none
Directory Partition Name "DC=subdom_s\0ACNF:67d36d69-e1af-42f5-aeba-ce4a0078c4e4,DC=domain,DC=org" в разделе CN=Partitions,CN=Configuration,DC=domain,DC=org RRS feed

  • Вопрос

  • Предыстория. В одном из филиалов (условное обозначение S) после восстановления degraded массива была частично повреждена база ntds.dit. esentutl /p завершался с ошибками, после esentutl /r начались проблемы в АД. КД был единственный, единственный бэкап оказался более годовой давности. Было решено делать dcpromo /forceremoval с последующим удалением домена (subdom_s.domain.org) через ntdsutit: metadata cleanup на контроллере корневого домена (domain.org) и дальнейшей репликацией изменений конфигурации АД на все остальные КД. Удаление домена из АД прошло успешно. За ночь репликация должна была пройти на все КД (интервал репликации установлен в 240 минут) . Утром проверил журнал "Служба каталогов" на контроллерах корневого домена - ни ошибок, ни предупреждений. На всякий случай проверил repadmin /showrepl. Единственная ошибка репликации была с контроллером другого дочернего домена (subdom_k.domain.org) по причине отсутствия связи с ним, однако предыдущая репликация с этим контроллером завершилась успешно. После этого запустил dcpromo для установки АД в филиале S и заново поднял домен subdom_s.domain.org. Процедура прошла штатно (без ошибок и предупреждений), однако впоследствии выяснилось, что репликация идёт только в одну сторону (от контроллеров корневого домена к контроллеру дочернего subdom_s.domain.org). В журнале "Служба каталогов" на контроллерах корневого домена есть следующие ошибки:

    NTDS KCC код 1926:

    Попытка установки связи репликации для следующего раздела каталога, доступного только для чтения, со следующими параметрами завершилась ошибкой.
     
    Раздел каталога:
    DC=domain_s\0ACNF:67d36d69-e1af-42f5-aeba-ce4a0078c4e4,DC=siaint,DC=ru
    Исходный контроллер домена:
    CN=NTDS Settings,CN=DCS,CN=Servers,CN=Site-S,CN=Sites,CN=Configuration,DC=domain,DC=org
    Адрес исходного контроллера домена:
    b35b36db-1f4a-49e3-901b-e6a1e18180b1._msdcs.domain.org
    Межсайтовый транспорт (если существует):
    CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=domain,DC=org
     
    Дополнительные данные
    Значение ошибки:
    1396 Вход в систему не произведен: конечная учетная запись указана неверно.

    NTDS Replication код 1645:

       

    Active Directory не удалось выполнить проверенный удаленный вызов процедуры на другом контроллере домена, поскольку имя участника требуемой службы для конечного контроллера домена не зарегистрировано на контроллере домена, являющемся центром распространения ключей и разрешающим SPN.

    Конечный контроллер домена:
    b35b36db-1f4a-49e3-901b-e6a1e18180b1._msdcs.domain.org
    SPN:
    E3514235-4B06-11D1-AB04-00C04FC2DCD2/b35b36db-1f4a-49e3-901b-e6a1e18180b1/subdom_s
    CNF:67d36d69-e1af-42f5-aeba-ce4a0078c4e4.domain.org@subdom_s
    CNF:67d36d69-e1af-42f5-aeba-ce4a0078c4e4.domain.org

    Действие пользователя
    Проверьте правильность имен конечного контроллера домена и домена. Кроме того, проверьте регистрацию SPN на контроллере домена KDC. Если роль конечного контроллера домена была повышена недавно, для возможности проверки его подлинности данные учетной записи компьютера локального контроллера домена предварительно должны быть реплицированы на KDC.

    Открыл ADSIEDIT на контроллере корневого домена. Нашёл в разделе CN=Partitions,CN=Configuration,DC=domain,DC=org запись для домена CN=subdom_s, в которой значение атрибута nCName равняется "DC=subdom_s\0ACNF:67d36d69-e1af-42f5-aeba-ce4a0078c4e4,DC=domain,DC=org". На контроллере домена subdom_s в аналогичной записи CN=subdom_s атрибут nCName имеет правильное значение "DC=subdom_s,DC=domaint,DC=org". После просмотра аналогичной записи на контроллерах других дочерних доменов выяснил, что атрибут nCName имеет значение "DC=subdom_s,DC=domaint,DC=org" ещё на одном контроллере домена subdom_k.domain.org (тот, о котором я уже писал выше... судя по всему, репликация с этим контроллером всё-таки за ночь не прошла). На всех остальных КД значение этого атрибута было такое же, как на контроллерах корневого домена (DC=subdom_s\0ACNF:67d36d69-e1af-42f5-aeba-ce4a0078c4e4,DC=domain,DC=org). Ручное изменение значения атрибута nCName запрещено.

    Вопрос: есть ли возможность исправить эту ошибку без удаления домена subdom_s?

    22 сентября 2014 г. 14:19