Лучший отвечающий
Проблема включения исходящей репликации Windows Server 2012 R2 между контроллерами домена

Вопрос
-
На виртуальной машине (VM VirtualBox) поднято два сервера (Windows Server 2012 R2). "AB" - контроллер домена ( на Windows Server 2012 R2) и "ABB" - сервер который должен стать дополнительным контроллером домена.
На "ABB" не получается добавить дополнительный контроллер домена из за ошибки:"Сбой проверки исходящей репликации. Исходящая репликация не включена в контроллере домена источника репликации: ab.ttt.local".
repadmin/showrepl отображает:
...
Параметры DSA:IS_GC DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL
...
На страничке https://technet.microsoft.com/en-us/library/cc794921(v=ws.10).aspx для 2008, а для 2012 не подходит, т.к. в 2012 R2 у repadmin нет команды /options
7 ноября 2017 г. 10:56
Ответы
-
Моя оценка ситуации такая: при переносе контроллеров домена с одного сервера вирутаализации вы сделали это неаккуратно и получили состояния, в котором копии базы данных AD на контроллерах оказались рассогласованными (состояние USN Rollback). Аккуратным являлся бы одновременный перенос выключенных контроллеров домена, либо перенос их резервных копий, сделаннных поддерживаемыми программами (например, WIndows Server Backup). Если вы переносили контроллеры домена как-то по-другому, то шанс получения рассогласования копий баз данных велик.
На текущий момент у вас, как я понял, остался только один контроллер домена в домене и в лесу (внешние и межлесные доверительные отношения тут роли не играют). Если это не так - не выполняйте приведенные ниже рекомендации, а напишите на форуме. Если я был прав, то вам стоит вычистить все следы зафиксированного ранее рассогласования баз данных (если они есть) и включить репликацию. Для этого:
- посмотрите в реестре наличие параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable, если он есть (и в таком случае, он скорее всего равен 4, если там что-то другое - это повод проявить осторожность) - удалите его (проявляя осторожность). Лучше всего выполнить эту операцию в режиме восстановления службы каталогов, после чего перезагрузить КД;
- включите репликацию командами repadmin /options имя_КД -DISABLE_INBOUND_REPL и repadmin /options имя_КД -DISABLE_OUTBOUND_REPL
- проверьте наличие содержимого SYSVOL (обычно это папка ссылающаяся на C:\Windows\SYSVOL\Domain, можете уточнить её имя командой net share - она расшарена как SYSVOL): там должны быть подпапки Policies (с несколькими папками политик с именами в виде {GUID}) и Scripts(чаще всего пустая). Если этого содержимого там нет - поищите его на бывшем контроллере домена и скопируйте, куда надо;
- произведите полномочную синхронизацию репликации SYSVOL. Т.к., судя по выдаче dcdiag, для репликации SYSVOL у вас используется DFSR, следуйте рекомендациям статьи 2218556 MS KB (см. также мой ответ в теме https://social.technet.microsoft.com/Forums/ru-RU/6ff3e207-64a2-4204-b5d7-073c0c84c760/-active-directory-?forum=ruwinserver2016 - там то же самое написано по-русски).
После этого вы, скорее всего, сможете добавить дополнительный контроллер в этот домен. Если в чём-то сомневаетесь или что-то идёт не так - пишите.
Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
7 ноября 2017 г. 23:33 -
Доброе время суток.
1. Действительно HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable значение =4
На "файлопомойке" которая подвязана к этому домену наблюдается картина, что у пользователя права на изменения (как в безопасности так и в сетевом доступе), а папку создать он может, а вот файл нет. Копировать тоже не разрешает система.
Думаю, что целесообразней, пока на КД не много пользователей, уйти с данного КД на другой.
Вам большое спасибо за помощь. Рад, что в мире есть неравнодушные люди.
Ваши рекомендации помогли понять причину и последствия. Всех благ Вам.
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
8 ноября 2017 г. 7:48
Все ответы
-
Во-первых, сколько у вас сейчас дествующих контроллеров домена во всём лесу (не только в этом домене)? Если он один, не было ли их раньше больше?
Во-вторых - покажите выдачу команды dcdiag c КД ab.ttt.local.
PS Пока не разберётесь с проблемой - не включайте репликацию на КД: возможно, она была отключена системой, чтобы избежать повреждения базы данных AD.
Слава России!
- Изменено M.V.V. _ 7 ноября 2017 г. 11:11
7 ноября 2017 г. 11:11 -
1. Действительно было два контроллера домена ab - основной и ABB как дополнительный. И тогда работало нормально на одной железке. При переходе на другую железку второй не мог соединиться с основным. Переустановил ABB заново и имена менял для него, но толку мало. ошибка не ушла. Есть доверительные отношения с контроллером домена usa.uuu.local (Windows Server 2003 R2)
компьютер VOH - в домене ttt.local. Но на контроллере он не отображается. В DNS есть. Не уж то из за него?
