Как восстановить репликацию контроллеров домена
Диагностика репликации домена
Утилита Repadmin
REPADMIN /SHOWREPL
показывает состояние репликации для контроллера домена
REPADMIN /REPLSUMMARY
сводка репликации для всех DC леса
REPADMIN /SYNCALL
Запускает репликацию между DC и партнерами по репликации
Для более глубокого анализа можно задействовать команду:
REPADMIN *
(звездочка вместо использования имени DC).
Утилита FRSDiag
Восстановление репликации между контроллерами домена
Если по каким-то причинам один из контроллеров домена не работал более 60 дней, то прекращается синхронизация между контроллерами домена. Появляются разные сообщения об ошибках в логах. Чтобы восстановить синхронизацию, необходимо произвести несколько действий:
1. Диагностика с помощью утилиты FRSdiag.exe
Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать «GO». Утилита произведет диагностику и выдаст массу информации. Если там будут следующие строки, переходите к следующим пунктам:
2. Удаление объектов, которые различаются на контроллерах домена
для этого служит команда:
Repadmin /removelingeringobjects
Не торопитесь ее выполнять! Там масса других параметров.
Описание здесь:
http://support.microsoft.com/kb/870695/en-us
НО! там тоже описано далеко не все! Вот более точная инструкция:
http://blogs.technet.com/b/glennl/archive/2007/07/26/clean-that-active-directory-forest-of-lingering-objects.aspx Что необходимо сделать: сначала надо «очистить» один из контроллеров домена, а потом будем использовать его в качестве эталона. Для этого сначала проводим инспекцию (что надо удалить). С этой целью используется опция /advisory_mode:
Узнать идентификатор контроллера несложно, есть 2 метода:
Итак, пример. У нас есть 3 контроллера домена: DC1, DC2, DC3, домен mydom.com. Сначала мы «почистим» DC1, используя в качестве образцов DC2 и DC3, а потом «почистим» DC2 и DC3, используя в качестве образца DC1: сначала берем «образец» для DC1 с DC2:
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 DC=ForestDNSZones,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 ff4d1971-a0ed-4915-a297-b25041a10c74 DC=DomainDNSZones,DC=MYDOM,DC=COM /advisory_mode
потом залезаем в логи (Directory Service, источник NTDS Replication) и смотрим:
Если количество объектов не 0, смотрим что это за объекты, и если все ок, грохаем (то же самое, но без advisory_mode):
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 CN=Configuration,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 DC=ForestDNSZones,DC=MYDOM,DC=COM
repadmin /removelingeringobjects DC1 224d1971-a0ed-4915-a297-b25041a10c74 DC=DomainDNSZones,DC=MYDOM,DC=COM
теперь берем «образец» для DC1 с DC3:
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 DC=ForestDNSZones,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC1 3303F24A-14FC-44A3-A120-C810E1017053 DC=DomainDNSZones,DC=MYDOM,DC=COM /advisory_mode
точно так же проверяем и выполняем те же команды, но уже без advisory_mode.
DC1 «очищен». Теперь так же «чистим» DC2 и DC3, но уже в качестве «образца» выступает DC1.
Для этого логинимся на DC2 (а потом на DC3) и выполняем:
Сначала с advisory_mode:
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 CN=Schema,CN=Configuration,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 DC=ForestDNSZones,DC=MYDOM,DC=COM /advisory_mode
repadmin /removelingeringobjects DC2 114d1971-a0ed-4915-a297-b25041a10c74 DC=DomainDNSZones,DC=MYDOM,DC=COM /advisory_mode
А потом то же самое без advisory_mode.
И то же самое повторяем для DC3: логинимся на него, запускаем эти команды с advisory_mode, смотрим логи, а потом запускаем без advisory_mode.
3. Разрешить/запретить репликацию с серверами, которых давно не было в сети
Для этого есть 2 ключа в реестре. Их необходимо выставить на каждом из контроллеров домена, чтобы между ними проходила репликация. После успешной синхронизации/репликации и (желательно неоднократной) проверки того, что все работает, указанные ключи проще всего удалить.
