none
Принудительная репликация RRS feed

  • Вопрос

  • Имею два контроллера домена. Возникла такая ситуация, что пришлось восстановить один из них из резервой копии недельной давности.

    Необходимо, чтобы при репликации за актуальную версию AD была принята версия с восстановленного сервера.

    Из теории помню, что можно вручную указать на сервере более старую версию AD и он посчитает, что более актуальная версия на восстановленном сервере. Но не помню как это делается?
    Подскажите, пожалуйста!

    19 августа 2009 г. 12:58

Ответы

  • LExx2007, добрый день. Попробуйте прогнать проверку вот этим инструментом для начала. Посмотрим состояние AD.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    17 сентября 2009 г. 9:25
    Модератор

Все ответы

    • Предложено в качестве ответа Vadims PodansMVP 19 августа 2009 г. 13:29
    19 августа 2009 г. 13:09
  • Аналогичная проблема! 
    DCDIAG выдает следующее:

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\RESERVDC
          Starting test: Connectivity
             ......................... RESERVDC passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\RESERVDC
          Starting test: Replications
             [Replications Check,RESERVDC] Inbound replication is disabled.
             To correct, run "repadmin /options RESERVDC -DISABLE_INBOUND_REPL"
             [Replications Check,RESERVDC] Outbound replication is disabled.
             To correct, run "repadmin /options RESERVDC -DISABLE_OUTBOUND_REPL"
             ......................... RESERVDC failed test Replications
          Starting test: NCSecDesc
             ......................... RESERVDC passed test NCSecDesc
          Starting test: NetLogons
             ......................... RESERVDC passed test NetLogons
          Starting test: Advertising
             ......................... RESERVDC passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... RESERVDC passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... RESERVDC passed test RidManager
          Starting test: MachineAccount
             ......................... RESERVDC passed test MachineAccount
          Starting test: Services
             ......................... RESERVDC passed test Services
          Starting test: ObjectsReplicated
             ......................... RESERVDC passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... RESERVDC passed test frssysvol
          Starting test: frsevent
             ......................... RESERVDC passed test frsevent
          Starting test: kccevent
             ......................... RESERVDC passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0x000016AD
                Time Generated: 08/21/2009   10:53:50
                (Event String could not be retrieved)
             ......................... RESERVDC failed test systemlog
          Starting test: VerifyReferences
             ......................... RESERVDC passed test VerifyReferences

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : rtep
          Starting test: CrossRefValidation
             ......................... rtep passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... rtep passed test CheckSDRefDom

       Running enterprise tests on : rtep.local
          Starting test: Intersite
             ......................... rtep.local passed test Intersite
          Starting test: FsmoCheck
             ......................... rtep.local passed test FsmoCheck 



    Пытался по совету запустить
               repadmin /options RESERVDC -DISABLE_INBOUND_REPL
               repadmin /options RESERVDC -DISABLE_OUTBOUND_REPL
    В результате при следующем dcdiag пишет что-то типа не найден глобальный каталог и ошибки почти по всем тестам. Пришлось откатить контроллер до предыдущего состояния.
    Помогите!

    21 августа 2009 г. 7:03
  • LExx2007, добрый день. Попробуйте прогнать проверку вот этим инструментом для начала. Посмотрим состояние AD.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    17 сентября 2009 г. 9:25
    Модератор
  • Аналогичная проблема! 

    Вряд ли ваша проблема анологичная.
    Вы не из образа восстанавливали DC?
    17 сентября 2009 г. 13:29
  • LExx2007, добрый день. Попробуйте прогнать проверку вот этим инструментом для начала. Посмотрим состояние AD.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!

    Вот результат проверки ScanAnalysis -  http://uesp.ru/ScanAnalysis.htm.
    24 сентября 2009 г. 13:13
  • Супер! ;-) Так там же все понятно написано и даже KB указаны, где описано решение обнаруженных проблем. Какая Вам нужна помощь с полученными результатами? ;-)
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    25 сентября 2009 г. 5:20
    Модератор
  • Вроде, черным по белому спросил, не из образа ли был восстановлен DC... Нда. Репликация обычно просто так не блокируется.

