il seguente errore durante il tentativo di sincronizzare il contesto dei nomi <dominio.mi> del controller di dominio <Server A o B> con il controller di dominio <Server C>: Il server di destinazione rifiuta le richieste di replica. L'operazione verrà interrotta.

    - gpupdate /force: nessun problema

    - Visualizzatore eventi:

    Tipo evento:    Errore
    Origine evento:    NTDS Replication
    Categoria evento:    Replica
    ID evento:    1864
    Data:        20/05/2012
    Ora:        15.12.11
    Utente:        NT AUTHORITY\ACCESSO ANONIMO
    Computer:    <Server A>
    Descrizione:
    Indica lo stato della replica per la seguente partizione di directory sul controller di dominio locale.

    Partizione di directory:
    DC=ForestDnsZones,DC=<dominio>,DC=mi

    Il controller di dominio locale non ha ricevuto di recente informazioni di replica da alcuni controller di dominio.   Il conteggio dei controller di dominio viene visualizzato, diviso negli intervalli seguenti.

    Più di 24 ore:
    1
    Più di una settimana:
    1
    Più di un mese:
    1
    Più di due mesi:
    1
    Più della durata di rimozione definitiva:
    0
    Durata oggetto contrassegnato per rimozione (giorni):
    180
     Si possono verificare errori nei controller di dominio che non eseguono la replica entro il tempo previsto. È possibile che non siano rilevate modifiche alla password e che non sia  effettuata l'autenticazione. Se un controller di dominio non ha eseguito la replica entro la durata oggetto contrassegnato per rimozione, è possibile che non abbia eliminato alcuni oggetti e che sia escluso dalle repliche successive finché non verrà riconciliato.

    Per identificare i controller di dominio per nome, installare gli strumenti di supporto inclusi sul CD di installazione  ed eseguire dcdiag.exe.
    È inoltre possibile utilizzare lo strumento repadmin.exe per visualizzare i tempi di latenza della replica dei controller di dominio nell'insieme di strutture. Il comando è "repadmin /showvector /latency <nome_distinto-partizione>".

    Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

    - Utenti e computer di Active Directory: in "Domain Controllers" sono presenti tutti e tre i Server.

    Server "B": situazione del tutto simile a Server "A".

    Server "C":

    - da "Siti e Servizi di Active Directory": Non si apre, errore: Impossibile individuare le informazioni di denominazione. Errore: Nome principale di destinazione scorretto.

    - gpupdate /force:

    Aggiornamento criteri in corso...
    Impossibile aggiornare i criteri utente. Si sono verificati gli errori seguenti:
    Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome dell'utente. Il problema potrebbe essere dovuto a una o pi— delle cause seguenti:
    a) Errore di risoluzione dei nomi nel controller di dominio corrente.
    b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non Š stato replicato nel controller di dominio corrente).
    Impossibile aggiornare i criteri computer. Si sono verificati gli errori seguenti:
    Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome del computer. Il problema potrebbe essere dovuto a una o pi— delle cause seguenti:
    a) Errore di risoluzione dei nomi nel controller di dominio corrente.
    b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non Š stato replicato nel controller di dominio corrente).
    Per diagnosticare l'errore, esaminare il registro eventi o eseguire GPRESULT /H GPReport.html dalla riga di comando per accedere alle informazioni sui risultati di Criteri di gruppo.

    GPRESULT:

    Impossibile eseguire Infrastruttura criteri di gruppo a causa dell'errore riportato di seguito.

    Nome principale di destinazione scorretto.

    Nota: a causa di un errore dei Criteri di gruppo principali, nessuno degli altri componenti di Criteri di gruppo ha elaborato i propri criteri. Non sono pertanto disponibili informazioni sullo stato degli altri componenti.

    - Visualizzatore eventi:

    Error 1:

    Elaborazione dei Criteri di gruppo non riuscita. Impossibile eseguire l'autenticazione con il servizio Active Directory in un controller di dominio. Chiamata alla funzione di binding di LDAP non riuscita. Per ottenere il codice e una descrizione dell'errore, vedere la scheda dei dettagli.

