Ошибка ldap 82 0x52 локальная ошибка

I have 3 domain controllers in an 2008 AD environment. Some days ago i found that 1 was corrupt and caused some problems.
This server is the first server in the domain and holds certificate service + DFS registrations. All servers are running on VMware. I decided to restore de server from an old backup (12 months old). The restored server is fine but is off course outdated and
needs to be synchronized with the two existing.

First I cleaned up a little in DNS with the following procedure:

renamed the system32confignetlogon.dns and netlogon.dnb files
ipconfig /registerdns
net stop netlogon
net start netlogon

That eliminated the first error I had with replication. “The target principal name is
incorrect” Next was to remove lingerine objects using: repadmin /removelingeringobjects RESTORED_SERVER1.DOMAIN.COM 83feb989-46eb-4c0b-9c6f-bae9ec24542c «dc=DOMAIN, dc=COM»

Then I tried to do the following:

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

Repadmin can’t connect to a «home server», because of the following error. 
Try specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

So I tried the same 3 commands on the RESTORED domain controller.

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8451 (0x2103):

   
The replication operation encountered a database error.

Any help would be appreciated :-)

I have 3 domain controllers in an 2008 AD environment. Some days ago i found that 1 was corrupt and caused some problems.
This server is the first server in the domain and holds certificate service + DFS registrations. All servers are running on VMware. I decided to restore de server from an old backup (12 months old). The restored server is fine but is off course outdated and
needs to be synchronized with the two existing.

First I cleaned up a little in DNS with the following procedure:

renamed the system32confignetlogon.dns and netlogon.dnb files
ipconfig /registerdns
net stop netlogon
net start netlogon

That eliminated the first error I had with replication. “The target principal name is
incorrect” Next was to remove lingerine objects using: repadmin /removelingeringobjects RESTORED_SERVER1.DOMAIN.COM 83feb989-46eb-4c0b-9c6f-bae9ec24542c «dc=DOMAIN, dc=COM»

Then I tried to do the following:

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

Repadmin can’t connect to a «home server», because of the following error. 
Try specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

So I tried the same 3 commands on the RESTORED domain controller.

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8451 (0x2103):

   
The replication operation encountered a database error.

Any help would be appreciated :-)

Содержание

  1. Глава 12. Ошибки и устранение неисправностей LDAP
  2. Стандартные сообщения об ошибках LDAP
  3. Журналы OpenLDAP

Глава 12. Ошибки и устранение неисправностей LDAP

Иногда OpenLDAP подвергается критике за скудность сообщений об ошибках и слабую диагностику. Отчасти это связано с генеральной линией стандартизации сообщений об ошибках, ограничивающей возможности реализаций служб каталогов по выдаче более информативных и творческих сообщений (справедливости ради стоит отметить, что в стандартах предусмотрено наличие в сообщении текстового элемента для более точного освещения проблемы), отчасти с тем, что многие сообщения об ошибках выводятся через клиентские программы, которые могут делать серьёзные искажения исходных диагностических сообщений.

Лучший источник диагностической информации — журналы OpenLDAP необходимого уровня (безусловно, наиболее полный из которых loglevel -1).

Ниже мы приводим некоторые сведения о том, как правильно читать журналы OpenLDAP, а также стандартные сообщения об ошибках LDAP с некоторыми подсказками о том, в чём может заключаться причина ошибки.

Данные сообщения об ошибках определены в разделе 4.1.9 RFC 4511, черновом RFC LDAP C API (датированным 2000-м годом), а также выяснены путём изучения заголовочного файла LDAPResult.h дистрибутива OpenLDAP.

Название ошибки Номер Пояснения/причины
LDAP_SUCCESS 0 (x’00) Успешное завершение запроса.
LDAP_OPERATIONS_ERROR 1 (x’01) Произошла ошибка операции.
LDAP_PROTOCOL_ERROR 2 (x’02) Обнаружено нарушение протокола.
LDAP_TIMELIMIT_EXCEEDED 3 (x’03) Превышено ограничение по времени LDAP.
LDAP_SIZELIMIT_EXCEEDED 4 (x’04) Превышено ограничение по размеру LDAP.
LDAP_COMPARE_FALSE 5 (x’05) Операция сравнения вернула «ложь».
LDAP_COMPARE_TRUE 6 (x’06) Операция сравнения вернула «истину».
LDAP_STRONG_AUTH_NOT_SUPPORTED 7 (x’07) Сервер LDAP не поддерживает строгую аутентификацию.
LDAP_STRONG_AUTH_REQUIRED 8 (x’08) Для данной операции требуется прохождение строгой аутентификации.
LDAP_PARTIAL_RESULTS 9 (x’09) Возвращены только частичные результаты.
LDAP_REFERRAL 10 (x’0A) Указывает, что в ответе присутствует отсылка LDAP. Данное сообщение будет содержать один или несколько LDAP URL, по которым клиент должен перенаправить последующие операции для получения данного DN.
LDAP_ADMINLIMIT_EXCEEDED 11 (x’0B) Указывает на то, что какие-либо ограничения, установленные на стороне сервера на количество записей, возвращаемое при поиске, были превышены.
LDAP_UNAVAILABLE_CRITICAL_EXTENSION 12 (x’0C) Указывает на то, что элемент управления или правило соответствия, запрашиваемые в операции, не поддерживаются данным сервером.
LDAP_CONFIDENTIALITY_REQUIRED 13 (x’0D) Конфигурация данного сервера требует обеспечения какой-либо формы конфиденциальности (TLS/SSL или SASL) при выполнении подсоединения с предоставляемым DN, например, определённая на глобальном уровне или в разделе database директива security может требовать соблюдения некоторой формы SSF при выполнении simple_bind или операции обновления.
LDAP_SASL_BIND_IN_PROGRESS 14 (x’0E) Данный сервер в настоящий момент выполняет SASL-подсоединение и в этом контексте запрашиваемая операция является неверной.
15 (x’0F) Не используется.
LDAP_NO_SUCH_ATTRIBUTE 16 (x’10) Указанный в запросе атрибут не присутствует в записи.
LDAP_UNDEFINED_TYPE 17 (x’11) Указанный в запросе тип атрибута был неверным.
LDAP_INAPPROPRIATE_MATCHING 18 (x’12) Указывает на то, что правило соответствия с расширяемым фильтром соответствия не поддерживается для указываемого типа атрибута.
LDAP_CONSTRAINT_VIOLATION 19 (x’13) Указываемое в операции значение атрибута нарушает некоторые ограничения.
Возможные причины:
1. Строка слишком большой длины.
2. Неверный тип — строка записывается в числовой атрибут.
3. Неправильное значение, например, атрибут может принимать только определённое значение, либо одно из набора значений.
LDAP_TYPE_OR_VALUE_EXISTS 20 (x’14) Указываемый тип атрибута или значение атрибута уже присутствует в записи.
Возможные причины:
1. При добавлении записи — один или несколько атрибутов в LDIF (или операции добавления/замены) для записи в точности совпадают (дублируются).
LDAP_INVALID_SYNTAX 21 (x’15) Было указано неверное значение атрибута.
22 — 31 (x’16 — x’1F). Не используются.
LDAP_NO_SUCH_OBJECT 32 (x’20) Указанная запись не существует в каталоге (DIT).
LDAP_ALIAS_PROBLEM 33 (x’21) Псевдоним в DIT указывает на несуществующую запись.
LDAP_INVALID_DN_SYNTAX 34 (x’22) Был указан синтаксически неверный DN. Может также возникнуть, если Вы используете файл в формате LDIF (dn: cn=xxx и т.д.) с утилитой ldapdelete, которой требуется только указание простого DN.
35 (x’23) Зарезервировано и не используется в LDAPv3 (LDAPv2: LDAP_IS_LEAF — указанный объект является листовым, то есть у него нет дочерних объектов).
LDAP_ALIAS_DEREF_PROBLEM 36 (x’24) Возникла проблема при разыменовании псевдонима. Смотрите также описание ошибки 33.
37 — 47 (x’25 — x’2F). Не используются.
LDAP_INAPPROPRIATE_AUTH 48 (x’30) Была указана проверка подлинности, которую невозможно осуществить, например, была указана LDAP_AUTH_SIMPLE, а у записи нет атрибута userPassword.
LDAP_INVALID_CREDENTIALS 49 (x’31) Были предоставлены неверные учётные данные, например, неправильный пароль.
Дополнительный текст: unable to get TLS Client DN (невозможно получить DN клиента TLS).
Возможные причины:
1. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘demand’.
2. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘never’. В этом случае данное сообщение об ошибке не является фатальным и обслуживание клиента продолжается.
LDAP_INSUFFICIENT_ACCESS 50 (x’32) У данного пользователя недостаточно прав доступа на осуществление запрашиваемой операции.
LDAP_BUSY 51 (x’33) Данный сервер (DSA) слишком занят, чтобы выполнить запрашиваемую операцию.
LDAP_UNAVAILABLE 52 (x’34) DSA недоступен. Он может быть, например, остановлен, поставлен на паузу или находится в процессе инициализации.
LDAP_UNWILLING_TO_PERFORM 53 (x’35) Данный сервер (DSA) не желает выполнять запрашиваемую операцию.
Дополнительный текст: no global superior knowledge (нет сведений о глобальном вышестоящем каталоге) — имя записи, которую собираются добавить или модифицировать, не находится ни в одном из контекстов именования и у сервера нет правильной отсылки на вышестоящий каталог.
Возможная причина: не задан атрибут olcSuffix (директива suffix в slapd.conf) для DIT, на которое идёт ссылка.
Дополнительный текст: Shadow context; no update referral (теневой контекст (реплика); отсылки для выполнения обновлений не указано) — DIT, в которое собираются вносить изменения, является репликой в режиме «только для чтения», и, из-за отсутствия директивы updateref, невозможно возвратить отсылку.
Возможные причины:
1. Была попытка произвести запись в реплику «только для чтения» (в конфигурации syncrepl потребитель всегда в режиме «только для чтения»).
2. В конфигурации syncrepl multi-master в файле slapd.conf возможно пропущена директива mirrormode true.
3. Если slapd при запуске использовал файл slapd.conf, а директория slapd.d (cn=config) также существует, то при последующих модификациях DIT могут возникать ошибки с выдачей этого сообщения. В частности, в FreeBSD требуется наличие явного указания в rc.conf (slapd_cn_config=»YES») для принудительного использования slapd.d.
LDAP_LOOP_DETECT 54 (x’36) Выявлено зацикливание.
54 — 59 (x’37 — x’3B). Не используются.
LDAP_SORT_CONTROL_MISSING 60 (x’3C) В стандартах не используется. Только для Sun LDAP Directory Server. Сервер не получил требуемый элемент управления сортировки на стороне сервера.
LDAP_RANGE_INDEX_ERROR 61 (x’3D) В стандартах не используется. Только для Sun LDAP Directory Server. Результаты запроса превысили диапазон, указанный в запросе.
62 — 63 (x’3E — x’3F). Не используются.
LDAP_NAMING_VIOLATION 64 (x’40) Указывает на то, что данный запрос содержит нарушение именования в отношении текущего DIT.
LDAP_OBJECT_CLASS_VIOLATION 65 (x’41) Произошло нарушение объектного класса при использовании текущего набора схемы данных, например, при добавлении записи был пропущен обязательный (must) атрибут.
LDAP_NOT_ALLOWED_ON_NONLEAF 66 (x’42) Операция на нелистовой записи (то есть той, у которой есть дочерние записи) не разрешается.
LDAP_NOT_ALLOWED_ON_RDN 67 (x’43) Операция над RDN, например, удаление атрибута, использующегося в качестве RDN в DN, не разрешается.
LDAP_ALREADY_EXISTS 68 (x’44) Данная запись уже существует в этом DIT.
LDAP_NO_OBJECT_CLASS_MODS 69 (x’45) Не разрешена модификация объектного класса.
LDAP_RESULTS_TOO_LARGE 70 (x’46) Только C API (черновой RFC). Результаты слишком велики и не могут содержаться в данном сообщении.
LDAP_AFFECTS_MULTIPLE_DSAS 71 (x’47) Указывает на то, что операцию необходимо выполнить на нескольких серверах (DSA), а это не разрешено.
72 — 79 (x’48 — x’4F). Не используются.
LDAP_OTHER 80 (x’50) Произошла неизвестная ошибка.
Возможная причина:
Попытка удаления атрибута (особенно в cn=config), удаление которого запрещено.
Дополнительный текст: olcDbDirectory: value #0: invalid path: No such file or directory
Возможная причина: перед инициализацией новой базы данных директория для её размещения должна существовать.
LDAP_SERVER_DOWN 81 (x’51) Только C API (черновой RFC). Библиотека LDAP не может связаться с LDAP-сервером.
LDAP_LOCAL_ERROR 82 (x’52) Только C API (черновой RFC). Произошла некоторая локальная ошибка. Обычно это неудачная попытка выделения динамической памяти.
LDAP_ENCODING_ERROR 83 (x’53) Только C API (черновой RFC). Произошла ошибка при кодировании параметров, отправляемых на LDAP-сервер.
LDAP_DECODING_ERROR 84 (x’54) Только C API (черновой RFC). Произошла ошибка при декодировании результатов, полученных от LDAP-сервера.
LDAP_TIMEOUT 85 (x’55) Только C API (черновой RFC). При ожидании результатов было превышено ограничение по времени.
LDAP_AUTH_UNKNOWN 86 (x’56) Только C API (черновой RFC). В ldap_bind() был указан неизвестный метод аутентификации.
LDAP_FILTER_ERROR 87 (x’57) Только C API (черновой RFC). Операции ldap_search() был предоставлен неправильный фильтр (например, количество открывающихся и закрывающихся скобок в фильтре не совпадает).
LDAP_USER_CANCELLED 88 (x’58) Только C API (черновой RFC). Указывает на то, что пользователь прервал запрошенную операцию.
LDAP_PARAM_ERROR 89 (x’59) Только C API (черновой RFC). Процедура ldap была вызвана с неверными параметрами.
LDAP_NO_MEMORY 90 (x’5A) Только C API (черновой RFC). Выделение памяти (например, с помощью malloc(3) или другого механизма динамического выделения памяти) вызвало сбой в процедуре из библиотеки ldap.
LDAP_CONNECT_ERROR 91 (x’5B) Только C API (черновой RFC). Библиотека/клиент не может соединиться с LDAP-сервером, указанным в URL.
LDAP_NOT_SUPPORTED 92 (x’5C) Только C API (черновой RFC). Указывает на то, что в запросе используется функция, не поддерживаемая данным сервером.
LDAP_CONTROL_NOT_FOUND 93 (x’5D) Только C API (черновой RFC). Запрашиваемый элемент управления не найден на данном сервере.
LDAP_NO_RESULTS_RETURNED 94 (x’5E) Только C API (черновой RFC). Запрашиваемая операция завершилась успешно, но никаких результатов возвращено (получено) не было.
LDAP_MORE_RESULTS_TO_RETURN 95 (x’5F) Только C API (черновой RFC). Запрашиваемая операция завершилась успешно, но должны быть возвращены дополнительные результаты, которые можно уместить в текущее сообщение.
LDAP_CLIENT_LOOP 96 (x’60) Только C API (черновой RFC). Клиент выявил зацикливание, например, при следовании по отсылкам.
LDAP_REFERRAL_LIMIT_EXCEEDED 97 (x’61) Только C API (черновой RFC). Сервер или клиент превысил какое-либо установленное ограничение при следовании по отсылкам.

