none
ошибка репликации ID 1645 RRS feed

  • Общие обсуждения

  • Помогите решить вопрос.

    Предистория:
    Есть корневой домен 069.opfr.net и дочерний домен 001.069.opfr.net. Оба работают под Windows 2003 standart edition SP2, DNS интегрирована в AD, находятся в одном сайте. Дочерний домен находится в другом здании и им управляет другой админ. Так вот этот дочерний контроллер домена "переехал" на новый компьютер.

    После этого нарушилась репликация. Ниже приведены логи журнала на корневом контроллере домена:

    ID 1645

    Тип события: Ошибка
    Источник события: NTDS Replication
    Категория события: DS RPC-клиент
    Код события: 1645
    Дата: 24.12.2007
    Время: 7:53:50
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: DC010
    Описание:
    Active Directory не удалось выполнить проверенный удаленный вызов процедуры на другом контроллере домена,
    поскольку имя участника требуемой службы для конечного контроллера домена не зарегистрировано на
    контроллере домена, являющемся центром распространения ключей и разрешающим SPN.
    Конечный контроллер домена:
    69146a4b-08ba-40ec-81f8-2c99c85f476e._msdcs.069.opfr.net
    SPN:
    E3514235-4B06-11D1-AB04-00C04FC2DCD2/69146a4b-08ba-40ec-81f8-2c99c85f476e/001.069.opfr.net@001.069.opfr.net
    Действие пользователя
    Проверьте правильность имен конечного контроллера домена и домена.
    Кроме того, проверьте регистрацию SPN на контроллере домена KDC.
    Если роль конечного контроллера домена была повышена недавно,
    для возможности проверки его подлинности данные учетной записи компьютера локального контроллера домена
    предварительно должны быть реплицированы на KDC.

    ID1925

    Тип события: Предупреждение
    Источник события: NTDS KCC
    Категория события: Проверка согласованности знаний
    Код события: 1925
    Дата: 24.12.2007
    Время: 7:53:50
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: DC010
    Описание:
    Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой.
    Раздел каталога:
    CN=Configuration,DC=069,DC=opfr,DC=net
    Исходный контроллер домена:
    CN=NTDS Settings,CN=DC011,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=069,DC=opfr,DC=net
    Адрес исходного контроллера домена:
    69146a4b-08ba-40ec-81f8-2c99c85f476e._msdcs.069.opfr.net
    Межсайтовый транспорт (если существует):
    До устранения этой ошибки выполнение репликации между данным и исходным контроллерами домена будет невозможно.
    Действие пользователя
    Проверьте доступность исходного контроллера домена и работоспособность сетевого подключения.
    Дополнительные данные
    Значение ошибки:
    1396 Вход в систему не произведен: конечная учетная запись указана неверно.



    Потом вылазит ошибка ID 1645 совместно с ID 1926:

    ID 1926

    Тип события: Предупреждение
    Источник события: NTDS KCC
    Категория события: Проверка согласованности знаний
    Код события: 1926
    Дата: 24.12.2007
    Время: 7:53:50
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: DC010
    Описание:
    Попытка установки связи репликации для следующего раздела каталога, доступного только для чтения,
    со следующими параметрами завершилась ошибкой.
    Раздел каталога:
    DC=001,DC=069,DC=opfr,DC=net
    Исходный контроллер домена:
    CN=NTDS Settings,CN=DC011,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=069,DC=opfr,DC=net
    Адрес исходного контроллера домена:
    69146a4b-08ba-40ec-81f8-2c99c85f476e._msdcs.069.opfr.net
    Межсайтовый транспорт (если существует):
    Дополнительные данные
    Значение ошибки:
    1396 Вход в систему не произведен: конечная учетная запись указана неверно.

    Попробовал решить вопрос с помощью статьи http://support.microsoft.com/kb/216498/ru "Удаление данных из Active Directory после неудачного понижения роли контроллера домена" на корневом контроллере

    не помогло.

    Удалил доверительные отношения с дочерним доменом на корневом контроллере, затем переустановил на обоих контроллерах DNS.

    ошибка та же.

    Сейчас доверительные отношения не могу установить с дочерним доменом.

    По поводу DNS:  пингую дочерний контроллер по полному dns-имени, по IP, и пингую по GUID (guid дочернего контроллера._msdcs.069.opfr.net),  но по NetBios-имени не пингую.


    Подскажите чего делать?














    25 декабря 2007 г. 9:41

Все ответы

  •  dimonii написано:


     но по NetBios-имени не пингую.


