Ciao a tutti,
ho un problema con un site di DR, che è stato disconnesso per più di 60 gg (thombstone timeuot per la rimozione dell'oggetto.). Purtroppo mi hanno dato un grosso disservizio...
ho la seguente configurazione:
1 server DC (AD01-VM1), 1 exchange 2003, 1 fileserver, 1 sql server nel sito di DR.
il problema è chiaramente nel server DC.
NOTE:
- Il mio obiettivo è poter PULIRE il mio Active directory da questi servers, in quanto abbiamo dismesso questo sito e ne realizziamo un altro.
- Durante il periodo di non comunicazione ho dovuto fare interventi sostanziali di modifica di oggetti Active Directory, anche se non modifiche allo schema.
ora vedo i seguenti errori:
impossibile eseguire la replica con qusto server poichè il tempo trascorso dall'ultima replica con il server ha superato la durata dell'oggetto contrassegnato per la rimozione.
...poi nell'event viewer:
<>Tipo evento: Errore
Origine evento: Kerberos
Categoria evento: Nessuno
ID evento: 4
Data: 16/12/2011
Ora: 11.00.43
Utente: N/D
Computer: AD01-VM1
Descrizione:
Il client Kerberos ha ricevuto un errore KRB_AP_ERR_MODIFIED dal server host/host.miodominio.local. Nome di destinazione utilizzato: host/HOST@MIODOMINIO.LOCAL. Questo indica che la password utilizzata per crittografare il ticket di servizio Kerberos
è diversa da quella memorizzata sul server di destinazione. Questo problema è dovuto in genere ad account computer con nome identico nell'area autenticazione server di destinazione (MIODOMINIO.LOCAL) e nell'area autenticazione client.
Contattare l'amministratore di sistema.
###################
Tipo evento: Errore
Origine evento: NTDS Replication
Categoria evento: Replica
ID evento: 2042
Data: 16/12/2011
Ora: 10.52.47
Utente: NT AUTHORITY\ACCESSO ANONIMO
Computer: AD01
Descrizione:
È trascorso troppo tempo da quando questo computer ha effettuato la replica con il computer di origine nominato. Il tempo tra le repliche con l'origine ha superato la durata oggetto contrassegnato per rimozione. La replica con questa origine è
stata interrotta.
Non è consentito proseguire la replica poiché i due computer potrebbero visualizzare in modo diverso gli oggetti eliminati. Sul computer di origine potrebbero essere presenti copie di oggetti eliminati con il processo di garbage collection su
questo computer. Se si consente la replica, il computer di origine potrebbe restituire oggetti già eliminati.
Ora dell'ultima replica riuscita:
2011-04-07 11:58:22
ID chiamata dell'origine:
0677f6c8-f6b8-0677-0100-000000000000
Nome dell'origine:
44338112-5167-45e8-b8ad-5d2052eb9f23._msdcs.miodominio.local
Durata oggetto contrassegnato per rimozione (giorni):
60
Impossibile eseguire la replica.
Azione utente:
Determinare quale dei due computer è stato disconnesso dall'insieme di strutture e non è aggiornato. Sono disponibili tre opzioni:
1. Abbassare di livello o reinstallare il computer oppure i computer disconnessi.
2. Utilizzare lo strumento "repadmin /removelingeringobjects" per rimuovere gli oggetti eliminati incoerenti, quindi riprendere la replica.
3. Riprendere la replica. Possono essere introdotti oggetti eliminati incoerenti. È possibile continuare la replica utilizzando la seguente chiave del Registro di sistema. Quando i sistemi avranno effettuato una replica, si consiglia di rimuovere la
chiave per ripristinare la protezione.
Chiave del Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner
Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo
http://go.microsoft.com/fwlink/events.asp.
Ora: io avevo già risolto problemi di questo tipo con il cambio della password dell'account computer come segue:
stop disable di KDC
reboot
klist purge (elimina ticket in cache)
reboot
netdom changepwd
reboot
restart KDC
reboot
replica forzata
però non si era mai superata la soglia dei 60 giorni di disconnessione....
qui:
http://technet.microsoft.com/en-us/library/cc757610%28WS.10%29.aspx
http://www.netsetup.it/windows-server/errore-replica-active-directory-ntds-replication-error
http://technet.microsoft.com/en-us/library/cc738415%28WS.10%29.aspx
... dicono (banalizzo) che ci sono 2 possibilità:
o SPROMUOVO il DC
o mi metto a fare la procedura di replica forzata con /removelingeringobjects, modificando il registro di sistema e permettendo replica verso DC non allineati.
Le mie domande:
- dato che il mio obiettivo è di PULIRE Active Directory da questi servers, posso io disinstallare exchange e spromuovere il DC mentre sono in comunicazione con il sito primario ed avere la situazione pulita? oppure facendo così mi metterebbe
in condizione di dover usare ADSIEDIT per fare la "pulizia manuale"??
- Se mi metto a fare la procedura, siamo SICURI SICURI che sia il domain controller nel DR site ad essere sovrascritto? Non è che mi sporca ulteriormente l'active Directory?
- Siccome le procedure di pulizia manuale le ho attuate ormai 4-5 volte in giro per il mondo e mi sento anche abbastanza sicuro (seguendo passo passo la documentazione MS) a farle (avendo il backup), non è che mi metto a fare una confusione maggiore
a tentare di salvare il DC di DR???
Grazie.
Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a
risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting
is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This
can be beneficial to other community members reading the thread.
