Ошибка репликации 8453

Ошибка репликации Active Directory 8453: доступ к репликации запрещен В этой статье описывается, как устранить проблему, из-за которой репликация Active

Содержание

  1. Ошибка репликации Active Directory 8453: доступ к репликации запрещен
  2. Аннотация
  3. Первопричина
  4. Верхнее решение
  5. Симптомы
  6. Причина
  7. Решение
  8. Выполнение проверки работоспособности с помощью DCDIAG + DCDIAG /test:CheckSecurityError
  9. Исправлен недопустимый элемент UserAccountControl
  10. Исправлены недопустимые дескрипторы безопасности по умолчанию
  11. Добавление отсутствующих необходимых разрешений
  12. Предоставление разрешений администраторам, не являмся администраторами домена
  13. Проверка членства в необходимых группах безопасности
  14. Репликация RODC
  15. Отсутствует объект параметров NTDS для сервера LDS

Ошибка репликации Active Directory 8453: доступ к репликации запрещен

В этой статье описывается, как устранить проблему, из-за которой репликация Active Directory завершается сбоем и возникает ошибка 8453: доступ к репликации запрещен.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2022387

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вам нужна помощь в устранении проблемы, обратитесь к сообществу Майкрософт.

Аннотация

Эта ошибка 8453 имеет следующие основные причины:

У конечного контроллера домена нет необходимых разрешений для репликации контекста или секции именования.

Администратор, который вручную запустил репликацию, не имеет на это разрешений.

Это условие не влияет на периодичную или запланированную репликацию.

Первопричина

Для периодов или запланированных репликаций, если конечный контроллер домена является контроллером домена только для чтения (RODC):

Группа безопасности Read-Only контроллеров домена Enterprise не имеет разрешений на репликацию изменений каталога в корне контекста именования (NC) для секции, которая не реплицируется и возвращает ошибку 8453.

Верхнее решение

В каждой сетевой сети, которую контроллеры домена не реплицируются и которая возвращает ошибку 8453, предоставьте разрешения на репликацию изменений каталога группе безопасности корпоративных контроллеров домена только для чтения в корневом домене леса.

Пример:

RODC childdc2.child.contoso.com не реплицирует contoso.com секцию и возвращает ошибку 8453. Чтобы устранить эту проблему, выполните следующие действия.

Откройте ADSIEDIT.msc на контроллере contoso.com домена.

Откройте подключение к сетевому контроллеру contoso.com домена (контекст именования по умолчанию).

Откройте свойства dc =contoso,dc=com NC и выберите вкладку «Безопасность «.

Нажмите кнопку «Добавить» и введите в текстовое поле следующую запись:
ContosoEnterprise Read-Only контроллеры домена

Эта группа существует только в корневом домене леса.

Выберите «Проверить имена» и нажмите кнопку «ОК».

В диалоговом окне Read-Only «Разрешения для корпоративных контроллеров домена» снимите автоматически установленные флажки «Разрешить»:

  • Чтение
  • Чтение политик блокировки & паролей домена
  • Чтение параметров другого домена

Установите флажок « Разрешить» рядом с пунктом «Репликация изменений каталога» и нажмите кнопку » ОК».

Если эти действия не устраняют проблему, см. остальную часть этой статьи.

Симптомы

При возникновении этой проблемы возникает один или несколько из следующих симптомов:

Тест репликации DCDIAG ( DCDIAG /TEST:NCSecDesc ) сообщает, что тестируемый контроллер домена завершился сбоем тестовой репликации и имеет состояние 8453: доступ к репликации запрещен:

Тест DCDIAG NCSecDesc ( DCDIAG /TEST:NCSecDes ) сообщает, что контроллер домена, который был протестирован с помощью DCDIAG, завершился сбоем теста NCSecDec и что одно или несколько разрешений отсутствуют в заголовке NC одного или нескольких разделов каталога на протестированном контроллере домена, который был протестирован DCDIAG:

Тест DCDIAG MachineAccount ( DCDIAG /TEST:MachineAccount ) сообщает, что контроллер домена, протестируемый DCDIAG, завершился сбоем теста MachineAccount, так как в атрибуте UserAccountControl в учетной записи компьютера контроллеров домена отсутствуют флаги SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION:

Тест журнала событий DCDIAG KCC указывает шестнадцатеричный эквивалент события Microsoft-Windows-ActiveDirectory_DomainService 2896:

B50 hex = 2896 decimal. Эта ошибка может регистрироваться каждые 60 секунд на главном контроллере домена инфраструктуры.

REPADMIN.EXE сообщает о неудачной попытке репликации и возвращает состояние 8453.

Команды REPADMIN, которые обычно указывают состояние 8453, включают, но не ограничиваются следующими.

Пример выходных REPADMIN /SHOWREPS данных, показывающих входящую репликацию из CONTOSO-DC2 в CONTOSO-DC1, которая завершается сбоем и возвращает ошибку отказа в доступе к репликации, выглядит следующим образом:

Теперь команда репликации выполняется на сайтах и службах Active Directory (DSSITE). MSC) возвращает ошибку отказа в доступе к репликации .

Щелкните правой кнопкой мыши объект подключения из исходного контроллера домена и выберите репликацию. И возвращается ошибка отказа в доступе к репликации. Отобразится следующее сообщение об ошибке:

События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с состоянием 8453 регистрируются в журнале событий служб директив Active Directory (AD DS).

События Active Directory, которые обычно указывают на состояние 8453, включают, но не ограничиваются следующими событиями:

Источник события Идентификатор события Строка события
Microsoft-Windows-ActiveDirectory_DomainService 1699 Этой службе каталогов не удалось получить изменения, запрошенные для следующего раздела каталога. В результате не удалось отправить запросы на изменение в службу каталогов по следующему сетевому адресу.
Microsoft-Windows-ActiveDirectory_DomainService 2896 Клиент запросит DirSync LDAP для раздела каталога. Доступ был запрещен из-за следующей ошибки.
Общие сведения о NTDS 1655 Active Directory попытался связаться со следующим глобальным каталогом, и попытки были неудачными.
NTDS KCC 1265 Попытка установить связь репликации с параметрами
Partition:

DN источника DSA:
Исходный адрес DSA:
Транспорт между сайтами (если таковый есть):
сбой со следующим состоянием:
NTDS KCC 1925 Не удалось установить ссылку репликации для следующего раздела каталога, доступного для записи.

Причина

Ошибка 8453 (доступ к репликации запрещен) имеет несколько основных причин, в том числе:

Атрибут UserAccountControl в целевой учетной записи компьютера контроллера домена отсутствует в любом из следующих флагов:
SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION

Разрешения по умолчанию не существуют в одном или нескольких разделах каталога, чтобы обеспечить выполнение запланированной репликации в контексте безопасности операционной системы.

По умолчанию или пользовательские разрешения не существуют в одном или нескольких разделах каталогов, чтобы пользователи могли активировать нерегламентированную или немедленную репликацию с помощью DSSITE. MSC реплицирует сейчас, repadmin /replicate или repadmin /syncall аналогичные команды.

Разрешения, необходимые для активации нерегламентированной репликации, правильно определены в соответствующих разделах каталогов. Однако пользователь не является членом каких-либо групп безопасности, которым предоставлено разрешение на изменение каталога репликации.

Пользователь, запускавший нерегламентируемую репликацию, является членом требуемых групп безопасности, и этим группам безопасности предоставлено разрешение на репликацию изменений каталога . Однако членство в группе, которая предоставляет разрешение на изменение реплицированного каталога, удаляется из маркера безопасности пользователя с помощью функции разделения маркера доступа пользователя в элементе управления учетной записью. Эта функция была представлена в Windows Vista и Windows Server 2008.

Не путайте функцию безопасности разбиения маркера управления учетными записями пользователей, появившиеся в Vista и Windows Server 2008, с атрибутом UserAccountControl , определенным в учетных записях компьютера роли контроллера домена, которые хранятся в службе Active Directory.

Если конечным контроллером домена является RODC, RODCPREP не был запущен в доменах, где в настоящее время размещены контроллеры домена только для чтения, или группа контроллеров домена Enterprise Read-Only не имеет разрешений на репликацию изменений каталога для секции, которая не реплицирована.

Контроллеры домена, работающие под управлением новых версий операционной системы, были добавлены в существующий лес, в котором установлен Сервер связи Office.

У вас есть экземпляры служб LDS. Объект NTDS Settings для затронутых экземпляров отсутствует в контейнере конфигурации LDS. Например, вы увидите следующую запись:

Ошибки и события Active Directory, такие как упомянутые в разделе » Симптомы», также могут возникать и создавать сообщение об ошибке 5 (доступ запрещен).

Действия для ошибки 5 или ошибки 8453, упомянутые в разделе «Разрешение», не устраняют сбои репликации на компьютерах, на которых в настоящее время происходит сбой репликации и создает другое сообщение об ошибке.

Ниже перечислены основные причины сбоев операций Active Directory, вызывающих ошибку 5.