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
      <EventID>1006</EventID>
      <Version>0</Version>
      <Level>2</Level>
      <Task>0</Task>
      <Opcode>1</Opcode>
      <Keywords>0x8000000000000000</Keywords>
      <TimeCreated SystemTime="2012-05-21T09:27:14.521359300Z" />
      <EventRecordID>49426</EventRecordID>
      <Correlation ActivityID="{7FD41C0C-7CBD-41D8-9844-F16AB5EAFA5C}" />
      <Execution ProcessID="892" ThreadID="3220" />
      <Channel>System</Channel>
      <Computer>Server C.dominio.mi</Computer>
      <Security UserID="S-1-5-18" />
      </System>
    - <EventData>
      <Data Name="SupportInfo1">1</Data>
      <Data Name="SupportInfo2">5012</Data>
      <Data Name="ProcessingMode">0</Data>
      <Data Name="ProcessingTimeInMilliseconds">1110</Data>
      <Data Name="ErrorCode">82</Data>
      <Data Name="ErrorDescription">Local Error</Data>
      <Data Name="DCName" />
      </EventData>
      </Event>

    Error 2:

    Client Kerberos: ricevuto errore KRB_AP_ERR_MODIFIED dal server host/server B.dominio.mi. Nome di destinazione utilizzato: LDAP/Server B.dominio.mi/dominio.mi@DOMINIO.MI. Tale errore indica che la il server di destinazione non è stato in grado di decrittografare il ticket fornito dal client. Ciò può accadere quando il nome principale del server di destinazione (SPN) è registrato in un account diverso da quello utilizzato dal servizio di destinazione. Questo errore può verificarsi anche quando il servizio di destinazione utilizza una password per l'account del servizio di destinazione diversa da quella utilizzata dal Centro distribuzione chiavi Kerberos (KDC) per l'account del servizio di destinazione. Accertarsi che il servizio sul server e il KDC siano entrambi aggiornati per utilizzare la password corrente. Se il nome del server non è completo e il dominio di destinazione (DOMINIO.MI) è diverso dal dominio client (dominio.MI), controllare che in questi due domini esistano account server denominati in modo identico oppure utilizzare il nome completo per identificare il server.

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
      <EventID Qualifiers="16384">4</EventID>
      <Version>0</Version>
      <Level>2</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x80000000000000</Keywords>
      <TimeCreated SystemTime="2012-05-21T09:26:00.000000000Z" />
      <EventRecordID>49425</EventRecordID>
      <Correlation />
      <Execution ProcessID="0" ThreadID="0" />
      <Channel>System</Channel>
      <Computer>Server C.dominio.mi</Computer>
      <Security />
      </System>
    - <EventData>
      <Data Name="Server">host/server C.dominio.mi</Data>
      <Data Name="TargetRealm">dominio.MI</Data>
      <Data Name="Targetname">LDAP/server C.dominio.mi/dominio.mi@DOMINIO.MI</Data>
      <Data Name="ClientRealm">DOMINIO.MI</Data>
      <Binary />
      </EventData>
      </Event>

    Error 3:

    Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome del computer. Il problema potrebbe essere dovuto a una o più delle cause seguenti:
    a) Errore di risoluzione dei nomi nel controller di dominio corrente.
    b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non è stato replicato nel controller di dominio corrente).

    - System

      - Provider

       [ Name]  Microsoft-Windows-GroupPolicy
       [ Guid]  {AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}

       EventID 1055

       Version 0

       Level 2

       Task 0

       Opcode 1

       Keywords 0x8000000000000000

      - TimeCreated

       [ SystemTime]  2012-05-21T09:22:13.411984300Z

       EventRecordID 49420

      - Correlation

       [ ActivityID]  {BFBE6FDB-6E4F-48F5-BA61-4C29DED4A451}

      - Execution

       [ ProcessID]  892
       [ ThreadID]  3220

       Channel System

       Computer Server C.dominio.mi

      - Security

       [ UserID]  S-1-5-18


    - EventData

      SupportInfo1 1
      SupportInfo2 1632
      ProcessingMode 0
      ProcessingTimeInMilliseconds 1562
      ErrorCode 2148074274
      ErrorDescription The target principal name is incorrect.  

