none
репликация active dirrictory RRS feed

  • Вопрос

  • Добрый день!

    Прошу помощи что бы разобраться с репликацией между доменами. 

    есть 3 домена dom.com, sub1.dom.com, sub2.dom.com

    с неделю назад заметил что область dc=sub2,dc=dom,dc=com не реплицируется между доменами. 

    по причине ошибок 8606 и 8464

    На dc.sub2.dom.com вижу ошибки 1944, 1943

    На dc.dom.com 1988

    На dc.sub1.dom.com 1988

    Пробовал https://support.microsoft.com/ru-ru/help/4469619/active-directory-replication-event-id-1388-or-1988-a-lingering-object результата нет, ошибки появляются.

    Команды выполнял в следующем формате

    PS C:\Windows\system32> repadmin /showrepl dc.sub2.dom.com /errorsonly
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 7dbb485a-3106-40c2-a060-bd298e995baf
    DSA invocationID: 11c78bb7-f7cc-49e0-aa92-1484ec33e0b7

    repadmin /removelingeringobjects dc.dom.com 7dbb485a-3106-40c2-a060-bd298e995baf "dc=sub2,dc=dom,dc=com" /advisory_mode

    repadmin /removelingeringobjects dc.dom.com 7dbb485a-3106-40c2-a060-bd298e995baf "dc=sub2,dc=dom,dc=com"

    Пробовал инструмент LingeringObjectLiquidatorInstaller, устаревшие элементы нашлись, их удалил на dc.dom.com и dc.sub2.dom.com

    Все контроллеры домена в компании gc

    16 ноября 2020 г. 11:25

Ответы


  • Пробовал инструмент LingeringObjectLiquidatorInstaller, устаревшие элементы нашлись, их удалил на dc.dom.com и dc.sub2.dom.com

    Все контроллеры домена в компании gc

    И что, после этого репликация все равно не идет?

    Если не идет, то, похоже, вы не вычистили застрявший объект в какой-то из копий для чтения в раздела "dc=sub2,dc=dom,dc=com" в на GC в другом домене.

    На мой взгляд, в вашем случае проще переразместить этот раздел целиком, взяв его с исходного КД. Испольуйте для этого команду repadmin с ключами unhost и rehost:

    repadmin /unhost dc.dom.com "DC=sub2,DC=dom,DC=com"

    repadmin /rehost dc.dom.com "DC=sub2,DC=dom,DC=com"  dc.sub2.dom.com

    - это на dc.dom.com, на другом - аналогично.


    Слава России!

    UPD: Чтобы дать возможность пользователям использовать эти КД для аутентификации в процессе устранения ошибки (для аутентификации по умолчанию требуется доступ к GC), имеет смысл временно снизить требования по содержанию разделов только для чтения для объявления GC (Occupancy requirement level) до 2 со значения 6 по умолчанию: установите в 2 (если нет - создайте с типом DWORD) параметр реестра HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Partition Occupancy
    Подробности можно посмотреть здесь




    • Изменено M.V.V. _ 16 ноября 2020 г. 13:16
    • Помечено в качестве ответа Koliuha 17 ноября 2020 г. 12:36
    16 ноября 2020 г. 12:57

Все ответы

  • что конкретно вы хотите реплицировать из домена sub2 ?
    16 ноября 2020 г. 12:02
  • Хочется реплицировать пользователей, группы
    16 ноября 2020 г. 12:09
  • все объкты (или почти все) реплицируются только между контроллерами домена одного домена.

    какая у вас конечная задача?

    т.к. все домены в одном лесу, то между уже есть дву-сторонние доверия - просто используйте у.з. домена sub2 в ресурсах домена dom

    16 ноября 2020 г. 12:34

  • Пробовал инструмент LingeringObjectLiquidatorInstaller, устаревшие элементы нашлись, их удалил на dc.dom.com и dc.sub2.dom.com

    Все контроллеры домена в компании gc

    И что, после этого репликация все равно не идет?

    Если не идет, то, похоже, вы не вычистили застрявший объект в какой-то из копий для чтения в раздела "dc=sub2,dc=dom,dc=com" в на GC в другом домене.

    На мой взгляд, в вашем случае проще переразместить этот раздел целиком, взяв его с исходного КД. Испольуйте для этого команду repadmin с ключами unhost и rehost:

    repadmin /unhost dc.dom.com "DC=sub2,DC=dom,DC=com"

    repadmin /rehost dc.dom.com "DC=sub2,DC=dom,DC=com"  dc.sub2.dom.com

    - это на dc.dom.com, на другом - аналогично.


    Слава России!

