Устранение неполадок репликации active directory

Устранение неполадок, связанных с выдачей RID

Общие сведения об устранении неполадок

Устранение неполадок с выдачей RID требует логического линейного подхода. Если вы не проверяете журналы событий тщательно на наличие предупреждений и ошибок, вызванных относительными идентификаторами, то первым признаком проблемы, скорее всего, будут сбои при создании учетных записей. Самым важным при устранении неполадок с выдачей RID является понимание того, когда тот или иной симптом является ожидаемым, а когда нет. Многие проблемы с выдачей RID могут затрагивать только один контроллер домена и не имеют отношения к улучшению компонентов. Приведенная ниже простая схема может помочь прояснить процесс принятия решений.

Способы устранения неполадок

Параметры ведения журнала

Все записи, связанные с выдачей RID, регистрируются в журнале системных событий, а источником их является Directory-Services-SAM. По умолчанию ведение журнала включено, и для него настроена максимальная степень подробности. Если в журнале нет записей, которые связанны с изменениями в компонентах, реализованными в Windows Server 2012, проблемы следует решать как классические (то есть до выпуска Windows Server 2012) неполадки с выдачей RID, возникавшие в Windows 2008 R2 или более ранних версиях.

Служебные программы и команды для устранения неполадок

Для устранения неполадок, объяснения которым нет в упомянутых выше журналах, в особенности проблем выдачи RID в предыдущих версиях ОС, используйте в качестве отправной точки средства из следующего списка:

  • Dcdiag.exe

  • Repadmin.exe

  • Network Monitor 3.4

Общая методика устранения неполадок, связанных с конфигурацией контроллеров домена

  1. Вызвана ли ошибка очевидной проблемой с разрешениями или доступностью контроллера домена?

    1. Пытаетесь ли вы создать субъект безопасности, не имея необходимых разрешений? Проверьте в выходных данных наличие ошибок отказа в доступе.

    2. Доступен ли контроллер домена? Изучите полученную ошибку либо сообщения о доступности LDAP или контроллеров домена.

  2. Упоминаются ли в полученном сообщении об ошибке относительные идентификаторы и достаточно ли это сообщение конкретно, чтобы его можно было использовать в качестве инструкции? Если да, то следуйте этой инструкции.

  3. Упоминаются ли в полученном сообщении об ошибке относительные идентификаторы, но при этом оно является недостаточно конкретным? Пример: «Не удается создать объект, так как службе каталогов не удалось выделить относительный идентификатор».

    1. изучите журнал системных событий на контроллере домена о событиях rid «legacy» (Windows Server 2012), описанных в запросе к пулу rid (16642, 16643, 16644, 16645, 16656).

    2. Проверьте журнал системных событий в контроллере домена и хозяине RID на наличие новых событий, связанных с блокировкой, которые описаны ниже в этом разделе (16655, 16656, 16657).

    3. Проверьте работоспособность репликации Active Directory с помощью средства Repadmin.exe и доступность хозяина RID с помощью команды Dcdiag.exe /test:ridmanager /v. Включите запись двухстороннего сетевого мониторинга между контроллером домена и хозяином RID, если этих проверок оказалось недостаточно.

В журнале системных событий контроллера домена Windows Server 2012 регистрируются указанные ниже новые сообщения. Системы автоматического отслеживания работоспособности Active Directory, такие как System Center Operations Manager, должны вести наблюдение за этими событиями, так как все они важны, а некоторые являются признаком серьезных проблем с доменом.

Решение

  1. Проверка работы службы рассылки ключей в контроллере целевого домена

    Откройте для себя Центр рассылки ключей Kerberos. Его можно обнаружить с помощью программы захвата пакетов, например Network Monitor 3.4 (Доступно здесь.)

