none
2012 R2 - Удаляются учетные записи пользователей и компьютеров при изменениях в объектах AD RRS feed

  • Вопрос

  • Добрый день!
    Имеем 1 домен в 1 лесу 
    3 контроллера с одинаковой версией ОС - Windows Server 2012 R2 один из который основной.
    Все 3 контроллера географически разнесены (VPN)

    Суть: при создании учетной записи пользователя/компьютера (пока только на одном из контроллеров) новый объект(ПК или юзер) дублируют уже имеющийся SID в AD (причем даже USER-ПК) , в результате чего они оба удаляются в корзину AD

    Подскажите кто-нибудь советом в чем дело, работать стало весьма опасно, ни пользователю сменить пароль, ни учетку удалить - нонсенс однако.
    Огромное спасибо всем откликнувшимся!
    28 октября 2017 г. 13:29

Ответы

  • Добрый День.

    В Дополнение:

    Скорее проблема с владельцем роли RID Master

    и добавьте к выводу repadmin /showrepl


    Само по себе отключение репликации к таким эффектам привести не может. Явно в истории этого домена была некорректная попытка восстановления (например, из образа диска, снятого чем-нибудь вроде Acronis True Image). Либо в какой-то момент роль RID master долго находилась на нереплицируемом и впоследствии удалённом контроллере домена, а впоследствии - захвачена на другом КД, который не имел актуальногого занчения ridAvailablePool из-за отсутствия репликации. Поэтому хотелось бы поинтересоваться у автора вопроса, что было интересного в истории этого домена.

    Для ориентировки хотеось бы увидеть подробные результаты теста RidManager на всех КД (dcdiag /test:RidManager /v /e на одном из КД, или, если будут проблемы с доступом - dcdiag /test:RidManager /v на проблемных КД).

    Что ещё хотелось бы увидеть - на каких контроллерах домена были созданы объекты с дублирующимися SID). Эту информацию можно найти в метаданных репликации объекта: смотреть командой

    repadmin /showobjmeta атрибут_distigushedName_объекта

    Ну и repadmin /showrepl * с одного КД(или repadmin /showrepl с каждого КД) тоже даст полезную информацию: состояние репликации, значения DSA object GUID и InvocationID для всех КД. Пока хватит, потом, возможно, потребуется посмотреть другие метаданные репликации.

    PS Проблему почти наверяка (но не 100% гарнтии!) можно решить, увеличив границу пула RID (процедура описана здесь: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-raise-rid-pool) и заставив все КД получить новые пулы (см. https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-invaildate-rid-pool ). Но мне хотелось бы понять, нет ли в AD других проблем, связанных с этой. Поэтому, если есть возможность потратить время на анализ, рекомендую не торопиться выполнять приведенные выше процедуры, а попытаться понять причину проблемы.


    Слава России!


    29 октября 2017 г. 19:22

Все ответы

  • к админу обратится не пробовали? :-)

    ну и давайте уже dcdiag

    28 октября 2017 г. 14:44
  • Добрый День.

    В Дополнение:

    Скорее проблема с владельцем роли RID Master

    и добавьте к выводу repadmin /showrepl


    Само по себе отключение репликации к таким эффектам привести не может. Явно в истории этого домена была некорректная попытка восстановления (например, из образа диска, снятого чем-нибудь вроде Acronis True Image). Либо в какой-то момент роль RID master долго находилась на нереплицируемом и впоследствии удалённом контроллере домена, а впоследствии - захвачена на другом КД, который не имел актуальногого занчения ridAvailablePool из-за отсутствия репликации. Поэтому хотелось бы поинтересоваться у автора вопроса, что было интересного в истории этого домена.

    Для ориентировки хотеось бы увидеть подробные результаты теста RidManager на всех КД (dcdiag /test:RidManager /v /e на одном из КД, или, если будут проблемы с доступом - dcdiag /test:RidManager /v на проблемных КД).

    Что ещё хотелось бы увидеть - на каких контроллерах домена были созданы объекты с дублирующимися SID). Эту информацию можно найти в метаданных репликации объекта: смотреть командой

    repadmin /showobjmeta атрибут_distigushedName_объекта

    Ну и repadmin /showrepl * с одного КД(или repadmin /showrepl с каждого КД) тоже даст полезную информацию: состояние репликации, значения DSA object GUID и InvocationID для всех КД. Пока хватит, потом, возможно, потребуется посмотреть другие метаданные репликации.

    PS Проблему почти наверяка (но не 100% гарнтии!) можно решить, увеличив границу пула RID (процедура описана здесь: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-raise-rid-pool) и заставив все КД получить новые пулы (см. https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-invaildate-rid-pool ). Но мне хотелось бы понять, нет ли в AD других проблем, связанных с этой. Поэтому, если есть возможность потратить время на анализ, рекомендую не торопиться выполнять приведенные выше процедуры, а попытаться понять причину проблемы.


    Слава России!


    29 октября 2017 г. 19:22