Сервер 2008 DC отклоняет запросы на репликацию
Имейте DC, который недавно был частью теста непрерывности бизнеса. Из того, что я понимаю, сервер (который является виртуальным) был сделан моментальным снимком, тест проводился, когда связь между двумя сайтами была отключена, а затем возвращен к моментальному снимку. Теперь, когда ссылка восстановлена, я вижу через Solar Winds уведомления об ошибке службы AD. Глядя на сервер, сервис NETLOGON приостановлен. Из того, что я могу извлечь из журналов событий, это происходит из-за неудачных попыток репликации. Также есть уведомление о том, что AD был восстановлен неподдерживаемым методом (вероятно, снимок).
Я попытался принудительно выполнить репликацию с помощью оснастки "сайты и службы", но это не удалось, заявив, что сервер в настоящее время отклоняет репликацию. Я могу пропинговать сервер, хотя странно, что он, кажется, отвечает от NIC 10.168.3, а не от NIC 10.168.50, который я ожидал. Оба IP-адреса могут быть пропингованы, и сервер может быть подключен через RDP или консоль через vSphere.
Запуск repadmin /show различных сбоев, но я уверен, что это происходит из-за некоторого основного сбоя, который блокирует запуск службы репликации. Bit new to this level of troubleshooting but would be grateful of any help that could be thrown my way.
EDIT: Wondwering if it may be something to do with a USN Rollback (?)/. Link to KB here
2 ответа
Ваша проблема почти наверняка связана с откатом USN. Возврат к моментальному снимку не поддерживается для восстановления DC. Чтобы решить эту проблему, выполните действия, описанные в статье базы знаний, на которую вы ссылались. Это будет включать в себя демонтаж контроллера домена, очистку метаданных и их продвижение.
Три вещи:
Если вы видите подобные ошибки, вы никогда не должны пытаться форсировать репликацию. Есть причина, по которой репликация была остановлена, и обычно это плохо.
Не используйте снимки на контроллере домена.
Вы не хотите быть в сценарии, где кто-то включил старую копию постоянного тока, и теперь вы реплицируете объекты, которые должны быть удалены. Если вы еще этого не сделали, вам следует включить строгую репликацию. Включение этого параметра на контроллере домена предотвращает репликацию устаревших объектов, поступающих с неисправного постоянного тока с устаревшим объектом.
Запуск контроллеров домена в Hyper-V
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28WS.10%29.aspx
Из статьи:
Строгая согласованность репликации должна быть включена на всех контроллерах домена
http://technet.microsoft.com/en-us/library/dd723692%28WS.10%29.aspx
Когда контроллер домена в среде Active Directory отключается от топологии репликации в течение продолжительного периода времени, все объекты, удаленные из AD DS на всех других контроллерах домена, могут остаться на отключенном контроллере домена. Такие объекты называются затяжными объектами. Когда этот контроллер домена повторно подключается к топологии репликации, он выступает в качестве исходного партнера по репликации, у которого есть один или несколько объектов, которых больше не имеют его партнеры по репликации назначения. Проблемы возникают, когда эти устаревшие объекты на исходном контроллере домена обновляются, и эти обновления отправляются путем репликации на конечные контроллеры домена. Контроллер домена назначения может ответить одним из двух способов:
Если на контроллере домена назначения включена строгая согласованность репликации, он распознает, что не может обновить объект (поскольку объект не существует), и локально останавливает входящую репликацию раздела каталога с этого исходного контроллера домена.
Если на контроллере домена назначения не включена строгая согласованность репликации, он запрашивает полную копию обновленного объекта, что приводит к появлению в каталоге устаревшего объекта.
Устаревший контроллер домена может хранить устаревшие объекты без заметного эффекта до тех пор, пока администратор, приложение или служба не обновят устаревший объект или не попытаются создать объект с тем же именем в домене или с тем же именем участника-пользователя (UPN) В лесу. Однако существование длительных объектов может вызвать проблемы, особенно если объект является субъектом безопасности. Следующие признаки указывают на то, что контроллер домена имеет устаревшие объекты:
Удаленная учетная запись пользователя или группы остается в глобальном списке адресов (GAL) на компьютерах с Microsoft Exchange Server. Поэтому, хотя имя учетной записи отображается в глобальном списке адресов, попытки отправки сообщений электронной почты приводят к ошибкам.
Несколько копий объекта появляются в средстве выбора объектов или GAL для объекта, который должен быть уникальным в лесу. Дублирующиеся объекты иногда появляются с измененными именами, что приводит к путанице при поиске в каталоге. Например, если относительное различающееся имя (также известное как DN) двух объектов не может быть разрешено, разрешение конфликта добавляет к имени "*CNF:GUID", где * представляет зарезервированный символ, CNF - это константа, которая указывает разрешение конфликта и GUID представляет значение атрибута objectGUID.
Сообщения электронной почты не доставляются пользователю, чья учетная запись Active Directory кажется текущей. После повторного подключения устаревшего контроллера домена или сервера глобального каталога оба экземпляра объекта пользователя появляются в глобальном каталоге. Поскольку оба объекта имеют одинаковый адрес электронной почты, сообщения электронной почты не могут быть доставлены.
Универсальная группа, которая больше не существует, продолжает появляться в маркере доступа пользователя. Хотя группа больше не существует, если учетная запись пользователя по-прежнему имеет группу в своем маркере безопасности, пользователь может иметь доступ к ресурсу, который вы намеревались сделать недоступным для этого пользователя.
Невозможно создать новый объект или почтовый ящик Exchange, но вы не видите объект в AD DS. Сообщение об ошибке сообщает, что объект уже существует.
Поиски, использующие атрибуты существующего объекта, неправильно находят несколько копий объекта с одинаковым именем. Один объект был удален из домена, но он остается на изолированном сервере глобального каталога.