Содержимое REG файла:
Теперь удаляем ключи из реестра (на всех контроллерах домена!):
Восстановление Active Directory из резервной копии
В этой статье мы покажем, как восстановить контроллер домена Active Directory из резервной копии System State, созданной ранее (см. статью Резервное копирование Active Directory) и рассмотрим типы и принципы восстановления DC в AD.
Допустим у вас вышел из строя контроллер домена AD, и вы хотите восстановить его из созданной ранее резервной копии. Прежде чем приступить к восстановлению DC, нужно понять какой сценарий восстановления контроллера домена вам нужно использовать. Это зависит от того, есть ли у вас в сети другие DC и повреждена ли база Active Directory на них.
Восстановление контроллера домена AD через репликацию
Восстановление DC через репликацию – это не совсем процесс восстановления DC из бэкапа. Этот сценарий может использоваться, если у вас в сети есть несколько дополнительных контроллеров домена, и все они работоспособны. Этот сценарий предполагает установку нового сервера, повышение его до нового DC в этом же сайте. Старый контроллер нужно просто удалить из AD.
Это самый простой способ, который гарантирует что вы не внесете непоправимых изменений в AD. В этом сценарии база ntds.dit, объекты GPO и содержимое папки SYSVOL будут автоматически реплицированы на новый DC с DC-ов, оставшихся онлайн.
Если размер базы ADDS небольшой и другой DC доступен по скоростному каналу, это намного быстрее, чем восстанавливать DC из бэкапа.
Типы восстановления Active Directory: полномочное и неполномочное
Есть два типа восстановления Active Directory DS из резервной копии, в которых нужно четко разобраться перед началом восстановления:
Восстановление контроллера домена AD из system state бэкапа
Итак, предположим, что у вас в домене только один DC. По какой-то причине вышел из строя физический сервер, на котором он запущен.
У вас есть относительно свежий бэкап System State старого контроллера домена, и вы хотите восстановить Active Directory на новом сервере в режиме полномочного восстановления.
Чтобы приступить к восстановлению, вам нужно установить на новом сервер туже версию Windows Server, которая была установлена на неисправном DC. В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup.
Active Directory repair mode» srcset=»https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode.png 575w, https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode-300×196.png 300w» sizes=»(max-width: 575px) 100vw, 575px» />
Перезагрузите сервер. Он должен загрузиться в режиме DSRM. Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover.
В мастере восстановления выберите, что резервная копия хранится в другом месте (A backup stored on another location).
Заметем выберите диск, на котором находится резервная копия старого контроллера AD, или укажите UNC путь к ней.
Выберите дату, на которую нужно восстановить резервную копию.
Укажите, что вы восстанавливаете состояние System State.
Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory» (Perform an authoritative restore of Active Directory files).
Система покажет предупреждение, что эта резервная копия другого сервера, и что при восстановлении на другом сервере может не завестись. Продолжаем.
Согласитесь с еще одним предупреждением:
После этого запустится процесс восстановления контроллера домена AD на новом сервере. По завершении сервер потребует перезагрузку (имя нового сервера будет изменено на имя DC из бэкапа).
Загрузите сервер в обычном режиме (отключите загрузку в DSRM режиме)
Авторизуйтесь на сервере под учетной записью с правами администратора домена.
При первом запуске консоли ADUC я получил ошибку:
При этом на сервере нет сетевых папок SYSVOL and NETLOGON. Чтобы исправить ошибку:
Попробуйте открыть консоль ADUC еще раз. Вы должны увидеть структуру вашего домена.
Итак, вы успешно восстановили свой контроллер домен AD в режиме Authoritative Restore. Теперь все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.
Если у вас остался единственный DC, проверьте что он является хозяином всех 5 FSMO ролей и выполните их захват, если нужно.
Восстановление отдельных объектов в AD
Если вам нужно восстановить отдельные объекты в AD, воспользуйтесь корзиной Active Directory. Если время захоронения уже просрочено, или ActiveDirectory RecycleBin не включена, вы можете восстановить отдельные объекты AD в режиме авторитаивного восстановления.
Вкратце процедура выглядит следующим образом:
Укажите полный путь к объекту, который нужно восстановить. Можно восстановить OU целиком:
restore subtree ″OU=Users,DC=winitpro,DC=ru″
restore object “cn=Test,OU=Users,DC=winitpro,DC=ru”
Данная команда запретит репликацию указанных объектов (путей) с других контроллеров домена и увеличит USN объекта на 100000.
