none
Проблемы репликации с дочерним доменом (захоронение) RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день! Господа знатоки и специалисты, нужна ваша помощь и опыт в решении следующей проблемы с репликацией. В нашем лесу есть два домена:

    1) родительский contoso.com

    2) дочерний remote.contoso.com

    Между этими домена длительное время были закрыты необходимые для полноценной репликации порты в связи с чем весь дочерний домен (3 контроллера) оказались захороненными. Сейчас все порты по списку Microsoft`а точно открыты, связи для репликации я создал заново, но оживить общение не удается.

    Со стороны дочернего домена постоянно сыпятся ошибки 2042 - С момента репликации этой машины с указанной исходной машиной прошло слишком много времени. В обратную сторону получаю ошибки "Контекст наименования remote.contoso.com находится в процессе удаления или не был реплицирован с указанного сервера. Эта операция будет прекращена".

    Если смотреть через консоль, а не через графику, то команда repadmin /syncall /d /e выдает в на обоих контроллерах ошибку 1722 - Сервер RPC недоступен. Все сервера Windows Server 2008 R2 SP1, установлены только роли AD и DNS

    Может у кого-то есть успешный опыт решения именно таких ситуаций? Когда не один контроллер захоронился, а дочерний домен целиком?

    16 апреля 2013 г. 10:03
    |

Ответы

  • Question
    Нужно войти
    2
    Нужно войти

    Спасибо за полезные ссылки, стало чуточку понятнее. Единственное, что по-прежнему непонятно, какой контекст наименования нужно указывать в том случае, если устаревший объект находится в CN=SDC\0ACNF:0e11b2e8-...,OU=Domain Controllers,DC=contoso,DC=org.

    Пробую указать "dc=contoso,dc=org" или "OU=Domain Controllers,DC=contoso,DC=org" или даже "CN=SDC\0ACNF:0e11b2e8-...,OU=Domain Controllers,DC=contoso,DC=org", но в любом случае получаю ошибку 8440 - для данной репликации указан недопустимый контекст наименования.

    в некоторых параметрах нужен GUID раздела, а не его dn. Возьмите repldiag - будет проще.
    24 апреля 2013 г. 11:12
    |
    Отвечающий

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Добрый день.

    Вот ваша ситуация -- http://technet.microsoft.com/en-us/library/cc757610(v=ws.10).aspx

    Печенкин Николай

    16 апреля 2013 г. 10:09
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Простите, что уточняю, но это точно тот случай, когда проблемы со всеми контроллерами домена, а не с одним? Потому что всё это я уже делал и ситуации это не изменило. Возможно, я допустил ошибку или неточность, буду пробовать строго по пунктам и отпишусь о результате. В любом случае спасибо за помощь!
    16 апреля 2013 г. 10:23
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Проделал все рекомендации по вышеуказанной ссылке, ситуация немного изменилась, но принципиально лучше не стала: на контроллере дочернего домена сталы сыпаться ошибки 1988, где в качестве исходного контроллера попадаются разные идентификаторы, а объект из раздела Configuration или даже OU=Domain Controllers. Подразумевается, что я должен удалить устаревшие объекты, но я это уже сделал, не понимаю, что еще от меня хочет активка.

    На котроллере основного домена сыпется огромное количество ошибок 1925 и 1645 - вход в систему не произведен: конечная запись указана неверно и доменным службам AD не удалось выполнить проверенный удаленный вызов процедуры (RPC) на другом сервере службы каталогов, поскольку нужное имя участника-службы (SPN) для конечного сервера службы каталогов не зарегистрировано на сервере с. к., являющемся центром распространения ключей KDC и разрешающим SPN.

    19 апреля 2013 г. 11:30
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день .

    The event id 1988 will be logged on DC which is not having lingering object.The description of the Event ID 1988 is quite descriptive. It gives the following Information

    1. The GUID of the source domain controller from where the lingering objects are coming.
    Source DC (Transport-specific network address): c3f32f0e-7eb8-4d5e-a9da-f18ae3931bd7._msdcs.domain.com

    2. The DN of the Lingering Object (This piece of information is helpful in determining the location of the lingering object with respect to the naming context – domain partition, configuration partition , global catalog)
    Object:
    CN=50\0ADEL:80d39a4e-2502-425b-ab85-ccbea79eb100,CN=Deleted Objects,DC=DomainDnsZones,DC=domain,DC=com

    3. The event also gives the command that needs to be run to remove lingering objects
    Repadmin /RemoveLingeringObjects <Name of the Source DC> <GUID of the DC which do not have the Lingering Objects>

    Name of the Source DC: The Event ID 1988 mentions the GUID of the source DC. From this GUID, we need to get the name of that DC
    GUID of the DC which do not have the Lingering Objects: DC on which we are getting Event ID 1988is the one on which we do not have the Lingering Objects.Ping the GUID which is mentioned in the Event 1988. This is the GUID of the domain controller which has Lingering Objects. By pinging the GUID, we will get the name of the domain controller having lingering objects

    http://blogs.technet.com/b/glennl/archive/2007/07/26/clean-that-active-directory-forest-of-lingering-objects.aspx

    Alternately you can also demote & promote the server containg the lingering as sometimes its difficult to remove lingering object either using repadmin /removelingeringobjects or other tool. If lingering objects spreads then its more difficult to tackle them.If faulty DC is FSMO role holder you need to seize the FSMO on other DC.

    А так же

    http://technet.microsoft.com/ru-ru/library/cc949134(v=ws.10).aspx#BKMK_1988

    Печенкин Николай

    21 апреля 2013 г. 8:04
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Спасибо за полезные ссылки, стало чуточку понятнее. Единственное, что по-прежнему непонятно, какой контекст наименования нужно указывать в том случае, если устаревший объект находится в CN=SDC\0ACNF:0e11b2e8-...,OU=Domain Controllers,DC=contoso,DC=com.

    Пробую указать "dc=contoso,dc=com" или "OU=Domain Controllers,DC=contoso,DC=com" или даже "CN=SDC\0ACNF:0e11b2e8-...,OU=Domain Controllers,DC=contoso,DC=com", но в любом случае получаю ошибку 8440 - для данной репликации указан недопустимый контекст наименования.


    24 апреля 2013 г. 11:10
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Спасибо за полезные ссылки, стало чуточку понятнее. Единственное, что по-прежнему непонятно, какой контекст наименования нужно указывать в том случае, если устаревший объект находится в CN=SDC\0ACNF:0e11b2e8-...,OU=Domain Controllers,DC=contoso,DC=org.

    Пробую указать "dc=contoso,dc=org" или "OU=Domain Controllers,DC=contoso,DC=org" или даже "CN=SDC\0ACNF:0e11b2e8-...,OU=Domain Controllers,DC=contoso,DC=org", но в любом случае получаю ошибку 8440 - для данной репликации указан недопустимый контекст наименования.

    в некоторых параметрах нужен GUID раздела, а не его dn. Возьмите repldiag - будет проще.
    24 апреля 2013 г. 11:12
    |
    Отвечающий