2. выдача команды dcdiag на ab.ttt.local
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = ab
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\AB
Запуск проверки: Connectivity
......................... AB - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\AB
Запуск проверки: Advertising
......................... AB - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... AB - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... AB - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... AB - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... AB - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... AB - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... AB - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... AB - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... AB - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... AB - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,Replications Check] Входящая репликация
отключена.
Для исправления выполните "repadmin /options AB -DISABLE_INBOUND_REPL"
[Проверка репликации,AB] Исходящая репликация отключена.
Для исправления выполните "repadmin /options AB
-DISABLE_OUTBOUND_REPL"
......................... AB - не пройдена проверка Replications
Запуск проверки: RidManager
......................... AB - пройдена проверка RidManager
Запуск проверки: Services
......................... AB - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x000016AD
Время создания: 11/07/2017 13:47:43
Строка события:
Не удалось выполнить проверку подлинности для сеанса компьютера VOH. Произошла следующая ошибка:
......................... AB - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... AB - пройдена проверка VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: ttt
Запуск проверки: CheckSDRefDom
......................... ttt - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ttt - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: ttt.local
Запуск проверки: LocatorCheck
......................... ttt.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... ttt.local - пройдена проверка Intersite
PS Спасибо за быструю реакцию и помощь.
- Изменено Алексей Линк 7 ноября 2017 г. 12:48
7 ноября 2017 г. 12:23 -
Моя оценка ситуации такая: при переносе контроллеров домена с одного сервера вирутаализации вы сделали это неаккуратно и получили состояния, в котором копии базы данных AD на контроллерах оказались рассогласованными (состояние USN Rollback). Аккуратным являлся бы одновременный перенос выключенных контроллеров домена, либо перенос их резервных копий, сделаннных поддерживаемыми программами (например, WIndows Server Backup). Если вы переносили контроллеры домена как-то по-другому, то шанс получения рассогласования копий баз данных велик.
На текущий момент у вас, как я понял, остался только один контроллер домена в домене и в лесу (внешние и межлесные доверительные отношения тут роли не играют). Если это не так - не выполняйте приведенные ниже рекомендации, а напишите на форуме. Если я был прав, то вам стоит вычистить все следы зафиксированного ранее рассогласования баз данных (если они есть) и включить репликацию. Для этого:
- посмотрите в реестре наличие параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable, если он есть (и в таком случае, он скорее всего равен 4, если там что-то другое - это повод проявить осторожность) - удалите его (проявляя осторожность). Лучше всего выполнить эту операцию в режиме восстановления службы каталогов, после чего перезагрузить КД;
- включите репликацию командами repadmin /options имя_КД -DISABLE_INBOUND_REPL и repadmin /options имя_КД -DISABLE_OUTBOUND_REPL
- проверьте наличие содержимого SYSVOL (обычно это папка ссылающаяся на C:\Windows\SYSVOL\Domain, можете уточнить её имя командой net share - она расшарена как SYSVOL): там должны быть подпапки Policies (с несколькими папками политик с именами в виде {GUID}) и Scripts(чаще всего пустая). Если этого содержимого там нет - поищите его на бывшем контроллере домена и скопируйте, куда надо;
- произведите полномочную синхронизацию репликации SYSVOL. Т.к., судя по выдаче dcdiag, для репликации SYSVOL у вас используется DFSR, следуйте рекомендациям статьи 2218556 MS KB (см. также мой ответ в теме https://social.technet.microsoft.com/Forums/ru-RU/6ff3e207-64a2-4204-b5d7-073c0c84c760/-active-directory-?forum=ruwinserver2016 - там то же самое написано по-русски).
После этого вы, скорее всего, сможете добавить дополнительный контроллер в этот домен. Если в чём-то сомневаетесь или что-то идёт не так - пишите.
Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
7 ноября 2017 г. 23:33 -
Доброе время суток.
1. Действительно HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA not writeable значение =4
На "файлопомойке" которая подвязана к этому домену наблюдается картина, что у пользователя права на изменения (как в безопасности так и в сетевом доступе), а папку создать он может, а вот файл нет. Копировать тоже не разрешает система.
Думаю, что целесообразней, пока на КД не много пользователей, уйти с данного КД на другой.
Вам большое спасибо за помощь. Рад, что в мире есть неравнодушные люди.
Ваши рекомендации помогли понять причину и последствия. Всех благ Вам.
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:59
8 ноября 2017 г. 7:48