none
Не работает репликация после включения одного из DC RRS feed

  • Общие обсуждения

  • Доброго дня.

    Недавно открыли новый филиал в Красноярске. Для него создал отдельный домен (KRS.local), в лесу. В котором есть еще несколько доменов dom1.local (root) и dom2.local. В домене KRS.local два DC (DC01.krs.local; DC02.krs.local) в разных сайтах. 

    DC00.krs.local отправил в Красноярск, пока он ехал\ставили и т.п. прошло 60 дней. Соответственно пароль для DC истек и репликация встала.

    "После перезагрузки воспользуйтесь программой Netdom для сброса безопасных каналов между данным контроллером домена и хозяином операций для эмулятора PDC. Для этого выполните следующую команду на контроллере домена, не являющемся хозяином операций для эмулятора PDC:
    netdom resetpwd /server:имя_сервера /userd:имя_домена\administrator /passwordd:пароль_администратора"

    Рекомендация не помогла, т.е. пароль скинул, но после перезагрузки сервера картина не изменилась. 

    Судя по Nltest не установлен безопасный канал связи, наверное потому что срок действия пароля прошел, но смена его посредством  "netdom resetpwd", не помогает.

    Результат repadmin /replsum на DC00:

    DC00 >60 days 42 / 75 56 (1908) Could not find the domain controller for this domain.

    Результат repadmin /replsum на DC01:

    Destination DSA largest delta fails/total %% error
    DC00 >60 days 42 / 75 56 (1908) Could not find the domain controller for this domain.
    DC01 >60 days 30 / 30 100 (8457) The destination server is currently rejecting replication requests.

    Результат  Nltest с DC00: 

    C:\Windows\system32>Nltest /server:dc01 /sc_query:krs.local
    I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED

    Результат  Nltest с DC01: 

    C:\Windows\system32>Nltest /server:dc00 /sc_query:krs.local
    Flags: 10 HAS_IP
    Trusted DC Name \\DC01.krs.local
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    The command completed successfully

    Ошибка в логах на DC00:

    Log Name: System
    Source: Microsoft-Windows-Security-Kerberos
    Date: 18.03.2013 17:38:10
    Event ID: 4
    Task Category: None
    Level: Error
    Keywords: Classic
    User: N/A
    Computer: DC00.krs.local
    Description:
    The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server dc01$. The target name used was ldap/dc01.krs.local. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (KRS.LOCAL) is different from the client domain (KRS.LOCAL), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
    <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
    <EventID Qualifiers="16384">4</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2013-03-18T13:38:10.000000000Z" />
    <EventRecordID>24607</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>DC00.KRS.local</Computer>
    <Security />
    </System>
    <EventData>
    <Data Name="Server">dc01$</Data>
    <Data Name="TargetRealm">KRS.LOCAL</Data>
    <Data Name="Targetname">ldap/dc01.krs.local</Data>
    <Data Name="ClientRealm">KRS.LOCAL</Data>
    <Binary>
    </Binary>
    </EventData>
    </Event>







    18 марта 2013 г. 13:53

Все ответы

  • Полное описание процедуры сброса пароля КД см. здесь: http://support.microsoft.com/kb/325850

    Там нужно не только выполнить команду, но и останавливать службу KDC.


    Слава России!

    18 марта 2013 г. 14:13
  • Полное описание процедуры сброса пароля КД см. здесь: support.microsoft.com/kb/325850 

    Там нужно не только выполнить команду, но и останавливать службу KDC.

    Прошу прощения, я не упомянул: Службу KDC перед процедурой сброса пароля останавливал и переводил в режим "disabled". После процедуры запускал и перегружал сервер - безрезультатно.

    Может еще разок попробовать скинуть? Кстати, команда сброса была следующая: netdom resetpwd /server:dc01 /userd:krs.local\administrator /passwordd:*. И выполнял ее на DC00

    Напомню: 

    DC00 - в Красноярске (отдельный сайт)

    DC01 - в центральном офисе




    18 марта 2013 г. 14:21
  • 60 дней - это нехороший срок: в старых версиях AD это было время жизни по умолчанию захороненных удаленных объектов (потом его увеличили до 180 дней, но если лес был создан в старой версии, то оно останется прежним). Проверьте, какое время жизни реально действует у Вас в лесу: http://technet.microsoft.com/en-us/library/cc784932(v=WS.10).aspx

    Если репликация в течение этого интервала времени была неработоспособна, то автоматически она не запустится. Разрешить репликацию после истечения времени жизни захороненных объектов, в принципе, можно (через реестр на КД), но лучше без особой нужды это не делать - иначе придется восстанавливать согласованность AD вручную (что не совсем просто). КД лучше понизить (придется это делать принудительно - dcpromo /forceremoval, с последующей очиской AD -  см. http://support.microsoft.com/kb/216498 ), а затем - повысить обратно.


