none
Нарушение репликации контроллеров домена RRS feed

  • Вопрос

  • Доброго дня!

    Из бэкапа были восстановлены два контроллера домена, один под управлением Windows Server 2003, другой под управлением Windows Server 2008. Бэкап был почти трехмесячной давности. После восстановления, репликация между контроллерами не проходит:

    Log Name:      Directory Service
    Source:        Microsoft-Windows-ActiveDirectory_DomainService
    Date:          17.02.2015 6:58:30
    Event ID:      2042
    Task Category: Replication
    Level:         Error
    Keywords:      Classic
    User:          ANONYMOUS LOGON
    Computer:      fmdc3.domain.ru
    Description:
    It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
     
     The reason that replication is not allowed to continue is that the two DCs may contain lingering objects.  Objects that have been deleted and garbage collected from an Active Directory Domain Services partition but still exist in the writable partitions of other DCs in the same domain, or read-only partitions of global catalog servers in other domains in the forest are known as "lingering objects".  If the local destination DC was allowed to replicate with the source DC, these potential lingering object would be recreated in the local Active Directory Domain Services database.
     
    Time of last successful replication:
    2014-11-14 15:25:34

    Подскажите, пожалуйста, решение проблемы...

    17 февраля 2015 г. 5:00

Ответы

  • Вкартце, решение проблемы может быть следующим:

    1. Очистить AD от устаревших объектов (не удалённых на других КД из-за истечения времени жизни захороненных объектов)

    2. Разрешить репликацию после истечения срока жизни захороненных объектов (через реестр или командой repadmin)

    3. Дождаться, когда пройдёт хотя бы один цикл репликации между КД (или запустить её вручную), рекомендуется проверить после этого (командой repadmin /showrepl) что репликация действительно прошла.

    4. Запретить обратно репликацию после истечения срока жизни захороненных объектов (через реестр или командой repadmin)

    Полное описание см. здесь.


    Слава России!

    17 февраля 2015 г. 8:55
  • Скорее всего, рассинхронизован пароль учётной записи КД под Win2K3 на самом КД и в его копии базы данных AD (видимо, он сменил пароль, подключившись ко второму КД).

    Чтобы обойти проблему, измените тип запуска службы KDC (Центр распространения ключей Kerberos) на Manual(Вручную) и перезагрузите КД. Выполните нужные команды, произведите репликацию, верните тип запуска KDC на Auto и перезагрузите КД заново. При репликации пароль учетной записи КД должен синхронизироваться. Если не синхронизируется - сбросьте его, как написано, например, здесь

    PS Командная строка в Win2K3 годится обычная: там нет UAC, администратор всегда имеет полные привилегии.


    Слава России!

    18 февраля 2015 г. 9:42
  • Пока копии AD на контроллерах домена не синхронизированы, могут быть разные чудеса с паролями.

    Но, скорее всего, пароли учётных записей компьютеров в базе AD просто остались старые (они раз в месяц меняются и хранится две копии пароля - текущий и предыдущий).

    Короче, всё это надо смотреть отдельно, лучше - в другой теме.


    Слава России!

    18 февраля 2015 г. 17:47

Все ответы

  • Вы просто развернули бекап и все? В режим восстановления вы не заходили? У вас есть живые КД?
    17 февраля 2015 г. 7:32
    Модератор
  • Вкартце, решение проблемы может быть следующим:

    1. Очистить AD от устаревших объектов (не удалённых на других КД из-за истечения времени жизни захороненных объектов)

    2. Разрешить репликацию после истечения срока жизни захороненных объектов (через реестр или командой repadmin)

    3. Дождаться, когда пройдёт хотя бы один цикл репликации между КД (или запустить её вручную), рекомендуется проверить после этого (командой repadmin /showrepl) что репликация действительно прошла.

    4. Запретить обратно репликацию после истечения срока жизни захороненных объектов (через реестр или командой repadmin)

    Полное описание см. здесь.


    Слава России!

    17 февраля 2015 г. 8:55
  • Да, это было две виртуалки, восстановили их диски из бэкапа и запустили. Со всеми вытекающими... Они живы и обслуживают домен. Но не реплицируются...

    17 февраля 2015 г. 16:07
  • А как определить, на каком контроллере объекты устаревшие, а на каком нет?
    17 февраля 2015 г. 16:11
  • устаревшие объекты могут быть на обоих. Выполните repadmin /removelingeringobjects в обе стороны: сначала - с ключом /advisory_mode, а если будут надены объекты, отсутствующие на другом КД - без этого ключа, чтобы их удалить.

    Слава России!

    18 февраля 2015 г. 1:10
  • Спасибо!
    18 февраля 2015 г. 5:10
  • Только вот на 2003 не получается. При попытке запуска в командной строке пишет: LDAP error 49 Неправильные учетные данные. Пункта запуска командной строки от имени администратора нет.
    18 февраля 2015 г. 9:15
  • Скорее всего, рассинхронизован пароль учётной записи КД под Win2K3 на самом КД и в его копии базы данных AD (видимо, он сменил пароль, подключившись ко второму КД).

    Чтобы обойти проблему, измените тип запуска службы KDC (Центр распространения ключей Kerberos) на Manual(Вручную) и перезагрузите КД. Выполните нужные команды, произведите репликацию, верните тип запуска KDC на Auto и перезагрузите КД заново. При репликации пароль учетной записи КД должен синхронизироваться. Если не синхронизируется - сбросьте его, как написано, например, здесь

    PS Командная строка в Win2K3 годится обычная: там нет UAC, администратор всегда имеет полные привилегии.


    Слава России!

    18 февраля 2015 г. 9:42
  • А из-за этого может Outlook периодически переспрашивать авторизацию? И пропадать периодически доступ к сетевым ресурсам у пользователей?
    18 февраля 2015 г. 14:40
  • Пока копии AD на контроллерах домена не синхронизированы, могут быть разные чудеса с паролями.

    Но, скорее всего, пароли учётных записей компьютеров в базе AD просто остались старые (они раз в месяц меняются и хранится две копии пароля - текущий и предыдущий).

    Короче, всё это надо смотреть отдельно, лучше - в другой теме.


    Слава России!

    18 февраля 2015 г. 17:47
  • Вот, создал отдельно, походу там проблемы с Netlogon и Sysvol. можете посоветовать?

    https://social.technet.microsoft.com/Forums/ru-RU/2bfc9983-9140-49a2-beb1-d27ad7a65d8e/-?forum=ws2008r2ru&prof=required

    22 февраля 2015 г. 8:16