Выйдите из ntdsutil: quit
Загрузите сервер в обычном режиме и убедитесь, что удаленный объект был восстановлен.
Восстановление репликации контроллера домена после длительного отсутствия репликации, более 60 дней!
На днях пришлось оперативно решать задачу у клиента. Ситуация следующая.
У клиента несколько контроллеров домена, со слов клиента все работало замечательно и только в последнее время компьютеры пользователей перестали входить в домен (улыбнуло). Подключаемся к офису, смотрим…
И… о, да! Мы видим, что один контроллер домена не реплицируется уже около 5 месяцев. :-), контроллер домена на котором размещены все роли не работает около 2х недель из-за критической ошибки при запуске службы DNS сервера. Одним словом полный звиздец.
Проанализировал ошибки в системных журналах, нашел несколько решений на сайте Microsoft, исправил ошибки которые мешали правильно запуститься серверу DNS на контроллере домена. Сервер DNS запустился, после чего поднялась служба Active Directory. Критических ошибок в журналах не наблюдается, есть ряд ошибок на репликацию между контроллерами домена и это естественно, ведь второй контроллер не реплицировался с первым более 60 дней.
Есть 2 способа решения (возможно их больше 🙂 я знаю два).
Суть радикального метода состоит в том чтобы принудительно понизить в роли контроллер домена командой dcpromo /forceremoval
Данная команда принудительно выполнит понижение в роли контроллера домена до уровня рядового сервера. После понижения роли выполняется удаление всех ссылок в домене на этот контроллер. Далее производится включение сервера в состав домена, и выполнение обратного процесса, т.е. повышение сервера до уровня контроллера домена.
Не радикальный способ состоит в том, чтобы возобновить процесс репликации между контроллерами без каких либо радикальных действий по удалению ролей и т.д. Процесс восстановления репликации между контроллерами домена хорошо описан в разделе Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042)
Устранение неполадок репликации Active Directory
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory проблемы репликации могут иметь несколько различных источников. Например, проблемы системы доменных имен (DNS), проблемы с сетью или проблемы безопасности могут привести к сбою Active Directory репликации.
Оставшаяся часть этого раздела посвящена средствам и общей методологии для устранения ошибок Active Directory репликации. В следующих подразделах рассматриваются признаки, причины и способы устранения конкретных ошибок репликации.
Общие сведения и ресурсы для устранения неполадок Active Directory репликации
Сбой входящей или исходящей репликации приводит к тому, что Active Directory объекты, представляющие топологию репликации, расписание репликации, контроллеры домена, пользователей, компьютеры, пароли, группы безопасности, членство в группах и групповая политика, будут несогласованными между контроллерами домена. Несогласованность каталогов и репликация приводят к сбоям или несогласованным результатам, в зависимости от контроллера домена, к которому обращается операция, и может помешать приложению групповая политика и разрешения на управление доступом. Домен Active Directory службы (AD DS) зависят от сетевого подключения, разрешения имен, проверки подлинности и авторизации, базы данных каталога, топологии репликации и механизма репликации. Если основная причина проблемы репликации не очевидна, определение причины из множества возможных причин требует систематического исключения вероятных причин.
Полный документ, в котором описывается, как можно использовать средство Repadmin для устранения неполадок Active Directory репликации. см. раздел мониторинг и устранение неполадок Active Directory репликации с помощью repadmin.
Сведения о том, как работает репликация Active Directory, см. в следующих технических справочниках:
Рекомендации по решению для событий и средств
В идеале события Red (Error) и Yellow (Warning) в журнале событий службы каталогов предполагают определенное ограничение, вызывающее сбой репликации на исходном или целевом контроллере домена. Если в сообщении о событии указаны шаги для решения проблемы, попробуйте выполнить действия, описанные в этом сообщении о событии. Средство Repadmin и другие средства диагностики также предоставляют сведения, которые могут помочь при устранении сбоев репликации.
Подробные сведения об использовании средства Repadmin для устранения неполадок, связанных с репликацией, см. в разделе мониторинг и устранение неполадок Active Directory репликации с помощью repadmin.