    Слава России!


    • Изменено M.V.V. _ 18 марта 2013 г. 14:44
    18 марта 2013 г. 14:43
  • netdom query fsmo для подстраховки покажите... я в этой ситуации предпочёл бы перестраховаться и переподнять, но в принципе - если TSL в 180 дней выставлен в лесу, то сброс пароля должен был вылечить... в вашем же случае я реально вижу только разницу в паролях (KRB_AP_ERR_MODIFIED) - до репликации ещё не доходит...
    19 марта 2013 г. 6:41
    Отвечающий
  • Недавно как раз похожую проблему правили в соседней теме - читали? единственное - опять же, после остановки KDC неплохо бы klist purge сделать...

    19 марта 2013 г. 6:43
    Отвечающий
  • C:\Windows\system32>netdom query fsmo
    Schema master               SPDC00.dom1.local
    Domain naming master   SPDC00.dom1.local
    PDC                                 DC01.KRS.local
    RID pool manager           DC01.KRS.local  
    Infrastructure master     DC01.KRS.local 

    SPDC00.dom1.local - rood DC

    Время жизни в лесу:

    tombstoneLifetime - 180

    На счет похожей темы - да видел, спасибо. Попробую с klist purge сбросить пароль.

    Получается что шанс оживить DC есть и на сколько я понимаю только netdom resetpwd (но опять же, я уже пробовал скинуть пароль, но безрезультатно, попробую еще раз). Либо в филиале создавать новый DC, а старый понижать\удалять. 

    Я правильно понял?


    19 марта 2013 г. 6:59
  • Получается что шанс оживить DC есть и на сколько я понимаю только netdom resetpwd (но опять же, я уже пробовал скинуть пароль, но безрезультатно, попробую еще раз). Либо в филиале создавать новый DC, а старый понижать\удалять.
    Я правильно понял?
    Шанс есть. В худшем случае, но гарантированный вариант - dcpromo. Смотрите, KDC на DC00 вы останавливаете только для того, чтобы DC00 не получил от него тикет, зашифрованный позапрошлым паролем DC01. Если тикет уже получен - от него нужно избавиться через klist purge, предварительно остановив KDC.
    19 марта 2013 г. 7:04
    Отвечающий
  • Попробовал повторно сбросить пароль:

    На DC00 остановил KDC, тип запуска: Вручную. Далее:

    C:\Users\Administrator>klist purge

    Current LogonId is 0:0x265ee
    Deleting all tickets:
    Ticket(s) purged!

    C:\Users\Administrator>netdom resetpwd /server:dc01 /userd:krs.local\administrator /passwordd:*
    Type the password associated with the domain user:

    The machine account password for the local machine has been successfully reset.

    The command completed successfully.

    Запустил KDC, тип запуска: Авто, перезагрузил DC00. Далее на нем же:

    C:\Users\Administrator>repadmin /syncall
    CALLBACK MESSAGE: SyncAll Finished.
    SyncAll terminated with no errors.


    C:\Users\Administrator>repadmin /replsum
    Replication Summary Start Time: 2013-03-19 13:58:09

    Beginning data collection for replication summary, this may take awhile:
    ......................


    Source DSA largest delta fails/total %% error

    SPDC00      56m:52s 0 / 57 0
    SPDC01      56m:51s 0 / 46 0
    DC00          >60 days 8 / 8 100 (5) Access is denied.
    DC01          >60 days 30 / 30 100 (2148074274) The target prin
    cipal name is incorrect.


    Experienced the following operational errors trying to retrieve replication info
    rmation:
    8341 - DC01.KZN.local

    19 марта 2013 г. 10:38
  • repadmin /showreps?
    19 марта 2013 г. 11:01
    Отвечающий
  • Ладно, спомощью netdom resetpwd не вышло, пробую через dcpromo:

    При включенном DC00:

    Создал новую виртуальную машину (DC02, проблемный DC00 решил не трогать), запускаю dcpromo на новом сервере (DC02) на этапе выбора домена, появляется сообщение: 

    You will not be able to install a writable replica domain controller at this time because the RID master DC01.KRS.local is offline. Ну и "ДА\НЕТ". Хотя dc01.krs.local по крайней мере пингуется и по ip адесу, и по имени. 

