У меня есть лаборатория, содержащая домен ACME, который ACME-DC2 и ACME-DC3. У него есть дочерний домен LAB с LAB-DC1. Я внес некоторые изменения в инфраструктуру своей среды, которые на некоторое время нарушили DNS Active Directory. Репликация между моим доменом ACME и доменом LAB нарушена:
Стартовый тест: Репликации
[Проверка репликации, LAB-DC1] Недавняя попытка репликации не удалась:
От ACME-DC2 до LAB-DC1
Контекст именования: DC=ForestDnsZones,DC=ACME,DC=local
Репликация выдала ошибку (1256):
Удаленная система недоступна. Сведения об устранении неполадок в сети см. в справке Windows.
Сбой произошел 14.01.2022 в 13:54:35.
Последний успех произошел 03.05.2019 в 19:45:51.
20747 отказов произошло с момента последнего успеха.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА: ссылка на ожидаемое уведомление отсутствует.
Источник ACME-DC2
Репликация новых изменений по этому пути будет отложена.
Эта проблема должна решиться автоматически при следующей периодической синхронизации.
[Проверка репликации, LAB-DC1] Недавняя попытка репликации не удалась:
От ACME-DC2 до LAB-DC1
Контекст именования: CN=Schema,CN=Configuration,DC=ACME,DC=local
Репликация выдала ошибку (5):
В доступе отказано.
Сбой произошел 14.01.2022 в 13:54:35.
Последний успех произошел 03.05.2019 в 19:45:51.
20738 отказов произошло с момента последнего успеха.
[Проверка репликации, LAB-DC1] Недавняя попытка репликации не удалась:
От ACME-DC2 до LAB-DC1
Контекст именования: CN=Configuration,DC=ACME,DC=local
Репликация выдала ошибку (5):
В доступе отказано.
Сбой произошел 14.01.2022 в 13:54:34.
Последний успех произошел 03.05.2019 в 19:45:51.
20771 отказ произошел с момента последнего успеха.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА: ссылка на ожидаемое уведомление отсутствует.
Источник ACME-DC2
Репликация новых изменений по этому пути будет отложена.
Эта проблема должна решиться автоматически при следующей периодической синхронизации.
[Проверка репликации, LAB-DC1] Недавняя попытка репликации не удалась:
От ACME-DC2 до LAB-DC1
Контекст именования: DC=ACME,DC=local
Репликация выдала ошибку (1256):
Удаленная система недоступна. Сведения об устранении неполадок в сети см. в справке Windows.
Сбой произошел 14.01.2022 в 13:54:35.
Последний успех произошел 03.05.2019 в 20:16:26.
39498 сбоев произошло с момента последнего успеха.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА: ссылка на ожидаемое уведомление отсутствует.
Источник ACME-DC2
Репликация новых изменений по этому пути будет отложена.
C:\Users\administrator.ACME> repadmin /replicate LAB-DC1 ACME-DC2 "DC=ForestDnsZones,DC=ACME,DC=local"
Ошибка DsReplicaSync() со статусом 5 (0x5):
В доступе отказано.
dcdiag сообщает:
......................... ACME-DC2 прошел тест Услуги
Запуск теста: SystemLog
Произошло предупреждение. Идентификатор события: 0x8000001C
Время создания: 22.01.2022 18:09:57
Строка события:
При создании перехода между областями из домена LAB.ACME.L
проверить билет. Версия ключа билета в запросе была 15 и версия avai
эта ошибка является задержкой репликации ключей. Для устранения этой проблемы
ключей.
......................... ACME-DC2 прошел тест SystemLog
Запуск теста: VerifyReferences
......................... ACME-DC2 прошел тест VerifyReferences
Я пробовал разные вещи, чтобы исправить это. Перерыв определенно длился более 180 дней, поэтому я считаю, что LAB-DC был захоронен или наоборот. Я видел некоторые ошибки по этому поводу раньше. Пытаясь это исправить, я установил для параметра «Строгая согласованность репликации» значение 0 в реестре и повторно запустил репликацию. Кажется, это исправило некоторые ошибки, но я не могу обойти «ДОСТУП ЗАПРЕЩЕН».
У меня также были различные ссылки на ACME-DC1 (мертвый контроллер домена) в данных DNS на LAB-DC1. Я прошел и переименовал все это в ACME-DC2.
Есть идеи, как исправить эту ошибку «Отказано в доступе»?
Существует вторая проблема, когда домен LAB имеет старый ACME-DC1 в качестве хозяина схемы и сервера имен доменов. Этот DC существовал в Sites and Services. Я пытался удалить его там, но не смог. Мне пришлось использовать ADSIEdit, чтобы удалить его из области CN=Configuration.
C:\Users\administrator.ACME>netdom запрос fsmo
Мастер схемы *** Предупреждение: владельцем роли является удаленный контроллер домена: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a93f-9c0c8e
b45c10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ACME,DC=local
Мастер именования доменов *** Предупреждение: владельцем роли является удаленный контроллер домена: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a93f-9c0c8e
b45c10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ACME,DC=local
PDC lab-dc1.lab.ACME.local
Диспетчер пула RID lab-dc1.lab.ACME.local
Мастер инфраструктуры lab-dc1.lab.ACME.local
Я попытался исправить это, используя ADSIEdit и изменив атрибут fsmoRoleOwner (??), и получил WILL_NOT_PERFORM. Я немного сомневаюсь, стоит ли пытаться захватить роль.
Я также попытался добавить новый контроллер домена в домен LAB, но это также привело к ошибке из-за недопустимой ссылки на ACME-DC1.
Это не конец света, если мне придется уничтожить домен LAB, но я надеюсь, что этого не произойдет.
Я также пробовал fixfsmo.ps1. Он выявил ошибки и сказал, что исправил их. Когда я пытаюсь netdom запрос fsmo, хотя, по-прежнему показывает старые записи.
Редактировать
Я смог это исправить. У меня было еще несколько проблем.
Общий ресурс sysvol на ACME-DC3 отсутствовал. Мне удалось увеличить количество дней maxofflinetimeindays до ошибки, отображаемой в средстве просмотра событий репликации DFS, и перезапустить службу репликации DFS. SYSVOL и NETLOGON снова появляются на ACME-DC3. После этого я сбросил maxofflinetimeindays обратно на 60.
Я также обнаружил еще несколько аномальных записей в моем DNS до того, как я повторно IP-адреса контроллеров домена.Исправлены все из них.
Я вручную добавил соединение NTDS между LAB-DC1 и NETOPIA-DC3. Не уверен, что это помогло, но dcdiag жаловался, что его нет.
Безопасный канал между ACME-DC2 и ACME-DC3 был отключен. Я пытался использовать netdom для восстановления, но продолжал получать ошибки. Наконец-то я смог использовать домены и доверительные отношения Active Directory для восстановления доверительных отношений. Это был большой шаг к исправлению ситуации. Раньше я пытался восстановить безопасный канал с помощью PowerShell и netdom или nltest, но не смог. Наконец, я просто использовал этот инструмент для каждого из 3 контроллеров домена и в обоих направлениях (дочерний к родительскому и от родительского к дочернему) и выбрал для проверки соединения и восстановления. В конце концов я заставил его работать.
