none
Сбой проверки исходящей репликации при добавлении 2го КД RRS feed

  • Вопрос

  • Всем добрый день. Есть локалка без доступа к инету - в ней поднял домен на server 2012 AD+DNS. Удалил корневые ссылки из dns, в серверах пересылки ничего нет - внутренние (в локалке) dns зоны резолвит и окей. Поднимаю второй КД в другой подсети - по окончании мастера повышения уровня до КД выводит ошибку "сбой проверки исходящей репликации. Ошибка при чтении параметров NTDS на контроллере домена pdc81.xxx.xxx.ru источника репликации. Сервер RPC не доступен".
    Отключал брандмауэр на обоих серверах, включал все возможные входящие\исходящие правила  - тоже самое. По полному fqqn основной КД на котором глоб. каталог пингуется, он прописан у второго серва как первичный днс сервер.  Приведу сразу вывод portqry со второго серва из другой сети с таргетом на основной КД (192.168.0.11)
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 135 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 135 (epmap service): FILTERED
    portqry.exe -n 192.168.0.11 -e 135 -p TCP exits with return code 0x00000002.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 389 -p BOTH ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 389 (ldap service): LISTENING
    Using ephemeral source port
    Sending LDAP query to TCP port 389...
    LDAP query response:
    currentdate: 03/05/2014 07:10:23 (unadjusted GMT)
    subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    dsServiceName: CN=NTDS Settings,CN=PDC81,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    namingContexts: DC=xxx,DC=xxxx,DC=xx,DC=ru
    defaultNamingContext: DC=xxx,DC=xxxx,DC=xx,DC=ru
    schemaNamingContext: CN=Schema,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    configurationNamingContext: CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    rootDomainNamingContext: DC=xxx,DC=xxxx,DC=xx,DC=ru
    supportedControl: 1.2.840.113556.1.4.319
    supportedLDAPVersion: 3
    supportedLDAPPolicies: MaxPoolThreads
    highestCommittedUSN: 20528
    supportedSASLMechanisms: GSSAPI
    dnsHostName: pdc81.xxx.xxxx.xx.ru
    ldapServiceName: xxx.xxxx.xx.ru:pdc81$@xxx.xxxx.xx.RU
    serverName: CN=PDC81,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    supportedCapabilities: 1.2.840.113556.1.4.800
    isSynchronized: TRUE
    isGlobalCatalogReady: TRUE
    domainFunctionality: 6
    forestFunctionality: 6
    domainControllerFunctionality: 6
    ======== End of LDAP query response ========
    UDP port 389 (unknown service): LISTENING or FILTERED
    Using ephemeral source port
    Sending LDAP query to UDP port 389...
    LDAP query response:
    сurrentdate: 03/05/2014 07:10:27 (unadjusted GMT)
    subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    dsServiceName: CN=NTDS Settings,CN=PDC81,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    namingContexts: DC=xxx,DC=xxxx,DC=xx,DC=ru
    defaultNamingContext: DC=xxx,DC=xxxx,DC=xx,DC=ru
    schemaNamingContext: CN=Schema,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    configurationNamingContext: CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    rootDomainNamingContext: DC=xxx,DC=xxxx,DC=xx,DC=ru
    supportedControl: 1.2.840.113556.1.4.319
    supportedLDAPVersion: 3
    supportedLDAPPolicies: MaxPoolThreads
    highestCommittedUSN: 20528
    supportedSASLMechanisms: GSSAPI
    dnsHostName: pdc81.xxx.xxxx.xx.ru
    ldapServiceName: xxx.xxxx.xx.ru:pdc81$@xxx.xxxx.xx.RU
    serverName: CN=PDC81,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    supportedCapabilities: 1.2.840.113556.1.4.800
    isSynchronized: TRUE
    isGlobalCatalogReady: TRUE
    domainFunctionality: 6
    forestFunctionality: 6
    domainControllerFunctionality: 6
    ======== End of LDAP query response ========
    UDP port 389 is LISTENING
    portqry.exe -n 192.168.0.11 -e 389 -p BOTH exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 636 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 636 (ldaps service): LISTENING
    portqry.exe -n 192.168.0.11 -e 636 -p TCP exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 3268 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 3268 (msft-gc service): LISTENING
    Using ephemeral source port
    Sending LDAP query to TCP port 3268...
    LDAP query response:
    currentdate: 03/05/2014 07:10:27 (unadjusted GMT)
    subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    dsServiceName: CN=NTDS Settings,CN=PDC81,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    namingContexts: DC=xxx,DC=xxxx,DC=xx,DC=ru
    defaultNamingContext: DC=xxx,DC=xxxx,DC=xx,DC=ru
    schemaNamingContext: CN=Schema,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    configurationNamingContext: CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    rootDomainNamingContext: DC=xxx,DC=xxxx,DC=xx,DC=ru
    supportedControl: 1.2.840.113556.1.4.319
    supportedLDAPVersion: 3
    supportedLDAPPolicies: MaxPoolThreads
    highestCommittedUSN: 20528
    supportedSASLMechanisms: GSSAPI
    dnsHostName: pdc81.xxx.xxxx.xx.ru
    ldapServiceName: xxx.xxxx.xx.ru:pdc81$@xxx.xxxx.xx.RU
    serverName: CN=PDC81,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=xxxx,DC=xx,DC=ru
    supportedCapabilities: 1.2.840.113556.1.4.800
    isSynchronized: TRUE
    isGlobalCatalogReady: TRUE
    domainFunctionality: 6
    forestFunctionality: 6
    domainControllerFunctionality: 6
    ======== End of LDAP query response ========
    portqry.exe -n 192.168.0.11 -e 3268 -p TCP exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 3269 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 3269 (msft-gc-ssl service): LISTENING
    portqry.exe -n 192.168.0.11 -e 3269 -p TCP exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 53 -p BOTH ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 53 (domain service): LISTENING
    UDP port 53 (domain service): LISTENING
    portqry.exe -n 192.168.0.11 -e 53 -p BOTH exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 88 -p BOTH ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 88 (kerberos service): LISTENING
    UDP port 88 (kerberos service): LISTENING or FILTERED
    portqry.exe -n 192.168.0.11 -e 88 -p BOTH exits with return code 0x00000002.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 445 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 445 (microsoft-ds service): LISTENING
    portqry.exe -n 192.168.0.11 -e 445 -p TCP exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 137 -p UDP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    UDP port 137 (netbios-ns service): LISTENING or FILTERED
    Using ephemeral source port
    Attempting NETBIOS adapter status query to UDP port 137...
    NETBIOS name for 192.168.0.11 not found (timeout)
    Adapter status query failed.
    UDP port: FILTERED
    portqry.exe -n 192.168.0.11 -e 137 -p UDP exits with return code 0x00000001.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 138 -p UDP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    UDP port 138 (netbios-dgm service): LISTENING or FILTERED
    portqry.exe -n 192.168.0.11 -e 138 -p UDP exits with return code 0x00000002.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 139 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 139 (netbios-ssn service): LISTENING
    portqry.exe -n 192.168.0.11 -e 139 -p TCP exits with return code 0x00000000.
    =============================================
     Starting portqry.exe -n 192.168.0.11 -e 42 -p TCP ...
    Querying target system called:
     192.168.0.11
    Attempting to resolve IP address to a name...
    IP address resolved to pdc81.xxx.xxxx.xx.ru
    querying...
    TCP port 42 (nameserver service): FILTERED
    portqry.exe -n 192.168.0.11 -e 42 -p TCP exits with return code 0x00000002.
    5 марта 2014 г. 5:29