    Что касается Health Scaner-а... это, конечно, хорошо, что результаты сканирования отображаются в виде красивой HTML странички, однако было бы еще лучше, если бы он не просто перечислил выявленные проблемы, но и попытался их проанализировать и указать на первопричину. А так выходит, что у нас ошибки репликации и куча ссылок на статьи KB, а событие 2103 идет как предупреждение в самом конце отчета.

    25 сентября 2009 г. 6:34
  • Восстанавливал не из образа, взял старую версию (контроллер домена виртуальная машина). После этого перестала проходить репликация с контроллером дочернего домена.  У него в сайтах и службах отображаются контроллеры домена, которые уже давно не существуют. При попытке репликации в журнале остается следующее сообщение:

    Репликация Active Directory обнаружила существующие объекты в следующем разделе, который был удален с локальных контроллеров домена (DC) базы данных Active Directory. Не все прямые или транзитивные партнеры репликации провели репликацию с удалением до того, как прошло количество дней, заданное как время жизни захоронения. Объекты, которые были удалены и для которых выполнена операция сбора мусора в разделе Active Directory, но которые продолжают существовать в доступных для записи разделах других контроллеров домена в том же домене, или в доступных только для чтения разделах серверов глобального каталога в других доменах этого леса, называются "призрачными" объектами.

     

    Это событие записано в журнал, поскольку исходный контроллер домена содержит призрачный объект, который не существует в локальной копии базы данных Active Directory контроллера домена. Эта попытка репликации была заблокирована.

     

    Лучший способ устранения этой проблемы - это поиск и удаление всех призрачных объектов в этом лесе.

     

     

    Исходный DC (сетевой адрес для данного транспорта):

    6ddc64bb-534b-4dd2-95cc-325e732dd6d1._msdcs.rtep.local

    Объект:

    DC=Tms90\0ADEL:a34a2906-8b30-4ee7-9752-d82998baffc7,CN=Deleted Objects,DC=ForestDnsZones,DC=rtep,DC=local

    GUID объекта:

    a34a2906-8b30-4ee7-9752-d82998baffc7

     

    Действие пользователя:

     

    Удаление призрачных объектов:

     

    План действий для устранения последствий этой ошибки описан в статье базы знаний http://support.microsoft.com/?id=314282.

     

    Если как исходный, так и конечный контроллеры домена - это контроллеры Windows Server 2003, установите программы поддержки, находящиеся на установочном компакт-диске. Чтобы проверить, какие объекты будут удалены, не выполняя реального удаления, выполните команду "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC> /ADVISORY_MODE". Журналы событий на исходном контроллере домена будут содержать все призрачные объекты. Чтобы удалить все призрачные объекты с исходного контроллера домена, выполните команду "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC>".

     

    Если либо исходный, либо конечный контроллер домена - это контроллер Windows 2000 Server, то дополнительные сведения о том, как удалить призрачные объекты на исходном контроллере домена содержатся в статье http://support.microsoft.com/?id=314282 или получить в службе поддержки.

     

    Если необходимо срочное выполнение репликации Active Directory и нет времени на удаление призрачных объектов, включите возможность нестрогой совместимости репликации, отключив следующий раздел реестра:

     

    Раздел реестра:

    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

     

    Ошибки репликации между контроллерами домена, имеющими общие разделы, могут привести к тому, что учетные записи пользователей или компьютеров, их пароли, отношения доверия, группы безопасности, членство в группах и другие данные Active Directory будут отличаться на разных контроллерах домена, что способно помешать выполнению входа, поиску объектов и выполнению других критических операций. Эти несоответствия будут устранены после того, как будут устранены ошибки репликации. Контроллеры домена, которым не удалось выполнить входящую репликацию удаленных объектов в течение периода времени жизни захоронения, будут сохранять несовместимость до тех пор, пока призрачные объекты не будут удалены администратором вручную с каждого локального контроллера домена.

    Какое из вышеперечисленных решений подходит под мой случай? 

     

     

     

    28 сентября 2009 г. 5:14
  • А контроллер у Вас на каком сервере: 2000 или 2003? От этого и зависит вариант выбора.