Журналы OpenLDAP

В данном разделе показаны журналы OpenLDAP с нашими пояснениями. Строки, начинающиеся с # — комментарии, добавленные в целях пояснения, в нормальных журналах (логах) их не будет.

Проблемы, комментарии, предположения, исправления (включая битые ссылки) или есть что добавить? Пожалуйста, выкроите время в потоке занятой жизни, чтобы написать нам, вебмастеру или в службу поддержки. Оставшийся день Вы проведёте с чувством удовлетворения.

Источник

Мы уже несколько дней боремся со странной ошибкой ldap. Следующий код отлично работал более года. Вдруг он возвращает local error (0x52) для нескольких CN пользователей.

Соответствующий код (подключение и привязка работают всегда, только поиск не выполняется для некоторых пользовательских CN):

$ldapconn = ldap_connect("LDAP URL")
    or die("Connection failed.");

ldap_bind($ldapconn, 'USERNAME', 'PASSWORD')
    or die("Binding failed");

$ldapsearch = ldap_search($ldapconn, '', '(&(uniqueMember=CN=FIRSTNAME LASTNAME,O=COMPANY)(objectClass=groupOfNames))')
    or die("Search failed: ".ldap_error($ldapconn));

Странно то, что этот код работает для большинства пользователей, но для некоторых — нет.

Так например:

$ldapsearch = ldap_search($ldapconn, '', '(&(uniqueMember=CN=FIRSTNAME_1 LASTNAME_1,O=COMPANY)(objectClass=groupOfNames))')
    -> works

$ldapsearch = ldap_search($ldapconn, '', '(&(uniqueMember=CN=FIRSTNAME_2 LASTNAME_2,O=COMPANY)(objectClass=groupOfNames))')
    -> fails

Но оба CN определенно существуют (в браузере softterra ldap работают обе команды поиска, также в Lotus Notes оба пользователя кажутся идентичными, только с некоторыми клиентами ldap и кодом php он не работает).

Мы также нашли на этой странице следующее заявление от ibm:
https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_71/apis/ldap_error_condt.htm

0x52 — Some local error occurred. This usually indicates that either the LDAP support (IBM® i option 32) is not installed on the system, or a malloc() operation has failed

Поддержка Ldap установлена, и мы не знаем, где могла быть ошибка выделения памяти.

Если вам нужна дополнительная информация, дайте мне знать.

Любая помощь приветствуется

ОБНОВИТЬ:

Мы попробовали выполнить поиск в CentOS с помощью cli и получили ту же локальную ошибку (так что это не проблема php ldap, скорее, проблема с сервером домино Notes):

ldapsearch -D "USERNAME" -w PASSWORD -h LDAP_URL -b "" -s sub "(&(uniqueMember=CN=FIRSTNAME LASTNAME,O=COMPANY)(objectClass=groupOfNames))"
    -> ldap_result: Local error (-2)

Ошибка возникает всегда для одних и тех же пользователей. CN пользователей, в которых возникает проблема, не содержат специальных символов или аналогичных символов и не содержат двойных букв или фамилий.

I have 3 domain controllers in an 2008 AD environment. Some days ago i found that 1 was corrupt and caused some problems.
This server is the first server in the domain and holds certificate service + DFS registrations. All servers are running on VMware. I decided to restore de server from an old backup (12 months old). The restored server is fine but is off course outdated and
needs to be synchronized with the two existing.

First I cleaned up a little in DNS with the following procedure:

renamed the system32confignetlogon.dns and netlogon.dnb files
ipconfig /registerdns
net stop netlogon
net start netlogon

That eliminated the first error I had with replication. “The target principal name is
incorrect” Next was to remove lingerine objects using: repadmin /removelingeringobjects RESTORED_SERVER1.DOMAIN.COM 83feb989-46eb-4c0b-9c6f-bae9ec24542c «dc=DOMAIN, dc=COM»

Then I tried to do the following:

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

Repadmin can’t connect to a «home server», because of the following error. 
Try specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

So I tried the same 3 commands on the RESTORED domain controller.

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8451 (0x2103):

   
The replication operation encountered a database error.

Any help would be appreciated :-)

Название ошибки
Номер
Пояснения/причины

LDAP_SUCCESS
0 (x’00)
Успешное завершение запроса.

LDAP_OPERATIONS_ERROR
1 (x’01)
Произошла ошибка операции.

LDAP_PROTOCOL_ERROR
2 (x’02)
Обнаружено нарушение протокола.

LDAP_TIMELIMIT_EXCEEDED
3 (x’03)
Превышено ограничение по времени LDAP.

LDAP_SIZELIMIT_EXCEEDED
4 (x’04)
Превышено ограничение по размеру LDAP.

LDAP_COMPARE_FALSE
5 (x’05)
Операция сравнения вернула «ложь».

LDAP_COMPARE_TRUE
6 (x’06)
Операция сравнения вернула «истину».

LDAP_STRONG_AUTH_NOT_SUPPORTED
7 (x’07)
Сервер LDAP не поддерживает строгую аутентификацию.

LDAP_STRONG_AUTH_REQUIRED
8 (x’08)
Для данной операции требуется прохождение строгой аутентификации.

LDAP_PARTIAL_RESULTS
9 (x’09)
Возвращены только частичные результаты.

LDAP_REFERRAL
10 (x’0A)
Указывает, что в ответе присутствует отсылка LDAP. Данное сообщение будет содержать один или несколько LDAP URL, по которым клиент должен перенаправить последующие операции для получения данного DN.

LDAP_ADMINLIMIT_EXCEEDED
11 (x’0B)
Указывает на то, что какие-либо ограничения, установленные на стороне сервера на количество записей, возвращаемое при поиске, были превышены.

LDAP_UNAVAILABLE_CRITICAL_EXTENSION
12 (x’0C)
Указывает на то, что элемент управления или правило соответствия, запрашиваемые в операции, не поддерживаются данным сервером.

LDAP_CONFIDENTIALITY_REQUIRED
13 (x’0D)
Конфигурация данного сервера требует обеспечения какой-либо формы конфиденциальности (TLS/SSL или SASL) при выполнении подсоединения с предоставляемым DN, например, определённая на глобальном уровне или в разделе database директива security может требовать соблюдения некоторой формы SSF при выполнении simple_bind или операции обновления.

LDAP_SASL_BIND_IN_PROGRESS
14 (x’0E)
Данный сервер в настоящий момент выполняет SASL-подсоединение и в этом контексте запрашиваемая операция является неверной.

15 (x’0F)
Не используется.

LDAP_NO_SUCH_ATTRIBUTE
16 (x’10)
Указанный в запросе атрибут не присутствует в записи.

LDAP_UNDEFINED_TYPE
17 (x’11)
Указанный в запросе тип атрибута был неверным.

LDAP_INAPPROPRIATE_MATCHING
18 (x’12)
Указывает на то, что правило соответствия с расширяемым фильтром соответствия не поддерживается для указываемого типа атрибута.

