none
Проблема включения исходящей репликации Windows Server 2012 R2 между контроллерами домена RRS feed

  • Вопрос

  • На виртуальной машине (VM VirtualBox) поднято два сервера (Windows Server 2012 R2). "AB" - контроллер домена  ( на Windows Server 2012 R2) и "ABB" - сервер который должен стать дополнительным контроллером домена.

    На "ABB" не получается добавить дополнительный контроллер домена из за ошибки:"Сбой проверки исходящей репликации. Исходящая репликация не включена в контроллере домена источника репликации: ab.ttt.local".

    repadmin/showrepl отображает:

    ...

    Параметры DSA:IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL

    ...

    На страничке https://technet.microsoft.com/en-us/library/cc794921(v=ws.10).aspx для 2008, а для 2012 не подходит, т.к. в 2012 R2 у repadmin нет команды /options 

    7 ноября 2017 г. 10:56

Ответы

  • Моя оценка ситуации такая: при переносе контроллеров домена с одного сервера вирутаализации вы сделали это неаккуратно и получили состояния, в котором копии базы данных AD на контроллерах оказались рассогласованными (состояние USN Rollback). Аккуратным являлся бы одновременный перенос выключенных контроллеров домена, либо перенос их резервных копий, сделаннных поддерживаемыми программами (например, WIndows Server Backup). Если вы переносили контроллеры домена как-то по-другому, то шанс получения рассогласования копий баз данных велик.

    На текущий момент у вас, как я понял, остался только один контроллер домена в домене и в лесу (внешние и межлесные доверительные отношения тут роли не играют). Если это не так - не выполняйте приведенные ниже рекомендации, а напишите на форуме. Если я был прав, то вам стоит вычистить все следы зафиксированного ранее рассогласования баз данных (если они есть) и включить репликацию. Для этого:

    1. посмотрите в реестре наличие параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable, если он есть (и в таком случае, он скорее всего равен 4, если там что-то другое - это повод проявить осторожность) - удалите его (проявляя осторожность).  Лучше всего выполнить эту операцию в режиме восстановления службы каталогов, после чего перезагрузить КД;
    2. включите репликацию командами repadmin /options имя_КД -DISABLE_INBOUND_REPL и repadmin /options имя_КД -DISABLE_OUTBOUND_REPL
    3. проверьте наличие содержимого SYSVOL (обычно это папка ссылающаяся на C:\Windows\SYSVOL\Domain, можете уточнить её имя командой net share - она расшарена как SYSVOL): там должны быть подпапки Policies (с несколькими папками политик с именами в виде {GUID}) и Scripts(чаще всего пустая). Если этого содержимого там нет - поищите его на бывшем контроллере домена и скопируйте, куда надо;
    4. произведите полномочную синхронизацию репликации SYSVOL. Т.к., судя по выдаче dcdiag, для репликации SYSVOL у вас используется DFSR, следуйте рекомендациям статьи 2218556 MS KB (см. также мой ответ в теме https://social.technet.microsoft.com/Forums/ru-RU/6ff3e207-64a2-4204-b5d7-073c0c84c760/-active-directory-?forum=ruwinserver2016 - там то же самое написано по-русски).

    После этого вы, скорее всего, сможете добавить дополнительный контроллер в этот домен. Если в чём-то сомневаетесь или что-то идёт не так - пишите.

     


    Слава России!

    7 ноября 2017 г. 23:33
  • Доброе время суток.

    1. Действительно HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable значение =4

    На "файлопомойке" которая подвязана к этому домену наблюдается картина, что у пользователя права на изменения (как в безопасности так и в сетевом доступе), а папку создать он может, а вот файл нет. Копировать тоже не разрешает система.

    Думаю, что целесообразней, пока на КД не много пользователей, уйти с данного КД на другой.

    Вам большое спасибо за помощь. Рад, что в мире есть неравнодушные люди.

    Ваши рекомендации помогли понять причину и последствия. Всех благ Вам.