    При выключенном DC00:

    DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "KRS.local":

    The query was for the SRV record for _ldap._tcp.dc._msdcs.KRS.local

    The following domain controllers were identified by the query:
    dc01.krs.local
    dc00.krs.local

    However no domain controllers could be contacted.

    Common causes of this error include:

    - Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.

    - Domain controllers registered in DNS are not connected to the network or are not running.

    Смотрю nslookup krs.local со своего ПК в другом домене:

    C:\Windows\system32>nslookup

    _ldap._tcp.dc._msdcs.vrn.local SRV service location:
    priority = 0
    weight = 100
    port = 389
      svr hostname = dc01.krs.local
    _ldap._tcp.dc._msdcs.vrn.local SRV service location:
    priority = 0
    weight = 100
    port = 389
      svr hostname = dc00.krs.local
    dc01.krs.local internet address = 10.10.1.7
    dc00.krs.local internet address = 10.10.31.5

    Записи есть, пинги тоже бегают, почему нет контакта, не понимаю.

    Примечание:

    DC00 - 10.10.31.5 - Красноярск

    DC01 - 10.10.1.7 - Центральный офис

    DC02 - 10.10.31.3 - Красноярск

    Совсем уже запутался, т.к. почему при повышении роли DC02 до контроллера домена, выпадает ошибка. Помогите пож-та разобраться.



    19 марта 2013 г. 11:05
  • странно - вот чудес то не бывает... явно ругается на доступ... кстати, несмотря на статью в kb... KDC в Disabled поставьте, проведите те же действия, но рестарт с выключенным KDC (потом включим) - после запуска уже проверяйте реплику
    19 марта 2013 г. 11:10
    Отвечающий
  • You will not be able to install a writable replica domain controller at this time because the RID master DC01.KRS.local is offline. Ну и "ДА\НЕТ". Хотя dc01.krs.local по крайней мере пингуется и по ip адесу, и по имени. 
    Так, стоять. Отвлечёмся к dc01. dcdiag /q с него в студию и net share. Куда смотрят DNS'ы на DC02?
    19 марта 2013 г. 11:12
    Отвечающий
  • repadmin /showreps?

    repadmin /showreps с DC01 (Центральный офис):

    C:\Windows\system32>repadmin /showreps

    SP\DC01

    DSA Options: IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL

    Site Options: (none)

    DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

    DSA invocationID: 508c38a8-9d4d-4b20-aeb1-03d9883f0dc4

    ==== INBOUND NEIGHBORS ======================================

    CN=Configuration,DC=DOM1,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            675 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            678 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC02 via RPC

            DSA object GUID: e495d8b1-075c-40c2-bf00-c3fb6280f401

            Last attempt @ 2013-03-19 14:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            2123 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    CN=Schema,CN=Configuration,DC=DOM1,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            675 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            678 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC02 via RPC

            DSA object GUID: e495d8b1-075c-40c2-bf00-c3fb6280f401

            Last attempt @ 2013-03-19 14:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            2043 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    DC=ForestDnsZones,DC=DOM1,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            675 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            678 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC02 via RPC

            DSA object GUID: e495d8b1-075c-40c2-bf00-c3fb6280f401

            Last attempt @ 2013-03-19 14:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            2091 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    DC=KRS,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            683 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    DC=DomainDnsZones,DC=KRS,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            675 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    DC=DOM1,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            675 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            678 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

        SP\SPDC02 via RPC

            DSA object GUID: e495d8b1-075c-40c2-bf00-c3fb6280f401

            Last attempt @ 2013-03-19 14:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            17071 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    DC=SP,DC=local

        KRS\DC00 via RPC

            DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            675 consecutive failure(s).

            Last success @ 2012-12-25 16:46:31.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 13:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            678 consecutive failure(s).

            Last success @ 2012-12-25 16:46:31.

        SP\SPDC02 via RPC

            DSA object GUID: e495d8b1-075c-40c2-bf00-c3fb6280f401

            Last attempt @ 2013-03-19 14:49:51 failed, result 8457 (0x2109):

                The destination server is currently rejecting replication requests.

            2678 consecutive failure(s).

            Last success @ 2012-12-25 16:46:30.

    Source: SP\SPDC03

    ******* 90 CONSECUTIVE FAILURES since 2013-03-18 16:54:31

    Last error: 8457 (0x2109):

                The destination server is currently rejecting replication requests.