  • Чрезмерное неравномерное распределение времени
  • Фрагментация пакетов Kerberos в формате UDP промежуточными устройствами в сети
  • Отсутствует доступ к этому компьютеру из сетевых прав.
  • Неработающие безопасные каналы или отношения доверия внутри домена
  • CrashOnAuditFail = 2 запись в реестре

Решение

Чтобы устранить эту проблему, используйте следующие методы.

Выполнение проверки работоспособности с помощью DCDIAG + DCDIAG /test:CheckSecurityError

  1. Запустите DCDIAG на целевом контроллере домена, который сообщает об ошибке или событии 8453.
  2. Запустите DCDIAG на исходном контроллере домена, на котором конечный контроллер домена сообщает об ошибке или событии 8453.
  3. Запустите DCDIAG /test:CheckSecurityError на конечном контроллере домена.
  4. Выполнение DCDIAG /test:CheckSecurityError на исходном контроллере домена.

Исправлен недопустимый элемент UserAccountControl

Атрибут UserAccountControl включает битовую маску, которая определяет возможности и состояние учетной записи пользователя или компьютера. Дополнительные сведения о флагах UserAccountControl см. в описании атрибута User-Account-Control.

Типичное значение атрибута UserAccountControl для записываемой (полной) учетной записи компьютера контроллера домена — 532480 десятичных знаков или 82000 шестнадцатеричных бит. Значения UserAccountControl для учетной записи компьютера контроллера домена могут отличаться , но должны содержать флаги SERVER_TRUST_ACCOUNT и TRUSTED_FOR_DELEGATION, как показано в следующей таблице.

Флаг свойства Шестнадцатеричное значение Десятичная величина
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
Значение UserAccountControl 0x82000 532480

Типичное значение атрибута UserAccountControl для учетной записи компьютера контроллера домена только для чтения — 83890176 десятичное или 5001000 шестнадцатеричного.

Флаг свойства Шестнадцатеричное значение Десятичная величина
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Типичное значение UserAccountControl для RODC 0x5001000 83890176

В атрибуте UserAccountControl на конечном контроллере домена отсутствует флаг SERVER_TRUST_ACCOUNT домена.

Если тест DCDIAG MachineAccount завершается сбоем и возвращает сообщение об ошибке MachineAcccount с ошибкой теста, а атрибут UserAccountControl на проверяемом контроллере домена отсутствует флаг SERVER_TRUST_ACCOUNT , добавьте отсутствующий флаг в копию Active Directory проверяемого контроллера домена.

  1. Запустите ADSIEDIT. MSC на консоли контроллера домена, в котором отсутствует SERVER_TRUST_ACCOUNT, как сообщает DCDIAG.
  2. Щелкните правой кнопкой мыши ADSIEDIT в левой верхней области ADSIEDIT. MSC, а затем выберите «Подключиться к».
  3. В диалоговом окне «Параметры подключения» щелкните «Выбрать известный контекст именования «, а затем выберите контекст именования по умолчанию (раздел домена учетной записи компьютера).
  4. Нажмите кнопку «Выбрать» или введите домен или сервер. Выберите имя контроллера домена, который завершается сбоем в DCDIAG.
  5. Нажмите кнопку ОК.
  6. В контексте именования домена найдите и щелкните правой кнопкой мыши учетную запись компьютера контроллера домена и выберите пункт «Свойства».
  7. Дважды щелкните атрибут UserAccountControl и запишите его десятичное значение.
  8. Запустите калькулятор Windows в режиме программиста (Windows Server 2008 и более поздних версий).
  9. Введите десятичное значение для UserAccountControl. Преобразуйте десятичное значение в шестнадцатеричный эквивалент, добавьте 0x80000 к существующему значению и нажмите знак равенства (=).
  10. Преобразуйте вычисленное значение UserAccountContorl в его десятичный эквивалент.
  11. Введите новое десятичное значение из калькулятора Windows в атрибут UserAccountControl в ADSIEDIT. Msc.
  12. Нажмите кнопку «ОК » дважды, чтобы сохранить.

В атрибуте UserAccountControl на конечном контроллере домена отсутствует флаг TRUSTED_FOR_DELEGATION домена.

Если тест DCDIAG MachineAccount возвращает сообщение об ошибке MachineAcccount теста, а атрибут UserAccountControl на проверяемом контроллере домена отсутствует флаг TRUSTED _FOR_DELEGATION , добавьте отсутствующий флаг в копию Active Directory проверяемого контроллера домена.

Запуск Пользователи и компьютеры Active Directory (DSA). MSC) в консоли контроллера домена, который был протестен DCDIAG.

Щелкните правой кнопкой мыши учетную запись компьютера контроллера домена.

Выберите вкладку «Делегирование «.

В учетной записи компьютера контроллера домена выберите доверенный компьютер для делегирования в любую службу (только Kerberos).

Исправлены недопустимые дескрипторы безопасности по умолчанию

Операции Active Directory выполняется в контексте безопасности учетной записи, которая начала операцию. Разрешения по умолчанию для секций Active Directory позволяют выполнять следующие операции:

  • Участники группы «Администраторы предприятия» могут запускать нерегламентную репликацию между любым контроллером домена в любом домене в одном лесу.
  • Члены встроенной группы администраторов могут запускать нерегламентную репликацию между контроллерами домена в одном домене.
  • Контроллеры домена в одном лесу могут запускать репликацию с помощью уведомления об изменениях или расписания репликации.

Разрешения по умолчанию для секций Active Directory не позволяют выполнять следующие операции по умолчанию:

  • Члены группы встроенных администраторов в одном домене не могут запускать нерегламентную репликацию на контроллеры домена в этом домене с контроллеров домена в разных доменах.
  • Пользователи, не включаемые в группу встроенных администраторов, не могут запускать нерегламентированные репликации с любого другого контроллера домена в том же домене или лесу.

По умолчанию эти операции завершались сбоем до тех пор, пока не будут изменены разрешения по умолчанию или членство в группах.

Разрешения определяются в верхней части каждой секции каталога (nc head) и наследуются по всему дереву секций. Убедитесь, что явные группы (группы, в которые пользователь непосредственно входит) и неявные группы (группы, в которых явные группы имеют вложенное членство) имеют необходимые разрешения. Кроме того, убедитесь, что запрет разрешений, назначенных неявным или явным группам, не имеет приоритет над необходимыми разрешениями. Дополнительные сведения о разделах каталогов по умолчанию см. в разделе «Безопасность по умолчанию» раздела каталога конфигурации.

Убедитесь, что разрешения по умолчанию существуют в верхней части каждого раздела каталога, в котором происходит сбой, и отказано в доступе репликации.

Если происходит сбой нерегламентированной репликации между контроллерами домена в разных доменах или между контроллерами домена в одном домене для администраторов без домена, см. раздел «Предоставление разрешений администраторам, не являющегося администратором домена».

Если нерегламентированной репликации не удается выполнить для участников группы «Администраторы предприятия», сосредоточьтесь на разрешениях на управление сетевыми контроллерами, которые предоставляются группе «Администраторы предприятия».

Если нерегламентированной репликации не удается выполнить для членов группы «Администраторы домена», сосредоточьтесь на разрешениях, предоставленных встроенной группе безопасности администраторов.

Если запланированная репликация, запущенная контроллерами домена в лесу, завершается сбоем и возвращает ошибку 8453, сосредоточьтесь на разрешениях для следующих групп безопасности:

Корпоративные контроллеры домена

Корпоративные Read-Only контроллеры домена

Если запланированная репликация запускается контроллерами домена на контроллере домена только для чтения (RODC), которая завершается сбоем и возвращает ошибку 8453, убедитесь, что группе безопасности контроллеров домена Enterprise Read-Only предоставлен необходимый доступ к головному контроллеру каждого раздела каталога.

В следующей таблице показано разрешение по умолчанию, определенное для схемы, конфигурации, домена и приложений DNS в различных версиях Windows.

DaCL, необходимый для каждой секции каталога Windows Server 2008 и более поздние версии
Управление топологией репликации X
Репликация изменений каталога X
Синхронизация репликации X
Репликация всех изменений каталога X
Репликация изменений в наборе фильтров X

Тест DCDIAG NcSecDesc может сообщать о ложноположительных ошибках при выполнении в средах со смешанными системными версиями.

Команду DSACLS можно использовать для дампа разрешений в заданном разделе каталога с помощью следующего синтаксиса:
DSACLS

Например, используйте следующую команду:

Команда может быть нацелена на удаленный контроллер домена с помощью синтаксиса:

Будьте осторожны с разрешением DENY для руководителей NC, удаляя разрешения для групп, в которых пользователь, завершившегося сбоем, является непосредственным или вложенным членом.

Добавление отсутствующих необходимых разрешений

Используйте редактор ACL Active Directory в ADSIEDIT. MSC для добавления отсутствующих списков DACLS.

Предоставление разрешений администраторам, не являмся администраторами домена

Предоставьте администраторам без домена следующие разрешения:

  • Репликация между контроллерами домена в одном домене для администраторов, не входящего в группу предприятия
  • Репликация между контроллерами домена в разных доменах

Разрешения по умолчанию для секций Active Directory не позволяют выполнять следующие операции:

  • Члены группы встроенных администраторов в одном домене не могут инициировать нерегламентную репликацию с контроллеров домена в разных доменах.
  • Пользователи, которые не являются членами встроенной группы администраторов домена, инициируют нерегламентированное репликацию между контроллерами домена в одном домене или другом домене.