    1. Использование сетевого монитора для захвата воспроизведенного сообщения об ошибке. (Может потребоваться сначала остановить клиентскую службу DNS, чтобы увидеть трафик запросов DNS)

    2. Просмотрите захват пакета для запроса DNS для KDC: Пример адресных запросов:

      _kerberos. tcp. <SiteName> . _sites.dc._msdcs. <Domain> . com
      _kerberos._tcp.dc._msdcs. <Domain> . com

    3. Обзор для любого трафика:
      Пример сетевого монитора 3.4 захвата трафика DcLocator. В этом примере 10.0.1.11 — это обнаруженный KDC, а 10.0.1.10 — клиент, запрашивающий билет. Он использует макет столбца сетевого монитора по умолчанию.

      Frame # Время и дата Смещение времени Исходный IP-адрес Конечный IP-адрес Сведения
      42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: Запрос на поиск, messageID: 371 ** Этот пакет является вызовом LDAP UDP для локатора DC, ищущем * Netlogon***
      43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (SAM Response when Netlogon is paused): 24 (0x18)
    4. Убедитесь, что KDC и службы 10.10.1.11 запущены.
      В обнаруженном контроллере домена (10.0.1.1.11) проверьте состояние KDC и службы с помощью запроса SC

      Пример : Запрос службы KDC с: «SC Query KDC» и служба с: «Sc Query Netlogon» Эти команды должны возвращать «Состояние: запуск»

  2. Убедитесь, что контроллер домена назначения — реклама в качестве центра рассылки ключей
    Используйте DCDIAG.exe, чтобы убедиться, что контроллер домена назначения является рекламой. Из запроса CMD.exe выполнить следующую команду:

    Убедитесь, что контроллер домена проходит тесты рекламы и SYSVOLCHeck и является рекламой в качестве центра рассылки ключей и готов. Если сервер не готов, он не сможет рекламироваться в качестве контроллера домена.

  3. Убедитесь, что исходный компьютер и целевой компьютер находятся в течение 5 минут друг от друга.

  4. Проверка всех сбоев Kerberos

    1. Включить ведение журнала событий Kerberos на клиентской машине и контроллерах домена на сайте.
    2. KB: 262177 как включить ведение журнала событий Kerberos
    3. Устранение неполадок Kerberos

Повышение сервера до контроллера домена

После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:

* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.

В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:

В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:

В окне Параметры DNS нажимаем Далее.

В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:

В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.

Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.

Исключение намеренных нарушений или сбоев оборудования

Иногда ошибки репликации возникают из-за преднамеренных нарушений. Например, при устранении неполадок, связанных с репликацией Active Directory, необходимо сначала поочередно отменять подключения и сбои оборудования или обновления.

Намеренные отключения

Если контроллер домена, который попытается выполнить репликацию с помощью контроллера домена, который был создан на промежуточном сайте и в настоящее время ожидает развертывания на окончательном рабочем сайте (удаленном сайте, таком как филиал), сообщает об ошибках репликации, можно учитывать эти ошибки репликации. Чтобы не разделять контроллер домена от топологии репликации для расширенных периодов, что вызывает непрерывные ошибки до повторного подключения контроллера домена, рассмотрите возможность добавления таких компьютеров изначально в качестве рядовых серверов и использования метода установки с носителя для установки служб домен Active Directory Services (AD DS). Программу командной строки Ntdsutil можно использовать для создания установочного носителя, который можно хранить на съемных носителях (компакт-диск, DVD-диск или другой носитель) и поставлять на конечный сайт. Затем можно использовать установочный носитель для установки AD DS на контроллерах домена на сайте без использования репликации.

Сбои оборудования или обновления

Если проблемы с репликацией возникают в результате сбоя оборудования (например, из-за сбоя материнской платы, дисковой подсистемы или жесткого диска), сообщите владельцу сервера о том, что проблему с оборудованием можно устранить.

Периодическое обновление оборудования также может привести к невозможности обслуживания контроллеров домена. Убедитесь, что владельцы сервера имеют хорошую систему связи с такими простоями заранее.

