none
репликация RODC RRS feed

  • Вопрос

  • Добрый день. Очень нужна помощь. В организации имеется PDC и второй КД в его сайте на win2012R2. Так же имеется большое количество КД на win2008R2 и win2008. Все хоть и с перебоями, но синхронизируется. Но помимо них имеется три проблемных RODC на win2008R2.

    Проблема заключается в том, что на самих RODC  появляются следующие ошибки:

    Имя журнала:   Directory Service
    Источник:      Microsoft-Windows-ActiveDirectory_DomainService
    Дата:          10.06.2014 9:55:36
    Код события:   2904
    Категория задачи:Проверка согласованности знаний
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  АНОНИМНЫЙ ВХОД
    Компьютер:     RODC.domain.local
    Описание:
    Это событие документирует дополнительные ПРОЦЕДУРЫ ВОССТАНОВЛЕНИЯ для разрешения события 1311 NTDS KCC в контроллере домена Active Directory, доступном только для чтения. 
     
    Локальный сайт:
    CN=RODCsite,CN=Sites,CN=Configuration,DC=domain,DC=local 
     
    Действия пользователя:  
     
    Действия пользователя для разрешения события 1311 NTDS KCC в контроллере домена Active Directory, доступном только для чтения, идентичны действиям, применяемым для контроллера домена Active Directory, доступного для записи (полный доступ), со следующими дополнительными требованиями: 
     
    1.    Если событие 1789 NTDS KCC записано в журнале рядом с событиями 1311 и 2904 NTDS KCC, следует использовать оснастку узлов и служб Active Directory на контроллере домена Active Directory, доступном для записи, для добавления этого сайта в соответствующую ссылку, а затем необходимо выполнить шаги 4 и 5. 
     
    2.    Событие 1311 может быть вызвано многими различными причинами. Выполните действия, описанные в ссылке "Интерактивная справка по журналу событий" соседнего события 1311.  Дополнительные сведения см. по адресу http://support.microsoft.com или в статье базы знаний Майкрософт http://support.microsoft.com/default.aspx?scid=kb;EN-US;307593. 
     
    3.    Все изменения для разрешения события 1311 необходимо выполнять для контроллера домена Active Directory, содержащего доступную для записи копию раздела Active Directory или изменяемую групповую политику. 
     
    4.    Если в доступном только для чтения контроллере домена Active Directory, записывающего в журнал событие 2904 или 1311, отсутствует правильный исходный контроллер домена Active Directory "repsFrom", выполните следующую команду, в противном случае перейдите к шагу 5: 
     
                      [Примечание. Для этого шага требуются учетные данные администратора] 
     
                      repadmin /add <DN обновленного раздела Active Directory> <имя контроллера домена Active Directory, доступного только для чтения> <полное имя компьютера контроллера домена Active Directory, доступного для записи> /readonly /selsecrets 
     
    5.    Запустите репликацию из контроллера домена Active Directory, доступного для записи, обновленного ранее, в этот контроллер домена Active Directory, доступный только для чтения, с помощью следующей команды: 
     
                      [Примечание. Для этого шага требуются учетные данные администратора] 
     
                      repadmin /replicate  <имя контроллера домена Active Directory, доступного только для чтения> <имя контроллера домена Active Directory, доступного для записи> <DN обновленного раздела Active Directory> 
     
                      ИЛИ 
     
                      Также можно использовать пользовательский интерфейс сайтов и служб Active Directory, выполнив следующие действия: 
     
                      - Щелкните сайт, содержащий этот контроллер домена Active Directory, доступный только для чтения. 
                      - Щелкните конфигурацию репликации из выбранного контроллера домена Active Directory или в него.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="49152">2904</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>1</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-10T05:55:36.040724900Z" />
        <EventRecordID>2742046</EventRecordID>
        <Correlation />
        <Execution ProcessID="544" ThreadID="1040" />
        <Channel>Directory Service</Channel>
        <Computer>RODC.domain.local</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>CN=RODCsite,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
      </EventData>
    </Event>


    Имя журнала:   Directory Service
    Источник:      Microsoft-Windows-ActiveDirectory_DomainService
    Дата:          10.06.2014 9:55:36
    Код события:   1311
    Категория задачи:Проверка согласованности знаний
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  АНОНИМНЫЙ ВХОД
    Компьютер:     RODC.domain.local
    Описание:
    В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога. 
     