    Error 4:

    Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome dell'utente. Il problema potrebbe essere dovuto a una o più delle cause seguenti:
    a) Errore di risoluzione dei nomi nel controller di dominio corrente.
    b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non è stato replicato nel controller di dominio corrente).

    - System

      - Provider

       [ Name]  Microsoft-Windows-GroupPolicy
       [ Guid]  {AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}

       EventID 1053

       Version 0

       Level 2

       Task 0

       Opcode 1

       Keywords 0x8000000000000000

      - TimeCreated

       [ SystemTime]  2012-05-21T09:22:13.411984300Z

       EventRecordID 49419

      - Correlation

       [ ActivityID]  {7F5E1D67-5E34-4E13-A063-D0DA8C08031F}

      - Execution

       [ ProcessID]  892
       [ ThreadID]  2088

       Channel System

       Computer server C.dominio.mi

      - Security

       [ UserID]  S-1-5-21-2875436433-915134939-783654015-500


    - EventData

      SupportInfo1 1
      SupportInfo2 1632
      ProcessingMode 0
      ProcessingTimeInMilliseconds 1562
      ErrorCode 2148074274
      ErrorDescription Nome principale di destinazione scorretto.  

    - Utenti e computer di Active Directory:

    Impossibile individuare le informazioni di denominazione. Errore:

    Nome principale di destinazione scorretto.

    Scusate la lunghezza del post.
    lunedì 21 maggio 2012 10:34

Risposte

  • Una volta che sono passati più di 60 giorni di disconnessione solitamente il metodo più veloce è eseguire una depromozione e poi una nuova promozione a DC del server (nel tuo caso il C) per far funzionare nuovamente la replica. Tuttavia bisognerebbe capire per quale motivo si è verificato il problema e se sono ancora presenti errori di comunicazione tra i server. A mio parere dovresti eseguire un controllo anche dal punto di vista fisico (cablaggi, switch, scheda di rete, ecc..).



    lunedì 21 maggio 2012 15:34
    Moderatore
  • Mi spiace doverti dire che, se sono passati più di 60 giorni dall'ultima replica, la procedura per il recupero è molto rischiosa. Siccome 60 giorni sono il thombstone lifetime degli oggetti Active Directory, rischi di riesumare o peggio cancellare oggetti che ti servono...

    Qui: http://technet.microsoft.com/en-us/library/cc757610(v=ws.10).aspx

    è spiegato come fare, ma ti consiglio di fare un DCPROMO /forceremoval (devi farlo così) sul DC "fumato" e di seguire questa guida: http://support.microsoft.com/kb/216498

    che funziona bene.

    Poi ti consiglio di CAMBIARE NOME al DC che riunirai al dominio.

    Tutto questo, ovviamente, se possibile.

    ATTENZIONE: in ogni caso la procedura è rischiosa. se non sai esattamente quello che fai, ti consiglio di farti aiutare. Inoltre leggiti bene le procedure di backup e disaster recovery di Active Directory. Le procedure indicate le segui sempre a tuo rischio e pericolo.

    Io ho seguito la seconda procedura almeno 3-4 volte da diversi clienti, per pulire AD corrotte e non mi ha mai dato problemi, anzi me ne ha risolti vari... Comunque ricorda sempre: It's better to be safe than sorry. HTH Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.


    • Modificato Diego Castelli martedì 22 maggio 2012 15:54 formattazione
    • Proposto come risposta Anca Popa mercoledì 23 maggio 2012 13:14
    • Contrassegnato come risposta Anca Popa lunedì 28 maggio 2012 10:02
    martedì 22 maggio 2012 15:52

Tutte le risposte

  • Probabilmente è mancata la connettività tra C e A/B per più di 60 giorni, per questo la replica fallisce.