Исключение намеренных нарушений или сбоев оборудования
Иногда ошибки репликации возникают из-за преднамеренных нарушений. Например, при устранении неполадок, связанных с репликацией Active Directory, необходимо сначала поочередно отменять подключения и сбои оборудования или обновления.
Намеренные отключения
Если контроллер домена, который попытается выполнить репликацию с помощью контроллера домена, который был создан на промежуточном сайте и в настоящее время ожидает развертывания на окончательном рабочем сайте (удаленном сайте, таком как филиал), сообщает об ошибках репликации, можно учитывать эти ошибки репликации. Чтобы не разделять контроллер домена от топологии репликации для расширенных периодов, что вызывает непрерывные ошибки до повторного подключения контроллера домена, рассмотрите возможность добавления таких компьютеров изначально в качестве рядовых серверов и использования метода установки с носителя для установки служб домен Active Directory Services (AD DS). Программу командной строки Ntdsutil можно использовать для создания установочного носителя, который можно хранить на съемных носителях (компакт-диск, DVD-диск или другой носитель) и поставлять на конечный сайт. Затем можно использовать установочный носитель для установки AD DS на контроллерах домена на сайте без использования репликации.
Сбои оборудования или обновления
Если проблемы с репликацией возникают в результате сбоя оборудования (например, из-за сбоя материнской платы, дисковой подсистемы или жесткого диска), сообщите владельцу сервера о том, что проблему с оборудованием можно устранить.
Периодическое обновление оборудования также может привести к невозможности обслуживания контроллеров домена. Убедитесь, что владельцы сервера имеют хорошую систему связи с такими простоями заранее.
Настройка брандмауэра
По умолчанию Active Directory репликация удаленных вызовов процедур (RPC) выполняется динамически через доступный порт через сопоставитель конечных точек RPC (RPCSS) через порт 135. убедитесь, что Windows брандмауэр с расширенной безопасностью и другими брандмауэрами настроены правильно, чтобы разрешить репликацию. Сведения об указании порта для параметров репликации Active Directory и портов см. в статье 224196 базы знаний Майкрософт.
сведения о портах, которые Active Directory репликации, см. в разделе Active Directory средства репликации и Параметры.
Сведения об управлении репликацией Active Directory через брандмауэры см. в разделе Active Directory репликация через брандмауэры.
реагирование на сбой устаревшего сервера, на котором работает Windows 2000 server
если контроллер домена, на котором работает сервер Windows 2000, не выполнялся дольше, чем число дней во времени жизни захоронения, решение всегда будет таким же:
можно использовать сценарий для очистки метаданных сервера в большинстве Windows операционных систем. Сведения об использовании этого скрипта см. в разделе Удаление метаданных контроллера домен Active Directory.
по умолчанию удаленные объекты NTDS Параметры реанимированным автоматически в течение 14 дней. Поэтому, если не удалить метаданные сервера (используйте Ntdsutil или сценарий, упомянутый ранее для выполнения очистки метаданных), метаданные сервера будут восстановлены в каталоге, в котором будут предложены попытки репликации. В этом случае ошибки будут регистрироваться постоянно в результате невозможности репликации с отсутствующим контроллером домена.
Основные причины
при истечении преднамеренных отключений, сбоев оборудования и устаревших контроллеров домена Windows 2000, в оставшейся части проблем репликации почти всегда есть одна из следующих причин:
Общий подход к устранению проблем
Используйте следующий общий подход к устранению проблем репликации:
Отслеживайте работоспособность репликации ежедневно или используйте Repadmin.exe для получения состояния репликации ежедневно.
Попытайтесь своевременно устранить все ошибки, используя методы, описанные в сообщениях о событиях и данном руководством. Если программное обеспечение может вызвать проблему, удалите его, прежде чем продолжить работу с другими решениями.
Если проблема, вызывающая сбой репликации, не может быть устранена какими-либо известными методами, удалите AD DS с сервера, а затем переустановите AD DS. Дополнительные сведения о переустановке AD DS см. в статье о списании контроллера домена.
Если AD DS не удается удалить в обычном режиме, когда сервер подключен к сети, используйте один из следующих методов для устранения проблемы.