LDAP_CONSTRAINT_VIOLATION
19 (x’13)
Указываемое в операции значение атрибута нарушает некоторые ограничения.
Возможные причины:
1. Строка слишком большой длины.
2. Неверный тип — строка записывается в числовой атрибут.
3. Неправильное значение, например, атрибут может принимать только определённое значение, либо одно из набора значений.

LDAP_TYPE_OR_VALUE_EXISTS
20 (x’14)
Указываемый тип атрибута или значение атрибута уже присутствует в записи.
Возможные причины:
1. При добавлении записи — один или несколько атрибутов в LDIF (или операции добавления/замены) для записи в точности совпадают (дублируются).

LDAP_INVALID_SYNTAX
21 (x’15)
Было указано неверное значение атрибута.

22 — 31
(x’16 — x’1F). Не используются.

LDAP_NO_SUCH_OBJECT
32 (x’20)
Указанная запись не существует в каталоге (DIT).

LDAP_ALIAS_PROBLEM
33 (x’21)
Псевдоним в DIT указывает на несуществующую запись.

LDAP_INVALID_DN_SYNTAX
34 (x’22)
Был указан синтаксически неверный DN. Может также возникнуть, если Вы используете файл в формате LDIF (dn: cn=xxx и т.д.) с утилитой ldapdelete, которой требуется только указание простого DN.

35 (x’23)
Зарезервировано и не используется в LDAPv3 (LDAPv2: LDAP_IS_LEAF — указанный объект является листовым, то есть у него нет дочерних объектов).

LDAP_ALIAS_DEREF_PROBLEM
36 (x’24)
Возникла проблема при разыменовании псевдонима. Смотрите также описание ошибки 33.

37 — 47
(x’25 — x’2F). Не используются.

LDAP_INAPPROPRIATE_AUTH
48 (x’30)
Была указана проверка подлинности, которую невозможно осуществить, например, была указана LDAP_AUTH_SIMPLE, а у записи нет атрибута userPassword.

LDAP_INVALID_CREDENTIALS
49 (x’31)
Были предоставлены неверные учётные данные, например, неправильный пароль.
Дополнительный текст: unable to get TLS Client DN (невозможно получить DN клиента TLS).
Возможные причины:
1. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘demand’.
2. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘never’. В этом случае данное сообщение об ошибке не является фатальным и обслуживание клиента продолжается.

LDAP_INSUFFICIENT_ACCESS
50 (x’32)
У данного пользователя недостаточно прав доступа на осуществление запрашиваемой операции.

LDAP_BUSY
51 (x’33)
Данный сервер (DSA) слишком занят, чтобы выполнить запрашиваемую операцию.

LDAP_UNAVAILABLE
52 (x’34)
DSA недоступен. Он может быть, например, остановлен, поставлен на паузу или находится в процессе инициализации.

LDAP_UNWILLING_TO_PERFORM
53 (x’35)
Данный сервер (DSA) не желает выполнять запрашиваемую операцию.
Дополнительный текст: no global superior knowledge (нет сведений о глобальном вышестоящем каталоге) — имя записи, которую собираются добавить или модифицировать, не находится ни в одном из контекстов именования и у сервера нет правильной отсылки на вышестоящий каталог.
Возможная причина: не задан атрибут olcSuffix (директива suffix в slapd.conf) для DIT, на которое идёт ссылка.
Дополнительный текст: Shadow context; no update referral (теневой контекст (реплика); отсылки для выполнения обновлений не указано) — DIT, в которое собираются вносить изменения, является репликой в режиме «только для чтения», и, из-за отсутствия директивы updateref, невозможно возвратить отсылку.
Возможные причины:
1. Была попытка произвести запись в реплику «только для чтения» (в конфигурации syncrepl потребитель всегда в режиме «только для чтения»).
2. В конфигурации syncrepl multi-master в файле slapd.conf возможно пропущена директива mirrormode true.
3. Если slapd при запуске использовал файл slapd.conf, а директория slapd.d (cn=config) также существует, то при последующих модификациях DIT могут возникать ошибки с выдачей этого сообщения. В частности, в FreeBSD требуется наличие явного указания в rc.conf (slapd_cn_config=»YES») для принудительного использования slapd.d.

LDAP_LOOP_DETECT
54 (x’36)
Выявлено зацикливание.

54 — 59
(x’37 — x’3B). Не используются.

LDAP_SORT_CONTROL_MISSING
60 (x’3C)
В стандартах не используется. Только для Sun LDAP Directory Server. Сервер не получил требуемый элемент управления сортировки на стороне сервера.

LDAP_RANGE_INDEX_ERROR
61 (x’3D)
В стандартах не используется. Только для Sun LDAP Directory Server. Результаты запроса превысили диапазон, указанный в запросе.

62 — 63
(x’3E — x’3F). Не используются.

LDAP_NAMING_VIOLATION
64 (x’40)
Указывает на то, что данный запрос содержит нарушение именования в отношении текущего DIT.

LDAP_OBJECT_CLASS_VIOLATION
65 (x’41)
Произошло нарушение объектного класса при использовании текущего набора схемы данных, например, при добавлении записи был пропущен обязательный (must) атрибут.

LDAP_NOT_ALLOWED_ON_NONLEAF
66 (x’42)
Операция на нелистовой записи (то есть той, у которой есть дочерние записи) не разрешается.

LDAP_NOT_ALLOWED_ON_RDN
67 (x’43)
Операция над RDN, например, удаление атрибута, использующегося в качестве RDN в DN, не разрешается.

LDAP_ALREADY_EXISTS
68 (x’44)
Данная запись уже существует в этом DIT.

LDAP_NO_OBJECT_CLASS_MODS
69 (x’45)
Не разрешена модификация объектного класса.

LDAP_RESULTS_TOO_LARGE
70 (x’46)
Только C API (черновой RFC). Результаты слишком велики и не могут содержаться в данном сообщении.

LDAP_AFFECTS_MULTIPLE_DSAS
71 (x’47)
Указывает на то, что операцию необходимо выполнить на нескольких серверах (DSA), а это не разрешено.

72 — 79
(x’48 — x’4F). Не используются.

LDAP_OTHER
80 (x’50)
Произошла неизвестная ошибка.
Возможная причина:
Попытка удаления атрибута (особенно в cn=config), удаление которого запрещено.
Дополнительный текст: olcDbDirectory: value #0: invalid path: No such file or directory
Возможная причина: перед инициализацией новой базы данных директория для её размещения должна существовать.

LDAP_SERVER_DOWN
81 (x’51)
Только C API (черновой RFC). Библиотека LDAP не может связаться с LDAP-сервером.

LDAP_LOCAL_ERROR
82 (x’52)
Только C API (черновой RFC). Произошла некоторая локальная ошибка. Обычно это неудачная попытка выделения динамической памяти.

LDAP_ENCODING_ERROR
83 (x’53)
Только C API (черновой RFC). Произошла ошибка при кодировании параметров, отправляемых на LDAP-сервер.

LDAP_DECODING_ERROR
84 (x’54)
Только C API (черновой RFC). Произошла ошибка при декодировании результатов, полученных от LDAP-сервера.

LDAP_TIMEOUT
85 (x’55)
Только C API (черновой RFC). При ожидании результатов было превышено ограничение по времени.

LDAP_AUTH_UNKNOWN
86 (x’56)
Только C API (черновой RFC). В ldap_bind() был указан неизвестный метод аутентификации.

LDAP_FILTER_ERROR
87 (x’57)
Только C API (черновой RFC). Операции ldap_search() был предоставлен неправильный фильтр (например, количество открывающихся и закрывающихся скобок в фильтре не совпадает).

LDAP_USER_CANCELLED
88 (x’58)
Только C API (черновой RFC). Указывает на то, что пользователь прервал запрошенную операцию.

LDAP_PARAM_ERROR
89 (x’59)
Только C API (черновой RFC). Процедура ldap была вызвана с неверными параметрами.

LDAP_NO_MEMORY
90 (x’5A)
Только C API (черновой RFC). Выделение памяти (например, с помощью malloc(3) или другого механизма динамического выделения памяти) вызвало сбой в процедуре из библиотеки ldap.

LDAP_CONNECT_ERROR
91 (x’5B)
Только C API (черновой RFC). Библиотека/клиент не может соединиться с LDAP-сервером, указанным в URL.

LDAP_NOT_SUPPORTED
92 (x’5C)
Только C API (черновой RFC). Указывает на то, что в запросе используется функция, не поддерживаемая данным сервером.

LDAP_CONTROL_NOT_FOUND
93 (x’5D)
Только C API (черновой RFC). Запрашиваемый элемент управления не найден на данном сервере.

LDAP_NO_RESULTS_RETURNED
94 (x’5E)
Только C API (черновой RFC). Запрашиваемая операция завершилась успешно, но никаких результатов возвращено (получено) не было.

LDAP_MORE_RESULTS_TO_RETURN
95 (x’5F)
Только C API (черновой RFC). Запрашиваемая операция завершилась успешно, но должны быть возвращены дополнительные результаты, которые можно уместить в текущее сообщение.

LDAP_CLIENT_LOOP
96 (x’60)
Только C API (черновой RFC). Клиент выявил зацикливание, например, при следовании по отсылкам.

LDAP_REFERRAL_LIMIT_EXCEEDED
97 (x’61)
Только C API (черновой RFC). Сервер или клиент превысил какое-либо установленное ограничение при следовании по отсылкам.

This section lists some of the result codes that can be returned by functions in the LDAP C SDK. For ease of use, they are first listed in numerical order, then in alphabetical order.

LDAP result codes are extensible; thus, LDAP v3 extensions may define their own error codes, and register them with the Internet Assigned Numbers Authority (IANA). The IANA maintains a list of registered LDAP parameters, including result codes. This list includes what LDAP C SDK currently knows in terms of result codes. More information can be found in RFC 4520, Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP).