    Naming Context: DC=ForestDnsZones,DC=DOM1,DC=local

    Source: SP\SPDC03

    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: DC=SP,DC=local

    Source: SP\SPDC03

    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: DC=DOM1,DC=local

    Source: SP\SPDC03

    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Schema,CN=Configuration,DC=DOM1,DC=local

    Source: SP\SPDC03

    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Configuration,DC=DOM1,DC=local

    Source: SP\SPDC03

    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Source: SP\SPDC00

    ******* 90 CONSECUTIVE FAILURES since 2013-03-18 16:54:31

    Last error: 5 (0x5):

                Access is denied.

    Source: SP\SPDC02

    ******* 90 CONSECUTIVE FAILURES since 2013-03-18 16:54:31

    Last error: 5 (0x5):

                Access is denied.

    Source: KRS\DC00

    ******* 683 CONSECUTIVE FAILURES since 2012-12-25 16:46:32

    Last error: 8457 (0x2109):

                The destination server is currently rejecting replication requests.

    repadmin /showreps с DC00 (Красноярск):

    C:\Users\administrator>repadmin /showreps

    KRS\DC00

    DSA Options: IS_GC

    Site Options: (none)

    DSA object GUID: 9b1ddbf1-5a34-4b5b-8c05-86b303fa84d8

    DSA invocationID: e0282215-8069-421e-abe4-4c4e20689e00

    ==== INBOUND NEIGHBORS ======================================

    CN=Configuration,DC=DOM1,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 10:46:20 failed, result -2146893022 (0x8009032

    2):

                The target principal name is incorrect.

            670 consecutive failure(s).

            Last success @ 2012-12-25 13:49:00.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 14:38:17 was successful.

        SP\SPDC01 via RPC

            DSA object GUID: 40e97089-e36e-4ddf-b19b-8265ec8c2fb8

            Last attempt @ 2013-03-19 14:38:18 was successful.

    CN=Schema,CN=Configuration,DC=DOM1,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 10:46:21 failed, result -2146893022 (0x8009032

    2):

                The target principal name is incorrect.

            670 consecutive failure(s).

            Last success @ 2012-12-25 13:49:02.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 14:38:18 was successful.

        SP\SPDC01 via RPC

            DSA object GUID: 40e97089-e36e-4ddf-b19b-8265ec8c2fb8

            Last attempt @ 2013-03-19 14:38:18 was successful.

    DC=ForestDnsZones,DC=DOM1,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 10:46:20 failed, result 1256 (0x4e8):

                The remote system is not available. For information about network tr

    oubleshooting, see Windows Help.

            670 consecutive failure(s).

            Last success @ 2012-12-25 13:49:03.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 14:38:18 was successful.

        SP\SPDC01 via RPC

            DSA object GUID: 40e97089-e36e-4ddf-b19b-8265ec8c2fb8

            Last attempt @ 2013-03-19 14:38:18 was successful.

    DC=KRS,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 10:46:22 failed, result -2146893022 (0x8009032

    2):

                The target principal name is incorrect.

            670 consecutive failure(s).

            Last success @ 2012-12-25 13:49:04.

    DC=DomainDnsZones,DC=KRS,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 15:07:24 failed, result 1908 (0x774):

                Could not find the domain controller for this domain.

            708 consecutive failure(s).

            Last success @ 2012-12-25 13:49:04.

    DC=DOM1,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 10:46:20 failed, result 1256 (0x4e8):

                The remote system is not available. For information about network tr

    oubleshooting, see Windows Help.

            670 consecutive failure(s).

            Last success @ 2012-12-25 13:49:05.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 14:38:18 was successful.

        SP\SPDC01 via RPC

            DSA object GUID: 40e97089-e36e-4ddf-b19b-8265ec8c2fb8

            Last attempt @ 2013-03-19 14:38:18 was successful.

    DC=SP,DC=local

        SP\DC01 via RPC

            DSA object GUID: e0b3741b-510b-4fbc-9583-24318bfca3bc

            Last attempt @ 2013-03-19 10:46:20 failed, result 1256 (0x4e8):

                The remote system is not available. For information about network tr

    oubleshooting, see Windows Help.

            670 consecutive failure(s).

            Last success @ 2012-12-25 13:49:06.

        SP\SPDC00 via RPC

            DSA object GUID: da7a295e-6db4-450b-88b1-01a9a497d156

            Last attempt @ 2013-03-19 14:38:19 was successful.