Настройка брандмауэра

По умолчанию Active Directory репликация удаленных вызовов процедур (RPC) выполняется динамически через доступный порт через сопоставитель конечных точек RPC (RPCSS) через порт 135. убедитесь, что Windows брандмауэр с расширенной безопасностью и другими брандмауэрами настроены правильно, чтобы разрешить репликацию. Сведения об указании порта для параметров репликации Active Directory и портов см. в статье 224196 базы знаний Майкрософт.

сведения о портах, которые Active Directory репликации, см. в разделе Active Directory средства репликации и Параметры.

Сведения об управлении репликацией Active Directory через брандмауэры см. в разделе Active Directory репликация через брандмауэры.

Причина

Все эти действия ожидаются.

  • Версии DCDIAG Windows Server 2008/200R2 предназначены для тестирования RPCSS для общего параметра процесса Windows Server 2008, а не предыдущего изолированного параметра процесса, используемого в Windows Server 2003 и более старых операционных системах. Средство не различает OSs для этой службы.

  • Версии DCDIAG Windows Server 2008/200R2 предполагают, что функциональный уровень домена Windows Server 2008 означает, что DCs реплицирует SYSVOL с DFSR.

  • Версии Windows Server 2008/200R2 DCDIAG неправильно тестировали состояние доверия

  • Windows Сервер 2008/2008 R2 не разрешает удаленное подключение к журналу событий на основе правил брандмауэра по умолчанию.

  • Версия Windows Server 2003 DCDIAG не сообщает об ошибке, если она не может подключиться к журналу событий; он сообщает об этом только в том случае, если он подключается и находит ошибки.

  • Версия Windows Server 2003 DCDIAG не тестировать конфигурацию службы RPCSS.

Общий подход к устранению проблем

Используйте следующий общий подход к устранению проблем репликации:

  1. Отслеживайте работоспособность репликации ежедневно или используйте Repadmin.exe для получения состояния репликации ежедневно.

  2. Попытайтесь своевременно устранить все ошибки, используя методы, описанные в сообщениях о событиях и данном руководством. Если программное обеспечение может вызвать проблему, удалите его, прежде чем продолжить работу с другими решениями.

  3. Если проблема, вызывающая сбой репликации, не может быть устранена какими-либо известными методами, удалите AD DS с сервера, а затем переустановите AD DS. Дополнительные сведения о переустановке AD DS см. в статье о списании контроллера домена.

  4. Если AD DS не удается удалить в обычном режиме, когда сервер подключен к сети, используйте один из следующих методов для устранения проблемы.

    • Удалите AD DS в режиме восстановления служб каталогов (DSRM), выполните очистку метаданных сервера, а затем переустановите AD DS.
    • Переустановите операционную систему и перестройте контроллер домена.

Дополнительные сведения о принудительном удалении AD DS см. в разделе Принудительное удаление контроллера домена.

Просмотреть параметры

  • Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.

  • На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования.

Возможности

  • Автоматическое обнаружение компьютеров и доменов в лесу Active Directory, к которому присоединяется компьютер с управлением ADREPLSTATUS.
  • Режим «Только ошибки» позволяет администраторам сосредоточиться только на DCs, которые сообщают о сбоях репликации. Дополнительные сведения см. .
  • Когда ADREPLSTATUS обнаруживает ошибки репликации, средство использует свою интеграцию с содержимым разрешения в Microsoft TechNet для отображения действий по разрешению для верхних ошибок репликации AD. Дополнительные сведения см. .
  • Богатая сортировка и группировка результатов, щелкнув любой отдельный заголовок столбца (сортировка) или перетащив один или несколько заголовок столбцов в фильтровую планку. Используйте один или оба варианта для организации вывода с помощью последней ошибки репликации, даты успешного использования последней репликации, контекста имен источников DC, даты успешного копирования и так далее.
  • Экспортировать данные о состоянии репликации, чтобы они могли импортироваться и просматриваться администраторами исходных доменов, администраторами доменов назначения или специалистами по поддержке в Microsoft Excel или ADREPLSTATUS.
  • Выберите столбцы, которые необходимо отобразить, и их порядок отображения. Эти параметры сохраняются в качестве предпочтения на компьютере ADREPLSTATUS.