Contents

  • 1 Result Codes Summary in Numerical Order
  • 2 Result Codes Reference in Alphabetical Order
    • 2.1 LDAP_ADMINLIMIT_EXCEEDED
    • 2.2 LDAP_AFFECTS_MULTIPLE_DSAS
    • 2.3 LDAP_ALIAS_DEREF_PROBLEM
    • 2.4 LDAP_ALIAS_PROBLEM
    • 2.5 LDAP_ALREADY_EXISTS
    • 2.6 LDAP_AUTH_UNKNOWN
    • 2.7 LDAP_BUSY
    • 2.8 LDAP_CLIENT_LOOP
    • 2.9 LDAP_COMPARE_FALSE
    • 2.10 LDAP_COMPARE_TRUE
    • 2.11 LDAP_CONFIDENTIALITY_REQUIRED
    • 2.12 LDAP_CONNECT_ERROR
    • 2.13 LDAP_CONSTRAINT_VIOLATION
    • 2.14 LDAP_CONTROL_NOT_FOUND
    • 2.15 LDAP_DECODING_ERROR
    • 2.16 LDAP_ENCODING_ERROR
    • 2.17 LDAP_FILTER_ERROR
    • 2.18 LDAP_INAPPROPRIATE_AUTH
    • 2.19 LDAP_INAPPROPRIATE_MATCHING
    • 2.20 LDAP_INDEX_RANGE_ERROR
    • 2.21 LDAP_INSUFFICIENT_ACCESS
    • 2.22 LDAP_INVALID_CREDENTIALS
    • 2.23 LDAP_INVALID_DN_SYNTAX
    • 2.24 LDAP_INVALID_SYNTAX
    • 2.25 LDAP_IS_LEAF
    • 2.26 LDAP_LOCAL_ERROR
    • 2.27 LDAP_LOOP_DETECT
    • 2.28 LDAP_MORE_RESULTS_TO_RETURN
    • 2.29 LDAP_NAMING_VIOLATION
    • 2.30 LDAP_NO_MEMORY
    • 2.31 LDAP_NO_OBJECT_CLASS_MODS
    • 2.32 LDAP_NO_RESULTS_RETURNED
    • 2.33 LDAP_NO_SUCH_ATTRIBUTE
    • 2.34 LDAP_NO_SUCH_OBJECT
    • 2.35 LDAP_NOT_ALLOWED_ON_NONLEAF
    • 2.36 LDAP_NOT_ALLOWED_ON_RDN
    • 2.37 LDAP_NOT_SUPPORTED
    • 2.38 LDAP_OBJECT_CLASS_VIOLATION
    • 2.39 LDAP_OPERATIONS_ERROR
    • 2.40 LDAP_OTHER
    • 2.41 LDAP_PARAM_ERROR
    • 2.42 LDAP_PARTIAL_RESULTS
    • 2.43 LDAP_PROTOCOL_ERROR
    • 2.44 LDAP_REFERRAL
    • 2.45 LDAP_REFERRAL_LIMIT_EXCEEDED
    • 2.46 LDAP_RESULTS_TOO_LARGE
    • 2.47 LDAP_SASL_BIND_IN_PROGRESS
    • 2.48 LDAP_SERVER_DOWN
    • 2.49 LDAP_SIZELIMIT_EXCEEDED
    • 2.50 LDAP_SORT_CONTROL_MISSING
    • 2.51 LDAP_STRONG_AUTH_NOT_SUPPORTED
    • 2.52 LDAP_STRONG_AUTH_REQUIRED
    • 2.53 LDAP_SUCCESS
    • 2.54 LDAP_TIMELIMIT_EXCEEDED
    • 2.55 LDAP_TIMEOUT
    • 2.56 LDAP_TYPE_OR_VALUE_EXISTS
    • 2.57 LDAP_UNAVAILABLE
    • 2.58 LDAP_UNAVAILABLE_CRITICAL_EXTENSION
    • 2.59 LDAP_UNDEFINED_TYPE
    • 2.60 LDAP_UNWILLING_TO_PERFORM
    • 2.61 LDAP_USER_CANCELLED

Result Codes Summary in Numerical Order

The following table gives the decimal and hexadecimal value of all result codes. Values missing from the sequence are not assigned to a result code.

Numerical Listing of Result Codes

Decimal Hexadecimal Defined Name
0 0x00 LDAP_SUCCESS
1 0x01 LDAP_OPERATIONS_ERROR
2 0x02 LDAP_PROTOCOL_ERROR
3 0x03 LDAP_TIMELIMIT_EXCEEDED
4 0x04 LDAP_SIZELIMIT_EXCEEDED
5 0x05 LDAP_COMPARE_FALSE
6 0x06 LDAP_COMPARE_TRUE
7 0x07 LDAP_STRONG_AUTH_NOT_SUPPORTED
8 0x08 LDAP_STRONG_AUTH_REQUIRED
9 0x09 LDAP_PARTIAL_RESULTS
10 0x0a LDAP_REFERRAL
11 0x0b LDAP_ADMINLIMIT_EXCEEDED
12 0x0c LDAP_UNAVAILABLE_CRITICAL_EXTENSION
13 0x0d LDAP_CONFIDENTIALITY_REQUIRED
14 0x0e LDAP_SASL_BIND_IN_PROGRESS
     
16 0x10 LDAP_NO_SUCH_ATTRIBUTE
17 0x11 LDAP_UNDEFINED_TYPE
18 0x12 LDAP_INAPPROPRIATE_MATCHING
19 0x13 LDAP_CONSTRAINT_VIOLATION
20 0x14 LDAP_TYPE_OR_VALUE_EXISTS
21 0x15 LDAP_INVALID_SYNTAX
     
32 0x20 LDAP_NO_SUCH_OBJECT
33 0x21 LDAP_ALIAS_PROBLEM
34 0x22 LDAP_INVALID_DN_SYNTAX
35 0x23 LDAP_IS_LEAF
36 0x24 LDAP_ALIAS_DEREF_PROBLEM
     
48 0x30 LDAP_INAPPROPRIATE_AUTH
49 0x31 LDAP_INVALID_CREDENTIALS
50 0x32 LDAP_INSUFFICIENT_ACCESS
51 0x33 LDAP_BUSY
52 0x34 LDAP_UNAVAILABLE
53 0x35 LDAP_UNWILLING_TO_PERFORM
54 0x36 LDAP_LOOP_DETECT
     
60 0x3C LDAP_SORT_CONTROL_MISSING
61 0x3D LDAP_INDEX_RANGE_ERROR
     
64 0x40 LDAP_NAMING_VIOLATION
65 0x41 LDAP_OBJECT_CLASS_VIOLATION
66 0x42 LDAP_NOT_ALLOWED_ON_NONLEAF
67 0x43 LDAP_NOT_ALLOWED_ON_RDN
68 0x44 LDAP_ALREADY_EXISTS
69 0x45 LDAP_NO_OBJECT_CLASS_MODS
70 0x46 LDAP_RESULTS_TOO_LARGE
71 0x47 LDAP_AFFECTS_MULTIPLE_DSAS
     
80 0x50 LDAP_OTHER
81 0x51 LDAP_SERVER_DOWN
82 0x52 LDAP_LOCAL_ERROR
83 0x53 LDAP_ENCODING_ERROR
84 0x54 LDAP_DECODING_ERROR
85 0x55 LDAP_TIMEOUT
86 0x56 LDAP_AUTH_UNKNOWN
87 0x57 LDAP_FILTER_ERROR
88 0x58 LDAP_USER_CANCELLED
89 0x59 LDAP_PARAM_ERROR
90 0x5a LDAP_NO_MEMORY
91 0x5b LDAP_CONNECT_ERROR
92 0x5c LDAP_NOT_SUPPORTED
93 0x5d LDAP_CONTROL_NOT_FOUND
94 0x5e LDAP_NO_RESULTS_RETURNED
95 0x5f LDAP_MORE_RESULTS_TO_RETURN
96 0x60 LDAP_CLIENT_LOOP
97 0x61 LDAP_REFERRAL_LIMIT_EXCEEDED

Result Codes Reference in Alphabetical Order

The following section contains the detailed reference information for each result code listed in alphabetical order by code name.

LDAP_ADMINLIMIT_EXCEEDED

This result code indicates that the look-through limit on a search operation has been exceeded. The look-through limit is the maximum number of entries that the server will check when gathering a list of potential search result candidates.

Note: When working with Directory Server, keep in mind the following:

  • If you are bound as the root DN, the server sets an infinite look-through limit.
  • If you are not bound as the root DN, the server sets a time limit.

#define LDAP_ADMINLIMIT_EXCEEDED 0x0b /* 11 */

LDAP_AFFECTS_MULTIPLE_DSAS

This result code indicates that the requested operation needs to be performed on multiple servers, where this operation is not permitted.

#define LDAP_AFFECTS_MULTIPLE_DSAS 0x47 /* 71 */

LDAP_ALIAS_DEREF_PROBLEM

This result code indicates that a problem occurred when dereferencing an alias.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_ALIAS_DEREF_PROBLEM 0x24 /* 36 */

LDAP_ALIAS_PROBLEM

This result code indicates that the alias is invalid.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_ALIAS_PROBLEM 0x21 /* 33 */

LDAP_ALREADY_EXISTS

This result code indicates that the request is attempting to add an entry that already exists in the directory. Directory Server sends this result code back to the client in the following situations:

  • The request is an add request, and the entry already exists in the directory.
  • The request is a modify DN request, and the new DN of the entry already identifies another entry.
  • The request is adding an attribute to the schema, and an attribute with the specified name or object identifier (OID) already exists.

#define LDAP_ALREADY_EXISTS 0x44 /* 68 */

LDAP_AUTH_UNKNOWN

This result code indicates that an unknown authentication method was specified.

Note: LDAP C SDK library sets this result code if ldap_bind() or ldap_bind_s() are called and an authentication method other than LDAP_AUTH_SIMPLE is specified. These functions only allow you to use simple authentication.

#define LDAP_AUTH_UNKNOWN 0x56 /* 86 */

LDAP_BUSY

This result code indicates that the server is currently too busy to perform the requested operation.

#define LDAP_BUSY 0x33 /* 51 */

LDAP_CLIENT_LOOP

This result code indicates that the LDAP client detected a loop, for example, when following referrals.

#define LDAP_CLIENT_LOOP 0x60 /* 96 */

LDAP_COMPARE_FALSE

This result code is returned after an LDAP compare operation is completed. The result indicates that the specified attribute value is not present in the specified entry.

#define LDAP_COMPARE_FALSE 0x05 /* 5 */

LDAP_COMPARE_TRUE

This result code is returned after an LDAP compare operation is completed. The result indicates that the specified attribute value is present in the specified entry.

#define LDAP_COMPARE_TRUE 0x06 /* 6 */

LDAP_CONFIDENTIALITY_REQUIRED

This result code indicates that confidentiality is required for the operation.

#define LDAP_CONFIDENTIALITY_REQUIRED 0x0d /* 13 */

LDAP_CONNECT_ERROR

This result code indicates that the LDAP client cannot establish a connection, or has lost the connection, with the LDAP server. LDAP C SDK sets this result code. If you have not established an initial connection with the server, verify that you have specified the correct host name and port number and that the server is running.

#define LDAP_CONNECT_ERROR 0x5b /* 91 */

LDAP_CONSTRAINT_VIOLATION

This result code indicates that a value in the request does not comply with certain constraints. Directory Server sends this result code back to the client in the following situations:

  • The request adds or modifies the userpassword attribute, and one of the following is true:
    • The server is configured to check the password syntax, and the length of the new password is less than the minimum password length.
    • The server is configured to check the password syntax, and the new password is the same as one of the values of the uid, cn, sn, givenname, ou, or mail attributes.
    • The server is configured to keep a history of previous passwords, and the new password is the same as one of the previous passwords. The request is a bind request, and the user is locked out of the account. (For example, the server can be configured to lock a user out of the account after a given number of failed attempts to bind to the server.)

#define LDAP_CONSTRAINT_VIOLATION 0x13 /* 19 */

LDAP_CONTROL_NOT_FOUND

This result code indicates that a requested LDAP control was not found. LDAP C SDK sets this result code when parsing a server response for controls and not finding the requested controls. For example:

  • ldap_parse_entrychange_control() is called, but no entry change notification control is found in the server‚Äö√Ñ√¥s response.
  • ldap_parse_sort_control() is called, but no server-side sorting control is found in the server‚Äö√Ñ√¥s response.
  • ldap_parse_virtuallist_control() is called, but no virtual list view response control is found in the server‚Äö√Ñ√¥s response.

#define LDAP_CONTROL_NOT_FOUND 0x5d /* 93 */

LDAP_DECODING_ERROR

This result code indicates that the LDAP client encountered an error when decoding the LDAP response received from the server.