        SP\SPDC01 via RPC

            DSA object GUID: 40e97089-e36e-4ddf-b19b-8265ec8c2fb8

            Last attempt @ 2013-03-19 14:38:19 was successful.

    19 марта 2013 г. 11:31
  • странно - вот чудес то не бывает... явно ругается на доступ... кстати, несмотря на статью в kb... KDC в Disabled поставьте, проведите те же действия, но рестарт с выключенным KDC (потом включим) - после запуска уже проверяйте реплику

    Сделал как вы написали, ничего не изменилось, такая же картина:

    repadmin /replsum с DC01:

    C:\Windows\system32>repadmin /replsum
    Replication Summary Start Time: 2013-03-19 16:08:09

    Beginning data collection for replication summary, this may take awhile:
    .............


    Destination DSA largest delta fails/total %% error
    DC00 >60 days 42 / 75 56 (1908) Could not find the do
    main controller for this domain.
    DC01 >60 days 30 / 30 100 (8457) The destination serve
    r is currently rejecting replication requests.

    repadmin /replsum с DC00:

    C:\Users\Administrator>repadmin /replsum
    Replication Summary Start Time: 2013-03-19 16:03:26

    Beginning data collection for replication summary, this may take awhile:
    ......................


    Source DSA largest delta fails/total %% error

    DC00 >60 days 8 / 8 100 (1908) Could not find the do
    main controller for this domain.
    DC01 >60 days 30 / 30 100 (1908) Could not find the do
    main controller for this domain.

    19 марта 2013 г. 12:10
  • Так, стоять. Отвлечёмся к dc01. dcdiag /q с него в студию и net share. Куда смотрят DNS'ы на DC02?

    net share с DC01:

    C:\Windows\system32>net share

    Share name Resource Remark

    -------------------------------------------------------------------------------
    C$ C:\ Default share
    IPC$ Remote IPC
    ADMIN$ C:\Windows Remote Admin
    NETLOGON C:\Windows\SYSVOL\sysvol\KRS.local\SCRIPTS
    Logon server share
    SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
    The command completed successfully.

    Куда смотрят DNS'ы на DC02:

    IPv4 Address. . . . . . . . . . . : 10.10.31.3(Preferred)  - DC02
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 10.10.31.254
    DNS Servers . . . . . . . . . . . : 10.10.1.7 - DC01.krs.local в центральном офисе
                                                 10.10.1.0 - DC.dom1.local в root домене

    С DC02 nslookup: 

    C:\Users\Administrator>nslookup krs.local
    Server: dc01.krs.local
    Address: 10.10.1.7 -  DC01.krs.local в центральном офисе

    Name: krs.local
    Addresses: 10.10.31.5  - DC00.krs.local в Красноярске  
                       10.10.1.7 -  DC01.krs.local в центральном офисе


    19 марта 2013 г. 12:25
  • С DC01 dcdiag /q:

    C:\Windows\system32> dcdiag /q

             Warning: DsGetDcName returned information for \\DC00.KRS.local,

             when we were trying to reach DC01.

             SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.

             ......................... DC01 failed test Advertising

             An error event occurred.  EventID: 0xC0000466

                Time Generated: 03/19/2013   16:04:55

                Event String:

                Active Directory Domain Services was unable to establish a connectio

    n with the global catalog.

             A warning event occurred.  EventID: 0x8000061E

                Time Generated: 03/19/2013   16:11:24

                Event String:

                All directory servers in the following site that can replicate the d

    irectory partition over this transport are currently unavailable.

             An error event occurred.  EventID: 0xC000051F

                Time Generated: 03/19/2013   16:11:24

                Event String:

                The Knowledge Consistency Checker (KCC) has detected problems with t

    he following directory partition.

             A warning event occurred.  EventID: 0x80000786

                Time Generated: 03/19/2013   16:11:24

                Event String:

                The attempt to establish a replication link to a read-only directory

     partition with the following parameters failed.

             A warning event occurred.  EventID: 0x80000786

                Time Generated: 03/19/2013   16:11:25

                Event String:

                The attempt to establish a replication link to a read-only directory

     partition with the following parameters failed.

             A warning event occurred.  EventID: 0x80000785

                Time Generated: 03/19/2013   16:11:25

                Event String:

                The attempt to establish a replication link for the following writab

    le directory partition failed.

             ......................... DC01 failed test KccEvent

             [SPDC00] DsBindWithSpnEx() failed with error 5,

             Access is denied..