    8 ноября 2017 г. 7:48

Все ответы

  • Во-первых, сколько у вас сейчас дествующих контроллеров домена во всём лесу (не только в этом домене)? Если он один, не было ли их раньше больше?

    Во-вторых - покажите выдачу команды dcdiag c КД ab.ttt.local.

    PS Пока не разберётесь с проблемой - не включайте репликацию на КД: возможно, она была отключена системой, чтобы избежать повреждения базы данных AD.


    Слава России!


    • Изменено M.V.V. _ 7 ноября 2017 г. 11:11
    7 ноября 2017 г. 11:11
  • 1. Действительно было два контроллера домена ab - основной и ABB как дополнительный. И тогда работало нормально на одной железке. При переходе на другую железку второй не мог соединиться с основным. Переустановил ABB заново и имена менял для него, но толку мало. ошибка не ушла. Есть доверительные отношения с контроллером домена usa.uuu.local (Windows Server 2003 R2)

    компьютер VOH - в домене ttt.local. Но на контроллере он не отображается. В DNS есть. Не уж то из за него?


    2. выдача команды dcdiag на ab.ttt.local

    Диагностика сервера каталогов

    Выполнение начальной настройки:

       Выполняется попытка поиска основного сервера...

       Основной сервер = ab

       * Определен лес AD.

       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

      

       Сервер проверки: Default-First-Site-Name\AB

     

          Запуск проверки: Connectivity

             ......................... AB - пройдена проверка Connectivity

    Выполнение основных проверок

      

       Сервер проверки: Default-First-Site-Name\AB

     

          Запуск проверки: Advertising

     

             ......................... AB - пройдена проверка Advertising

     

          Запуск проверки: FrsEvent

             ......................... AB - пройдена проверка FrsEvent

          Запуск проверки: DFSREvent

             За последние 24 часа после предоставления SYSVOL в общий доступ

             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при

             репликации SYSVOL могут стать причиной проблем групповой политики.

             ......................... AB - не пройдена проверка DFSREvent

          Запуск проверки: SysVolCheck

             ......................... AB - пройдена проверка SysVolCheck

          Запуск проверки: KccEvent

             ......................... AB - пройдена проверка KccEvent

          Запуск проверки: KnowsOfRoleHolders

             ......................... AB - пройдена проверка KnowsOfRoleHolders

          Запуск проверки: MachineAccount

             ......................... AB - пройдена проверка MachineAccount

          Запуск проверки: NCSecDesc

             ......................... AB - пройдена проверка NCSecDesc

          Запуск проверки: NetLogons

             ......................... AB - пройдена проверка NetLogons

          Запуск проверки: ObjectsReplicated

             ......................... AB - пройдена проверка ObjectsReplicated

          Запуск проверки: Replications

             [Проверка репликации,Replications Check] Входящая репликация

             отключена.

             Для исправления выполните "repadmin /options AB -DISABLE_INBOUND_REPL"

             [Проверка репликации,AB] Исходящая репликация отключена.

             Для исправления выполните "repadmin /options AB

             -DISABLE_OUTBOUND_REPL"

     

             ......................... AB - не пройдена проверка Replications

     

          Запуск проверки: RidManager

             ......................... AB - пройдена проверка RidManager

          Запуск проверки: Services

             ......................... AB - пройдена проверка Services

          Запуск проверки: SystemLog

             Возникла ошибка. Код события (EventID): 0x000016AD

                Время создания: 11/07/2017   13:47:43

                Строка события:

                Не удалось выполнить проверку подлинности для сеанса компьютера VOH. Произошла следующая ошибка:

             ......................... AB - не пройдена проверка SystemLog

          Запуск проверки: VerifyReferences

             ......................... AB - пройдена проверка VerifyReferences

      

      

       Выполнение проверок разделов на: ForestDnsZones

          Запуск проверки: CheckSDRefDom

             ......................... ForestDnsZones - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... ForestDnsZones - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: DomainDnsZones