Эти операции завершались сбоем до тех пор, пока не будут изменены разрешения для разделов каталогов.

Чтобы устранить эту проблему, используйте один из следующих методов:

Добавьте пользователей в существующие группы, которым уже предоставлены необходимые разрешения для репликации разделов каталогов. (Добавьте администраторов домена для репликации в том же домене или группу «Администраторы предприятия» для активации нерегламентированной репликации между разными доменами.)

Создайте собственную группу, предоставьте этой группе необходимые разрешения на секции каталогов по всему лесу, а затем добавьте пользователей в эти группы.

Дополнительные сведения см. в статье KB303972. Предоставьте группе безопасности те же разрешения, которые указаны в таблице в разделе » Исправление недопустимых дескрипторов безопасности по умолчанию».

Проверка членства в необходимых группах безопасности

После того как правильные группы безопасности будут предоставлены необходимые разрешения для разделов каталогов, убедитесь, что пользователи, которые запускают репликацию, имеют действующее членство в прямых или вложенных группах безопасности, которым предоставлены разрешения на репликацию. Для этого выполните следующие действия:

Войдите в систему с помощью учетной записи пользователя, в которой нерегламентированное репликация завершается сбоем, и возврат доступа к репликации был запрещен.

В командной строке выполните следующую команду:

Проверьте членство в группах безопасности, которым были предоставлены разрешения на репликацию каталога, для соответствующих разделов каталогов.

Если пользователь был добавлен в разрешенную группу, которая была изменена после последнего входа пользователя, войдите во второй раз, WHOAMI /ALL а затем выполните команду еще раз.

Если эта команда по-прежнему не отображает членство в ожидаемых группах безопасности, WHOAMI /ALL откройте окно командной строки с повышенными привилегиями на локальном компьютере и выполните команду в командной строке.

WHOAMI /ALL Если членство в группе отличается от выходных данных, создаваемых командными строками с повышенными и не повышенными привилегиями, см. статью «При выполнении запроса LDAP к контроллеру домена под управлением Windows Server 2008» вы получите неполный список атрибутов.

Убедитесь, что существуют ожидаемые вложенные членства в группах.

Если пользователь получает разрешения на выполнение нерегламентированной репликации в качестве члена вложенной группы, которая является членом группы, которой были предоставлены разрешения на репликацию напрямую, проверьте вложенную цепочку членства в группе. Мы видели нерегламентированные сбои репликации Active Directory, так как администраторы домена и группы администраторов предприятия были удалены из встроенных групп администраторов.

Репликация RODC

Если инициируемая компьютером репликация завершается сбоем на контроллерах домена, убедитесь, ADPREP /RODCPREP что вы запущены и что группе контроллера домена enterprise Read-Only предоставлены изменения каталога репликации прямо на каждом головном контроллере контроллера домена.

Отсутствует объект параметров NTDS для сервера LDS

В службах active Directory Lightweight Directory (LDS) объект можно удалить без очистки метаданных в DBDSUTIL. Это может вызвать эту проблему. Чтобы восстановить экземпляр в наборе конфигураций, необходимо удалить экземпляр LDS на затронутых серверах, а затем запустить мастер настройки ADAM.

Если вы добавили поддержку LDAPS для экземпляра, необходимо снова настроить сертификат в хранилище служб, так как при удалении экземпляра также удаляется экземпляр службы.

Источник

Источник

Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.

В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:

  • Error 2146893022 (главное конечное имя неверно);
  • Error 1908 (не удалось найти контроллер домена);
  • Error 8606 (недостаточно атрибутов для создания объекта);
  • Error 8453 (доступ к репликации отвергнут).

Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.

Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.

Архитектура леса
Рисунок. Архитектура леса

Роли системы и настройки

Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.

Два недостающих контроллера домена
Экран 1. Два недостающих контроллера домена

В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.

Статус репликации контроллеров домена
Экран 2. Статус репликации контроллеров домена

Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.

Ошибки репликации, возникающие в лесу Contoso
Экран 3. Ошибки репликации, возникающие в лесу Contoso

Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:

Repadmin /showrel * /csv > ShowRepl.csv

Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:

  1. Из меню Home щелкните Format as table и выберите один из стилей.
  2. Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
  3. Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
  4. Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
  5. Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
  6. Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.

Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:

1. Перейдите к приглашению PowerShell и введите команду

Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.

3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.

4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.

Задание фильтра
Экран 4. Задание фильтра

Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.

Исправление ошибки AD Replication Error -2146893022

Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:

Repadmin /showrepl dc2

На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.

Проблема с DC2 - целевое основное имя неверно
Экран 5. Проблема с DC2 — целевое основное имя неверно

Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:

Repadmin /bind DC1

На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).

Сообщение о событии с Event ID 4
Экран 6. Сообщение о событии с Event ID 4

Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:

Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta1.txt
Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta2.txt

Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.

KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:

Net stop kdc

Теперь требуется начать репликацию корневого раздела Root:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:

Net start kdc

Обнаружение и устранение ошибки AD Replication Error 1908

Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:

Nltest /dbflag:2080fff

Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:

Repadmin /replicate dc1 childdc1 dc=child,dc=root,
dc=contoso,dc=com

Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.

Репликация не состоялась, потому что DC домена не может быть найден
Экран 7. Репликация не состоялась, потому что DC домена не может быть найден

Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:

Nltest /dsgetdc:child /kdc

Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:

Nltest /dsgetdc:child

В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.

Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:

DSGetDcName function called: client PID=2176,
Dom:child Acct:(null) Flags:KDC

Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.

Пример потока 3372

Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:

Dcdiag /test:dns /dnsdelegation > Dnstest.txt

На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.

Пример файла Dnstest.txt
Экран 8. Пример файла Dnstest.txt

Чтобы устранить проблему DNS, сделайте следующее:

1. На DC1 откройте консоль управления DNS.

2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.

3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.

4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.

5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.

6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.

7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.

8. Дважды нажмите кнопку OK.

9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.

10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:

Nltest /dsgetdc:child /kdc /force

11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду

Repadmin /replicate dc1 childdc1 «dc=child,dc=root,
dc=contoso,dc=com»

Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.

Использование оснастки Active Directory Sites и?Services
Экран 9. Использование оснастки Active Directory Sites и?Services

После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.

Ошибка при репликации
Экран 10. Ошибка при репликации

Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.

Устранение ошибки AD Replication Error 8606

Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).

Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:

Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.

Ошибка из-за наличия устаревшего объекта
Экран 11. Ошибка из-за наличия устаревшего объекта
Событие с кодом 1988
Экран 12. Событие с кодом 1988

Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.

Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:

Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt

Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).

Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:

Repadmin /showrepl DC1 > Showrepl.txt

В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:

DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e

Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.

Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4-
b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com»
/Advisory_mode

Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.

Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.

Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:

Repldiag /removelingeringobjects
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:

Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=root,dc=contoso,dc=com» /Advisory_mode

После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.

Сообщение об удалении устаревших объектов
Экран 13. Сообщение об удалении устаревших объектов

Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.

Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.

Устранение ошибки AD Replication Error 8453

Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.

Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:

Repadmin /showrepl childdc2 > Repl.txt

Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:

BoulderChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
WARNING: Not advertising as a global catalog

Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:

Source: BoulderTRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
Replication access was denied
Naming Context: DC=treeroot,DC=fabrikam,DC=com

Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.

Отсутствие связи репликации
Экран 14. Отсутствие связи репликации

Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:

Dcdiag /test:checksecurityerror

На экране 15 показан фрагмент вывода DCDiag.exe.

Фрагмент вывода DCDiag.exe
Экран 15. Фрагмент вывода DCDiag.exe

Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.

Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:

1. На TRDC1 откройте оснастку ADSI Edit.

2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.

3. Выберите вкладку Security.

4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.

5. Нажмите Add.

6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.

7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.

8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений

*Read

*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)

*Read Other domain parameters

9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.

10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду

Repadmin /kcc childdc2
Включение разрешения Replicating Directory Change
Экран 16. Включение разрешения Replicating Directory Change

Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.

Состояние репликации критически важно

Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.

Листинг 1. Команды для удаления устаревших объектов из Reference DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.
root.contoso.com 0b457f73-96a4-429b-ba81-
1a3e0f51c848 «dc=forestdnszones,dc=root,
dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Root.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»

Листинг 2. Команды для удаления устаревших объектов из остальных DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects dc1.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones–Root.
Repadmin /removelingeringobjects dc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=domaindnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Child.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones-Child.
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена TreeRoot.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc1.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Источник
title description ms.date author ms.author manager audience ms.topic ms.prod localization_priority ms.reviewer ms.custom ms.technology

Active Directory replication error 8453

This article describes how to troubleshoot Active Directory replication error 8453.

09/08/2020

Deland-Han

delhan

dcscontentpm

itpro

troubleshooting

windows-server

medium

kaushika

sap:active-directory-replication, csstroubleshoot

windows-server-active-directory

Active Directory replication error 8453: Replication access was denied

This article describes how to troubleshoot a problem where Active Directory replication fails and generates error 8453: Replication access was denied.