#define LDAP_DECODING_ERROR 0x54 /* 84 */

LDAP_ENCODING_ERROR

This result code indicates that the LDAP client encountered an error when encoding the LDAP request to be sent to the server.

#define LDAP_ENCODING_ERROR 0x53 /* 83 */

LDAP_FILTER_ERROR

This result code indicates that an error occurred when specifying the search filter. LDAP C SDK sets this result code if it cannot encode the specified search filter in an LDAP search request.

#define LDAP_FILTER_ERROR 0x57 /* 87 */

LDAP_INAPPROPRIATE_AUTH

This result code indicates that the type of credentials are not appropriate for the method of authentication used. Directory Server sends this result code back to the client if simple authentication is used in a bind request, but the entry has no userpassword attribute; also, if LDAP_SASL_EXTERNAL is attempted on a non-SSL connection.

#define LDAP_INAPPROPRIATE_AUTH 0x30 /* 48 */

LDAP_INAPPROPRIATE_MATCHING

This result code indicates that an extensible match filter in a search request contained a matching rule that does not apply to the specified attribute type.

#define LDAP_INAPPROPRIATE_MATCHING 0x12 /* 18 */

LDAP_INDEX_RANGE_ERROR

This result code indicates that the search results exceeded the range specified by the requested offsets. This result code applies to search requests that contain virtual list view controls.

#define LDAP_INDEX_RANGE_ERROR 0x3D /* 61 */

LDAP_INSUFFICIENT_ACCESS

This result code indicates that the client has insufficient access to perform the operation. Check that the user you are authenticating as has the appropriate permissions.

#define LDAP_INSUFFICIENT_ACCESS 0x32 /* 50 */

LDAP_INVALID_CREDENTIALS

This result code indicates that the credentials provided in the request are invalid. Directory Server sends this result code back to the client if a bind request contains the incorrect credentials for a user or if a user’s password has already expired.

#define LDAP_INVALID_CREDENTIALS 0x31 /* 49 */

LDAP_INVALID_DN_SYNTAX

This result code indicates than an invalid DN has been specified. Directory Server sends this result code back to the client if an add request or a modify DN request specifies an invalid DN. It also sends this code when an LDAP_SASL_EXTERNAL bind is attempted but certification to DN mapping fails.

#define LDAP_INVALID_DN_SYNTAX 0x22 /* 34 */

LDAP_INVALID_SYNTAX

This result code indicates that the request contains invalid syntax. Directory Server sends this result code back to the client in the following situations:

  • The server encounters an access control instruction (ACI) with invalid syntax.
  • The request attempts to add or modify an aci attribute, and the value of the attribute is an ACI with invalid syntax.
  • The request is a search request with a substring filter, and the syntax of the filter is invalid.
  • The request is a modify request that is attempting to modify the schema, but no values are provided (for example, the request might be attempting to delete all values of the objectclass attribute).

#define LDAP_INVALID_SYNTAX 0x15 /* 21 */

LDAP_IS_LEAF

This result code indicates that the specified entry is a leaf entry.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_IS_LEAF 0x23 /* 35 */

LDAP_LOCAL_ERROR

This result code indicates that an error occurred in the LDAP client, though it may also be returned by Directory Server.

#define LDAP_LOCAL_ERROR 0x52 /* 82 */

LDAP_LOOP_DETECT

This result code indicates that the server was unable to perform the requested operation because of an internal loop.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_LOOP_DETECT 0x36 /* 54 */

LDAP_MORE_RESULTS_TO_RETURN

This result code indicates that there are more results in the chain of results. The LDAP C SDK sets this result code when the ldap_parse_sasl_bind_result() function is called to retrieve the result code of an operation, and additional result codes from the server are available in the LDAP structure.

#define LDAP_MORE_RESULTS_TO_RETURN 0x5f /* 95 */

LDAP_NAMING_VIOLATION

This result code indicates that the request violates the structure of the DIT.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_NAMING_VIOLATION 0x40 /* 64 */

LDAP_NO_MEMORY

This result code indicates that no memory is available. LDAP C SDK sets this result code if a function cannot allocate memory (for example, when creating an LDAP request or an LDAP control).

#define LDAP_NO_MEMORY 0x5a /* 90 */

LDAP_NO_OBJECT_CLASS_MODS

This result code indicates that the request is attempting to modify an object class that should not be modified (for example, a structural object class).

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_NO_OBJECT_CLASS_MODS 0x45 /* 69 */

LDAP_NO_RESULTS_RETURNED

This result code indicates that no results were returned from the server. The LDAP C SDK sets this result code when the ldap_parse_result() function is called but no result code is included in the server’s response.

#define LDAP_NO_RESULTS_RETURNED 0x5E /* 94 */

LDAP_NO_SUCH_ATTRIBUTE

This result code indicates that the specified attribute does not exist in the entry. Directory Server might send this result code back to the client if, for example, a modify request specifies the modification or removal of a non-existent attribute or if a compare request specifies a non-existent attribute.

#define LDAP_NO_SUCH_ATTRIBUTE 0x10 /* 16 */

LDAP_NO_SUCH_OBJECT

This result code indicates that the server cannot find an entry specified in the request. Directory Server sends this result code back to the client if it cannot find a requested entry and it cannot refer your client to another LDAP server.

#define LDAP_NO_SUCH_OBJECT 0x20 /* 32 */

LDAP_NOT_ALLOWED_ON_NONLEAF

This result code indicates that the requested operation is allowed only on entries that do not have child entries (leaf entries as opposed to branch entries). Directory Server sends this result code back to the client if the request is a delete request or a modify DN request and the entry is a parent entry. You cannot delete or move a branch of entries in a single operation.

#define LDAP_NOT_ALLOWED_ON_NONLEAF 0x42 /* 66 */

LDAP_NOT_ALLOWED_ON_RDN

This result code indicates that the requested operation will affect the RDN of the entry. Directory Server sends this result code back to the client if the request is a modify request that deletes attribute values from the entry that are used in the RDN of the entry. (For example, the request removes the attribute value uid=bjensen from the entry uid=bjensen,ou=People,dc=example,dc=com.)

#define LDAP_NOT_ALLOWED_ON_RDN 0x43 /* 67 */

LDAP_NOT_SUPPORTED

This result code indicates that the LDAP client is attempting to use functionality that is not supported. LDAP C SDK sets this result code if the client identifies itself as an LDAP v2 client, and the client is attempting to use functionality available in LDAP v3. For example:

  • You are passing LDAP controls to a function.
  • You are calling ldap_extended_operation() , ldap_extended_operation_s(), or ldap_parse_extended_result() to request an extended operation or to parse an extended response.
  • You are calling ldap_rename() or ldap_rename_s(), and you are specifying a new superior DN as an argument.
  • You are calling ldap_sasl_bind(), ldap_sasl_bind_s(), or ldap_parse_sasl_bind_result() to request Simple Authentication and Security Layer (SASL) authentication or to parse a SASL bind response.
  • You are calling ldap_parse_virtuallist_control() to parse a virtual list control from the server‚Äö√Ñ√¥s response.

If you want to use these features, make sure to specify that your LDAP client is an LDAP v3 client.

#define LDAP_NOT_SUPPORTED 0x5c /* 92 */

LDAP_OBJECT_CLASS_VIOLATION

This result code indicates that the request specifies a new entry or a change to an existing entry that does not comply with the server’s schema. Directory Server sends this result code back to the client in the following situations:

  • The request is an add request, and the new entry does not comply with the schema. For example, the new entry does not have all the required attributes, or the entry has attributes that are not allowed in the entry.
  • The request is a modify request, and the change will make the entry non compliant with the schema. For example, the change removes a required attribute or adds an attribute that is not allowed.

Check the server error logs for more information, and the schema for the type of entry that you are adding or modifying.

#define LDAP_OBJECT_CLASS_VIOLATION 0x41 /* 65 */

LDAP_OPERATIONS_ERROR

This is a general result code indicating that an error has occurred. Directory Server might send this code if, for example, memory cannot be allocated on the server. To troubleshoot this type of error, check the server’s error logs. You may need to increase the log level of the server to get additional information.

#define LDAP_OPERATIONS_ERROR 0x01 /* 1 */

LDAP_OTHER

This result code indicates than an unknown error has occurred. This error may be returned by Directory Server when an error occurs that is not better described using another LDAP error code. When this error occurs, check the server’s error logs. You may need to increase the log level of the server to get additional information.

#define LDAP_OTHER 0x50 /* 80 */

LDAP_PARAM_ERROR

This result code indicates that an invalid parameter was specified. LDAP C SDK sets this result code if a function was called and invalid parameters were specified, for example, if the LDAP structure is NULL.

#define LDAP_PARAM_ERROR 0x59 /* 89 */

LDAP_PARTIAL_RESULTS

Directory Server sends this result code to LDAP v2 clients to refer them to another LDAP server. When sending this code to a client, the server includes a new line-delimited list of LDAP URLs that identifies another LDAP server. If the client identifies itself as an LDAP v3 client in the request, an LDAP_REFERRAL result code is sent instead of this result code.

#define LDAP_PARTIAL_RESULTS 0x09 /* 9 */

LDAP_PROTOCOL_ERROR

This result code indicates that the LDAP client’s request does not comply with the LDAP. Directory Server sends this result code back to the client in the following situations:

  • The server cannot parse the incoming request.
  • The request specifies an attribute type that uses a syntax not supported by the server.
  • The request is a SASL bind request, but your client identifies itself as an LDAP v2 client.
  • The request is a bind request that specifies an unsupported version of the LDAP. Make sure to specify whether your LDAP client is an LDAP v2 client or an LDAP v3 client.
  • The request is an add or a modify request that specifies the addition of an attribute type to an entry, but no values are specified.
  • The request is a modify request, and one of the following is true:
    • An unknown modify operation is specified (an operation other than LDAP_MOD_ADD, LDAP_MOD_DELETE, and LDAP_MOD_REPLACE).
    • No modifications are specified.
  • The request is a modify DN request, and one of the following is true:
    • The new RDN is not a valid RDN.
    • A new superior DN is specified, but your client identifies itself as an LDAP v2 client.
  • The request is a search request, and one of the following is true:
    • An unknown scope is specified, meaning a scope other than LDAP_SCOPE_BASE , LDAP_SCOPE_ONELEVEL, or LDAP_SCOPE_SUBTREE .
    • An unknown filter type is specified.
    • The filter type LDAP_FILTER_GE or LDAP_FILTER_LE is specified, but the type of attribute contains values that cannot be ordered. (For example, if the attribute type uses a binary syntax, the values of the attribute contain binary data, which cannot be sorted.)
    • The request contains an extensible filter (a filter using matching rules), but your client identifies itself as an LDAP v2 client.
    • The request contains an extensible filter (a filter using matching rules), but the matching rule is not supported by the server.
  • The request is a search request with a server-side sorting control, and one of the following is true:
    • The server does not have a syntax plug-in that supports the attribute used for sorting.
    • The syntax plug-in does not have a function for comparing values of the attribute. (This compare function is used for sorting.)
    • The type of attribute specified for sorting contains values that cannot be sorted in any order. For example, if the attribute type uses a binary syntax, the values of the attribute contain binary data, which cannot be sorted.
    • The server encounters an error when creating the sorting response control (the control to be sent back to the client).
    • When sorting the results, the time limit or the look-through limit is exceeded. The look-through limit is the maximum number of entries that the server will check when gathering a list of potential search result candidates.
  • The request is an extended operation request, and the server does not support the extended operation. In Directory Server, extended operations are supported through extended operation server plug-ins. Make sure that the server is loading a plug-in that supports the extended operation. Check the OID of the extended operation in your LDAP client to make sure that it matches the OID of the extended operation registered in the server plug-in.
  • An authentication method other than LDAP_AUTH_SIMPLE or LDAP_AUTH_SASL is specified.

