Remove From My Forums

Проблема включения исходящей репликации Windows Server 2012 R2 между контроллерами домена

Вопрос
0

Нужно войти

На виртуальной машине (VM VirtualBox) поднято два сервера (Windows Server 2012 R2). "AB" - контроллер домена ( на Windows Server 2012 R2) и "ABB" - сервер который должен стать дополнительным контроллером домена.

На "ABB" не получается добавить дополнительный контроллер домена из за ошибки:"Сбой проверки исходящей репликации. Исходящая репликация не включена в контроллере домена источника репликации: ab.ttt.local".

repadmin/showrepl отображает:

...

Параметры DSA:IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL

...

На страничке https://technet.microsoft.com/en-us/library/cc794921(v=ws.10).aspx для 2008, а для 2012 не подходит, т.к. в 2012 R2 у repadmin нет команды /options

7 ноября 2017 г. 10:56

Ответить

|

Цитировать

Ответы

2

Нужно войти
Моя оценка ситуации такая: при переносе контроллеров домена с одного сервера вирутаализации вы сделали это неаккуратно и получили состояния, в котором копии базы данных AD на контроллерах оказались рассогласованными (состояние USN Rollback). Аккуратным являлся бы одновременный перенос выключенных контроллеров домена, либо перенос их резервных копий, сделаннных поддерживаемыми программами (например, WIndows Server Backup). Если вы переносили контроллеры домена как-то по-другому, то шанс получения рассогласования копий баз данных велик.

На текущий момент у вас, как я понял, остался только один контроллер домена в домене и в лесу (внешние и межлесные доверительные отношения тут роли не играют). Если это не так - не выполняйте приведенные ниже рекомендации, а напишите на форуме. Если я был прав, то вам стоит вычистить все следы зафиксированного ранее рассогласования баз данных (если они есть) и включить репликацию. Для этого:

посмотрите в реестре наличие параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable, если он есть (и в таком случае, он скорее всего равен 4, если там что-то другое - это повод проявить осторожность) - удалите его (проявляя осторожность). Лучше всего выполнить эту операцию в режиме восстановления службы каталогов, после чего перезагрузить КД;
включите репликацию командами repadmin /options имя_КД -DISABLE_INBOUND_REPL и repadmin /options имя_КД -DISABLE_OUTBOUND_REPL
проверьте наличие содержимого SYSVOL (обычно это папка ссылающаяся на C:\Windows\SYSVOL\Domain, можете уточнить её имя командой net share - она расшарена как SYSVOL): там должны быть подпапки Policies (с несколькими папками политик с именами в виде {GUID}) и Scripts(чаще всего пустая). Если этого содержимого там нет - поищите его на бывшем контроллере домена и скопируйте, куда надо;
произведите полномочную синхронизацию репликации SYSVOL. Т.к., судя по выдаче dcdiag, для репликации SYSVOL у вас используется DFSR, следуйте рекомендациям статьи 2218556 MS KB (см. также мой ответ в теме https://social.technet.microsoft.com/Forums/ru-RU/6ff3e207-64a2-4204-b5d7-073c0c84c760/-active-directory-?forum=ruwinserver2016 - там то же самое написано по-русски).

После этого вы, скорее всего, сможете добавить дополнительный контроллер в этот домен. Если в чём-то сомневаетесь или что-то идёт не так - пишите.

Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
7 ноября 2017 г. 23:33

Ответить

|

Цитировать
0

Нужно войти
Доброе время суток.

1. Действительно HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable значение =4

На "файлопомойке" которая подвязана к этому домену наблюдается картина, что у пользователя права на изменения (как в безопасности так и в сетевом доступе), а папку создать он может, а вот файл нет. Копировать тоже не разрешает система.

Думаю, что целесообразней, пока на КД не много пользователей, уйти с данного КД на другой.

Вам большое спасибо за помощь. Рад, что в мире есть неравнодушные люди.

Ваши рекомендации помогли понять причину и последствия. Всех благ Вам.
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
8 ноября 2017 г. 7:48

Ответить

|

Цитировать

Все ответы

0

Нужно войти
Во-первых, сколько у вас сейчас дествующих контроллеров домена во всём лесу (не только в этом домене)? Если он один, не было ли их раньше больше?