Applies to:   Windows Server 2012 R2
Original KB number:   2022387

[!NOTE]
Home users: This article is only intended for technical support agents and IT professionals. If you’re looking for help with a problem, ask the Microsoft Community.

Summary

This error 8453 has the following primary causes:

  • The destination domain controller doesn’t have the required permissions to replicate the naming context/partition.

  • The administrator who manually started replication doesn’t have permissions to do so.

    [!NOTE]
    This condition doesn’t affect periodic or scheduled replication.

Top cause

For period or scheduled replication, if the destination domain controller is a Read-only Domain Controller (RODC):

The Enterprise Read-Only Domain Controllers security group doesn’t have Replicating Directory Changes permissions on the root of the naming context (NC) for the partition that doesn’t replicate and returns error 8453.

Top solution

On each NC that RODCs don’t replicate and that returns error 8453, grant Replicating Directory Changes permissions to the forest-root domain’s Enterprise Read-only Domain Controllers security group.

Example:

A RODC childdc2.child.contoso.com doesn’t replicate the contoso.com partition and returns error 8453. To troubleshoot this situation, follow these steps:

  1. Open ADSIEDIT.msc on a contoso.com domain controller.

  2. Open a connection to the contoso.com domain NC (default naming context).

  3. Open the properties of the dc=contoso,dc=com NC, and select the Security tab.

  4. Select Add, and enter the following entry in the text box:
    ContosoEnterprise Read-Only Domain Controllers

    [!NOTE]
    This group exists only in the forest-root domain.

  5. Select Check Names, and then select OK.

  6. In the Permissions for Enterprise Read-Only Domain Controllers dialog box, clear the Allow check boxes that are automatically selected:

    • Read
    • Read domain password & lockout policies
    • Read Other domain parameters

  7. Select the Allow box next to Replicating Directory Changes, and then select OK.

If these steps don’t resolve the problem, see the rest of this article.

Symptoms

When this problem occurs, you experience one or more of the following symptoms:

  • The DCDIAG Replication test (DCDIAG /TEST:NCSecDesc) reports that the tested domain controller failed test replications and has a status of 8453: Replication access was denied:

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • The DCDIAG NCSecDesc test (DCDIAG /TEST:NCSecDes) reports that the domain controller that was tested by DCDIAG failed test NCSecDec and that one or more permissions are missing on the NC head of one or more directory partitions on the tested domain controller that was tested by DCDIAG:

    Starting test: NCSecDesc  
Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSODomain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSOEnterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • The DCDIAG MachineAccount test (DCDIAG /TEST:MachineAccount) reports that the domain controller that was tested by DCDIAG failed test MachineAccount because the UserAccountControl attribute on the domain controllers computer account is missing the SERVER_TRUST_ACCOUNT or TRUSTED_FOR_DELEGATION flags:

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • The DCDIAG KCC event log test indicates the hexadecimal equivalent of Microsoft-Windows-ActiveDirectory_DomainService event 2896:

    B50 hex = 2896 decimal. This error may be logged every 60 seconds on the infrastructure master domain controller.

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE reports that a replication attempt failed and returned an 8453 status.

    REPADMIN commands that commonly indicate the 8453 status include but aren’t limited to the following.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      Sample output from REPADMIN /SHOWREPSshowing inbound replication from CONTOSO-DC2 to CONTOSO-DC1 that fail and return the replication access was denied error is as follows:

      Default-First-Site-NameCONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-NameCONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • The replicate now command in Active Directory Sites and Services (DSSITE.MSC) returns a replication access was denied error.

    Right-clicking the connection object from a source domain controller and then selecting replicate now fails. And a replication access was denied error is returned. The following error message is displayed:

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    :::image type=»content» source=»media/replication-error-8453/replication-access-was-denied-error.png» alt-text=»The Replication access was denied error that occurs after running the replicate now command.» border=»false»:::

  • NTDS KCC, NTDS General, or Microsoft-Windows-ActiveDirectory_DomainService events that have the 8453 status are logged in the Active Directory Directive Services (AD DS) event log.

Active Directory events that commonly indicate the 8453 status include but aren’t limited to the following events:

Event Source Event ID Event String
Microsoft-Windows-ActiveDirectory_DomainService 1699 This directory service failed to retrieve the changes requested for the following directory partition. As a result, it was unable to send change requests to the directory service at the following network address.
Microsoft-Windows-ActiveDirectory_DomainService 2896 A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.
NTDS General 1655 Active Directory attempted to communicate with the following global catalog and the attempts were unsuccessful.
NTDS KCC 1265 The attempt to establish a replication link with parameters
Partition: <partition DN path>
Source DSA DN: <DN of source DC NTDS Settings object>
Source DSA Address: <source DCs fully qualified CNAME>
Inter-site Transport (if any): <dn path>
failed with the following status:
NTDS KCC 1925 The attempt to establish a replication link for the following writable directory partition failed.

Cause

Error 8453 (Replication Access was denied) has multiple root causes, including:

  • The UserAccountControl attribute on the destination domain controller computer account is missing either of the following flags:
    SERVER_TRUST_ACCOUNT or TRUSTED_FOR_DELEGATION

  • The default permissions don’t exist on one or more directory partitions to allow scheduled replication to occur in the operating system’s security context.

  • The default or custom permissions don’t exist on one or more directory partitions to allow users to trigger ad-hoc or immediate replication by using DSSITE.MSC replicate now, repadmin /replicate, repadmin /syncall, or similar commands.

  • The permissions that are required to trigger ad-hoc replication are correctly defined on the relevant directory partitions. However, the user isn’t a member of any security groups that have been granted the replication directory changes permission.

  • The user who triggers ad-hoc replication is a member of the required security groups, and those security groups have been granted the Replicate Directory Changes permission. However, membership in the group that’s granting the replicating directory changes permission is removed from the user’s security token by the User Account Control split user access token feature. This feature was introduced in Windows Vista and Windows Server 2008.

    [!NOTE]
    Don’t confuse the User Account Control split token security feature that was introduced in Vista and Windows Server 2008 with the UserAccountControl attribute that’s defined on domain controller role computer accounts that are stored by the Active Directory service.

  • If the destination domain controller is an RODC, RODCPREP hasn’t been run in domains that are currently hosting read-only domain controllers, or the Enterprise Read-Only Domain Controllers group doesn’t have Replicate Directory Changes permissions for the partition that is not replicating.

  • DCs that are running new operating system versions were added to an existing forest where Office Communication Server has been installed.

  • You have Lightweight Directory Services (LDS) instances. And the NTDS Settings object for the affected instances is missing from the LDS configuration container. For example, you see the following entry:

    CN=NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Active Directory errors and events, such as those mentioned in the Symptoms section, may also occur and generate an error 5 message (Access is denied).

The steps for error 5 or error 8453 mentioned in the Resolution section won’t resolve replication failures on computers that are currently failing replication and generating the other error message.

Common root causes for Active Directory operations failing that are generating error 5 messages include:

  • Excessive Time Skew
  • The fragmentation of UDP-formatted Kerberos packets by intermediate devices on the network
  • Missing access this computer from network rights.
  • Broken secure channels or intra-domain trusts
  • CrashOnAuditFail = 2 entry in the registry

Resolution

To resolve this problem, use the following methods.

Run a health-check by using DCDIAG + DCDIAG /test:CheckSecurityError

  1. Run DCDIAG on the destination DC that’s reporting the 8453 error or event.
  2. Run DCDIAG on the source domain controller on which the destination domain controller is reporting the 8453 error or event.
  3. Run DCDIAG /test:CheckSecurityError on the destination domain controller.
  4. Run DCDIAG /test:CheckSecurityError on the source DC.

Fix invalid UserAccountControl

The UserAccountControl attribute includes a bitmask that defines the capabilities and state of a user or computer account. For more information about UserAccountControl flags, see User-Account-Control attribute.

The typical UserAccountControl attribute value for a writeable (full) DC computer account is 532480 decimal or 82000 hex. UserAccountControl values for a DC computer account can vary, but must contain the SERVER_TRUST_ACCOUNT and TRUSTED_FOR_DELEGATION flags, as shown in the following table.

Property flag Hex value Decimal value
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl Value 0x82000 532480

The typical UserAccountControl attribute value for a read-only domain controller computer account is 83890176 decimal or 5001000 hex.

Property flag Hex value Decimal value
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Typical UserAccountControl Value for RODC 0x5001000 83890176

  • The UserAccountControl attribute on the destination domain controller is missing the SERVER_TRUST_ACCOUNT flag

    If the DCDIAG MachineAccount test fails and returns a failed test MachineAcccount error message, and the UserAccountControl attribute on the tested domain controller is missing the SERVER_TRUST_ACCOUNT flag, add the missing flag in the tested domain controller’s copy of Active Directory.