To troubleshoot this type of error, check the server’s error logs. You may need to increase the log level of the server to get additional information.

#define LDAP_PROTOCOL_ERROR 0x02 /* 2 */

LDAP_REFERRAL

This result code indicates that the server is referring the client to another LDAP server. When sending this code to a client, the server includes a list of LDAP URLs that identify another LDAP server. This result code is part of the LDAP v3. For LDAP v2 clients, Directory Server sends an LDAP_PARTIAL_RESULTS result code instead.

#define LDAP_REFERRAL 0x0a /* 10 */

LDAP_REFERRAL_LIMIT_EXCEEDED

This result code indicates that the referral hop limitwas exceeded. LDAP C SDK sets this result code, when following referrals, if the client is referred to other servers more times than allowed by the referral hop limit.

#define LDAP_REFERRAL_LIMIT_EXCEEDED 0x61 /* 97 */

LDAP_RESULTS_TOO_LARGE

This result code indicates that the results of the request are too large.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_RESULTS_TOO_LARGE 0x46 /* 70 */

LDAP_SASL_BIND_IN_PROGRESS

This result code is used in multi stage SASL bind operations. The server sends this result code back to the client to indicate that the authentication process has not yet completed.

#define LDAP_SASL_BIND_IN_PROGRESS 0x0E /* 14 */

LDAP_SERVER_DOWN

This result code indicates that LDAP C SDK cannot establish a connection with, or lost the connection to, the LDAP server. If you have not established an initial connection with the server, verify that you have specified the correct host name and port number and that the server is running.

#define LDAP_SERVER_DOWN 0x51 /* 81 */

LDAP_SIZELIMIT_EXCEEDED

This result code indicates that the maximum number of search results to return has been exceeded. This limit is specified in the search request. If you specify no size limit, the server will set one. When working with Directory Server, keep in mind the following:

  • If you are bound as the root DN and specify no size limit, the server enforces no size limit at all.
  • If you are not bound as the root DN and specify no size limit, the server sets the size limit to the value specified by the sizelimit directive in the server‚Äö√Ñ√¥s slapd.conf configuration file.
  • If the size limit that you specify exceeds the value specified by the sizelimit directive in the server‚Äö√Ñ√¥s slapd.conf configuration file, the server uses the size limit specified in the configuration file.

#define LDAP_SIZELIMIT_EXCEEDED 0x04 /* 4 */

LDAP_SORT_CONTROL_MISSING

This result code indicates that server did not receive a required server-side sorting control. Directory Server sends this result code back to the client if the server receives a search request with a virtual list view control but no server-side sorting control as the virtual list view control requires a server-side sorting control.

#define LDAP_SORT_CONTROL_MISSING 0x3C /* 60 */

LDAP_STRONG_AUTH_NOT_SUPPORTED

This result code is returned as the result of a bind operation. It indicates that the server does not recognize or support the specified authentication method.

#define LDAP_STRONG_AUTH_NOT_SUPPORTED 0x07 /* 7 */

LDAP_STRONG_AUTH_REQUIRED

This result code indicates that a stronger method of authentication is required to perform the operation.

#define LDAP_STRONG_AUTH_REQUIRED 0x08 /* 8 */

LDAP_SUCCESS

This result code indicates that the LDAP operation was successful.

#define LDAP_SUCCESS 0x00 /* 0 */

LDAP_TIMELIMIT_EXCEEDED

This result code indicates that the time limit on a search operation has been exceeded. The time limit is specified in the search request. If you specify no time limit, the server will set one. When working with Directory Server, keep in mind the following:

  • If you are bound as the root DN and specify no time limit, the server enforces no limit at all.
  • If you are not bound as the root DN and specify no time limit, the server sets the time limit.
  • If the time limit that you specify exceeds the time limit specified for the server configuration, the server uses the time limit specified in its configuration.

#define LDAP_TIMELIMIT_EXCEEDED 0x03 /* 3 */

LDAP_TIMEOUT

This result code indicates that the LDAP client timed out while waiting for a response from the server. LDAP C SDK sets this result code in the LDAP structure if the time-out period (for example, in a search request) has been exceeded and the server has not responded.

#define LDAP_TIMEOUT 0x55 /* 85 */

LDAP_TYPE_OR_VALUE_EXISTS

This result code indicates that the request attempted to add an attribute type or value that already exists. Directory Server sends this result code back to the client in the following situations:

  • The request attempts to add values that already exist in the attribute.
  • The request is adding an attribute to the schema of the server, but the OID of the attribute is already used by an object class in the schema.
  • The request is adding an object class to the schema of the server, and one of the following occurs:
    • The object class already exists.
    • The OID of the object class is already used by another object class or an attribute in the schema.
    • The superior object class for this new object class does not exist.

#define LDAP_TYPE_OR_VALUE_EXISTS 0x14 /* 20 */

LDAP_UNAVAILABLE

This result code indicates that the server is unavailable to perform the requested operation.

Note: At this point, neither LDAP C SDK nor Directory Server return this result code.

#define LDAP_UNAVAILABLE 0x34 /* 52 */

LDAP_UNAVAILABLE_CRITICAL_EXTENSION

This result code indicates that the specified control or matching rule is not supported by the server. Directory Server might send back this result code if the request includes an unsupported control or if the filter in the search request specifies an unsupported matching rule.

#define LDAP_UNAVAILABLE_CRITICAL_EXTENSION 0x0c /* 12 */

LDAP_UNDEFINED_TYPE

This result code indicates that the request specifies an undefined attribute type.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_UNDEFINED_TYPE 0x11 /* 17 */

LDAP_UNWILLING_TO_PERFORM

This result code indicates that the server is unwilling to perform the requested operation. Directory Server sends this result code back to the client in the following situations:

  • The client has logged in for the first time and needs to change its password, but the client is requesting to perform other LDAP operations. In this situation, the result code is accompanied by an expired password control.
  • The request is a modify DN request, and a superior DN is specified.
  • The database is in read-only mode, and the request attempts to write to the directory.
  • The request is a delete request that attempts to delete the root DSE.
  • The request is a modify DN request that attempts to modify the DN of the root DSE.
  • The request is a modify request to modify the schema entry, and one of the following occurs:
    • The operation is LDAP_MOD_REPLACE. (The server does not allow you to replace schema entry attributes.)
    • The request attempts to delete an object class that is the parent of another object class.
    • The request attempts to delete a read-only object class or attribute.
  • The server uses a database plug-in that does not implement the operation specified in the request. For example, if the database plug-in does not implement the add operation, sending an add request will return this result code.

#define LDAP_UNWILLING_TO_PERFORM 0x35 /* 53 */

LDAP_USER_CANCELLED

This result code indicates that the user cancelled the LDAP operation.

Note: Directory Server does not currently send this result code back to LDAP clients.

#define LDAP_USER_CANCELLED 0x58 /* 88 */

  • Remove From My Forums

 none

Восстановление нормальных отношений внутри домена.

  • Вопрос

  • В наличии есть 2 DC. Сначала был SBS через полгода добавился DC на 2008 r2. И всё было хорошо. Однако, как выяснелось, полгода назад SBS был выключен (а ведь на нём были роли FSMO) и позавчера включён. Есть ли шанс их всё же реплицировать?

Ответы

    • Предложено в качестве ответа

      1 октября 2013 г. 9:01

    • Изменено
      Petko KrushevMicrosoft contingent staff, Moderator
      1 октября 2013 г. 9:03
    • Отменено предложение в качестве ответа
      Schriftsteller
      2 октября 2013 г. 9:22
    • Помечено в качестве ответа
      Schriftsteller
      2 октября 2013 г. 12:17

I have 3 domain controllers in an 2008 AD environment. Some days ago i found that 1 was corrupt and caused some problems.
This server is the first server in the domain and holds certificate service + DFS registrations. All servers are running on VMware. I decided to restore de server from an old backup (12 months old). The restored server is fine but is off course outdated and
needs to be synchronized with the two existing.

First I cleaned up a little in DNS with the following procedure:

renamed the system32confignetlogon.dns and netlogon.dnb files
ipconfig /registerdns
net stop netlogon
net start netlogon

That eliminated the first error I had with replication. “The target principal name is
incorrect” Next was to remove lingerine objects using: repadmin /removelingeringobjects RESTORED_SERVER1.DOMAIN.COM 83feb989-46eb-4c0b-9c6f-bae9ec24542c «dc=DOMAIN, dc=COM»

Then I tried to do the following:

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

Repadmin can’t connect to a «home server», because of the following error. 
Try specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

C:UsersAdministrator> repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

Repadmin can’t connect to a «home server», because of the following error. 
Try

specifying a different home server with /homeserver:[dns name]

Error: An LDAP lookup operation failed with the following error:

   
LDAP Error 82(0x52): Local Error

   
Server Win32 Error 0(0x0):

   
Extended Information:

So I tried the same 3 commands on the RESTORED domain controller.

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM /force

repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration, DC=DOMAIN,DC=COM /force

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=configuration, DC=DOMAIN,DC=COM
/force

DsReplicaSync() failed with status 8418 (0x20e2):

   
The replication operation failed because of a schema mismatch between the servers involved.

C:UsersAdministrator > repadmin /replicate RESTORED_SERVER1.DOMAIN.COM WORKING_DC.DOMAIN.COM CN=schema,CN=configuration,
DC=DOMAIN,DC=COM /force

DsReplicaSync() failed with status 8451 (0x2103):

   
The replication operation encountered a database error.

Any help would be appreciated :-)

Обновлено 04.05.2022

Repadmin logoДобрый день! Уважаемые читатели и гости одного из лучших IT блогов Pyatilistnik.org. Не так давно я вам подробно рассказывал из каких компонентов и служб состоит Active Directory. Сегодня я хочу дополнить данную публикацию и подробно рассказать про утилиту командной строки Repadmin, благодаря ей я вас научу диагностировать репликацию между контроллерами домена, покажу как находить и решать проблемы в вашей доменной инфраструктуре. Каждый системный администратор, просто обязан ее знать и уметь ей пользоваться, если вы еще не из их числа, то давайте это исправлять.

Что такое Repadmin?

Если вы работаете с несколькими доменами Active Directory или сайтами AD, то вы обязательно столкнетесь с проблемами в какой-то момент, особенно в процессе репликации. Репликация, это самый важный жизненный цикл в доменных службах. Эта репликация важна, так как ее отсутствие может вызвать проблемы с аутентификацией. В свою очередь, это может создать проблемы с доступом к ресурсам в сети. Компания Microsoft это понимает, как никто другой и создала для этих задач отдельную утилиту Repadmin.