    Раздел каталога:
    CN=Configuration,DC=domain,DC=local 
     
    Средству проверки согласованности данных не удается создать топологию репликации составного дерева, поскольку недостаточно сведений о подключениях сайтов. Одному или нескольким серверам службы каталогов из этого раздела каталога не удается реплицировать данные каталога. Вероятно, это вызвано недоступностью серверов службы каталогов. 
     
    Действие пользователя 
    Выполните одно из следующих действий. 
    - Опубликуйте достаточные сведения о подключениях сайтов, чтобы можно было определить маршрут, по которому этот раздел каталога может дойти до этого сайта. Это рекомендуемый вариант. 
    - Добавьте к серверу службы каталогов в этом сайте, содержащему раздел каталога, объект подключения к серверу службы каталогов в другом сайте, также содержащему этот раздел каталога. 
     
    Если ни одно их этих действий не устранит эту ошибку, просмотрите предыдущие события KCC, в которых указаны недоступные серверы службы каталогов.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="49152">1311</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>1</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-10T05:55:36.040724900Z" />
        <EventRecordID>2742045</EventRecordID>
        <Correlation />
        <Execution ProcessID="544" ThreadID="1040" />
        <Channel>Directory Service</Channel>
        <Computer>RODC.domain.local</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>CN=Configuration,DC=domain,DC=local</Data>
      </EventData>
    </Event>


    Имя журнала:   Directory Service
    Источник:      Microsoft-Windows-ActiveDirectory_DomainService
    Дата:          10.06.2014 9:55:36
    Код события:   1566
    Категория задачи:Проверка согласованности знаний
    Уровень:       Предупреждение
    Ключевые слова:Классический
    Пользователь:  АНОНИМНЫЙ ВХОД
    Компьютер:     RODC.domain.local
    Описание:
    Все серверы службы каталогов в следующем сайте, способные реплицировать данный раздел каталога через этот транспорт, в настоящий момент недоступны. 
     
    Сайт:
    CN=commonDCsite,CN=Sites,CN=Configuration,DC=domain,DC=local 
    Раздел каталога:
    CN=Configuration,DC=domain,DC=local 
    Транспорт:
    CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=domain,DC=local
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="32768">1566</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>1</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-10T05:55:36.040724900Z" />
        <EventRecordID>2742042</EventRecordID>
        <Correlation />
        <Execution ProcessID="544" ThreadID="1040" />
        <Channel>Directory Service</Channel>
        <Computer>RODC.domain.local</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>CN=commonDCsite,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=Configuration,DC=domain,DC=local</Data>
      </EventData>
    </Event>


    Имя журнала:   Directory Service
    Источник:      Microsoft-Windows-ActiveDirectory_DomainService
    Дата:          10.06.2014 9:55:36
    Код события:   1865
    Категория задачи:Проверка согласованности знаний
    Уровень:       Предупреждение
    Ключевые слова:Классический
    Пользователь:  АНОНИМНЫЙ ВХОД
    Компьютер:     RODC.domain.local
    Описание:
    В ходе проверки согласованности знаний не удается построить полную составную топологию сети. Из локального сайта недоступны следующие сайты. 
     
    Сайты: 
    CN=commonDC2site,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC3site,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC4site,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC5site,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC6site,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC7site,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC8sitec,CN=Sites,CN=Configuration,DC=domain,DC=local 
    CN=commonDC9site,CN=Sites,CN=Configuration,DC=domain,DC=local
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="32768">1865</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>1</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-10T05:55:36.038724700Z" />
        <EventRecordID>2742006</EventRecordID>
        <Correlation />
        <Execution ProcessID="544" ThreadID="1040" />
        <Channel>Directory Service</Channel>
        <Computer>RODC.domain.local</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>CN=commonDC2site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC3site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC4site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC5site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC6site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC7site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC8site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=commonDC9site,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
      </EventData>
    </Event>

    Иногда проскакивает такая ошибочка

    Имя журнала:   Directory Service
    Источник:      Microsoft-Windows-ActiveDirectory_DomainService
    Дата:          10.06.2014 10:04:44
    Код события:   1084
    Категория задачи:Репликация
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  АНОНИМНЫЙ ВХОД
    Компьютер:     RODC.domain.local
    Описание:
    Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service. 
     