             Warning: SPDC00 is the Schema Owner, but is not responding to DS RPC

             Bind.

             [SPDC00] LDAP bind failed with error 1326,

             Logon failure: unknown user name or bad password..

             Warning: SPDC00 is the Schema Owner, but is not responding to LDAP

             Bind.

             Warning: SPDC00 is the Domain Owner, but is not responding to DS RPC

             Bind.

             Warning: SPDC00 is the Domain Owner, but is not responding to LDAP

             Bind.

             ......................... DC01 failed test KnowsOfRoleHolders

             ......................... DC01 failed test Replications

                w32time Service is stopped on [DC01]

                NETLOGON Service is paused on [DC01]

             ......................... DC01 failed test Services

             An error event occurred.  EventID: 0x000003EE

                Time Generated: 03/19/2013   15:17:06

                Event String:

                The processing of Group Policy failed. Windows could not authenticat

    e to the Active Directory service on a domain controller. (LDAP Bind function ca

    ll failed). Look in the details tab for error code and description.

             An error event occurred.  EventID: 0x000003EE

                Time Generated: 03/19/2013   15:22:07

                Event String:

                The processing of Group Policy failed. Windows could not authenticat

    e to the Active Directory service on a domain controller. (LDAP Bind function ca

    ll failed). Look in the details tab for error code and description.

             An error event occurred.  EventID: 0xC00038D6

                Time Generated: 03/19/2013   15:53:13

                Event String:

                The DFS Namespace service could not initialize cross forest trust in

    formation on this domain controller, but it will periodically retry the operatio

    n. The return code is in the record data.

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:07:20

                Event String:

                The dynamic registration of the DNS record 'KRS.local. 600 IN A 10.1

    0.1.7' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:08:07

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.KRS.local. 60

    0 IN SRV 0 100 389 DC01.KRS.local.' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:08:42

                Event String:

                The dynamic registration of the DNS record '_kerberos._tcp.dc._msdcs

    .KRS.local. 600 IN SRV 0 100 88 DC01.KRS.local.' failed on the following DNS

    server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:15

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.dc._msdcs.KRS

    .local. 600 IN SRV 0 100 389 DC01.KRS.local.' failed on the following DNS ser

    ver:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:15

                Event String:

                The dynamic registration of the DNS record '_kerberos._tcp.KRS.local

    . 600 IN SRV 0 100 88 DC01.KRS.local.' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:21

                Event String:

                The dynamic registration of the DNS record '_kerberos._udp.KRS.local

    . 600 IN SRV 0 100 88 DC01.KRS.local.' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:21

                Event String:

                The dynamic registration of the DNS record '_kpasswd._tcp.KRS.local.

     600 IN SRV 0 100 464 DC01.KRS.local.' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_kpasswd._udp.KRS.local.

     600 IN SRV 0 100 464 DC01.KRS.local.' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record 'DomainDnsZones.KRS.local

    . 600 IN A 10.10.1.7' failed on the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.DomainDnsZone

    s.KRS.local. 600 IN SRV 0 100 389 DC01.KRS.local.' failed on the following DN

    S server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.SP._s

    ites.DomainDnsZones.KRS.local. 600 IN SRV 0 100 389 DC01.KRS.local.' failed o

    n the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.pdc._msdcs.KRS.local. 600 IN SRV 0 100 389 DC01.KRS.local.' failed on the following DNS se

    rver:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.SP._s

    ites.KRS.local. 600 IN SRV 0 100 389 DC01.KRS.local.' failed on the following

     DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_kerberos._tcp.SP._s

    ites.dc._msdcs.KRS.local. 600 IN SRV 0 100 88 DC01.KRS.local.' failed on

    the following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_ldap._tcp.SP._s

    ites.dc._msdcs.KRS.local. 600 IN SRV 0 100 389 DC01.KRS.local.' failed on the

     following DNS server:

             An error event occurred.  EventID: 0x0000168E

                Time Generated: 03/19/2013   16:09:26

                Event String:

                The dynamic registration of the DNS record '_kerberos._tcp.SP._s

    ites.KRS.local. 600 IN SRV 0 100 88 DC01.KRS.local.' failed on the follow

    ing DNS server:

             ......................... DC01 failed test SystemLog



    19 марта 2013 г. 12:42
  • С DC01 dcdiag /q:

             Warning: DsGetDcName returned information for \\DC00.KRS.local,

             when we were trying to reach DC01.

             SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.