    1. Start ADSIEDIT.MSC on the console of the domain controller that’s missing the SERVER_TRUST_ACCOUNT as reported by DCDIAG.
    2. Right-click ADSIEDIT in the top-left pane of ADSIEDIT.MSC, and then select connect to.
    3. In the Connection Settings dialog box, click Select a well known naming context, and then select Default naming context (the computer account domain partition).
    4. Click Select or type a domain or server. And select the name of the domain controller that’s failing in DCDIAG.
    5. Select OK.
    6. In the domain naming context, locate and right-click the domain controller computer account, and select Properties.
    7. Double-click the UserAccountControl attribute, and then record its decimal value.
    8. Start Windows Calculator in programmer mode (Windows Server 2008 and later versions).
    9. Enter the decimal value for UserAccountControl. Convert the decimal value to its hexadecimal equivalent, add 0x80000 to the existing value, and then press the equals sign (=).
    10. Convert the newly calculated UserAccountContorl value to its decimal equivalent.
    11. Enter the new decimal value from Windows Calculator to the UserAccountControl attribute in ADSIEDIT.MSC.
    12. Select OK twice to save.

  • The UserAccountControl attribute on the destination domain controller is missing the TRUSTED_FOR_DELEGATION flag

    If the DCDIAG MachineAccount test returns a failed test MachineAcccount error message, and the UserAccountControl attribute on the tested domain controller is missing the TRUSTED _FOR_DELEGATION flag, add the missing flag in the tested domain controller’s copy of Active Directory.

    1. Start Active Directory Users and Computers (DSA.MSC) on the console of the domain controller that was tested by DCDIAG.

    2. Right-click the domain controller computer account.

    3. Select the Delegation tab.

    4. On the domain controller machine account, select the Trusted this computer for delegation to any service (Kerberos only) option.

      :::image type=»content» source=»./media/replication-error-8453/trusted-computer-for-delegation-to-service.png» alt-text=»The Trusted this computer for delegation to any service option under the Delegation tab in the D C Properties dialog box.» border=»false»:::

Fix invalid default security descriptors

Active Directory operations take place in the security context of the account that started the operation. Default permissions on Active Directory partitions allow the following operations:

  • Members of the Enterprise Administrators group can start ad-hoc replication between any domain controller in any domain in the same forest.
  • Members of the Built-in Administrators group can start ad-hoc replication between domain controllers in the same domain.
  • Domain Controllers in the same forest can start replication by using either change notification or replication schedule.

Default permissions on Active Directory partitions don’t allow the following operations by default:

  • Members of the Built-in Administrators group in one domain can’t start ad-hoc replication to domain controllers in that domain from domain controllers in different domains.
  • Users that aren’t members of the Built-in Administrators group can’t start ad-hoc replication from any other domain controller in the same domain or forest.

By design, these operations fail until default permissions or group memberships are modified.

Permissions are defined at the top of each directory partition (NC head), and are inherited throughout the partition tree. Verify that explicit groups (groups that the user is directly a member of) and implicit groups (groups that explicit groups have nested membership of) have the required permissions. Also verify that Deny permissions assigned to implicit or explicit groups don’t take precedence over the required permissions. For more information about default directory partitions, see Default Security of the Configuration Directory Partition.

  • Verify that default permissions exist in the top of each directory partition that is failing and returning replication access was denied

    If ad-hoc replication is failing between domain controllers in different domains, or between domain controllers in the same domain for non-domain administrators, see the Grant non-domain admins permissions section.

    If ad-hoc replication is failing for members of the Enterprise Administrators group, focus on NC head permissions that are granted to the Enterprise Administrators group.

    If ad-hoc replication is failing for members of a Domain Administrators group, focus on the permissions that are granted to the built-in Administrators Security group.

    If a scheduled replication that’s started by domain controllers in a forest is failing and returning error 8453, focus on permissions for the following security groups:

    • Enterprise Domain Controllers

    • Enterprise Read-Only Domain Controllers

      If a scheduled replication is started by domain controllers on a read-only domain controller (RODC) is failing and returning error 8453, verify that the Enterprise Read-Only Domain Controllers security group is granted the required access on the NC head of each directory partition.

      The following table shows the default permission that’s defined on the schema, configuration, domain, and DNS applications by various Windows versions.

      |DACL required on each directory partition|Windows Server 2008 and later|
      |—|—|—|—|
      | Manage Replication Topology|X|
      | Replicating Directory Changes|X|
      | Replication Synchronization|X|
      | Replicating Directory Changes All|X|
      |Replicating Changes in Filter Set|X|

      [!NOTE]
      The DCDIAG NcSecDesc test may report false positive errors when it’s run in environments that have mixed system versions.

      The DSACLS command can be used to dump the permissions on a given directory partition by using the following syntax:
      DSACLS <DN path of directory partition>

      For example, use the following command:

      C:>dsacls dc=contoso,dc=com

      The command can be targeted to a remote domain controller by using the syntax:

      c:>dsacls \contoso-dc2dc=contoso,dc=com

      Be wary of DENY permission on NC heads removing the permissions for groups that the failing user is a direct or nested member of.

Add required permissions that are missing

Use the Active Directory ACL editor in ADSIEDIT.MSC to add the missing DACLS.

Grant non-domain admins permissions

Grant non-domain admins the following permissions:

  • To replicate between domain controllers in the same domain for non-enterprise administrators
  • To replicate between domain controllers in different domains

Default permissions on Active Directory partitions don’t allow the following operations:

  • Members of the Built-in Administrators group in one domain can’t initiate ad-hoc replication from domain controllers in different domains.
  • Users that aren’t members of the built-in domain admins group to initiate ad-hoc replication between domain controllers in the same domain or different domain.

These operations fail until permissions on directory partitions are modified.

To resolve this problem, use either of the following methods:

  • Add users to existing groups that have already been the granted the required permissions to replicate directory partitions. (Add the Domain administrators for replication in the same domain, or the Enterprise Administrators group to trigger ad-hoc replication between different domains.)

  • Create your own group, grant that group the required permissions on directory partitions throughout the forest, and then add users to those groups.

For more information, see KB303972. Grant the security group in question the same permissions listed in the table in the Fix invalid default security descriptors section.

Verify group membership in the required security groups

After the correct security groups have been granted the required permissions on directory partitions, verify that users who start replication have effective membership in direct or nested security groups that are granted replication permissions. To do it, follow these steps:

  1. Log on by using the user account in which ad-hoc replication is failing and returning replication access was denied.

  2. At a command prompt, run the following command:

  3. Verify membership in the security groups that have been granted the replicating directory changes permissions on the relevant directory partitions.

    If the user was added to the permitted group that was changed after the last user logon, log on a second time, and then run the WHOAMI /ALL command again.

    If this command still does not show membership in the expected security groups, open an elevated Command Prompt window, on the local computer, and run WHOAMI /ALL at the command prompt.

    If the group membership differs between the WHOAMI /ALL output that is generated by elevated and non-elevated command prompts, see When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list.

  4. Verify that the expected nested group memberships exist.

    If a user is getting permissions to run ad-hoc replication as a member of nested group, which is a member of group that has been directly granted replication permissions, verify the nested group membership chain. We’ve seen ad-hoc Active Directory replication failures because the Domain Administrators and Enterprise Administrators groups were removed from the built-in Administrators groups.

RODC replication

If computer-initiated replication is failing on RODCs, verify that you have run ADPREP /RODCPREP and that the Enterprise Read-Only Domain Controller group is granted the Replicate Directory Changes right on each NC head.

Missing NTDS Settings object for LDS server

In Active Directory Lightweight Directory Services (LDS), it’s possible to delete the object without a metadata cleanup in DBDSUTIL. It may cause this problem. To restore the instance to the configuration set, you must uninstall the LDS instance on the affected servers, and then run the ADAM configuration wizard.

[!NOTE]
If you have added LDAPS support for the instance, you must configure the certificate in the service store again, because uninstalling the instance also removes the service instance.

Источник
title description ms.date author ms.author manager audience ms.topic ms.prod localization_priority ms.reviewer ms.custom ms.technology

Active Directory replication error 8453

This article describes how to troubleshoot Active Directory replication error 8453.

09/08/2020

Deland-Han

delhan

dcscontentpm

itpro

troubleshooting

windows-server

medium

kaushika

sap:active-directory-replication, csstroubleshoot

windows-server-active-directory

Active Directory replication error 8453: Replication access was denied

This article describes how to troubleshoot a problem where Active Directory replication fails and generates error 8453: Replication access was denied.

Applies to:   Windows Server 2012 R2
Original KB number:   2022387

[!NOTE]
Home users: This article is only intended for technical support agents and IT professionals. If you’re looking for help with a problem, ask the Microsoft Community.

Summary

This error 8453 has the following primary causes:

  • The destination domain controller doesn’t have the required permissions to replicate the naming context/partition.

  • The administrator who manually started replication doesn’t have permissions to do so.

    [!NOTE]
    This condition doesn’t affect periodic or scheduled replication.

Top cause

For period or scheduled replication, if the destination domain controller is a Read-only Domain Controller (RODC):

The Enterprise Read-Only Domain Controllers security group doesn’t have Replicating Directory Changes permissions on the root of the naming context (NC) for the partition that doesn’t replicate and returns error 8453.

Top solution

On each NC that RODCs don’t replicate and that returns error 8453, grant Replicating Directory Changes permissions to the forest-root domain’s Enterprise Read-only Domain Controllers security group.