    Подскажите чего делать?

     

     

    Вот с этого и начать: если у вас компьютеры фактически в одной сети, то пинг по короткому имени должен работать. Возможно переезд включил фаэвол на новом DC.

    25 декабря 2007 г. 14:07
    Модератор
  • А имя у нового компьютера такое же, как и у старого?

    25 декабря 2007 г. 20:11
  • Судя по логам, изменился адрес, надо реплицировать этот адрес на основной DC, и всё должно встать на всё место. Проверьте FW, могут быть там разрешения на старый адрес. Плюс в _msdcs может сохранится старый № церберос, несовпадающий с новым. Удалите запись и обновите _mscds. Думаю, что всё получится. А на старом был включён NetBIOS?  

    25 декабря 2007 г. 23:30
  •  sie написано:

     dimonii написано:


     но по NetBios-имени не пингую.


    Подскажите чего делать?

     

     

    Вот с этого и начать: если у вас компьютеры фактически в одной сети, то пинг по короткому имени должен работать. Возможно переезд включил фаэвол на новом DC.



    Фаервол отключен на обоих контроллерах. Контроллеры находятся в разных подсетях, между зданиями оптика
    26 декабря 2007 г. 10:46
  •  Stаnky написано:

    А имя у нового компьютера такое же, как и у старого?



    Имя у старого контроллера было pfr001, а у нового dc011
    26 декабря 2007 г. 10:47
  •  NightWanderer3 написано:

    Судя по логам, изменился адрес, надо реплицировать этот адрес на основной DC, и всё должно встать на всё место. Проверьте FW, могут быть там разрешения на старый адрес. Плюс в _msdcs может сохранится старый № церберос, несовпадающий с новым. Удалите запись и обновите _mscds. Думаю, что всё получится. А на старом был включён NetBIOS?  




    Какую запись нужно удалить в msdcs?

    На старом NetBios был включен.

    Также в журнале Просмотр событий -> Система есть ещё 2 ошибки:

    ID 5723

    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 5723
    Дата: 26.12.2007
    Время: 6:09:52
    Пользователь: Н/Д
    Компьютер: DC010
    Описание:
    Не удалось установить сеанс с компьютера "DC011", так как указанная им доверительная учетная запись
    "001.069.opfr.net." отсутствует в базе данных.

    Действие пользователя
    Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно,
    это временное состояние, не требующее выполнения каких-либо действий в данный момент.
    В противном случае для устранения ошибки можно предпринять следующие шаги.

    Если "001.069.opfr.net." - действительная учетная запись компьютера "DC011", то "DC011" следует вновь
    присоединить к домену.

    Если "001.069.opfr.net." - действительная учетная запись междоменного доверия, следует восстановить
    это отношение доверия.

    В противном случае (т. е. если "001.069.opfr.net." не является действительной учетной записью) необходимо
    выполнить следующие действия для компьютера "DC011".

    Если "DC011" - контроллер домена, удалите отношение доверия, связанное с "001.069.opfr.net.".

    Если "DC011" - не контроллер домена, исключите его из состава домена.


    Я уже удалил доверие с 001.069.opfr.net через оснастку Active Directory: домены и доверие.



    ID 5805


    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 5805
    Дата: 26.12.2007
    Время: 6:23:33
    Пользователь: Н/Д
    Компьютер: DC010
    Описание:
    Не удалось выполнить проверку подлинности для сеанса компьютера DC011. Произошла следующая ошибка:
    Отказано в доступе.

    26 декабря 2007 г. 10:48
  • Возможная причина вашей проблемы - то, что после ввода нового контроллера данные не успели реплицироваться до вывода из эксплуатации старого.

    Теперь получается так, что контроллер для репликации пытается обратиться к серверу, которого не существует.

    Какие имена серверов в Active Directory Sites And Services на обоих контроллерах?

    26 декабря 2007 г. 11:02
  •  Stаnky написано:

    Возможная причина вашей проблемы - то, что после ввода нового контроллера данные не успели реплицироваться до вывода из эксплуатации старого.

    Теперь получается так, что контроллер для репликации пытается обратиться к серверу, которого не существует.

    Какие имена серверов в Active Directory Sites And Services на обоих контроллерах?



    На обоих контроллерах имена серверов: DC010 и DC011.

    Заметил ещё одну странность:

    в консоли DNS  в зоне 069.opfr.net есть папка _msdcs, в ней запись сервера имен, которая указывает на dns-сервер dc010.069.opfr.net. так вот в свойствах этой записи на вкладке "Безопасность" нет ни одного пользователя как это обычно бывает и написано "Не удается отобразить информацию о безопасности".