             ......................... DC01 failed test Advertising

                w32time Service is stopped on [DC01]

                NETLOGON Service is paused on [DC01]

             ......................... DC01 failed test Services


    Вам не DC00 нужно лечить...
    Что у вас в логах Directory Services и DNS на DC01?
    19 марта 2013 г. 12:47
    Отвечающий
  • На DC01 в логах DNS ошибок нет. А вот в Directory Services есть, да еще и какие:

    Log Name: Directory Service
    Source: Microsoft-Windows-ActiveDirectory_DomainService
    Date: 19.03.2013 17:18:57
    Event ID: 1113
    Task Category: Replication
    Level: Warning
    Keywords: Classic
    User: ANONYMOUS LOGON
    Computer: DC01.KRS.local
    Description:
    Inbound replication has been disabled by the user.

    ---------------------------------------------------------------------------

    Log Name: Directory Service
    Source: Microsoft-Windows-ActiveDirectory_DomainService
    Date: 19.03.2013 17:18:57
    Event ID: 1115
    Task Category: Replication
    Level: Warning
    Keywords: Classic
    User: ANONYMOUS LOGON
    Computer: DC01.KRS.local
    Description:
    Outbound replication has been disabled by the user.

    ---------------------------------------------------------------------------

    Log Name: Directory Service
    Source: Microsoft-Windows-ActiveDirectory_DomainService
    Date: 19.03.2013 17:19:38
    Event ID: 2103
    Task Category: Service Control
    Level: Error
    Keywords: Classic
    User: ANONYMOUS LOGON
    Computer: DC01.KRS.local
    Description:
    The Active Directory Domain Services database has been restored using an unsupported restoration procedure.
    Active Directory Domain Services will be unable to log on users while this condition persists. As a result, the Net Logon service has paused. 
    User Action 
    See previous event logs for details.
    ------------------------------------------------------------

    Log Name: Directory Service
    Source: Microsoft-Windows-ActiveDirectory_DomainService
    Date: 19.03.2013 17:20:07
    Event ID: 2092
    Task Category: Replication
    Level: Warning
    Keywords: Classic
    User: ANONYMOUS LOGON
    Computer: DC01.KRS.local
    Description:
    This server is the owner of the following FSMO role, but does not consider it valid. For the partition which contains the FSMO, this server has not replicated successfully with any of its partners since this server has been restarted. Replication errors are preventing validation of this role. 
    Operations which require contacting a FSMO operation master will fail until this condition is corrected. 
     FSMO Role: DC=KRS,DC=local 
    User Action: 
    1. Initial synchronization is the first early replications done by a system as it is starting. A failure to initially synchronize may explain why a FSMO role cannot be validated. This process is explained in KB article 305476. 
    2. This server has one or more replication partners, and replication is failing for all of these partners. Use the command repadmin /showrepl to display the replication errors. Correct the error in question. For example there maybe problems with IP connectivity, DNS name resolution, or security authentication that are preventing successful replication.
    3. In the rare event that all replication partners being down is an expected occurance, perhaps because of maintenance or a disaster recovery, you can force the role to be validated. This can be done by using NTDSUTIL.EXE to seize the role to the same server. This may be done using the steps provided in KB articles 255504 and 324801 on http://support.microsoft.com.

    The following operations may be impacted:
    Schema: You will no longer be able to modify the schema for this forest.
    Domain Naming: You will no longer be able to add or remove domains from this forest.
    PDC: You will no longer be able to perform primary domain controller operations, such as Group Policy updates and password resets for non-Active Directory Domain Services accounts.
    RID: You will not be able to allocation new security identifiers for new user accounts, computer accounts or security groups.
    Infrastructure: Cross-domain name references, such as universal group memberships, will not be updated properly if their target object is moved or renamed.
    ------------------------------------------------------------

    Log Name: Directory Service
    Source: Microsoft-Windows-ActiveDirectory_DomainService
    Date: 19.03.2013 17:19:09
    Event ID: 2886
    Task Category: LDAP Interface
    Level: Warning
    Keywords: Classic
    User: ANONYMOUS LOGON
    Computer: DC01.KRS.local
    Description:
    The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a cleartext (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.

    Some clients may currently be relying on unsigned SASL binds or LDAP simple binds over a non-SSL/TLS connection, and will stop working if this configuration change is made. To assist in identifying these clients, if such binds occur this directory server will log a summary event once every 24 hours indicating how many such binds occurred. You are encouraged to configure those clients to not use such binds. Once no such events are observed for an extended period, it is recommended that you configure the server to reject such binds.

