none
Проблемы репликации в домене RRS feed

  • Вопрос

  • Было 2 DC в домене на 2012R2 - SRV-DCN и SRV-DK. Решил их повысить. Вывел SRV-DK из контроллеров домена, потом из самого домена, поставил на чистую новую операционную систему (2019), ввел обратно в домен и повысил до DC. Репликация идет, repadmin /syncall /APe ошибок не дает все хорошо до определенного момента. В произвольное время он в логах сообщает, что некому обработать доступ в домен (он сам контроллер домена!) и все плохо, групповые политики обработать не может и все такое. При этом, сервера, на которых 2016 или 2019 через какое-то время тоже теряют домен. Test-ComputerSecureChannel -Repair не помогает, только перезагрузка. Сам SRV-DK так же лечится перезагрузкой, либо через 26-30 часов он сам "вспоминает", что он DC и говорит, что все хорошо, он всех видит. Изучение этого момента привело в Репликацию, а там увидел такое:

    Вопрос: что с этим делать, как это полечить, если в этой оснастке сделать ничего не получается - нет таких возможностей?


    25 августа 2020 г. 13:15

Ответы

  • Короче, у вас SRV-DK кончились порты TCP для исходящих подключений. Поэтому никуда по сети с этого КД подключиться невозможно, отсюда  - куча ошибок. Как с этим бороться, можно почитать в документации

    PS А ошибка на SRV-DCN, вроде бы, с этим не связана, по крайней мере начинать надо не с нее. Но она касается некоей странной операции: активации компонента DCOM на SRV-DK с SRV-DCN от имени некоей Зайцевой. Я бы попробовал выяснить, что это за программа это делает.


    Слава России!

    27 августа 2020 г. 11:00

Все ответы

  • Какое такое вы увидели?

    Слава России!

    25 августа 2020 г. 13:36
  • Картинка не сразу вставилась.
    25 августа 2020 г. 13:38
  • Нужна выдача dcdiag /q (из командной строки в режиме администратора) с каждого из КД.

    А также нужна информация об ошибках и предупреждениях в журнале событий репликации DFS, которые фиксируются в течение 15 минут после запуска службы DFSR. Если служба давно не запускалась заново, и события найти трудно, то надо её перезапустить вручную и посмотреть.


    Слава России!

    25 августа 2020 г. 14:00
  • dcdiag /q на srv-dk:

    C:\>dcdiag /q
             An error event occurred.  EventID: 0xC000000E
                Time Generated: 08/25/2020   16:43:47
                Event String:
                  AS-    krbtgt   zaytseva        Kerberos (   - 1). E- : 18  17  23  24  -135  3.  E-  : 23  -133  -128  18  17.      zaytseva   .
             ......................... SRV-DK failed test SystemLog

    на srv-dcn ничего не выдает - нет ошибок.

    Логи репликации DFS:

    на srv-dcn предупреждение:

    Служба репликации DFS останавливает подключение к партнеру SRV-DK  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.
     
    Дополнительные сведения:
    Ошибка: 1723 (Сервер RPC занят и не может завершить операцию.)
    Идентификатор подключения: BAA3C31A-68D2-4791-BB4A-B28CCD505BA7
    Идентификатор группы репликации: C95B85BE-5925-4F1A-8EBA-843B93BD4785

    следом идет ошибка:

    Службе репликации DFS не удалось установить подключение к партнеру SRV-DK по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.
     
    DNS-адрес партнера: srv-dk.domain.ru
     
    Доступные дополнительные сведения:
    WINS-адрес партнера: srv-dk
    IP-адрес партнера: 192.168.XXX.62
     
    Служба периодически будет пытаться установить подключение.
     
    Дополнительные сведения:
    Ошибка: 1722 (Сервер RPC недоступен.)
    Идентификатор подключения: BAA3C31A-68D2-4791-BB4A-B28CCD505BA7
    Идентификатор группы репликации: C95B85BE-5925-4F1A-8EBA-843B93BD4785

    но это вчерашние ошибки. после перезапуска сервиса ошибок нет, но в логах и попыток подключения к srv-dk  не было.