    Object:
    CN=krbtgt_40405\0ADEL:2c6a2294-20e0-44a2-acc9-4cb266c0ad4d,CN=Deleted Objects,DC=domain,DC=local 
    Object GUID:
    2c6a2294-20e0-44a2-acc9-4cb266c0ad4d 
    Source directory service:
    d464e06e-9ceb-4d59-93f4-5bda43a783b3._msdcs.domain.local 
     
    Synchronization of the directory service with the source directory service is blocked until this update problem is corrected. 
     
    This operation will be tried again at the next scheduled replication. 
     
    User Action 
    Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory). 
     
    Additional Data 
    Error value:
    8633 Сбой операции репликации: отсутствуют требуемые атрибуты локального объекта krbtgt.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="49152">1084</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>5</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-10T06:04:44.845502600Z" />
        <EventRecordID>2742048</EventRecordID>
        <Correlation />
        <Execution ProcessID="544" ThreadID="344" />
        <Channel>Directory Service</Channel>
        <Computer>RODC.domain.local</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>CN=krbtgt_40405\0ADEL:2c6a2294-20e0-44a2-acc9-4cb266c0ad4d,CN=Deleted Objects,DC=domain,DC=local</Data>
        <Data>2c6a2294-20e0-44a2-acc9-4cb266c0ad4d</Data>
        <Data>d464e06e-9ceb-4d59-93f4-5bda43a783b3._msdcs.domain.local</Data>
        <Data>Сбой операции репликации: отсутствуют требуемые атрибуты локального объекта krbtgt.</Data>
        <Data>8633</Data>
      </EventData>
    </Event>

    На обычных же КД в моменты, когда RODC пытается синхронизироваться журнал засыпается следующей ошибкой:

    Имя журнала:   Directory Service
    Источник:      Microsoft-Windows-ActiveDirectory_DomainService
    Дата:          10.06.2014 2:47:54
    Код события:   1168
    Категория задачи:Внутренняя обработка
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Domain\RODC$
    Компьютер:     PDC.domain.local
    Описание:
    Internal error: An Active Directory Domain Services error has occurred. 
     
    Additional Data 
    Error value (decimal):
    6 
    Error value (hex):
    6 
    Internal ID:
    1240624
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="49152">1168</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>9</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2014-06-09T22:47:54.255470700Z" />
        <EventRecordID>453464666</EventRecordID>
        <Correlation />
        <Execution ProcessID="592" ThreadID="4420" />
        <Channel>Directory Service</Channel>
        <Computer>pdc.domain.local</Computer>
        <Security UserID="S-1-5-21-21103544-468167670-21752507-1505606" />
      </System>
      <EventData>
        <Data>6</Data>
        <Data>6</Data>
        <Data>1240624</Data>
      </EventData>
    </Event>


    Что пробовал:

    -делал семантический анализ базы на PDC и втором КД в сайте PDC

    -сжимал базу на этих двух серверах

    -выполнял действия из самой верхней ошибки

    -выполнял репликацию конфигурации вручную на rodc контроллер командой replicate, написала что репликация прошла успешно, 30 минут работало без ошибок, потом тоже самое

    контейнер deleted object через adsiedit искал где мог, нигде не нашёл

    10 июня 2014 г. 6:51

Ответы

  • Контейнер Deleted Objects вы просто так не увидите: он сожержит удаленные объекты, и обращение к ним возможно только через LDAP Control 1.2.840.113556.1.4.417 Обычно для доступа с использованием LDAP Control используется ldp.exe, можно ли это сделать через ADSIEdit - не знаю. Но даже если вы увидите тем или иным способом проблемный объект, его лучше руками не трогать, если нет понимания всех последствий.

    Теперь по устранению проблемы.

    В вашем случае следует, прежде всего убедиться, что репликация между всеми парами партнеров - обычных КД идет нормально, и, если идет - что нет рассогласования между их базами данных. Удобнее всего это сдедать с помощью Active Directory Replication Status Tool  , но можно и вручную, командами, соответственно repadmin /showrepl на каждом КД  и repadmin  с ключами /removelingeringobjects /advisory_mode (точный синтаксис см. в справке по команде). Особено важно убедиться в отсутствии рассогласованности баз данных, если вы разрешали репликацию после истечения времени захоронения через значение реестра "Allow Replication With Divergent and Corrupt Partner"

    Только после устранения этих потенциальных проблем имеет смысл разбираться с репликацие RODC.


    Слава России!

    10 июня 2014 г. 12:05