Во-вторых - покажите выдачу команды dcdiag c КД ab.ttt.local.

PS Пока не разберётесь с проблемой - не включайте репликацию на КД: возможно, она была отключена системой, чтобы избежать повреждения базы данных AD.

Слава России!
- Изменено M.V.V. _ 7 ноября 2017 г. 11:11
7 ноября 2017 г. 11:11

Ответить

|

Цитировать
0

Нужно войти
1. Действительно было два контроллера домена ab - основной и ABB как дополнительный. И тогда работало нормально на одной железке. При переходе на другую железку второй не мог соединиться с основным. Переустановил ABB заново и имена менял для него, но толку мало. ошибка не ушла. Есть доверительные отношения с контроллером домена usa.uuu.local (Windows Server 2003 R2)

компьютер VOH - в домене ttt.local. Но на контроллере он не отображается. В DNS есть. Не уж то из за него?

2. выдача команды dcdiag на ab.ttt.local

Диагностика сервера каталогов

Выполнение начальной настройки:

   Выполняется попытка поиска основного сервера...

   Основной сервер = ab

   * Определен лес AD.

   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок



   Сервер проверки: Default-First-Site-Name\AB

      Запуск проверки: Connectivity

         ......................... AB - пройдена проверка Connectivity

Выполнение основных проверок



   Сервер проверки: Default-First-Site-Name\AB

      Запуск проверки: Advertising

         ......................... AB - пройдена проверка Advertising

      Запуск проверки: FrsEvent

         ......................... AB - пройдена проверка FrsEvent

      Запуск проверки: DFSREvent

         За последние 24 часа после предоставления SYSVOL в общий доступ

         зафиксированы предупреждения или сообщения об ошибках. Сбои при

         репликации SYSVOL могут стать причиной проблем групповой политики.

         ......................... AB - не пройдена проверка DFSREvent

      Запуск проверки: SysVolCheck

         ......................... AB - пройдена проверка SysVolCheck

      Запуск проверки: KccEvent

         ......................... AB - пройдена проверка KccEvent

      Запуск проверки: KnowsOfRoleHolders

         ......................... AB - пройдена проверка KnowsOfRoleHolders

      Запуск проверки: MachineAccount

         ......................... AB - пройдена проверка MachineAccount

      Запуск проверки: NCSecDesc

         ......................... AB - пройдена проверка NCSecDesc

      Запуск проверки: NetLogons

         ......................... AB - пройдена проверка NetLogons

      Запуск проверки: ObjectsReplicated

         ......................... AB - пройдена проверка ObjectsReplicated

      Запуск проверки: Replications

         [Проверка репликации,Replications Check] Входящая репликация

         отключена.

         Для исправления выполните "repadmin /options AB -DISABLE_INBOUND_REPL"

         [Проверка репликации,AB] Исходящая репликация отключена.

         Для исправления выполните "repadmin /options AB

         -DISABLE_OUTBOUND_REPL"

         ......................... AB - не пройдена проверка Replications

      Запуск проверки: RidManager

         ......................... AB - пройдена проверка RidManager

      Запуск проверки: Services

         ......................... AB - пройдена проверка Services

      Запуск проверки: SystemLog

         Возникла ошибка. Код события (EventID): 0x000016AD

            Время создания: 11/07/2017   13:47:43

            Строка события:

            Не удалось выполнить проверку подлинности для сеанса компьютера VOH. Произошла следующая ошибка:

         ......................... AB - не пройдена проверка SystemLog

      Запуск проверки: VerifyReferences

         ......................... AB - пройдена проверка VerifyReferences





   Выполнение проверок разделов на: ForestDnsZones

      Запуск проверки: CheckSDRefDom

         ......................... ForestDnsZones - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... ForestDnsZones - пройдена проверка

         CrossRefValidation



   Выполнение проверок разделов на: DomainDnsZones

      Запуск проверки: CheckSDRefDom

         ......................... DomainDnsZones - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... DomainDnsZones - пройдена проверка

         CrossRefValidation



   Выполнение проверок разделов на: Schema

      Запуск проверки: CheckSDRefDom

         ......................... Schema - пройдена проверка CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... Schema - пройдена проверка