Example:

A RODC childdc2.child.contoso.com doesn’t replicate the contoso.com partition and returns error 8453. To troubleshoot this situation, follow these steps:

  1. Open ADSIEDIT.msc on a contoso.com domain controller.

  2. Open a connection to the contoso.com domain NC (default naming context).

  3. Open the properties of the dc=contoso,dc=com NC, and select the Security tab.

  4. Select Add, and enter the following entry in the text box:
    ContosoEnterprise Read-Only Domain Controllers

    [!NOTE]
    This group exists only in the forest-root domain.

  5. Select Check Names, and then select OK.

  6. In the Permissions for Enterprise Read-Only Domain Controllers dialog box, clear the Allow check boxes that are automatically selected:

    • Read
    • Read domain password & lockout policies
    • Read Other domain parameters

  7. Select the Allow box next to Replicating Directory Changes, and then select OK.

If these steps don’t resolve the problem, see the rest of this article.

Symptoms

When this problem occurs, you experience one or more of the following symptoms:

  • The DCDIAG Replication test (DCDIAG /TEST:NCSecDesc) reports that the tested domain controller failed test replications and has a status of 8453: Replication access was denied:

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • The DCDIAG NCSecDesc test (DCDIAG /TEST:NCSecDes) reports that the domain controller that was tested by DCDIAG failed test NCSecDec and that one or more permissions are missing on the NC head of one or more directory partitions on the tested domain controller that was tested by DCDIAG:

    Starting test: NCSecDesc  
Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSODomain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSOEnterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • The DCDIAG MachineAccount test (DCDIAG /TEST:MachineAccount) reports that the domain controller that was tested by DCDIAG failed test MachineAccount because the UserAccountControl attribute on the domain controllers computer account is missing the SERVER_TRUST_ACCOUNT or TRUSTED_FOR_DELEGATION flags:

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • The DCDIAG KCC event log test indicates the hexadecimal equivalent of Microsoft-Windows-ActiveDirectory_DomainService event 2896:

    B50 hex = 2896 decimal. This error may be logged every 60 seconds on the infrastructure master domain controller.

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE reports that a replication attempt failed and returned an 8453 status.

    REPADMIN commands that commonly indicate the 8453 status include but aren’t limited to the following.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      Sample output from REPADMIN /SHOWREPSshowing inbound replication from CONTOSO-DC2 to CONTOSO-DC1 that fail and return the replication access was denied error is as follows:

      Default-First-Site-NameCONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-NameCONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • The replicate now command in Active Directory Sites and Services (DSSITE.MSC) returns a replication access was denied error.

    Right-clicking the connection object from a source domain controller and then selecting replicate now fails. And a replication access was denied error is returned. The following error message is displayed:

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    :::image type=»content» source=»media/replication-error-8453/replication-access-was-denied-error.png» alt-text=»The Replication access was denied error that occurs after running the replicate now command.» border=»false»:::

  • NTDS KCC, NTDS General, or Microsoft-Windows-ActiveDirectory_DomainService events that have the 8453 status are logged in the Active Directory Directive Services (AD DS) event log.

Active Directory events that commonly indicate the 8453 status include but aren’t limited to the following events:

Event Source Event ID Event String
Microsoft-Windows-ActiveDirectory_DomainService 1699 This directory service failed to retrieve the changes requested for the following directory partition. As a result, it was unable to send change requests to the directory service at the following network address.
Microsoft-Windows-ActiveDirectory_DomainService 2896 A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.
NTDS General 1655 Active Directory attempted to communicate with the following global catalog and the attempts were unsuccessful.
NTDS KCC 1265 The attempt to establish a replication link with parameters
Partition: <partition DN path>
Source DSA DN: <DN of source DC NTDS Settings object>
Source DSA Address: <source DCs fully qualified CNAME>
Inter-site Transport (if any): <dn path>
failed with the following status:
NTDS KCC 1925 The attempt to establish a replication link for the following writable directory partition failed.

Cause

Error 8453 (Replication Access was denied) has multiple root causes, including:

  • The UserAccountControl attribute on the destination domain controller computer account is missing either of the following flags:
    SERVER_TRUST_ACCOUNT or TRUSTED_FOR_DELEGATION

  • The default permissions don’t exist on one or more directory partitions to allow scheduled replication to occur in the operating system’s security context.

  • The default or custom permissions don’t exist on one or more directory partitions to allow users to trigger ad-hoc or immediate replication by using DSSITE.MSC replicate now, repadmin /replicate, repadmin /syncall, or similar commands.

  • The permissions that are required to trigger ad-hoc replication are correctly defined on the relevant directory partitions. However, the user isn’t a member of any security groups that have been granted the replication directory changes permission.

  • The user who triggers ad-hoc replication is a member of the required security groups, and those security groups have been granted the Replicate Directory Changes permission. However, membership in the group that’s granting the replicating directory changes permission is removed from the user’s security token by the User Account Control split user access token feature. This feature was introduced in Windows Vista and Windows Server 2008.

    [!NOTE]
    Don’t confuse the User Account Control split token security feature that was introduced in Vista and Windows Server 2008 with the UserAccountControl attribute that’s defined on domain controller role computer accounts that are stored by the Active Directory service.

  • If the destination domain controller is an RODC, RODCPREP hasn’t been run in domains that are currently hosting read-only domain controllers, or the Enterprise Read-Only Domain Controllers group doesn’t have Replicate Directory Changes permissions for the partition that is not replicating.

  • DCs that are running new operating system versions were added to an existing forest where Office Communication Server has been installed.

  • You have Lightweight Directory Services (LDS) instances. And the NTDS Settings object for the affected instances is missing from the LDS configuration container. For example, you see the following entry:

    CN=NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Active Directory errors and events, such as those mentioned in the Symptoms section, may also occur and generate an error 5 message (Access is denied).

The steps for error 5 or error 8453 mentioned in the Resolution section won’t resolve replication failures on computers that are currently failing replication and generating the other error message.

Common root causes for Active Directory operations failing that are generating error 5 messages include:

  • Excessive Time Skew
  • The fragmentation of UDP-formatted Kerberos packets by intermediate devices on the network
  • Missing access this computer from network rights.
  • Broken secure channels or intra-domain trusts
  • CrashOnAuditFail = 2 entry in the registry

Resolution

To resolve this problem, use the following methods.

Run a health-check by using DCDIAG + DCDIAG /test:CheckSecurityError

  1. Run DCDIAG on the destination DC that’s reporting the 8453 error or event.
  2. Run DCDIAG on the source domain controller on which the destination domain controller is reporting the 8453 error or event.
  3. Run DCDIAG /test:CheckSecurityError on the destination domain controller.
  4. Run DCDIAG /test:CheckSecurityError on the source DC.

Fix invalid UserAccountControl

The UserAccountControl attribute includes a bitmask that defines the capabilities and state of a user or computer account. For more information about UserAccountControl flags, see User-Account-Control attribute.

The typical UserAccountControl attribute value for a writeable (full) DC computer account is 532480 decimal or 82000 hex. UserAccountControl values for a DC computer account can vary, but must contain the SERVER_TRUST_ACCOUNT and TRUSTED_FOR_DELEGATION flags, as shown in the following table.

Property flag Hex value Decimal value
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl Value 0x82000 532480

The typical UserAccountControl attribute value for a read-only domain controller computer account is 83890176 decimal or 5001000 hex.

Property flag Hex value Decimal value
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Typical UserAccountControl Value for RODC 0x5001000 83890176

  • The UserAccountControl attribute on the destination domain controller is missing the SERVER_TRUST_ACCOUNT flag

    If the DCDIAG MachineAccount test fails and returns a failed test MachineAcccount error message, and the UserAccountControl attribute on the tested domain controller is missing the SERVER_TRUST_ACCOUNT flag, add the missing flag in the tested domain controller’s copy of Active Directory.

    1. Start ADSIEDIT.MSC on the console of the domain controller that’s missing the SERVER_TRUST_ACCOUNT as reported by DCDIAG.
    2. Right-click ADSIEDIT in the top-left pane of ADSIEDIT.MSC, and then select connect to.
    3. In the Connection Settings dialog box, click Select a well known naming context, and then select Default naming context (the computer account domain partition).
    4. Click Select or type a domain or server. And select the name of the domain controller that’s failing in DCDIAG.
    5. Select OK.
    6. In the domain naming context, locate and right-click the domain controller computer account, and select Properties.
    7. Double-click the UserAccountControl attribute, and then record its decimal value.
    8. Start Windows Calculator in programmer mode (Windows Server 2008 and later versions).
    9. Enter the decimal value for UserAccountControl. Convert the decimal value to its hexadecimal equivalent, add 0x80000 to the existing value, and then press the equals sign (=).
    10. Convert the newly calculated UserAccountContorl value to its decimal equivalent.
    11. Enter the new decimal value from Windows Calculator to the UserAccountControl attribute in ADSIEDIT.MSC.
    12. Select OK twice to save.

  • The UserAccountControl attribute on the destination domain controller is missing the TRUSTED_FOR_DELEGATION flag

    If the DCDIAG MachineAccount test returns a failed test MachineAcccount error message, and the UserAccountControl attribute on the tested domain controller is missing the TRUSTED _FOR_DELEGATION flag, add the missing flag in the tested domain controller’s copy of Active Directory.

