Am un laborator care conține domeniul ACME, care este ACME-DC2 și ACME-DC3. Are un domeniu copil numit LAB cu LAB-DC1. Am făcut câteva modificări de infrastructură în mediul meu care au rupt DNS-ul Active Directory pentru o perioadă. Replicarea între domeniul meu ACME la domeniul LAB pare să fie întreruptă:
Test de pornire: Replicări
[Verificarea replicărilor,LAB-DC1] O încercare recentă de replicare a eșuat:
De la ACME-DC2 la LAB-DC1
Context de denumire: DC=ForestDnsZones,DC=ACME,DC=local
Replicarea a generat o eroare (1256):
Sistemul la distanță nu este disponibil. Pentru informații despre depanarea rețelei, consultați Ajutorul Windows.
Eșecul a avut loc la 2022-01-14 13:54:35.
Ultimul succes a avut loc la 2019-05-03 19:45:51.
De la ultimul succes au avut loc 20747 de eșecuri.
AVERTISMENT DE LATENȚĂ DE REPLICAȚIE
EROARE: linkul de notificare așteptat lipsește.
Sursa ACME-DC2
Replicarea noilor modificări pe această cale va fi amânată.
Această problemă ar trebui să se autocorecteze la următoarea sincronizare periodică.
[Verificarea replicărilor,LAB-DC1] O încercare recentă de replicare a eșuat:
De la ACME-DC2 la LAB-DC1
Context de denumire: CN=Schema,CN=Configuration,DC=ACME,DC=local
Replicarea a generat o eroare (5):
Accesul este interzis.
Eșecul a avut loc la 2022-01-14 13:54:35.
Ultimul succes a avut loc la 2019-05-03 19:45:51.
De la ultimul succes au avut loc 20738 de eșecuri.
[Verificarea replicărilor,LAB-DC1] O încercare recentă de replicare a eșuat:
De la ACME-DC2 la LAB-DC1
Context de denumire: CN=Configuration,DC=ACME,DC=local
Replicarea a generat o eroare (5):
Accesul este interzis.
Eșecul a avut loc la 2022-01-14 13:54:34.
Ultimul succes a avut loc la 2019-05-03 19:45:51.
De la ultimul succes au avut loc 20771 de eșecuri.
AVERTISMENT DE LATENȚĂ DE REPLICAȚIE
EROARE: linkul de notificare așteptat lipsește.
Sursa ACME-DC2
Replicarea noilor modificări pe această cale va fi amânată.
Această problemă ar trebui să se autocorecteze la următoarea sincronizare periodică.
[Verificarea replicărilor,LAB-DC1] O încercare recentă de replicare a eșuat:
De la ACME-DC2 la LAB-DC1
Context de denumire: DC=ACME,DC=local
Replicarea a generat o eroare (1256):
Sistemul la distanță nu este disponibil. Pentru informații despre depanarea rețelei, consultați Ajutorul Windows.
Eșecul a avut loc la 2022-01-14 13:54:35.
Ultimul succes a avut loc la 2019-05-03 20:16:26.
De la ultimul succes au avut loc 39498 de eșecuri.
AVERTISMENT DE LATENȚĂ DE REPLICAȚIE
EROARE: linkul de notificare așteptat lipsește.
Sursa ACME-DC2
Replicarea noilor modificări pe această cale va fi amânată.
C:\Users\administrator.ACME> repadmin /replicate LAB-DC1 ACME-DC2 „DC=ForestDnsZones,DC=ACME,DC=local”
DsReplicaSync() a eșuat cu starea 5 (0x5):
Accesul este interzis.
dcdiag raportează:
......................... ACME-DC2 a trecut Serviciile de testare
Pornirea testului: SystemLog
A avut loc un eveniment de avertizare. EventID: 0x8000001C
Ora generată: 22.01.2022 18:09:57
Șirul evenimentului:
Când se generează o trimitere încrucișată din domeniul LAB.ACME.L
verifica biletul. Versiunea cheie de bilet din cerere a fost 15 și avai
această eroare este o întârziere în replicarea cheilor. Pentru a elimina acest problema
de chei să apară.