         CrossRefValidation



   Выполнение проверок разделов на: Configuration

      Запуск проверки: CheckSDRefDom

         ......................... Configuration - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... Configuration - пройдена проверка

         CrossRefValidation



   Выполнение проверок разделов на: ttt

      Запуск проверки: CheckSDRefDom

         ......................... ttt - пройдена проверка CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... ttt - пройдена проверка CrossRefValidation



   Выполнение проверок предприятия на: ttt.local

      Запуск проверки: LocatorCheck

         ......................... ttt.local - пройдена проверка LocatorCheck

      Запуск проверки: Intersite

         ......................... ttt.local - пройдена проверка Intersite

PS Спасибо за быструю реакцию и помощь.
- Изменено Алексей Линк 7 ноября 2017 г. 12:48
7 ноября 2017 г. 12:23

Ответить

|

Цитировать
2

Нужно войти
Моя оценка ситуации такая: при переносе контроллеров домена с одного сервера вирутаализации вы сделали это неаккуратно и получили состояния, в котором копии базы данных AD на контроллерах оказались рассогласованными (состояние USN Rollback). Аккуратным являлся бы одновременный перенос выключенных контроллеров домена, либо перенос их резервных копий, сделаннных поддерживаемыми программами (например, WIndows Server Backup). Если вы переносили контроллеры домена как-то по-другому, то шанс получения рассогласования копий баз данных велик.

На текущий момент у вас, как я понял, остался только один контроллер домена в домене и в лесу (внешние и межлесные доверительные отношения тут роли не играют). Если это не так - не выполняйте приведенные ниже рекомендации, а напишите на форуме. Если я был прав, то вам стоит вычистить все следы зафиксированного ранее рассогласования баз данных (если они есть) и включить репликацию. Для этого:

посмотрите в реестре наличие параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable, если он есть (и в таком случае, он скорее всего равен 4, если там что-то другое - это повод проявить осторожность) - удалите его (проявляя осторожность). Лучше всего выполнить эту операцию в режиме восстановления службы каталогов, после чего перезагрузить КД;
включите репликацию командами repadmin /options имя_КД -DISABLE_INBOUND_REPL и repadmin /options имя_КД -DISABLE_OUTBOUND_REPL
проверьте наличие содержимого SYSVOL (обычно это папка ссылающаяся на C:\Windows\SYSVOL\Domain, можете уточнить её имя командой net share - она расшарена как SYSVOL): там должны быть подпапки Policies (с несколькими папками политик с именами в виде {GUID}) и Scripts(чаще всего пустая). Если этого содержимого там нет - поищите его на бывшем контроллере домена и скопируйте, куда надо;
произведите полномочную синхронизацию репликации SYSVOL. Т.к., судя по выдаче dcdiag, для репликации SYSVOL у вас используется DFSR, следуйте рекомендациям статьи 2218556 MS KB (см. также мой ответ в теме https://social.technet.microsoft.com/Forums/ru-RU/6ff3e207-64a2-4204-b5d7-073c0c84c760/-active-directory-?forum=ruwinserver2016 - там то же самое написано по-русски).

После этого вы, скорее всего, сможете добавить дополнительный контроллер в этот домен. Если в чём-то сомневаетесь или что-то идёт не так - пишите.

Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
7 ноября 2017 г. 23:33

Ответить

|

Цитировать
0

Нужно войти
Доброе время суток.

1. Действительно HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable значение =4

На "файлопомойке" которая подвязана к этому домену наблюдается картина, что у пользователя права на изменения (как в безопасности так и в сетевом доступе), а папку создать он может, а вот файл нет. Копировать тоже не разрешает система.

Думаю, что целесообразней, пока на КД не много пользователей, уйти с данного КД на другой.

Вам большое спасибо за помощь. Рад, что в мире есть неравнодушные люди.

Ваши рекомендации помогли понять причину и последствия. Всех благ Вам.
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
8 ноября 2017 г. 7:48

Ответить

|

Цитировать

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Лучший отвечающий

Проблема включения исходящей репликации Windows Server 2012 R2 между контроллерами домена

Вопрос

Ответы

Все ответы