Ответы

  • Никак. Репликации использует протокол RPC с транспортом IP. Этот проткол использует порт 135 для RPC Endpoint mapper (служба отображения конечных точек - т.е. конкретных служб использующих RPC) плюс дополнительный порт (обычно - из динамического диапазона), специфичный для конкретной конечной точки.

    И если порт конечной точки, в принципе, настраивается (надо смотреть в описании конкретной службы), то порт службы отбражения конечных точек - порт 135 - фиксированный.

    Так что разбирайтесь, что там у вас стоит между подсетями.

    PS Доступность сервера по rpc лучше проверять командой rpcping. Простейшая ее форма:

    rpcping -s server


    Слава России!

    7 марта 2014 г. 13:18

Все ответы

  • Судя по руководствам делал я все примерно также. Наверное дело в том, что некоторые порты режутся на маршрутизаторах. Кто знает как переопределить tcp порты для репликации?
    7 марта 2014 г. 12:36
  • Никак. Репликации использует протокол RPC с транспортом IP. Этот проткол использует порт 135 для RPC Endpoint mapper (служба отображения конечных точек - т.е. конкретных служб использующих RPC) плюс дополнительный порт (обычно - из динамического диапазона), специфичный для конкретной конечной точки.

    И если порт конечной точки, в принципе, настраивается (надо смотреть в описании конкретной службы), то порт службы отбражения конечных точек - порт 135 - фиксированный.

    Так что разбирайтесь, что там у вас стоит между подсетями.

    PS Доступность сервера по rpc лучше проверять командой rpcping. Простейшая ее форма:

    rpcping -s server


    Слава России!

    7 марта 2014 г. 13:18
  • Извиняюсь, что отвечаю после долгого перерыва. Но я все же думал, что транспортный уровень это TCP и UDP, а RPC это протокол сеансового уровня. В описании службы RpcSs нашел что она ожидает входящий трафик на TCP:135 и TCP:593. Скопирую часть описания с http://www.icmm.ru/

    «Протокол RPC может использовать несколько различных транспортных протоколов. В обязанности RPC-протокола входит только обеспечение стандартов и интерпретация передачи сообщений. Достоверность и надежность передачи сообщений целиком обеспечивается транспортным уровнем.

    Однако RPC может контролировать выбор и некоторые функции транспортного протокола. В качестве примера взаимодействия между RPC и транспортным протоколом рассмотрим процедуру назначения RPC-порта работы прикладного процесса через RPC - Portmapper.

    Эта функция динамически (по запросу) назначает соединению RPC определенный порт. Функция Portmapper используется довольно часто, поскольку набор зарезервированных для RPC транспортных портов ограничен, а количество процессов, которые потенциально могут одновременно работать очень высоко. Portmapper, например, вызывается при выборе портов взаимодействия клиента и сервера системы NFS.

    Сервис Portmapper использует механизм широковещательных сообщений RPC на определенный порт - III. На этот порт клиент отправляет широковещательное сообщение запроса порта определенного сервиса RPC. Сервис Portmapper обрабатывает таксе сообщение, определяет адрес локального сервиса RPC и отправляет клиенту ответ. Сервис RPC Portmapper может работать как с TCP, так и с UDP-протоколами.»

    rpcping -s показал ошибку 1722. По ней нашел статью  http://support.microsoft.com/kb/2102154  но по ней опять же получается - либо циска рубит 135 порт, либо косяки в DNS. Единственное, что сделал в службе DNS после установки - удалил все корневые ссылки (нет подключения к инету), может быть это страшный грех для MS...

    31 марта 2014 г. 9:50