    на srv-dk вчерашним днем была ошибка в 5 утра:

    Службе репликации DFS не удалось установить подключение к партнеру SRV-DCN по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.
     
    DNS-адрес партнера: Srv-DCN.domain.ru
     
    Доступные дополнительные сведения:
    WINS-адрес партнера: Srv-DCN
    IP-адрес партнера: 192.168.XXX.65
     
    Служба периодически будет пытаться установить подключение.
     
    Дополнительные сведения:
    Ошибка: 1722 (Сервер RPC недоступен.)
    Идентификатор подключения: D2D7D7D0-92ED-42DD-98FF-3604F86466DE

    с 9 утра без ошибок. Сейчас, после перезапуска, есть одно предупреждение:

    Служба репликации DFS останавливает подключение к партнеру SRV-DCN  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.
     
    Дополнительные сведения:
    Ошибка: 1723 (Сервер RPC занят и не может завершить операцию.)
    Идентификатор подключения: D2D7D7D0-92ED-42DD-98FF-3604F86466DE
    Идентификатор группы репликации: C95B85BE-5925-4F1A-8EBA-843B93BD4785

    и все. Все остальные события информационные.


    25 августа 2020 г. 14:35
  • В информационных сообщениях на любом из КД после последней ошибки есть сообщение, что установлено подключение (оно устанавливается только с одного КД на другой, но работает в обе стороны)?

    Слава России!

    25 августа 2020 г. 15:10
  • После ошибок нет такого сообщения. После перезапуска службы репликации написал, что присоединился, но это было полтора суток спустя после последней ошибки.

    По картинке есть идеи, как это побороть? Понимаю, что вывод SRV-DK из DC и ввод обратно не поможет в таком варианте. А что поможет?




    26 августа 2020 г. 6:16
  • Давайте для начала посмотрим состояние репликации SYSVOL на всех КД. Для этого есть вот такая команда (все - в одну строчку):

    For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state

    В результатах "state" означает следующее:
     0 = Uninitialized
     1 = Initialized
     2 = Initial Sync
     3 = Auto Recovery
     4 = Normal
     5 = In Error


    Слава России!

    26 августа 2020 г. 12:15
  • SRV-DCN
    ReplicatedFolderName  ReplicationGroupName  State
    SYSVOL Share          Domain System Volume  4

    SRV-DK
    ReplicatedFolderName  ReplicationGroupName  State
    SYSVOL Share          Domain System Volume  4
    26 августа 2020 г. 13:56
  • Короче, у вас все в порядке.

    Для успокоения протестируйте репликацию файлов в SYSVOL с одного КД на другой, и перестаньте беспокоиться.


    Слава России!

    26 августа 2020 г. 14:47
  • Да хорошо бы, если б так. Проблема-то, описанная в самом начале остается. DC теряет домен, его теряют сервера, валится репликация DFS между серверами, репликация виртуалок и прочие прелести с этим связанные. Каждый пару-тройку дней перезагружать то один сервер, то другой при круглосуточной работе - моветон.

    Есть какие-то решения?

    26 августа 2020 г. 14:52
  • Вот когда он что-нибудь потеряет - тогда и надо разбираться. А сейчас ошибки нет, и вы ничего не найдете.

    Когда будете разбираться - обратите внимание на объем выделенной на сервере оперативную память (для процессов и для пулов ядра): часто причиной такого поведения становятся утечки выделяемой памяти, которая становится ненужной, но системе обратно не отдается.


    Слава России!

    26 августа 2020 г. 15:14
  • Там памяти 12 гиг, используется 5,1. Проблем с этим нет. Домен не такой большой, в памяти помещается весь и сразу.

    А вот и проблема нарисовалась. SRV-DK пишет:

    Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:
    Сервер RPC недоступен.
    Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена. 