Дополнительные сведения о принудительном удалении AD DS см. в разделе Принудительное удаление контроллера домена.
Использование средства Repadmin для получения сведений о состоянии репликации
Состояние репликации — это важный способ оценить состояние службы каталогов. Если репликация работает без ошибок, то вы узнаете, что контроллеры домена находятся в сети. Вы также узнаете, что работают следующие системы и службы:
Для получения состояния репликации всех контроллеров домена в лесу можно использовать следующую процедуру.
Для выполнения данной процедуры требуется как минимум членство в группе Администраторы предприятия или в эквивалентной группе.
Создание электронной таблицы repadmin/шоврепл для контроллеров домена
откройте командную строку от имени администратора: на меню щелкните правой кнопкой мыши пункт командная строка и выберите команду запуск от имени администратора. если откроется диалоговое окно контроль учетных записей пользователей, укажите Enterprise учетные данные администратора, если это необходимо, а затем нажмите кнопку продолжить.
В командной строке введите следующую команду и нажмите клавишу ВВОД: repadmin /showrepl * /csv > showrepl.csv
нажмите кнопку Office, нажмите кнопку открыть, перейдите к showrepl.csv и нажмите кнопку открыть.
Скройте или удалите столбец A, а также столбец Тип транспорта следующим образом:
Выберите столбец, который необходимо скрыть или удалить.
Выберите строку 1 под строкой заголовка столбца. На вкладке Вид нажмите кнопку Закрепить области, а затем нажмите кнопку закрепить верхнюю строку.
Выделите всю электронную таблицу. На вкладке Данные нажмите кнопку Фильтр.
В столбце время последнего успешного выполнения щелкните стрелку вниз и выберите Сортировать по возрастанию.
В столбце Исходный контроллер домена щелкните стрелку вниз, выберите Текстовые фильтры, а затем щелкните настраиваемый фильтр.
В диалоговом окне Пользовательский автофильтр в разделе Показывать строки, где щелкните не содержит. В соседнем текстовом поле введите, del чтобы исключить из окна Просмотр результатов для удаленных контроллеров домена.
Повторите шаг 11 для столбца время последнего сбоя, но используйте значение не равно, а затем введите значение 0.
Устранение ошибок репликации.
Для каждого контроллера домена в лесу в электронной таблице отображается исходный партнер репликации, время последней репликации и время последнего сбоя репликации для каждого контекста именования (раздела каталога). используя автофильтр в Excel, можно просматривать работоспособность репликации только для рабочих контроллеров домена, только для неудачных контроллеров домена или контроллеров домена, которые являются минимальными или самыми последними, и вы можете увидеть, что репликация успешно выполнена.
Проблемы и способы решения репликации
Проблемы репликации регистрируются в сообщениях о событиях и в различных сообщениях об ошибках, происходящих при попытке приложения или службы выполнить операцию. В идеале эти сообщения собираются приложением мониторинга или при получении состояния репликации.
repadmin/шоврепл сообщения об ошибках, указывающие на проблемы репликации
Чтобы выявление проблем репликации Active Directory, используйте repadmin /showrepl команду, как описано в предыдущем разделе. В следующей таблице показаны сообщения об ошибках, создаваемые этой командой вместе с корневыми причинами ошибок и ссылки на разделы, содержащие решения для ошибок.