Примечание

ADREPLSTATUS — это средство только для чтения и не вносит изменений в конфигурацию леса Active Directory или объектов в них.

Устранение неполадок при сборе данных

Для сбора данных пакету решения для контроля состояния репликации AD требуется, чтобы к рабочей области Log Analytics был подключен по крайней мере один контроллер домена. Пока вы не подключите контроллер домена, будет отображаться сообщение о том, что сбор данных по-прежнему выполняется.

Если вам требуется помощь при подключении одного из контроллеров домена, ознакомьтесь с документацией по подключению компьютеров Windows к Azure Monitor. Кроме того, если ваш контроллер домена уже подключен к существующей среде System Center Operations Manager, вы можете ознакомиться с документацией по подключению System Center Operations Manager к Azure Monitor.

Если не требуется подключать контроллеры домена напрямую к Azure Monitor или System Center Operations Manager, см. дополнительные сведения в разделе .

Известные проблемы

  • ADREPLSTATUS не будет работать при включении следующего параметра безопасности в Windows — Системная криптография: Используйте криптографические алгоритмы FIPS 140, включая шифрование, хаширования и подписывающих алгоритмов.
  • Дополнительный контрольный знак отображается в нижней части выборщика столбцов при правой щелкнуть загон столбца.

Примечание

Инструмент ADRPLSTATUS поддерживается командой Microsoft ADREPLSTATUS. Администраторы и специалисты по поддержке, которые испытывают ошибки при установке или выполнении ADREPLSTATUS, могут отправить отчет о проблемах.

Для известных проблем команда ADREPLSTATUS будет сообщать о состоянии на той же странице. Если проблема требует дополнительного расследования, группа ADREPLSTATUS свядется с вами по адресу электронной почты, который вы предоставили в отчете о проблеме.

Время, необходимое для предоставления решения, зависит от рабочей нагрузки группы, а также сложности и причины проблем. Дефекты кода в инструменте ADREPLSTATUS обычно можно устранить относительно быстро. Сбои в работе инструмента из-за внешних причин могут занять больше времени, если не будет найдено обходное решение.

Команда ADREPLSTATUS не может устранить ошибки репликации Active Directory, которые выявляются с помощью средства ADREPLSTATUS. Чтобы устранить проблему, обратитесь к поставщику поддержки. Вы также можете отправлять и исследовать ошибки репликации на этом форуме TechNet Windows Server.

Дополнительная информация

Эта ошибка является одним из наиболее активных упражнений в следующей лаборатории практических действий TechNet: лаборатория практических действий TechNet: устранение ошибок репликации Active Directory.
В этой лаборатории вы пройдете этапы устранения неполадок, анализа и реализации часто встречающихся ошибок репликации Active Directory. Вы будете использовать сочетание ADREPLSTATUS, repadmin.exe и других средств для устранения неполадок в среде с пятью dc и тремя доменами. Ошибки репликации AD, с которыми сталкиваются в лаборатории, включают -2146893022, 1256, 1908, 8453 и 8606.

Параметры DNS

При установке DNS-сервера отображается следующая страница Параметров DNS:

При установке DNS-сервера записи делегирования, которые указывают на DNS-сервер в качестве разрешенного для зоны, должны создаваться в зоне службы доменных имен родительского домена. Записи делегирования передают орган разрешения имен и обеспечивают правильные ссылки на другие DNS-серверы и на клиентов новых серверов, которые были сделаны полномочными для новой зоны. Эти записи ресурсов содержат следующие сведения:

  • Запись ресурса сервера имен (NS) для реализации делегирования. Эта запись ресурса сообщает, что сервер с именем ns1.na.example.microsoft.com является полномочным сервером для делегированного субдомена.