    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    28 сентября 2009 г. 5:57
    Модератор
  • А контроллер у Вас на каком сервере: 2000 или 2003? От этого и зависит вариант выбора.


    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!

    2003 R2
    28 сентября 2009 г. 6:05
  • Восстанавливал не из образа, взял старую версию (контроллер домена виртуальная машина).
    Ну так это и есть восстановление из образа, но только в данном случае - образа виртуальной машины. У вас USN Rollback и на это явным образом указывает событие 2103. И ни одно из вышеперечисленных решений вам не подходит. Нельзя так восстанавливать контроллеры!

    У вас ведь это второй(резервный) контроллер домена? Что с ним случилось? Почему пришлось запускать из старой версии?
    28 сентября 2009 г. 6:45
  • Среди прочего в результатах сканирования есть предупреждение о несоответствии системного времени с глобальным, из-за чего репликация может останавливаться. LExx2007, просинхронизируйте часы на КД и проверте дату.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    28 сентября 2009 г. 6:52
    Модератор
  • Восстанавливал не из образа, взял старую версию (контроллер домена виртуальная машина).
    Ну так это и есть восстановление из образа, но только в данном случае - образа виртуальной машины. У вас USN Rollback и на это явным образом указывает событие 2103. И ни одно из вышеперечисленных решений вам не подходит. Нельзя так восстанавливать контроллеры!

    У вас ведь это второй(резервный) контроллер домена? Что с ним случилось? Почему пришлось запускать из старой версии?

    Были восстановлены и основной и резервный контроллер домена. Не могу сейчас вспомнить последовательность событий и причины, которые привели к восстановлению из копий. На данном этапе возможно восстановить репликацию с дочерним доменом?
    28 сентября 2009 г. 6:57
  • Были восстановлены и основной и резервный контроллер домена. Не могу сейчас вспомнить последовательность событий и причины, которые привели к восстановлению из копий. На данном этапе возможно восстановить репликацию с дочерним доменом?
    Плохо дело. У вас всего два домена? Восстановленный домен был корневым? мастер схемы, мастер именования доменов - это один из восстановленных контрогллеров?

    Вообще говоря, в таких случаях для восстановления сама microsoft рекомендует все снести и поднять заново. http://support.microsoft.com/kb/875495
    Можно, включив руками репликацию и поправив ключик в реестре, сделать вид, что никакого отката USN не было, но за возможные последствия в этом случае никто на себя ответственость не возьмет.

    ЗЫ: Хотя, есть еще один вариант обойтись малой кровью. Вот тут посмотрите http://elssblog.blogspot.com/2006/06/recovering-from-usn-rollback.html - способ за номером 3.
    28 сентября 2009 г. 7:09
  • на все вопросы ответ -"да". Спасибо, читаю статьи!!!!
    28 сентября 2009 г. 7:28
  • Вообще говоря, в таких случаях для восстановления сама microsoft рекомендует все снести и поднять заново. http://support.microsoft.com/kb/875495

    Кстати, эта статья как раз и указана в результатах работы IT Environment Health Scanner, заметили? ;-)
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    28 сентября 2009 г. 7:36
    Модератор
  • Кстати, эта статья как раз и указана в результатах работы IT Environment Health Scanner, заметили? ;-)

    Конечно, заметил. :) И это один из плюсов сканера. Плохо, что она в самом конце, и пока до нее доберешься, половину knowledge base придется прочитать. :) Но об этом я уже писал.
    28 сентября 2009 г. 8:20
  • Так ведь не просто тупо прочитать, там ведь все КВ по-делу предлагаются. Если предупреждений много, то и статей много будет.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    28 сентября 2009 г. 9:23
    Модератор
  • У меня была подобная ситуация. Восстановил главный кд со всеми ролями из образа, почистил все упоминания о допе, а который доп был понизил принудительно, а потом заново повысил. Благо база АД не так уж часто меняется все 1 юзера заново занести пришлось.
    29 сентября 2009 г. 6:01
  • по-моему совсем не та ситуация :)

    29 сентября 2009 г. 7:28
  • Проблема исчезла?
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    29 сентября 2009 г. 15:28
    Модератор