Repadmin — это инструмент командной строки, для диагностики и устранения проблем репликации Active Directory. Repadmin можно использовать для просмотра топологии репликации с точки зрения каждого контроллера домена. Кроме того, вы можете использовать Repadmin, чтобы вручную создать топологию репликации, инициировать события репликации между контроллерами домена и просматривать метаданные репликации и векторы актуальности (UTDVEC). Вы также можете использовать Repadmin.exe для мониторинга относительной работоспособности леса доменных служб Active Directory (AD DS).

Как установить Repadmin?

Repadmin.exe встроен в Windows Server 2008 и выше, вы легко найдете его и на Windows Server 2019. Он доступен, если у вас установлена роль AD DS или сервера AD LDS. Он также доступен в клиентских ОС, таких как Windows 10, если вы устанавливаете инструменты доменных служб Active Directory, которые являются частью средств удаленного администрирования сервера (RSAT).

Требования для использования Repadmin

использование Repadmin требует учетных данных администратора на каждом контроллере домена, на который нацелена команда. Члены группы «Администраторы домена» имеют достаточные разрешения для запуска repadmin на контроллерах домена в этом домене. Члены группы «Администраторы предприятия» по умолчанию имеют права в каждом домене леса. Если вы запустите утилиту без необходимых прав, то вы получите сообщение:

Ошибка функции DsBindWithCred для компьютера, состояние ошибки 1753 (0x6d9):
В системе отображения конечных точек не осталось доступных конечных точек.

Ошибка функции DsBindWithCred для компьютера, состояние ошибки 1753 (0x6d9)

Вы также можете делегировать конкретные разрешения, необходимые для просмотра и управления состоянием репликации.

Основные ключи Repadmin

Запустите командную строку от имени администратора или откройте PowerShell в режиме администратора и выполните команду:

В результате вы получите справку по утилите.

Теперь опишу вам за что отвечает каждый ключ:

  • /kcc — Принудительно проверяет согласованность (Knowledge Consistency Checker (KCC)) на целевых контроллерах домена, чтобы немедленно пересчитать топологию входящей репликации.
  • /prp — Можно просматривать и изменять политику репликации паролей (PRP) для контроллеров домена только для чтения (RODC).
  • /queue — Отображает запросы входящей репликации, которые необходимо обработать контроллеру домена, чтобы получить последние данные от партнеров по репликации, у которых более свежие данные.
  • /replicate — Запускает немедленную репликацию указанного раздела каталога на целевой контроллер домена с исходного контроллера домена.
  • /replsingleobj — Реплицирует один (отдельный) объект между любыми двумя контроллерами домена, которые имеют общие разделы каталога.
  • /replsummary — Операция replsummary быстро и кратко обобщает состояние репликации и относительную работоспособность леса. Определяет контроллеры домена, которые не выполняют входящую или исходящую репликацию, и суммирует результаты в отчете.
  • /rodcpwdrepl — Запускает репликацию паролей для заданных пользователей с источника (контроллера домена концентратора) на один или более доступных только для чтения контроллер домена.
  • /showattr — Отображает атрибуты объекта.
  • /showobjmeta — Отображает метаданные репликации для указанного объекта, хранящиеся в Active Directory, например, идентификатор атрибута, номер версии, исходящий и локальный USN, а также глобальный уникальный идентификатор GUID исходящего сервера (сервера-отправителя) и метку даты и времени.
  • /showrepl — Отображает состояние репликации, когда указанный контроллер домена последний раз пытался выполнить входящую репликацию разделов Active Directory.
  • /showutdvec — Отображает наибольший поддерживаемый последовательный номер обновления (USN), который в указанной копии контроллера домена Active Directory показан как поддерживаемый для этой копии и транзитивных партнеров.
  • /syncall Синхронизирует указанный контроллер домена со всеми партнерами репликации.

Основные ключи Repadmin

Дополнительные параметры

  • /u: — Указание домена и имени пользователя с обратной косой чертой в качестве разделителя {доменпользователь}, у которого имеются разрешения на выполнение операций Active Directory. UPN-вход не поддерживается.
  • /pw:— Задание пароля для пользователя, указанного в параметре /u.
  • /retry — Этот параметр вызывает повтор попытки создать привязку к конечному контроллеру домена, когда при первой попытке произошел сбой с одним из следующих состояний ошибки ( 1722 0x6ba : «Сервер RPC недоступен» или 1753 / 0x6d9 : «Отсутствуют конечные точки, доступные из сопоставителя конечных точек»)
  • /csv — Применяется с параметром /showrepl для вывода результатов в формате значений, разделенных запятыми (CSV).

Просмотр общего состояния репликации

Эта команда быстро покажет вам общее состояние репликации.

В результате вы увидите присутствуют ли у вас сбои при репликации. временные дельты, количество ошибок. Вы можете заметите, что отчет разделен на два основных раздела — DSA-источник и DSA-адресат.

repadmin Просмотр общего состояния репликации

Обратите внимание, что одни и те же серверы перечислены в обоих разделах. Причина этого заключается в том, что Active Directory использует модель с несколькими основными доменами. Другими словами, обновления Active Directory могут быть записаны на любой контроллер домена (с заметными исключениями контроллеры домена только для чтения). Эти обновления затем реплицируются на другие контроллеры домена в домене. По этой причине вы видите одинаковые контроллеры домена в списке как DSA-источника, так и получателя. Если бы мой домен содержал какие-либо контроллеры домена только для чтения, они были бы перечислены только в разделе DSA назначения.

Сводный отчет о репликации не просто перечисляет контроллеры домена, в нем также перечислены самые большие дельты репликации. Вы также можете просмотреть общее количество попыток репликации, которые были недавно предприняты, а также количество неудачных попыток и увидеть процент попыток, которые привели к ошибке.

repadmin /replsummary /bysrc

repadmin /replsummary /bysrc

Ключ /bysrc — Суммирует состояние репликации для всех контроллеров домена, на которые реплицирует данный исходный контроллер домена. В отчете вы получите данные только по исходному DSA.

repadmin /replsummary /bydest

Ключ /bydest — Суммирует состояние репликации для всех контроллеров домена, с которых реплицирует данный целевой контроллер домена. Отображает только конечный DSA.

Ключ /sort — Сортирует выходные данные по столбцам.

  • delta: сортирует результаты в соответствии с наименьшим значением дельта для каждого контроллера домена источника или назначения.
  • partners: сортирует список результатов по количеству партнеров по репликации для каждого контроллера домена.
  • failures: сортирует список результатов по количеству сбоев репликации партнеров для каждого контроллера домена.
  • error: сортирует список результатов по последнему результату репликации (коду ошибки), который блокирует репликацию для каждого контроллера домена. Это поможет вам устранить причину сбоя для контроллеров домена, которые выходят из строя с общими ошибками.
  • percent: сортирует список результатов по проценту ошибок репликации партнера для каждого контроллера домена. (Это рассчитывается путем деления количества отказов на общее количество попыток, а затем умножения на 100; то есть отказы/общее число попыток *100.) Это поможет вам расставить приоритеты в работе по устранению неполадок путем определения контроллеров домена, которые испытывают самую высокую частота ошибок репликации.
  • unresponsive: сортирует список результатов по именам партнеров, которые не отвечают на запросы репликации для каждого контроллера домена.

Repadmin и проверка репликации Active Directory

Пример применения дополнительных ключей

repadmin /replsummary /bysrc /bydest /sort:delta

Вы можете указать параметры /bysrc и /bydest одновременно. В этом случае Repadmin сначала отображает таблицу параметров /bysrc, а затем таблицу параметров /bydest. Если оба параметра / bysrc и /bydest отсутствуют, то Repadmin отображает параметр с наименьшим количеством ошибок партнеров.

Вот пример ошибки «1722: The RPC server is unavailable», которую может показать repadmin с ключом replsummary.

"1722: The RPC server is unavailable"

Просмотр топологии репликации и ошибки

Команда repadmin /showrepl помогает понять топологию и ошибки репликации. Он сообщает, о состоянии каждого исходного контроллера домена, с которого у получателя есть объект входящего соединения. Отчет о состоянии делится на разделы каталога.

repadmin Просмотр топологии репликации и ошибкиac

Административная рабочая станция, на которой вы запускаете Repadmin, должна иметь сетевое подключение удаленного вызова процедур (RPC) ко всем контроллерам домена, на которые нацелен параметр DSA_LIST. Ошибки репликации могут быть вызваны исходным контроллером домена, контроллером домена назначения или любым компонентом процесса репликации, включая базовую сеть.

Команда отображает GUID каждого объекта, который был первоначально реплицирован, а также результат репликации. Это полезно, чтобы обнаружить возможные проблемы. Как видите в моем примере, все репликации успешно пройдены. Если хотите получить максимально подробную информацию, о топологии репликации, то добавьте ключ «*».

В моем примере вы можете увидеть ошибку:

Repadmin: выполнение команды /Showrepl контроллере домена dc03.child.root.pyatilistnik.org с полным доступом
Ошибка LDAP: 82 (Локальная ошибка) ошибка Win32: 8341. (The target principal name is incorrect)

Ошибка LDAP: 82 (Локальная ошибка) ошибка Win32: 8341. (The target principal name is incorrect)

В приведенном выше примере решение проблемы заключается в остановке службы «Центр распространения ключей Kerberos (Kerberos key distribution center)«. Запустите ее. В редких случаях может потребоваться перезапустить службу «Доменные службы Active Directory«. Затем перезапустите процесс репликации через сайты и службы Active Directory. Проверьте свои журналы, и репликация должна быть успешной. Так же вы можете использовать и дополнительные ключи:

  • DSA_LIST — Задает имя хоста контроллера домена или списка контроллеров домена, разделенных в списке одним пробелом.
  • Source DSA object GUID — GUID исходного объекта DSA. Указывает уникальное шестнадцатеричное число, которое идентифицирует объект, чьи события репликации перечислены.
  • Naming Context (Контекст именования) — Определяет отличительное имя раздела каталога для репликации.
  • /verbose — Отображает дополнительную информацию об исходных партнерах, от которых контроллер домена назначения выполняет входящую репликацию. Информация включает в себя полностью уточненное CNAME, идентификатор вызова, флаги репликации и значения порядкового номера обновления (USN) для исходных обновлений и реплицированных обновлений.
  • /NoCache — Указывает, что глобально уникальные идентификаторы (GUID) остаются в шестнадцатеричной форме. По умолчанию GUID переводятся в строки.
  • /repsto — Перечисляет контроллеры домена-партнера, с которыми целевые контроллеры домена используют уведомление об изменении для выполнения исходящей репликации. (Контроллеры домена-партнера в этом случае являются контроллерами домена на том же сайте Active Directory, что и исходный контроллер домена, и контроллеры домена, которые находятся на удаленных сайтах, на которых включено уведомление об изменениях.) Этот список добавляется в разделе СОБСТВЕННЫЕ СОСЕДИ ДЛЯ УВЕДОМЛЕНИЙ ОБ ИЗМЕНЕНИЯХ (OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ).
  • /conn — Добавляет раздел KCC CONNECTION OBJECTS в Repadmin, в котором перечислены все соединения и причины их создания.
  • /all — Запускается как /repsto и  Conn параметры.
  • /errorsonly — Отображает состояние репликации только для исходных контроллеров домена, с которыми конечный контроллер домена сталкивается с ошибками репликации.

repadmin /showrepl * /errorsonly

  • /intersite — Отображает состояние репликации для подключений от контроллеров домена на удаленных сайтах, с которых контроллер домена, указан в параметре DSA_LIST, выполняет входящую репликацию.
  • /CSV — Экспорт или вывод результатов в формате с разделителями-запятыми (CSV).