  • Для разрешения имени сервера, указанного в записи ресурса сервера имен (NS), в его IP-адрес требуется запись ресурса узла (A или AAAA), также называемая связывающей записью. Процесс разрешения имени узла в этой записи ресурса в делегированный DNS-сервер в записи ресурса сервера имен (NS) иногда называется «связывающим преследованием».

Мастер настройки доменных служб Active Directory может создавать эти записи автоматически. После нажатия кнопки Далее на странице Параметры контроллера домена Мастер проверяет наличие соответствующих записей в родительской зоне DNS. Если мастер не может проверить, существуют ли эти записи в родительском домене, программа предоставляет возможность создать новое делегирование DNS для нового домена (или обновить существующее делегирование) автоматически и продолжить установку нового контроллера домена.

Можно также создать эти записи нового делегирования перед установкой DNS-сервера. Чтобы создать делегирование зоны, откройте Диспетчер DNS, щелкните правой кнопкой мыши родительский домен, а затем выберите Новое делегирование. Для создания делегирования выполните последовательность действий, предлагаемую мастером создания делегирования.

Процесс установки пытается создать делегирование, чтобы компьютеры, входящие в другие домены, могли разрешать DNS-запросы для узлов в субдомене DNS, включая контроллеры домена и компьютеры-члены домена

Обратите внимание, что записи делегирования могут создаваться автоматически только на DNS-серверах Майкрософт. Если зона родительского DNS-домена расположена на DNS-серверах стороннего производителя, например BIND, на странице проверки предварительных требований отображается предупреждение о неудачной попытке создания записей DNS-делегирования

Дополнительные сведения об этом предупреждении см. в разделе Известные проблемы установки AD DS.

Делегирование между родительским доменом и субдоменом, уровень которого нужно повысить, можно создать и проверить как до, так и после установки. Не следует откладывать установку нового контроллера домена из-за того, что невозможно создать или обновить делегирование DNS.

Дополнительные сведения о делегировании см. в разделе Основные сведения о делегировании зоны ( ). Если делегирование зоны не представляется возможным, можно рассмотреть другие способы обеспечения разрешения имен узлов в вашем домене из других доменов. Например, администратор DNS другого домена может настроить условную пересылку, зоны заглушки или дополнительные зоны для разрешения имен узлов в вашем домене. Дополнительные сведения см. в следующих разделах:

  • Основные сведения о типах зон ( )

  • Основные сведения о зонах-заглушекх ( )

  • Общие сведения о серверах пересылки ( )

Симптомы

Рассмотрим следующий сценарий.

Администрирование среды AD. Может быть смесь Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Сервер 2008 R2.

При запуске (или) Windows Server 2008 или Windows Server 2008 R2 (включен в операционные системы) вы видите следующие ошибки во всех Windows DCs Server 2003:

При запуске (или) Windows Server 2008 или Windows Server 2008 R2 (включен в операционные системы) вы видите следующие ошибки во всех DC Win2008 и Win2008 R2:

При запуске (или /A или /C) на Windows Server 2003 (включено с установкой вне диапазона средств поддержки):

Никакие ошибки не регистрируются ни для одного из компьютеров, независимо от оси.

При запуске (который включает) на Windows Server 2008 или Windows Server 2008 R2, а функциональный режим домена — Windows Server 2008 или выше, а FRSS по-прежнему используется для репликации SYSVOL, вы увидите следующие ошибки:

При запуске (который включает) и указан на Windows Server 2008 или на Windows Server 2008 R2 вы видите следующие ошибки:

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

В открывшемся окне нажимаем на Изменить:

И переводим компьютер в рабочую группу:

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
 администратора. Вы хотите продолжить?
Да — Y   Нет — N   Приостановить — S   Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:

shutdown -r -t 0

… или выключаем:

shutdown -s -t 0

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: