none
Replica Active Directory dopo oltre 60 giorni di disconnessione. RRS feed

  • Domanda

  • Ciao a tutti,

     ho un problema con un site di DR, che è stato disconnesso per più di 60 gg (thombstone timeuot per la rimozione dell'oggetto.). Purtroppo mi hanno dato un grosso disservizio...

     

     

    ho la seguente configurazione:

    1 server DC (AD01-VM1), 1 exchange 2003, 1 fileserver, 1 sql server nel sito di DR.

    il problema è chiaramente nel server DC.

    NOTE:

    • Il mio obiettivo è poter PULIRE il mio Active directory da questi servers, in quanto abbiamo dismesso questo sito e ne realizziamo un altro.
    • Durante il periodo di non comunicazione ho dovuto fare interventi sostanziali di modifica di oggetti Active Directory, anche se non modifiche allo schema.

     

    ora vedo i seguenti errori:

    impossibile eseguire la replica con qusto server poichè il tempo trascorso dall'ultima replica con il server ha superato la durata dell'oggetto contrassegnato per la rimozione.

    ...poi nell'event viewer:

    <>Tipo evento: Errore
    Origine evento: Kerberos
    Categoria evento: Nessuno
    ID evento: 4
    Data:  16/12/2011
    Ora:  11.00.43
    Utente:  N/D
    Computer: AD01-VM1
    Descrizione:
    Il client Kerberos ha ricevuto un errore KRB_AP_ERR_MODIFIED dal server host/host.miodominio.local.  Nome di destinazione utilizzato: host/HOST@MIODOMINIO.LOCAL. Questo indica che la password utilizzata per crittografare il ticket di servizio Kerberos è diversa da quella memorizzata sul server di destinazione. Questo problema è dovuto in genere ad account computer  con nome identico nell'area autenticazione server di destinazione (MIODOMINIO.LOCAL) e nell'area autenticazione client.  Contattare l'amministratore di sistema.

    ###################

    Tipo evento: Errore
    Origine evento: NTDS Replication
    Categoria evento: Replica
    ID evento: 2042
    Data:  16/12/2011
    Ora:  10.52.47
    Utente:  NT AUTHORITY\ACCESSO ANONIMO
    Computer: AD01
    Descrizione:
    È trascorso troppo tempo da quando questo computer ha effettuato la replica con il computer di origine nominato. Il tempo tra le repliche con l'origine ha superato la durata oggetto contrassegnato per rimozione. La replica con questa origine è stata interrotta.
    Non è consentito proseguire la replica poiché i due computer potrebbero visualizzare in modo diverso gli oggetti eliminati. Sul computer di origine potrebbero essere presenti copie di oggetti eliminati con il processo di garbage collection su questo computer. Se si consente la replica, il computer di origine potrebbe restituire oggetti già eliminati.
    Ora dell'ultima replica riuscita:
    2011-04-07 11:58:22
    ID chiamata dell'origine:
    0677f6c8-f6b8-0677-0100-000000000000
    Nome dell'origine:
    44338112-5167-45e8-b8ad-5d2052eb9f23._msdcs.miodominio.local
    Durata oggetto contrassegnato per rimozione (giorni):
    60
     
    Impossibile eseguire la replica.
     
    Azione utente:
     
    Determinare quale dei due computer è stato disconnesso dall'insieme di strutture e non è aggiornato. Sono disponibili tre opzioni:
     
    1. Abbassare di livello o reinstallare il computer oppure i computer disconnessi.
    2. Utilizzare lo strumento "repadmin /removelingeringobjects" per rimuovere gli oggetti eliminati incoerenti, quindi riprendere la replica.
    3. Riprendere la replica. Possono essere introdotti oggetti eliminati incoerenti. È possibile continuare la replica utilizzando la seguente chiave del Registro di sistema. Quando i sistemi avranno effettuato una replica, si consiglia di rimuovere la chiave per ripristinare la protezione.
     Chiave del Registro:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner


    Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

    Ora: io avevo già risolto problemi di questo tipo con il cambio della password dell'account computer come segue:

    stop disable di KDC
     reboot
     klist purge (elimina ticket in cache)
     reboot
     netdom changepwd
     reboot
     restart KDC
     reboot
     replica forzata

     

    però non si era mai superata la soglia dei 60 giorni di disconnessione....

     

    qui:

    http://technet.microsoft.com/en-us/library/cc757610%28WS.10%29.aspx

    http://www.netsetup.it/windows-server/errore-replica-active-directory-ntds-replication-error

    http://technet.microsoft.com/en-us/library/cc738415%28WS.10%29.aspx

     

    ... dicono (banalizzo) che ci sono 2 possibilità:

    o SPROMUOVO il DC

    o mi metto a fare la procedura di replica forzata con /removelingeringobjects, modificando il registro di sistema e permettendo replica verso DC non allineati.

     

    Le mie domande:

    1. dato che il mio obiettivo è di PULIRE Active Directory da questi servers, posso io disinstallare exchange e spromuovere il DC mentre sono in comunicazione con il sito primario ed avere la situazione pulita? oppure facendo così mi metterebbe in condizione di dover usare ADSIEDIT per fare la "pulizia manuale"??
    2. Se mi metto a fare la procedura, siamo SICURI SICURI che sia il domain controller nel DR site ad essere sovrascritto? Non è che mi sporca ulteriormente l'active Directory?
    3. Siccome le procedure di pulizia manuale le ho attuate ormai 4-5 volte in giro per il mondo e mi sento anche abbastanza sicuro (seguendo passo passo la documentazione MS) a farle (avendo il backup), non è che mi metto a fare una confusione maggiore a tentare di salvare il DC di DR???

     

    Grazie. 

     

     

     

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    venerdì 16 dicembre 2011 11:34

Risposte

Tutte le risposte

  • poichè stai dismettendo l'intero site il consiglio è quello di seguire i soliti buoni articoli della kb che funzionano sempre:

    http://support.microsoft.com/kb/216498

    http://support.microsoft.com/kb/273478

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 16 dicembre 2011 14:03
    Moderatore
  • Grazie Edoardo, era la conferma che stavo cercando... :-)

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 19 dicembre 2011 13:31