| Ошибка repadmin | Причина | Решение |
|---|---|---|
| Время, прошедшее с момента последней репликации с этим сервером, превысило время существования захоронения. | Контроллер домена не прошел входящую репликацию с именованным исходным контроллером домена, достаточно долго, чтобы удаление было отменено, реплицировано и собрано сборщиком мусора из AD DS. | Событие с идентификатором 2042: прошло слишком много времени с момента репликации этого компьютера |
| Нет входящих соседей. | Если в разделе «Входящие соседи» в выходных данных, созданном с помощью repadmin/шоврепл, не отображаются элементы, контроллер домена не смог установить связи репликации с другим контроллером домена. | Устранение проблем подключения при репликации (событие с идентификатором 1925) |
| Отказано в доступе». | Между двумя контроллерами домена существует связь репликации, но в результате сбоя проверки подлинности репликация не может быть выполнена должным образом. | Устранение проблем с безопасностью при репликации |
| Последняя попытка на завершилась с ошибкой «имя целевой учетной записи неверно». | Эта проблема может быть связана с проблемами подключения, DNS или проверкой подлинности. Если это ошибка DNS, локальный контроллер домена не может разрешить DNS-имя своего партнера по репликации на основе глобального уникального идентификатора. | Устранение неполадок при поиске DNS-сервера репликации (идентификаторы событий 1925, 2087, 2088) устранение проблем безопасности репликации устранение проблем с подключением репликации (ИД события 1925) |
| Ошибка LDAP 49. | Возможно, учетная запись компьютера контроллера домена не синхронизирована с центр распространения ключей (KDC). | Устранение проблем с безопасностью при репликации |
| Не удается открыть подключение LDAP к локальному узлу | Средству администрирования не удалось связаться AD DS. | Устранение проблем поиска в DNS при репликации (события с идентификаторами 1925, 2087, 2088) |
| Active Directoryная репликация была прервана. | Ход выполнения входящей репликации был прерван запросом репликации с более высоким приоритетом, например запросом, созданным вручную с помощью команды repadmin/Sync. | Дождитесь завершения репликации. Это информационное сообщение указывает на нормальную работу. |
| Репликация опубликована, ожидание. | Контроллер домена опубликовал запрос на репликацию и ожидает ответа. Репликация выполняется из этого источника. | Дождитесь завершения репликации. Это информационное сообщение указывает на нормальную работу. |
В следующей таблице перечислены распространенные события, которые могут указывать на проблемы с Active Directory репликацией, а также основные причины проблем и ссылки на разделы, содержащие решения для проблем.
| Идентификатор события и источник | Первопричина | Решение |
|---|---|---|
| 1311 NTDS KCC | Сведения о конфигурации репликации в AD DS неточно отображают физическую топологию сети. | Устранение проблем топологии репликации (событие с идентификатором 1311) |
| 1388. Репликация NTDS | Ограниченная согласованность репликации не действует, и устаревший объект реплицируется на контроллер домена. | Устранение проблем с устаревшими объектами при репликации (события с идентификаторами 1388, 1988 2042) |
| 1925 NTDS KCC | Попытка установить канал репликации для раздела каталога, доступного для записи, завершилась ошибкой. Это событие может иметь различные причины в зависимости от ошибки. | Устранение проблем с подключением репликации (ИД события 1925) устранение неполадок при поиске DNS-сервера репликации (идентификаторы событий 1925, 2087, 2088) |
| 1988. Репликация NTDS | Локальный контроллер домена попытался реплицировать объект с исходного контроллера домена, который отсутствует на локальном контроллере домена, так как он был удален и уже собран сборщиком мусора. Репликация не продолжается для этого раздела каталога с этим партнером до устранения ситуации. | Устранение проблем с устаревшими объектами при репликации (события с идентификаторами 1388, 1988 2042) |
| 2042. Репликация NTDS | Репликация этого партнера не выполнялась в течение времени существования захоронения, и репликация не может быть продолжена. | Устранение проблем с устаревшими объектами при репликации (события с идентификаторами 1388, 1988 2042) |
| 2087. Репликация NTDS | AD DS не удалось разрешить имя узла DNS исходного контроллера домена в IP-адрес, и репликация не удалась. | Устранение проблем поиска в DNS при репликации (события с идентификаторами 1925, 2087, 2088) |
| 2088. Репликация NTDS | AD DS не удалось разрешить имя узла DNS исходного контроллера домена в IP-адрес, но репликация была успешной. | Устранение проблем поиска в DNS при репликации (события с идентификаторами 1925, 2087, 2088) |
| 5805 Net Logon | Учетной записи компьютера не удалось выполнить проверку подлинности, которая обычно вызвана несколькими экземплярами одного и того же имени компьютера или именем компьютера, которые не реплицируются на каждый контроллер домена. | Устранение проблем с безопасностью при репликации |
Дополнительные сведения о концепциях репликации см. в разделе Active Directory технологии репликации.
Следующие шаги
Дополнительные сведения, включая статьи о поддержке, относящиеся к кодам ошибок, см. в статье поддержка: Устранение распространенных ошибок репликации Active Directory