          Запуск проверки: CheckSDRefDom

             ......................... DomainDnsZones - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... DomainDnsZones - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: Schema

          Запуск проверки: CheckSDRefDom

             ......................... Schema - пройдена проверка CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... Schema - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: Configuration

          Запуск проверки: CheckSDRefDom

             ......................... Configuration - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... Configuration - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: ttt

          Запуск проверки: CheckSDRefDom

             ......................... ttt - пройдена проверка CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... ttt - пройдена проверка CrossRefValidation

      

       Выполнение проверок предприятия на: ttt.local

          Запуск проверки: LocatorCheck

             ......................... ttt.local - пройдена проверка LocatorCheck

          Запуск проверки: Intersite

             ......................... ttt.local - пройдена проверка Intersite

    PS Спасибо за быструю реакцию и помощь.



    7 ноября 2017 г. 12:23
  • Моя оценка ситуации такая: при переносе контроллеров домена с одного сервера вирутаализации вы сделали это неаккуратно и получили состояния, в котором копии базы данных AD на контроллерах оказались рассогласованными (состояние USN Rollback). Аккуратным являлся бы одновременный перенос выключенных контроллеров домена, либо перенос их резервных копий, сделаннных поддерживаемыми программами (например, WIndows Server Backup). Если вы переносили контроллеры домена как-то по-другому, то шанс получения рассогласования копий баз данных велик.

    На текущий момент у вас, как я понял, остался только один контроллер домена в домене и в лесу (внешние и межлесные доверительные отношения тут роли не играют). Если это не так - не выполняйте приведенные ниже рекомендации, а напишите на форуме. Если я был прав, то вам стоит вычистить все следы зафиксированного ранее рассогласования баз данных (если они есть) и включить репликацию. Для этого:

    1. посмотрите в реестре наличие параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable, если он есть (и в таком случае, он скорее всего равен 4, если там что-то другое - это повод проявить осторожность) - удалите его (проявляя осторожность).  Лучше всего выполнить эту операцию в режиме восстановления службы каталогов, после чего перезагрузить КД;
    2. включите репликацию командами repadmin /options имя_КД -DISABLE_INBOUND_REPL и repadmin /options имя_КД -DISABLE_OUTBOUND_REPL
    3. проверьте наличие содержимого SYSVOL (обычно это папка ссылающаяся на C:\Windows\SYSVOL\Domain, можете уточнить её имя командой net share - она расшарена как SYSVOL): там должны быть подпапки Policies (с несколькими папками политик с именами в виде {GUID}) и Scripts(чаще всего пустая). Если этого содержимого там нет - поищите его на бывшем контроллере домена и скопируйте, куда надо;
    4. произведите полномочную синхронизацию репликации SYSVOL. Т.к., судя по выдаче dcdiag, для репликации SYSVOL у вас используется DFSR, следуйте рекомендациям статьи 2218556 MS KB (см. также мой ответ в теме https://social.technet.microsoft.com/Forums/ru-RU/6ff3e207-64a2-4204-b5d7-073c0c84c760/-active-directory-?forum=ruwinserver2016 - там то же самое написано по-русски).

    После этого вы, скорее всего, сможете добавить дополнительный контроллер в этот домен. Если в чём-то сомневаетесь или что-то идёт не так - пишите.

     


    Слава России!

    7 ноября 2017 г. 23:33
  • Доброе время суток.

    1. Действительно HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable значение =4

    На "файлопомойке" которая подвязана к этому домену наблюдается картина, что у пользователя права на изменения (как в безопасности так и в сетевом доступе), а папку создать он может, а вот файл нет. Копировать тоже не разрешает система.

    Думаю, что целесообразней, пока на КД не много пользователей, уйти с данного КД на другой.

    Вам большое спасибо за помощь. Рад, что в мире есть неравнодушные люди.

    Ваши рекомендации помогли понять причину и последствия. Всех благ Вам.

    8 ноября 2017 г. 7:48