......................... ACME-DC2 a trecut testul SystemLog
Începe testul: VerifyReferences
......................... ACME-DC2 a trecut testul VerifyReferences
Am încercat diverse lucruri pentru a o repara. Pauza a fost cu siguranță mai mare de 180 de zile, așa că cred că LAB-DC a fost omorât sau invers. Am mai văzut câteva erori în acest sens. În încercarea de a remedia acest lucru, am setat „Strict Replication Consistency” la 0 în Registry și am reluat replicarea. Acest lucru pare să fi remediat unele erori, dar nu pot ocoli „ACCESUL INTERZAT”.
Am avut, de asemenea, diverse referințe la ACME-DC1 (un DC mort de înainte) în datele DNS de pe LAB-DC1. Am trecut și le-am redenumit pe toate în ACME-DC2.
Aveți idee cum să remediați această eroare Acces refuzat?
Există o a doua problemă în care domeniul LAB are vechiul ACME-DC1 ca master de schemă și server de denumire a domeniului. Acest DC a existat în Site-uri și Servicii. Am încercat să-l șterg acolo, dar nu am reușit. A trebuit să folosesc ADSIEdit pentru a-l șterge din zona CN=Configuration.
C:\Users\administrator.ACME>interogare netdom fsmo
Schema master *** Avertisment: proprietarul rolului este un DC șters: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c03-a90c
b45c10,CN=Servere,CN=Nume-Premiu-Site implicit,CN=Situri,CN=Configurare,DC=ACME,DC=local
Maestru de denumire a domeniului *** Avertisment: proprietarul rolului este un DC șters: CN=NTDS Settings\0ADEL:a1047a26-7404-43b1-8a6e-f260c2a73d14,CN=ACME-DC1\0ADEL:e307b4b3-3a49-4c3f03-9c
b45c10,CN=Servere,CN=Nume-Premiu-Site implicit,CN=Situri,CN=Configurare,DC=ACME,DC=local
PDC lab-dc1.lab.ACME.local
Manager pool RID lab-dc1.lab.ACME.local
Infrastructure master lab-dc1.lab.ACME.local
Am încercat să corectez acest lucru folosind ADSIEdit și modificând atributul fsmoRoleOwner (??) și am primit WILL_NOT_PERFORM. Eu ezit puțin să încerc și să-mi asum un rol.
Am încercat să adaug și un nou controler de domeniu la domeniul LAB, dar a greșit și din cauza referinței nevalide la ACME-DC1.
Nu este sfârșitul lumii dacă trebuie să arunc la gunoi domeniul LAB, dar sper că nu o fac.
Am încercat și fixfsmo.ps1. A identificat erorile și a spus că le-a remediat. Când încerc netdom interogare fsmo totuși, afișează în continuare înregistrările vechi.
Editați | ×
Am reușit să repar asta. Am mai avut câteva probleme.
Cota sysvol pe ACME-DC3 lipsea. Am reușit să extind zilele maxofflinetimeindays pentru a depăși eroarea afișată în vizualizatorul de evenimente de replicare DFS și să repornesc serviciul de replicare DFS. SYSVOL și NETLOGON reapar pe ACME-DC3. Am resetat maxofflinetimeindays înapoi la 60 după aceea.
De asemenea, am găsit câteva intrări mai anormale în DNS-ul meu înainte de a re-IP-ul DC-urilor.Le-am remediat pe toate.
Am adăugat manual o conexiune NTDS între LAB-DC1 și NETOPIA-DC3. Nu sunt sigur dacă acest lucru a ajutat, dar dcdiag se plângea că lipsește.
Canalul securizat dintre ACME-DC2 și ACME-DC3 era mort. Am încercat să folosesc netdom pentru a repara, dar am continuat să primesc erori. În sfârșit, am reușit să folosesc Active Directory Domains and Trusts pentru a repara relația de încredere. Acesta a fost un pas mare în remedierea lucrurilor. Am încercat anterior să folosesc PowerShell și netdom sau nltest pentru a repara canalul securizat și nu am reușit. În cele din urmă, tocmai am folosit acest instrument din fiecare dintre cele 3 DC și ambele direcții (copil la părinte și de la părinte la copil) și am selectat pentru a valida conexiunea și repararea. Până la urmă l-am pus să treacă.