    1. Start Active Directory Users and Computers (DSA.MSC) on the console of the domain controller that was tested by DCDIAG.

    2. Right-click the domain controller computer account.

    3. Select the Delegation tab.

    4. On the domain controller machine account, select the Trusted this computer for delegation to any service (Kerberos only) option.

      :::image type=»content» source=»./media/replication-error-8453/trusted-computer-for-delegation-to-service.png» alt-text=»The Trusted this computer for delegation to any service option under the Delegation tab in the D C Properties dialog box.» border=»false»:::

Fix invalid default security descriptors

Active Directory operations take place in the security context of the account that started the operation. Default permissions on Active Directory partitions allow the following operations:

  • Members of the Enterprise Administrators group can start ad-hoc replication between any domain controller in any domain in the same forest.
  • Members of the Built-in Administrators group can start ad-hoc replication between domain controllers in the same domain.
  • Domain Controllers in the same forest can start replication by using either change notification or replication schedule.

Default permissions on Active Directory partitions don’t allow the following operations by default:

  • Members of the Built-in Administrators group in one domain can’t start ad-hoc replication to domain controllers in that domain from domain controllers in different domains.
  • Users that aren’t members of the Built-in Administrators group can’t start ad-hoc replication from any other domain controller in the same domain or forest.

By design, these operations fail until default permissions or group memberships are modified.

Permissions are defined at the top of each directory partition (NC head), and are inherited throughout the partition tree. Verify that explicit groups (groups that the user is directly a member of) and implicit groups (groups that explicit groups have nested membership of) have the required permissions. Also verify that Deny permissions assigned to implicit or explicit groups don’t take precedence over the required permissions. For more information about default directory partitions, see Default Security of the Configuration Directory Partition.

  • Verify that default permissions exist in the top of each directory partition that is failing and returning replication access was denied

    If ad-hoc replication is failing between domain controllers in different domains, or between domain controllers in the same domain for non-domain administrators, see the Grant non-domain admins permissions section.

    If ad-hoc replication is failing for members of the Enterprise Administrators group, focus on NC head permissions that are granted to the Enterprise Administrators group.

    If ad-hoc replication is failing for members of a Domain Administrators group, focus on the permissions that are granted to the built-in Administrators Security group.

    If a scheduled replication that’s started by domain controllers in a forest is failing and returning error 8453, focus on permissions for the following security groups:

    • Enterprise Domain Controllers

    • Enterprise Read-Only Domain Controllers

      If a scheduled replication is started by domain controllers on a read-only domain controller (RODC) is failing and returning error 8453, verify that the Enterprise Read-Only Domain Controllers security group is granted the required access on the NC head of each directory partition.

      The following table shows the default permission that’s defined on the schema, configuration, domain, and DNS applications by various Windows versions.

      |DACL required on each directory partition|Windows Server 2008 and later|
      |—|—|—|—|
      | Manage Replication Topology|X|
      | Replicating Directory Changes|X|
      | Replication Synchronization|X|
      | Replicating Directory Changes All|X|
      |Replicating Changes in Filter Set|X|

      [!NOTE]
      The DCDIAG NcSecDesc test may report false positive errors when it’s run in environments that have mixed system versions.

      The DSACLS command can be used to dump the permissions on a given directory partition by using the following syntax:
      DSACLS <DN path of directory partition>

      For example, use the following command:

      C:>dsacls dc=contoso,dc=com

      The command can be targeted to a remote domain controller by using the syntax:

      c:>dsacls \contoso-dc2dc=contoso,dc=com

      Be wary of DENY permission on NC heads removing the permissions for groups that the failing user is a direct or nested member of.

Add required permissions that are missing

Use the Active Directory ACL editor in ADSIEDIT.MSC to add the missing DACLS.

Grant non-domain admins permissions

Grant non-domain admins the following permissions:

  • To replicate between domain controllers in the same domain for non-enterprise administrators
  • To replicate between domain controllers in different domains

Default permissions on Active Directory partitions don’t allow the following operations:

  • Members of the Built-in Administrators group in one domain can’t initiate ad-hoc replication from domain controllers in different domains.
  • Users that aren’t members of the built-in domain admins group to initiate ad-hoc replication between domain controllers in the same domain or different domain.

These operations fail until permissions on directory partitions are modified.

To resolve this problem, use either of the following methods:

  • Add users to existing groups that have already been the granted the required permissions to replicate directory partitions. (Add the Domain administrators for replication in the same domain, or the Enterprise Administrators group to trigger ad-hoc replication between different domains.)

  • Create your own group, grant that group the required permissions on directory partitions throughout the forest, and then add users to those groups.

For more information, see KB303972. Grant the security group in question the same permissions listed in the table in the Fix invalid default security descriptors section.

Verify group membership in the required security groups

After the correct security groups have been granted the required permissions on directory partitions, verify that users who start replication have effective membership in direct or nested security groups that are granted replication permissions. To do it, follow these steps:

  1. Log on by using the user account in which ad-hoc replication is failing and returning replication access was denied.

  2. At a command prompt, run the following command:

  3. Verify membership in the security groups that have been granted the replicating directory changes permissions on the relevant directory partitions.

    If the user was added to the permitted group that was changed after the last user logon, log on a second time, and then run the WHOAMI /ALL command again.

    If this command still does not show membership in the expected security groups, open an elevated Command Prompt window, on the local computer, and run WHOAMI /ALL at the command prompt.

    If the group membership differs between the WHOAMI /ALL output that is generated by elevated and non-elevated command prompts, see When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list.

  4. Verify that the expected nested group memberships exist.

    If a user is getting permissions to run ad-hoc replication as a member of nested group, which is a member of group that has been directly granted replication permissions, verify the nested group membership chain. We’ve seen ad-hoc Active Directory replication failures because the Domain Administrators and Enterprise Administrators groups were removed from the built-in Administrators groups.

RODC replication

If computer-initiated replication is failing on RODCs, verify that you have run ADPREP /RODCPREP and that the Enterprise Read-Only Domain Controller group is granted the Replicate Directory Changes right on each NC head.

Missing NTDS Settings object for LDS server

In Active Directory Lightweight Directory Services (LDS), it’s possible to delete the object without a metadata cleanup in DBDSUTIL. It may cause this problem. To restore the instance to the configuration set, you must uninstall the LDS instance on the affected servers, and then run the ADAM configuration wizard.

[!NOTE]
If you have added LDAPS support for the instance, you must configure the certificate in the service store again, because uninstalling the instance also removes the service instance.

Источник

Содержание

  • 1 Постановка задачи
  • 2 Добавление контроллера домена
  • 3 Перенос роли хозяина операций
  • 4 Работа над ошибками
    • 4.1 DNS не удаётся разрешить IP-адрес
    • 4.2 Ошибка репликации 8453
    • 4.3 На контроллере нет сетевых ресурсов NetLogon и SysVol
  • 5 См. также

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 — единственный контроллер домена
  • DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен. 

C:Windowssystem32>nltest /dclist:mydomain.local
Получить список контроллеров домена в домене "mydomain.local" из "\dc1.mydomain.local".
    dc1.mydomain.local [PDC]  [DS] Сайт: Default-First-Site-Name
    DC2.mydomain.local        [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory: 

C:Windowssystem32>dsquery server
"CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
"CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт: 

repadmin /replsummary
repadmin /queue
repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами: 

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local: 

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций: 

C:Userspnm>netdom query FSMO
Хозяин схемы                dc1.mydomain.local
Хозяин именования доменов   dc1.mydomain.local
PDC                         dc1.mydomain.local
Диспетчер пула RID          dc1.mydomain.local
Хозяин инфраструктуры       dc1.mydomain.local
Команда выполнена успешно.

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2: 

C:Userspnm>ntdsutil 
ntdsutil: roles
fsmo maintenance: connections 
server connections: connect to server dc2
Привязка к dc2 ...
Подключен к dc2 с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize naming master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize schema master
quit
quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее 

C:Userspnm>netdom query FSMO
Хозяин схемы                dc2.mydomain.local
Хозяин именования доменов   dc2.mydomain.local
PDC                         dc2.mydomain.local
Диспетчер пула RID          dc2.mydomain.local
Хозяин инфраструктуры       dc2.mydomain.local
Команда выполнена успешно.

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS: 

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-NameDC2
    Запуск проверки: Connectivity
       Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
       разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
       Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
       брандмауэра.
       ......................... DC2 - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-NameDC2
      Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd — консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку: 

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами 

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой: 

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой: 

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

См. также

  • Active Directory — общая информация
Источник

Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить

Обновление контроллеров домена до Windows Server 2016

1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.

2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».

3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.

4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.

5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.

6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.

7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров

Код: 

Repadmin /syncall /AeS
repadmin /replsum

8. Перераспределяем роли FSMO:

Код: 

[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]

где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.

9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.

10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить

Код: 

repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum

11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.