    In realtà per le best practices i file hosts dovrebbero essere vuoti e la risoluzione dei nomi dovrebbe essere affidata unicamente ai DNS integrati in Active Directory. Infatti se i file host contengono dei dati errati possono esserci problemi nella risoluzione dei nomi (potrebbe diventare incoerente con quella del server DNS). Quindi direi di fare per prima cosa un controllo incrociato tra il contenuto dei file hosts e i record nei DNS. Inoltre il server C e i server A e B sono connessi tra loro tramite una VPN? 

     
    lunedì 21 maggio 2012 13:07
    Moderatore
  • Ti ringrazio per la risposta.

    Concordo assolutamente sul discorso DNS, purtroppo c'è un'applicazione proprietaria del cliente, installata su questi server, che utilizza il file host e quindi non posso modificarli. In ogni caso le informazioni contenute in esso sono corrette.

    Tornando al discorso replice, anche se le tre macchine sono semplicemente all'interno della stessa LAN, è possibile invece che sia mancata la connettività fra il server C e gli altri due server.
    Premettendo questo, come posso verificare che la connettività A/B - C sia ripristinata? Sicuramente le macchine si vedono e il traffico non attraversa il firewall per passare da una machina all'altra. Ad ogni modo, sapresti dirmi quali sono le porte utilizzate per la sincronizzazione?

    Al di la di questo, ammettendo che il problema sia stato causato dalla mancata connettività, come posso - oggi - far riprendere le sincronizzazioni? E' possibile allineare la macchina manualmente?

    Grazie anticipatamente della colalborazione

    lunedì 21 maggio 2012 14:00
  • Di default Active Directory utilizza un range di porte molto ampio ( http://support.microsoft.com/kb/179442 ), per questo non è consigliato l'utilizzo di un firewall tra DC. Tuttavia se i 3 DC si trovano sulla stessa rete non credo sia un problema di firewall....

    Data e ora del server C sono corrette e sincronizzate? Se è differente da quella dei server A e B sincronizza tutti i server con un'origine NTP, l'errore potrebbe essere un falso positivo.

    Ti consiglio anche la lettura di questo articolo http://support.microsoft.com/kb/910205/en  in "Causes of long disconnections".

    Per il controllo della replica puoi utilizzare l'utility repadmin: http://technet.microsoft.com/it-it/library/cc778305(v=ws.10).aspx



    lunedì 21 maggio 2012 14:20
    Moderatore
  • I tre server sono sincronizzati al secondo, il fatto che anche cercando di forzare la replica:

    - da "Siti e Servizi di Active Directory": Sites / Inter-Site transport / Server / Server C / NTDS Settings / Replica Dal server A o B:

    "é stato riscontrato il seguente errore durante il tentativo di sincronizzare il contesto dei nomi <dominio.mi> del controller di dominio <Server A o B> con il controller di dominio <Server C>: Il server di destinazione rifiuta le richieste di replica. L'operazione verrà interrotta.

    Mi fa pensare che la causa che ha generato il problema ci sia ancora. E che non sia quindi un problema di "disconnessione".

    Testando la replica tramite repadmin /showrepl ottengo quanto segue (testando il comando verso localhost invece ottengo una marea di informazioni):

    repadmin /showrepl ServerA.dominio.mi

    Impossibile connettersi a un home server. Si Š verificato l'errore indicato di seguito. Provare a specificare un home server

    diverso con /homeserver:[nome dns]

    Errore: operazione di ricerca LDAP non riuscita a causa dell'errore seguente:



        Errore LDAP 82(0x52): Errore locale

        Errore Win32 server  0(0x0):

        Informazioni estese:

    Ho eseguito invece il comando: "dcdiag /test:replications" ottengo il seguente risultato:

    Diagnosi server di directory


    Esecuzione della configurazione iniziale:

       Ricerca dell'home server in corso...