Repadmin и диагностика репликации Active Directory

Просмотр очереди репликации

Бывают ситуации при которых у вас может возникать очередь на входящие запросы репликации. Основными причинами могут выступать:

  • Слишком много одновременных партнеров по репликации
  • Высокая скорость изменения объектов в доменных службах Active Directory (AD DS), предположим что у вас одновременно с помощью скрипта было сформировано 1000 новых групп или создано 1000 пользователей.
  • Недостаточная пропускная способность CPU или сети, которые реплицирует контроллер домена

Чтобы посмотреть очередь репликации на контроллере домена, вам нужно воспользоваться ключом /Queue:

Repadmin Просмотр очереди репликации

Чаще всего у вас количество объектов в очереди будет нулевым, но если сайтов много, то могут быть небольшие очереди. Если вы заметили элементы, стоящие в очереди, и они никак не очищаются, у вас есть проблема. Вот пример сообщения, где очередь репликации не равна нулю.

Repadmin: выполнение команды /queue контроллере домена localhost с полным доступом
Очередь содержит 1 элементов.
Текущая задача начала выполняться в 2020-02-18 11:41:07.
Задача выполняется 0 мин 0 сек.
[[412] Поставлено в очередь 2020-02-18 11:41:07 с приоритетом 250
SYNC FROM SOURCE
NC DC=root,DC=pyatilistnik,DC=org
DSA Default-First-Site-NameDC01
GUID объекта DSA 92925497-671b-44f0-8d13-420fc4d5bbd1
адр. транспорта DSA 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
ASYNCHRONOUS_OPERATION WRITEABLE NOTIFICATION

Repadmin запрос на количество ожидающих объектов репликации

Принудительная проверка топологии репликации

Repadmin умеет принудительно проверять топологию репликации на каждом целевом контроллере домена, чтобы немедленно пересчитать топологию входящей репликации.

По умолчанию каждый контроллер домена выполняет этот пересчет каждые 15 минут и если есть проблемы вы можете видеть в логах Windows событие с кодом 1311.

Выполните эту команду для устранения ошибок KCC или для повторной оценки необходимости создания новых объектов подключения от имени целевых контроллеров домена.

так же можно запустить для определенного сайта для этого используется параметр site:

Repadmin.exe: Принудительная проверка топологии репликации

Repadmin: выполнение команды /kcc контроллере домена dc01.root.pyatilistnik.org с полным доступом
Root
Текущий Параметры сайта: (none)
Проверка согласованности на dc01.root.pyatilistnik.org выполнена успешно.

Repadmin: выполнение команды /kcc контроллере домена dc03.child.root.pyatilistnik.org с полным доступом
Default-First-Site-Name
Текущий Параметры сайта: (none)
Проверка согласованности на dc03.child.root.pyatilistnik.org выполнена успешно.

Repadmin: выполнение команды /kcc контроллере домена dc02.root.pyatilistnik.org с полным доступом
Root
Текущий Параметры сайта: (none)
Проверка согласованности на dc02.root.pyatilistnik.org выполнена успешно.

Repadmin: выполнение команды /kcc контроллере домена dc04.child.root.pyatilistnik.org с полным доступом
Default-First-Site-Name
Текущий Параметры сайта: (none)
Проверка согласованности на dc04.child.root.pyatilistnik.org выполнена успешно.

У /kcc есть дополнительный ключ /async — Указывает, что репликация является асинхронной. То есть Repadmin запускает событие репликации, но не ожидает немедленного ответа от контроллера домена назначения. Используйте этот параметр для запуска KCC, если вы не хотите ждать окончания работы KCC. Repadmin /kcc обычно запускается без параметра /async.

Как принудительно запустить репликацию Active Directory

Бывают ситуации, когда вам необходимо произвести форсированное обновление на контроллере домена. Для этого есть специальный ключ /syncall. Для того, чтобы выполнить синхронизацию нужного контроллера домена со всеми его партнерами по репликации, вам необходимо на нем выполнить команду:

Repadmin: Как принудительно запустить репликацию Active Directory

На выходе вы получите статус репликации и количество ошибок, выглядит это вот так:

СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: 007a5ee4-a454-4029-bc9b-0c4a8b4efbd1._msdcs.root.pyatilistnik.org
Кому: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: 007a5ee4-a454-4029-bc9b-0c4a8b4efbd1._msdcs.root.pyatilistnik.org
Кому: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: a76336ac-2fe6-4dc8-b9d3-23a5b0d22b77._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: a76336ac-2fe6-4dc8-b9d3-23a5b0d22b77._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org
Кому: 92925497-671b-44f0-8d13-420fc4d5bbd1._msdcs.root.pyatilistnik.org
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.

Если имеются какие-то проблемы, то вы можете увидеть подобного рода ошибки:

Функция SyncAll сообщает о следующих ошибках:
Ошибка обращения к серверу 5fc9cc16-b994-426d-81c8-c9ff27f29976._msdcs.root.pyatilistnik.org (сетевая ошибка): 17
ba):
Сервер RPC недоступен.

Repadmin: Сервер RPC недоступен

так же repadmin /syncall имеет ряд флагов:

  • /a — прерывается, если какой-либо сервер недоступен.
  • /A — Синхронизирует все контексты именования, хранящиеся на домашнем сервере
  • /d — Идентифицирует серверы по отличительным именам в сообщениях.

Repadmin с ключом /d

  • /e — Синхронизирует контроллеры домена на всех сайтах предприятия. По умолчанию эта команда не синхронизирует контроллеры домена на других сайтах.
  • /h — Отображение справки.
  • /i — запускает бесконечный цикл синхронизации
  • /I — Запускает команду repadmin /showrepl на каждой паре серверов вместо синхронизации.
  • /j — Синхронизирует только соседние серверы.
  • /p — Пауза после каждого сообщения, чтобы пользователь мог прервать выполнение команды.
  • /P — Выдвигает изменения наружу от указанного контроллера домена.
  • /q — Работает в тихом режиме, который подавляет сообщения обратного вызова.
  • /Q — Работает в очень тихом режиме, который сообщает только о фатальных ошибках.

repadmin /syncall /q

  • /s — не синхронизируется.
  • /S — Пропускает начальную проверку ответа сервера.

Предположим, что вы внесли важное изменение в AD и хотите его максимально быстро распространить. для этого запустите на актуальном контроллере:

Экспорт результатов в текстовый файл

Иногда Repadmin отображает много информации. Вы можете экспортировать любой из приведенных выше примеров в текстовый файл, это немного упрощает последующее рассмотрение или сохранение для документации. Для этого используется инструкция «> путь до файла». Вот пример команд:

@echo off
chcp 855
repadmin /replsummary > c:tempreplsummary.log
repadmin /syncall > c:tempsyncall.txt
repadmin /Queue > c:tempQueue.txt
repadmin /istg * /verbose > c:tempistg.txt
repadmin /bridgeheads * /verbose > c:tempbridgeheads.txt

Repadmin: Экспорт результатов в текстовый файл

chcp 855 используется, чтобы у вас не было кракозябр вместо русского текста.

Как посмотреть количество изменений атрибутов

Хотя команда repadmin /showobjmeta отображает количество изменений атрибутов объекта и контроллер домена, которые вносили эти изменения, команда repadmin /showattr отображает фактические значения для объекта. Команда repadmin /showattr также может отображать значения для объектов, которые возвращаются запросом LDAP-протокола.

На объект может ссылаться его distinguished name или глобальный уникальный идентификатор объекта (GUID).

По умолчанию repadmin /showattr использует порт 389 LDAP для запроса доступных для записи разделов каталога. Однако repadmin /showattr может дополнительно использовать порт 3268 LDAP для запроса разделов, доступных только для чтения, на сервере глобального каталога. (Советую освежить в памяти какие порты использует Active Directory).

Основные параметры команды:

  • <DSA_LIST> — Задает имя хоста контроллера домена или списка контроллеров домена, разделенных в списке одним пробелом.
  • <OBJ_LIST> — Определяет различающееся имя или GUID объекта для объекта, атрибуты которого вы хотите перечислить. Когда вы выполняете запрос LDAP из командной строки, этот параметр формирует базовый путь различаемого имени для поиска. Заключите в кавычки отличительные имена, содержащие пробелы.
  • /atts — Возвращает значения только для указанных атрибутов. Вы можете отображать значения для нескольких атрибутов, разделяя их запятыми.
  • /allvalues — Отображает все значения атрибутов. По умолчанию этот параметр отображает только 20 значений атрибута для атрибута.
  • /gc — Указывает использование TCP-порта 3268 для запроса разделов глобального каталога только для чтения.
  • /long — Отображает одну строку для каждого значения атрибута.
  • /dumpallblob — Отображает все двоичные значения атрибута. Эта команда похожа на /allvalues, но отображает двоичные значения атрибутов.

В следующем примере выполняется запрос к конкретному контроллеру домена.

repadmin /showattr dc01 «dc=root,dc=pyatilistnik,dc=org»

Repadmin: Как посмотреть количество изменений атрибутов

В следующем примере запрашиваются все контроллеры домена, имена компьютеров которых начинаются с dc, и показывает значение для определенного атрибута msDS-Behavior-Version, который обозначает функциональный уровень домена.

Repadmin /showattr dc* «dc=root,dc=pyatilistnik,dc=org» /atts:msDS-Behavior-Version

Утилита Repadmin /showattr /atts:msDS-Behavior-Version

В следующем примере запрашивается один контроллер домена с именем dc01 и возвращается версия операционной системы и версия пакета обновления для всех компьютеров с целевым идентификатором основной группы = 516.

repadmin /showattr dc01 ncobj:domain: /filter:»(&(objectCategory=computer)(primaryGroupID=516))» /subtree /atts:
operatingSystem,operatingSystemVersion,operatingSystemServicePack

Repadmin проверка схемы репликации Active Directory

Как посмотреть время последней резервной копирования Active Directory

Как посмотреть время последней резервной копирования Active Directory

Как посмотреть RPC-вызовы, на которые еще не ответили

Как посмотреть RPC-вызовы, на которые еще не ответили

Как посмотреть топологию репликации

repadmin /bridgeheads * /verbose

Как посмотреть топологию репликации Active Directory

Если есть проблемы с репликацией, то можете получать ошибку «The remote system is not available. For information about network troubleshooting, see Windows Help.»

Как сгенерировать топологию сайтов Active Directory

repadmin /istg * /verbose

Как сгенерировать топологию сайтов Active Directory

Если есть проблемы с репликацией, то тут вы можете видеть ошибки: LDAP error 81 (Server Down) Win32 Err 58.

На этом у меня все, мы с вами разобрали очень полезную утилиту, которая позволит вам быть в курсе статуса репликации вашей Active Directory. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Понравилась статья? Поделить с друзьями:
  • Ошибка ldap 81 сервер отключен ошибка win32 58
  • Ошибка ldap 81 0x51 сервер отключен
  • Ошибка lci на стиральной машинке самсунг
  • Ошибка lba 512
  • Ошибка lb2 весы