    А перед этим предупреждение:

    Произошла ошибка TCP/IP при попытке установить исходящее подключение, так как выбранная локальная конечная точка недавно использовалась для подключения к той же удаленной конечной точке. Эта ошибка обычно возникает тогда, когда исходящее подключение открывается и закрывается с высокой частотой, в результате чего все доступные локальные порты используются и протокол TCP/IP должен повторно использовать локальный порт для исходящего подключения. Для уменьшения риска повреждения данных стандарт TCP/IP требует, чтобы существовал минимальный промежуток времени между последовательными подключениями из определенной начальной точки к определенной конечной точке.

    и следом посыпались ошибки:

    Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.

    и

    Не удалось установить связь DCOM с компьютером Srv-DCN.diapazon.ru через какой-либо из настроенных протоколов; запрос от PID     1908 (C:\WINDOWS\system32\ServerManager.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.

    По длинному запросу, который предлагался выше пишет:

    dsquery failed:The server is not operational.
    type dsquery /? for help.

    SRV-DCN на тот же запрос отвечает:

    SRV-DK
    ОШИБКА.
    Описание: Недостаточно памяти для завершения операции.
    SRV-DCN
    ReplicatedFolderName  ReplicationGroupName  State
    SYSVOL Share          Domain System Volume  4

    в остальном у него все хорошо, кроме

    Произошла ошибка DCOM "2147942414" на компьютере SRV-DK при попытке активации сервера: {8BC3F05E-D86B-11D0-A075-00C04FB68820}

    repadmin /syncall на srv-dk теперь пишет:

    DsBindWithCred to Srv-DK failed with status 1722 (0x6ba):
        The RPC server is unavailable.

    на SRV-DCN пишет, что все нормально

    dcdiag /q на SRV-DK пишет:

     Ldap search capability attribute search failed on server Srv-DK, return value = 81

    на SR-DCN пишет:

             Возникла ошибка. Код события (EventID): 0xC000000E
                Время создания: 08/27/2020   11:47:15
                Строка события:
                При обработке AS-запроса для конечной службы krbtgt учетная запись zaytseva не имела подходящего ключа для создания билета Kerberos (код недостающего ключа - 1). E-типы запросов: 18  17  23  24  -135  3. Доступные E-типы учетных записей: 23  -133  -128  18  17. Смена или повторный ввод пароля zaytseva создаст правильный ключ.
             Возникла ошибка. Код события (EventID): 0x00002716
                Время создания: 08/27/2020   12:02:44
                Строка события:
                Произошла ошибка DCOM "2147942414" на компьютере SRV-DK при попытке активации сервера:
             ......................... SRV-DCN - не пройдена проверка SystemLog

    27 августа 2020 г. 8:57
  • Короче, у вас SRV-DK кончились порты TCP для исходящих подключений. Поэтому никуда по сети с этого КД подключиться невозможно, отсюда  - куча ошибок. Как с этим бороться, можно почитать в документации

    PS А ошибка на SRV-DCN, вроде бы, с этим не связана, по крайней мере начинать надо не с нее. Но она касается некоей странной операции: активации компонента DCOM на SRV-DK с SRV-DCN от имени некоей Зайцевой. Я бы попробовал выяснить, что это за программа это делает.


    Слава России!

    27 августа 2020 г. 11:00
  • У Зайцевой проблемы с керберосом, у которого проблемы из-за ее пароля. Пароль сменить пока не могу, чуть позже сделаю. Надеюсь вопрос решится.

    За ссылку спасибо, почитаю на досуге.

    27 августа 2020 г. 11:50
  • Пароль у Зайцевой поменял, проблема ушла. Остались только котроллерные.
    27 августа 2020 г. 12:52
  • Помогла статья, особенно команда из нее:

    Get-NetTCPConnection | Group-Object -Property State, OwningProcess | Select -Property Count, Name, @{Name="ProcessName";Expression={(Get-Process -PID ($_.Name.Split(',')[-1].Trim(' '))).Name}}, Group | Sort Count -Descending

    с нее сразу видно, кто съедает порты под себя.

    Спасибо.

    1 сентября 2020 г. 5:55