    кроме того существует отдельно зона: _msdcs.069.opfr.net  там всё нормально.

    26 декабря 2007 г. 11:23
  •  dimonii написано:
    На обоих контроллерах имена серверов: DC010 и DC011.
    Значит репликация при замене прошла без проблем.

     dimonii написано:
    в консоли DNS  в зоне 069.opfr.net есть папка _msdcs, в ней запись сервера имен, которая указывает на dns-сервер dc010.069.opfr.net. так вот в свойствах этой записи на вкладке "Безопасность" нет ни одного пользователя
    Это нормально.

    26 декабря 2007 г. 16:21
  • Теперь через консоль установите траст, сначала для того компа, который имеет доступ ко второму, а затем со второго на первый. В следующий раз, когда будете поднимать домен, надо предварительно соединиться локалке с материнским ДС или через инет, ещё находясь в WG, и оставить лоджин и пассворд Администратора домена. После этого поднимать. Думаю, что это не было сделано. Посему и некоторые сложности. Просто WINS этого не дает, ключи разные, а они имеют высокую степень шифра.

    Проверьте наличие обратной зоны на "матери" для нового дс, обязательно пропишите трансфер и доступ через FW по 53 порту по TCP и UDP, на обе зоны. (Даже если снимаешь FW во внешней сети, там по умолчанию закрыто!!!). Тогда разрешение по имени будет обеспечено. Реплика должна пройти через зоны, а потом попадает в _msdcs. И, опять-таки, проверьте разрешение регистрироваться в DNS.

    26 декабря 2007 г. 18:30
  •  NightWanderer3 написано:

    Теперь через консоль установите траст, сначала для того компа, который имеет доступ ко второму, а затем со второго на первый.



    Пытаюсь установить доверие на корневом домене через консоль "Домены и доверие". Указываю дочерний домен. В итоге мастер выдает: "мастер создания нового доверия не может продолжать работу, поскольку не удается обратиться к указанному домену.     Либо этот домен не существует, либо возникли другие ошибки, препядствующие подключению".

    Тест:

    C:\Documents and Settings\Администратор>nltest /trusted_domains /v
    List of domain trusts:
    0: DC01 069.opfr.net (NT 5) (Forest Tree Root) (Primary Domain) (Native)
    Dom Guid: 6a5fb955-d277-4f67-991a-aa5938d7fcc1
    Dom Sid: S-1-5-21-2616502810-1793095756-3253937603
    1: PFR001 001.069.opfr.net (NT 5) (Forest: 0)
    Dom Guid: 6a5fccad-8267-4c02-a48a-3fb98162ff89
    Dom Sid: S-1-5-21-3492138148-2784301932-1051134783
    The command completed successfully


    PFR001 - это старое имя контроллера дочернего домена.


     NightWanderer3 написано:

    Проверьте наличие обратной зоны на "матери" для нового дс


    dc010 - контроллер корневого домена, dc011 - контроллер дочернего домена. Так вот на dc010 есть обратная зона которая относитися к dc010, обратной зоны для dc011 - не было и сейчас нет. Нужно ли её создавать??


     NightWanderer3 написано:

    обязательно пропишите трансфер и доступ через FW по 53 порту по TCP и UDP, на обе зоны. (Даже если снимаешь FW во внешней сети, там по умолчанию закрыто!!!).


    Если правильно понимаю: в свойствах каждой зоны на вкладке "передача зоны" стоит галочка "разрешить передачи зон: только на серверы, перечисленные на странице серверов имен". На вкладке "серверы имен " у меня прописаны контроллеры: dc010.069.opfr.net и dc011.001.069.opfr.net. По поводу брандмауэра не понятно. Он всегда был отключен. Открыть 53 порт для службы dns-сервер?? И как это сделать во встроенном брандмауэре ??

     NightWanderer3 написано:

    И, опять-таки, проверьте разрешение регистрироваться в DNS.


    C:\Documents and Settings\Администратор>dcdiag /test:RegisterInDns /DnsDomain:06
    9.opfr.net
    Starting test: RegisterInDNS
    DNS configuration is sufficient to allow this domain controller to
    dynamically register the domain controller Locator records in DNS.

    The DNS configuration is sufficient to allow this computer to dynamically
    register the A record corresponding to its DNS name.

    ......................... dc010 passed test RegisterInDNS


    27 декабря 2007 г. 11:25