    For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

    You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

    19 марта 2013 г. 13:32
  • Со снапшота поднимали? RAID1/10 не ломался? с образов не накатывали?
    19 марта 2013 г. 13:33
    Отвечающий
  • Кирюх, как обычно своевременно. Пора кбшку мне лепить- факу по обращению на форум с кд заполнить пункты.... тра-та-та...

    >>Inbound replication has been disabled by the user.

    А вы тут чего, репликацию рестриктили уже?

    19 марта 2013 г. 13:41
    Отвечающий
  • Со снапшота поднимали? RAID1/10 не ломался? с образов не накатывали?
    Нет, ничего подобного. И DC00, и DC01 виртуальные сервера (на разных физических серверах) на Hyper-V 2008R2. Были созданы с промежутком в несколько дней. После настройки на них домена, физический сервер с виртуальным DC00 был отправлен в филиал, там включили, какое то время поработали, появилось предупреждение о смене пароля встроенной учетной записи доменного администратора - сменили, какое то время не следил за "качеством работы"\ошибками на DC и тут бац - репликация не работает, вот начал разбираться и такие дебри.
    19 марта 2013 г. 13:44
  • Нет, ничего подобного
    Каким тогда интересно образом вы получили USN Rollback? Чудес не бывает, смотрите - когда в логах начало появляться событие 2103.

    19 марта 2013 г. 13:47
    Отвечающий
  • Кирюх, как обычно своевременно. Пора кбшку мне лепить- факу по обращению на форум с кд заполнить пункты.... тра-та-та...

    >>Inbound replication has been disabled by the user.

    меня больше смущает потенциальный USNRB...
    по факту - дальнейшее существование DC01 под вопросом: судьбу его определит расследование логов и раскрутка событий в прошлом... если имелся факт "восстановления с образа", то один сценарий... если ручное отключение - другой...

    19 марта 2013 г. 13:51
    Отвечающий
  • >>Inbound replication has been disabled by the user.

    А вы тут чего, репликацию рестриктили уже?

    Выходит что да, но не припомню чтобы я намеренно отключал репликацию, может кто то из коллег, хотя вряд ли. Но раз такая ошибка есть, значит нужно включить, попробовал статейкой: http://support.microsoft.com/kb/321153/ru, но не вышло, вернее не совсем понял - неужели не нужно ничего кроме "repadmin /options -DISABLE_OUTBOUND_REPL", на MS не похоже :)

    19 марта 2013 г. 13:54
  • >неужели не нужно ничего кроме "repadmin /options -DISABLE_OUTBOUND_REPL", на MS не похоже :)

    Зато похоже следующее. И это не ручное отключение администратором: Message 2, 3, 4.


    19 марта 2013 г. 14:00
    Отвечающий
  •  Зато похоже следующее. И это не ручное отключение администратором: Message 2, 3, 4.


    Этого еще не хватало, судя по статье (беглым взглядом) что получается: у DC01 все три роли, необходимо их передать DC00 и репликация с остальными контроллерами домена в лесу чудом восстановиться?

    И еще не совсем вас понял, что значит " не ручное отключение администратором " - вы намекаете на то что DC00 был восстановлен из резервной копии? Просто я не думаю что DC восстанавливали
    19 марта 2013 г. 14:14
  • Этого еще не хватало, судя по статье (беглым взглядом) что получается: у DC01 все три роли, необходимо их передать DC00 и репликация с остальными контроллерами домена в лесу чудом восстановиться? И еще не совсем вас понял, что значит " не ручное отключение администратором " - вы намекаете на то что DC00 был восстановлен из резервной копии? Просто я не думаю что DC восстанавливали
    Ну если бы у вас был один лес/домен с двумя КД, то передача ролей решила бы все проблемы. Но у вас есть одно но: SP. Рисуйте схему леса - упрощённо: лес и дерево доменов в нём + контроллеры в нём. Уверен, что сбрасывать пароль трасту придётся после захвата. И то - беру время на подумать, ибо подзабыл уже столь узкий траблшутинг, а лаба нет под рукой.

    p.s. всё же найдите в логах - как давно начало появляться событие 2103 в логах DS и есть ли у вас бэкапы данного сервера до этой даты
    20 марта 2013 г. 6:10
    Отвечающий
  • Уважаемый пользователь!           
    В вашей теме отсутствует активность в течение последних дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    26 марта 2013 г. 11:22
    Модератор