    UPD: Чтобы дать возможность пользователям использовать эти КД для аутентификации в процессе устранения ошибки (для аутентификации по умолчанию требуется доступ к GC), имеет смысл временно снизить требования по содержанию разделов только для чтения для объявления GC (Occupancy requirement level) до 2 со значения 6 по умолчанию: установите в 2 (если нет - создайте с типом DWORD) параметр реестра HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Partition Occupancy
    Подробности можно посмотреть здесь




    • Изменено M.V.V. _ 16 ноября 2020 г. 13:16
    • Помечено в качестве ответа Koliuha 17 ноября 2020 г. 12:36
    16 ноября 2020 г. 12:57
  • все объкты (или почти все) реплицируются только между контроллерами домена одного домена.

    Не вводите автора вопроса в заблуждение. У него все DC являются GC, а потому имеют копии только для чтения (с частичным набором атрибутов) разделов всех остальных доменов. И эти объекты с частичным набором атрибутов реплицируются между всеми доменами.

    Слава России!

    16 ноября 2020 г. 13:00
  • что такое у.з.?

    В домене sub1 находится exchange которым пользуются пользователи домена sub2. Создать почтовые ящики я смог но пользоваться ими пользователи не могут да локальном dc информации о них нет.

    16 ноября 2020 г. 13:02
  • все объкты (или почти все) реплицируются только между контроллерами домена одного домена.

    Не вводите автора вопроса в заблуждение. У него все DC являются GC, а потому имеют копии только для чтения (с частичным набором атрибутов) разделов всех остальных доменов. И эти объекты с частичным набором атрибутов реплицируются между всеми доменами.

    Слава России!

    поэтому я и написал - почти все.
    16 ноября 2020 г. 13:07
  • то есть мне нужно на каждом контроллере домена запустить команды

    repadmin /unhost dc.dom.com "DC=sub2,DC=dom,DC=com"

    repadmin /rehost dc.dom.com "DC=sub2,DC=dom,DC=com"  dc.sub2.dom.com

     

    а прав доменного администратора хватит или нужен ентерпрайс?

    16 ноября 2020 г. 13:11
  • что такое у.з.?

    В домене sub1 находится exchange которым пользуются пользователи домена sub2. Создать почтовые ящики я смог но пользоваться ими пользователи не могут да локальном dc информации о них нет.

    у.з. - учётная запись. п.я. - почтовый ящик.

    посмотрите эту статью о связанных почтовых ящиках - ссылка. но я не уверен, что это ваш случай (там речь о двух лесах). Может для дочерних доменов конфигурация отличается.

    16 ноября 2020 г. 13:14
  • поэтому я и написал - почти все.
    Из интересующие автора объектов учетные записи реплицируются все, группы - только универсальные. То есть репликация содержимого (части) раздела между доменами происходит, а потому чинить ее, если сломалась, надо.

    Слава России!

    16 ноября 2020 г. 13:19
  • то есть мне нужно на каждом контроллере домена запустить команды

    repadmin /unhost dc.dom.com "DC=sub2,DC=dom,DC=com"

    repadmin /rehost dc.dom.com "DC=sub2,DC=dom,DC=com"  dc.sub2.dom.com

     

    а прав доменного администратора хватит или нужен ентерпрайс?

    Запустить лучше на каждом контроллере, кроме контроллеров домена sub2.dom.com, но можно ограничиться теми, где есть проблемы репликации этого раздела - на которые и с которых.

    Имя КД (FQDN) следует подставить вместо dc.dom.com

    Прав администратора домена хватит.


    Слава России!

    16 ноября 2020 г. 14:22
  • Похоже помогло! на данный момент пользователи появились в exchange. Точнее отпишу с утра.
    16 ноября 2020 г. 21:13
  • Здравствуйте!

    После удаления, область первоначально загрузилась, но потом опять начали появляться ошибки 1944, 1988

    После сканирования программой LingeringObjectLiquidator, показывает наличие устаревших данных

    Исправил их методом DSVerifyLingeringObject

    Повторное сканирование не показало наличие устаревших элементов.


    • Изменено Koliuha 17 ноября 2020 г. 7:49
    17 ноября 2020 г. 7:48
  • Впечатление что домена sub2.dom.com считает устаревшие элементы совсем даже не устаревшими.
    17 ноября 2020 г. 7:52
  • 1. Если КД в домене sub2.dom.com несколько, проверьте согласованность данных в их кописях базы данных AD - все той же командой repadmin /removelingeringobjects /advisory_mode между каждой парой КД в обе стороны. Результаты проверки смотрите в журнале событий Directory Service. Если есть рассогласованность - устраните.

    2. Стоит проивзести переразмещение раздела sub2.dom.com на всех GC вне этого домена одновременно - т.е. сначала на всех выполнить repadmin /unhost, и только потом загрузить раздел командой repadmin /rehost. Иначе репликация пытается переносить данные с еще не переразмещенных разделов.

    3. Копия раздела sub2.dom.com на КД этого домена является полномочным источником, поэтому попытки найти застрявшие объекты в ней, используя частичную копию на GC вне домена в качестве образца бесполезны.


    Слава России!

    17 ноября 2020 г. 12:37