       Home server: <Server C>

       * Foresta di Active Directory identificata.
       Raccolta delle informazioni iniziali completata.


    Esecuzione dei test obbligatori iniziali


       Server in fase di test: Nome-predefinito-primo-sito\<Server C>

          Inizio test: Connectivity

             ......................... <Server C> ha superato il test Connectivity


    Esecuzione dei test principali


       Server in fase di test: Nome-predefinito-primo-sito\<Server C>

          Inizio test: Replications

             [Controllo repliche,Replications Check] La replica in entrata Š

             disabilitata.

             Per risolvere il problema, eseguire "repadmin /options <Server C>

             -DISABLE_INBOUND_REPL"

             [Controllo repliche,<Server C>] La replica in uscita Š disabilitata.

             Per risolvere il problema, eseguire "repadmin /options <Server C>

             -DISABLE_OUTBOUND_REPL"
             ......................... <Server C> non ha superato il test Replications

       Test partizione in esecuzione su: ForestDnsZones
       Test partizione in esecuzione su: DomainDnsZones
       Test partizione in esecuzione su: Schema
       Test partizione in esecuzione su: Configuration
       Test partizione in esecuzione su: <dominio>
       Test organizzazione in esecuzione su: <dominio>.mi

    Possibile che "semplicemente" il Server C non sia abilitato a ricevere/inviare le repliche?                      



    • Modificato memore2 lunedì 21 maggio 2012 15:19
    lunedì 21 maggio 2012 15:18
  • Una volta che sono passati più di 60 giorni di disconnessione solitamente il metodo più veloce è eseguire una depromozione e poi una nuova promozione a DC del server (nel tuo caso il C) per far funzionare nuovamente la replica. Tuttavia bisognerebbe capire per quale motivo si è verificato il problema e se sono ancora presenti errori di comunicazione tra i server. A mio parere dovresti eseguire un controllo anche dal punto di vista fisico (cablaggi, switch, scheda di rete, ecc..).



    lunedì 21 maggio 2012 15:34
    Moderatore
  • Mi spiace doverti dire che, se sono passati più di 60 giorni dall'ultima replica, la procedura per il recupero è molto rischiosa. Siccome 60 giorni sono il thombstone lifetime degli oggetti Active Directory, rischi di riesumare o peggio cancellare oggetti che ti servono...

    Qui: http://technet.microsoft.com/en-us/library/cc757610(v=ws.10).aspx

    è spiegato come fare, ma ti consiglio di fare un DCPROMO /forceremoval (devi farlo così) sul DC "fumato" e di seguire questa guida: http://support.microsoft.com/kb/216498

    che funziona bene.

    Poi ti consiglio di CAMBIARE NOME al DC che riunirai al dominio.

    Tutto questo, ovviamente, se possibile.

    ATTENZIONE: in ogni caso la procedura è rischiosa. se non sai esattamente quello che fai, ti consiglio di farti aiutare. Inoltre leggiti bene le procedure di backup e disaster recovery di Active Directory. Le procedure indicate le segui sempre a tuo rischio e pericolo.

    Io ho seguito la seconda procedura almeno 3-4 volte da diversi clienti, per pulire AD corrotte e non mi ha mai dato problemi, anzi me ne ha risolti vari... Comunque ricorda sempre: It's better to be safe than sorry. HTH Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.


    • Modificato Diego Castelli martedì 22 maggio 2012 15:54 formattazione
    • Proposto come risposta Anca Popa mercoledì 23 maggio 2012 13:14
    • Contrassegnato come risposta Anca Popa lunedì 28 maggio 2012 10:02
    martedì 22 maggio 2012 15:52
  • Ciao memore,

    Scusa se mi intrometto, per ora evidenzio le risposte ricevute in attesa di ulteriori feedback (speriamo positivi).

    Tienici aggiornati sul tuo percorso, intanto grazie a tutti della partecipazione nel forum!


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 28 maggio 2012 10:04