Источник

Диагностика сервера каталогов

Выполнение начальной настройки:

Выполняется попытка поиска основного сервера…

Основной сервер = MSK-DC16

* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: SITEMSK-DC16

Запуск проверки: Connectivity

……………………. MSK-DC16 — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: MaslovkaMSK-DC16

Запуск проверки: Advertising

……………………. MSK-DC16 — пройдена проверка Advertising

Запуск проверки: FrsEvent

……………………. MSK-DC16 — пройдена проверка FrsEvent

Запуск проверки: DFSREvent

За последние 24 часа после предоставления SYSVOL в общий доступ

зафиксированы предупреждения или сообщения об ошибках. Сбои при

репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 — пройдена проверка DFSREvent

Запуск проверки: SysVolCheck

……………………. MSK-DC16 — пройдена проверка SysVolCheck

Запуск проверки: KccEvent

……………………. MSK-DC16 — пройдена проверка KccEvent

Запуск проверки: KnowsOfRoleHolders

……………………. MSK-DC16 — пройдена проверка

KnowsOfRoleHolders

Запуск проверки: MachineAccount

……………………. MSK-DC16 — пройдена проверка MachineAccount

Запуск проверки: NCSecDesc

……………………. MSK-DC16 — пройдена проверка NCSecDesc

Запуск проверки: NetLogons

[MSK-DC16] В учетных данных пользователя отсутствует разрешение на

выполнение данной операции.

Учетная запись, используемая для этой проверки, должна иметь права на

вход в сеть

для домена данного компьютера.

……………………. MSK-DC16 — не пройдена проверка NetLogons

Запуск проверки: ObjectsReplicated

……………………. MSK-DC16 — пройдена проверка

ObjectsReplicated

Запуск проверки: Replications

[Проверка репликации,MSK-DC16] Сбой функции

DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105

«Доступ к репликации отвергнут.»

……………………. MSK-DC16 — не пройдена проверка Replications

Запуск проверки: RidManager

……………………. MSK-DC16 — пройдена проверка RidManager

Запуск проверки: Services

Не удалось открыть службу NTDS в MSK-DC16, ошибка 0x5

«Отказано в доступе.»

……………………. MSK-DC16 — не пройдена проверка Services

Запуск проверки: SystemLog

……………………. MSK-DC16 — пройдена проверка SystemLog

Запуск проверки: VerifyReferences

……………………. MSK-DC16 — пройдена проверка

VerifyReferences

Выполнение проверок разделов на: ForestDnsZones

Запуск проверки: CheckSDRefDom

……………………. ForestDnsZones — пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. ForestDnsZones — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones

Запуск проверки: CheckSDRefDom

……………………. DomainDnsZones — пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DomainDnsZones — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Schema

Запуск проверки: CheckSDRefDom

……………………. Schema — пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Schema — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Configuration

Запуск проверки: CheckSDRefDom

……………………. Configuration — пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Configuration — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DOMEN

Запуск проверки: CheckSDRefDom

……………………. DOMEN — пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DOMEN — пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: DOMEN.local

Запуск проверки: LocatorCheck

……………………. DOMEN.local — пройдена проверка LocatorCheck

Запуск проверки: Intersite

……………………. DOMEN.local — пройдена проверка Intersite

Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.

В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:

  • Error 2146893022 (главное конечное имя неверно);
  • Error 1908 (не удалось найти контроллер домена);
  • Error 8606 (недостаточно атрибутов для создания объекта);
  • Error 8453 (доступ к репликации отвергнут).

Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.

Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.

Архитектура леса
Рисунок. Архитектура леса

Роли системы и настройки

Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.

Два недостающих контроллера домена
Экран 1. Два недостающих контроллера домена

В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.

Статус репликации контроллеров домена
Экран 2. Статус репликации контроллеров домена

Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.

Ошибки репликации, возникающие в лесу Contoso
Экран 3. Ошибки репликации, возникающие в лесу Contoso

Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:

Repadmin /showrel * /csv > ShowRepl.csv

Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:

  1. Из меню Home щелкните Format as table и выберите один из стилей.
  2. Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
  3. Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
  4. Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
  5. Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
  6. Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.

Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:

1. Перейдите к приглашению PowerShell и введите команду

Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.

3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.

4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.

Задание фильтра
Экран 4. Задание фильтра

Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.

Исправление ошибки AD Replication Error -2146893022

Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:

Repadmin /showrepl dc2

На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.

Проблема с DC2 - целевое основное имя неверно
Экран 5. Проблема с DC2 — целевое основное имя неверно

Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:

Repadmin /bind DC1

На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).

Сообщение о событии с Event ID 4
Экран 6. Сообщение о событии с Event ID 4

Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:

Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta1.txt
Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta2.txt

Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.

KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:

Net stop kdc

Теперь требуется начать репликацию корневого раздела Root:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:

Net start kdc

Обнаружение и устранение ошибки AD Replication Error 1908

Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:

Nltest /dbflag:2080fff

Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:

Repadmin /replicate dc1 childdc1 dc=child,dc=root,
dc=contoso,dc=com

Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.

Репликация не состоялась, потому что DC домена не может быть найден
Экран 7. Репликация не состоялась, потому что DC домена не может быть найден

Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:

Nltest /dsgetdc:child /kdc

Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:

Nltest /dsgetdc:child

В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.

Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:

DSGetDcName function called: client PID=2176,
Dom:child Acct:(null) Flags:KDC

Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.

Пример потока 3372

Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:

Dcdiag /test:dns /dnsdelegation > Dnstest.txt

На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.

Пример файла Dnstest.txt
Экран 8. Пример файла Dnstest.txt

Чтобы устранить проблему DNS, сделайте следующее:

1. На DC1 откройте консоль управления DNS.

2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.

3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.

4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.

5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.

6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.

7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.

8. Дважды нажмите кнопку OK.

9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.

10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:

Nltest /dsgetdc:child /kdc /force

11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду

Repadmin /replicate dc1 childdc1 «dc=child,dc=root,
dc=contoso,dc=com»

Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.

Использование оснастки Active Directory Sites и?Services
Экран 9. Использование оснастки Active Directory Sites и?Services

После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.

Ошибка при репликации
Экран 10. Ошибка при репликации

Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.

Устранение ошибки AD Replication Error 8606

Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).

Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:

Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.

Ошибка из-за наличия устаревшего объекта
Экран 11. Ошибка из-за наличия устаревшего объекта
Событие с кодом 1988
Экран 12. Событие с кодом 1988

Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.

Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:

Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt

Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).

Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:

Repadmin /showrepl DC1 > Showrepl.txt

В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:

DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e

Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.

Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4-
b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com»
/Advisory_mode

Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.

Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.

Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:

Repldiag /removelingeringobjects
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:

Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=root,dc=contoso,dc=com» /Advisory_mode

После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.

Сообщение об удалении устаревших объектов
Экран 13. Сообщение об удалении устаревших объектов

Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.

Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.

Устранение ошибки AD Replication Error 8453

Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.

Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:

Repadmin /showrepl childdc2 > Repl.txt

Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:

BoulderChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
WARNING: Not advertising as a global catalog

Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:

Source: BoulderTRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
Replication access was denied
Naming Context: DC=treeroot,DC=fabrikam,DC=com

Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.

Отсутствие связи репликации
Экран 14. Отсутствие связи репликации

Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:

Dcdiag /test:checksecurityerror

На экране 15 показан фрагмент вывода DCDiag.exe.

Фрагмент вывода DCDiag.exe
Экран 15. Фрагмент вывода DCDiag.exe

Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.

Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:

1. На TRDC1 откройте оснастку ADSI Edit.

2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.

3. Выберите вкладку Security.

4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.

5. Нажмите Add.

6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.

7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.

8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений

*Read

*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)

*Read Other domain parameters

9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.

10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду

Repadmin /kcc childdc2
Включение разрешения Replicating Directory Change
Экран 16. Включение разрешения Replicating Directory Change

Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.

Состояние репликации критически важно

Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.

Листинг 1. Команды для удаления устаревших объектов из Reference DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.
root.contoso.com 0b457f73-96a4-429b-ba81-
1a3e0f51c848 «dc=forestdnszones,dc=root,
dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Root.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»

Листинг 2. Команды для удаления устаревших объектов из остальных DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects dc1.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones–Root.
Repadmin /removelingeringobjects dc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=domaindnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Child.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones-Child.
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена TreeRoot.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc1.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

  • MYDOMAIN.LOCAL – наш домен под управлением Active Directory в Windows 2012 Server
  • DC1 – единственный контроллер домена
  • DC2 – новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли “Доменные службы Active Directory” и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:Windowssystem32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене “mydomain.local” из “dc1.mydomain.local”. dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:Windowssystem32>dsquery server “CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local” “CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local”

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary repadmin /queue repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:Userspnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.

Перенос ролей можно сделать двумя способами:

1. через оснастку “Active Directory – Домены и доверие”, открыв её из Диспетчера серверов – Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:Userspnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 … Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:Userspnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-NameDC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ……………………. DC2 – не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-NameDC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

  • Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

  • Рекомендации по настройке службы DNS на контроллере домена
  • DNScmd – консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

Источник

Понравилась статья? Поделить с друзьями:
  • Ошибка рентгена легких
  • Ошибка рено магнум sensor defekt
  • Ошибка рено флюенс injection
  • Ошибка рено магнум repair now
  • Ошибка рено флюенс df226