Здравствуйте, нужна помощь.
Позавчера перестала работать репликация SYSVOL между двумя КД: Основной: DC1-RU, резервный DC3-RU.
Попытки выудить информацию по соседним топикам ни к чему не привела.
В итоге понизил DC3-RU и поднял DC2-RU, ситуация не изменилась.
AD Replication Status Tool рапортует что все ок.
NTDS реплицируется без ошибок, SYSVOL начинает реплицироваться и останавливается.
В папке Polices создаются папки трех политик с под папками, файлов в них нет.
В журнале DC1-RU постоянные ошибки:
30621 Microsoft-Windows-SMBClient/Operational Сеанс на сервере DC1-RU.rugk.wan
потерян. Состояние: 0xC000020C30623 Microsoft-Windows-SMBClient/Operational Подключение к общему ресурсу
DC1-RU.rugk.wansysvol потеряно. Состояние: 0xC000020C30620 Microsoft-Windows-SMBClient/Operational Подключение к серверу DC1-RU.rugk.wan
по IP-адресу [::1]:445 прервано.4614 DFSR Служба репликации DFS инициализировала SYSVOL по локальному пути
C:WindowsSYSVOLdomain и готова к начальной репликации.
Реплицированная папка останется в состоянии начальной синхронизации до выполнения
репликации со своим партнером .
Если в это время выполнялось назначение сервера контроллером домена, контроллер
домена не будет делать объявления и функционировать как контроллер домена,
пока данная проблема не будет решена.Это могло произойти, если указанный партнер
также находится в состоянии начальной синхронизации или обнаружены нарушения
совместного доступа на этом сервере или партнере синхронизации. Если данное событие
произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к
репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема
не будет решена. В результате этого папка SYSVOL на данном сервере может стать не
синхронизированной с другими контроллерами домена.Дополнительные сведения:
Имя реплицированной папки: SYSVOL Share
Идентификатор реплицированной папки: D9D38B13-9269-452C-B7C2-73C0657DE455
Имя группы репликации: Domain System Volume
Идентификатор группы репликации: 3F76BC87-1BFC-4475-AEDE-6C86EB8DDCD2
Код участника: 10D4D1B5-45FB-4208-9B91-A007EADD691C
Только для чтения: 0
1058 Microsoft-Windows-GrpupPolicy
Ошибка при обработке групповой политики. Попытка чтения файла
"\rugk.wanSysVolrugk.wanPolicies{0E0E916F-D318-483F-9194-BD3556A04317}gpt.ini"
с контроллера домена была неудачной. Параметры групповой политики не могут быть
применены, пока не будет исправлена эта ситуация.Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру
домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена
файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Еще есть странная ошибка:
DC1-RU 64 Microsoft-Windows-CertificateServicesClient-AutoEnrollment
Срок действия сертификата для Локальная система с отпечатком 44 b3 7a bc bf 61 a9
88 51 e1 5c 37 d0 02 64 93 35 f6 ac 98 скоро истекает или уже истек.
В журнале DC2-RU постоянные ошибки:
DC2-RU 30620 Предупреждение Microsoft-Windows-SMBClient
Microsoft-Windows-SMBClient/Operational 14.03.2014 15:18:42 Подключение к серверу DC2-RU по IP-адресу [::1]:445 прервано. DC2-RU 30623 Предупреждение Microsoft-Windows-SMBClient
Microsoft-Windows-SMBClient/Operational 14.03.2014 15:18:42 Подключение к общему ресурсу DC2-RUipc$ потеряно. Состояние: 0xC000020C DC2-RU 30621 Предупреждение Microsoft-Windows-SMBClient
Microsoft-Windows-SMBClient/Operational 14.03.2014 15:18:42 Сеанс на сервере DC2-RU потерян. Состояние: 0xC000020CDC2-RU 4614 Предупреждение DFSR Репликация DFS 14.03.2014 15:02:13 Служба репликации DFS инициализировала SYSVOL по локальному пути
C:WindowsSYSVOLdomain и готова к начальной репликации.
Реплицированная папка останется в состоянии начальной синхронизации до выполнения
репликации со своим партнером . Если в это время выполнялось назначение сервера
контроллером домена, контроллер домена не будет делать объявления и функционировать
как контроллер домена, пока данная проблема не будет решена. Это могло произойти,
если указанный партнер также находится в состоянии начальной синхронизации или
обнаружены нарушения совместного доступа на этом сервере или партнере синхронизации.
Если данное событие произошло в результате миграции SYSVOL от службы репликации
файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока
эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере
может стать не синхронизированной с другими контроллерами домена. Дополнительные сведения: Имя реплицированной папки: SYSVOL Share Идентификатор реплицированной папки: D9D38B13-9269-452C-B7C2-73C0657DE455 Имя группы репликации: Domain System Volume Идентификатор группы репликации: 3F76BC87-1BFC-4475-AEDE-6C86EB8DDCD2 Код участника: 9D7F3894-1FA7-4B96-937F-E5FF77226AAE Только для чтения: 0 DC2-RU 1058 Ошибка Microsoft-Windows-GroupPolicy Система 14.03.2014 15:26:26 Ошибка при обработке групповой политики. Попытка чтения файла
"\rugk.wanSysVolrugk.wanPolicies{0E0E916F-D318-483F-9194-BD3556A04317}gpt.ini"
с контроллера домена была неудачной. Параметры групповой политики не могут быть
применены, пока не будет исправлена эта ситуация. Это может быть временным явлением,
его возможные причины: a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру
домена. b) Запаздывание репликации Active Directory (созданный на другом контроллере домена
файл еще не реплицирован на текущий контроллер домена). c) Отключен клиент распределенной файловой системы (DFS).
DC1-RU:
dcdiag /q За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем
групповой политики. ......................... DC1-RU - не пройдена проверка DFSREventipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : DC1-RU
Основной DNS-суффикс . . . . . . : rugk.wan
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : rugk.wanEthernet adapter Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : 2-портовый адаптер HP Ethernet 1Gb 361i
Физический адрес. . . . . . . . . : B4-B5-2F-5F-33-F8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.10.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . : 192.168.10.100
DNS-серверы. . . . . . . . . . . : 192.168.10.7
127.0.0.1
NetBios через TCP/IP. . . . . . . . : ВключенТуннельный адаптер isatap.{D6C70C75-21B8-4863-BD5D-8B3B44DEB90B}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : ДаТуннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
DC2-RU:
dcdiag /q Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:06:10 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:11:11 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:16:12 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:21:13 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:26:14 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:31:15 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:36:16 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:41:17 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:46:18 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:51:19 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 14:56:20 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: Возникла ошибка. Код события (EventID): 0x00000422 Время создания: 03/14/2014 15:01:21 Строка события: Ошибка при обработке групповой политики. Попытка чтения файла "\rugk.wanSysVolrugk.wanPolicies{0E0E916F -D318-483F-9194-BD3556A04317}gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть п рименены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: ......................... DC2-RU - не пройдена проверка SystemLog
repadmin /showreplipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : DC1-RU
Основной DNS-суффикс . . . . . . : rugk.wan
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : rugk.wanEthernet adapter Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : 2-портовый адаптер HP Ethernet 1Gb 361i
Физический адрес. . . . . . . . . : B4-B5-2F-5F-33-F8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.10.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз. . . . . . . . . : 192.168.10.100
DNS-серверы. . . . . . . . . . . : 192.168.10.7
127.0.0.1
NetBios через TCP/IP. . . . . . . . : ВключенТуннельный адаптер isatap.{D6C70C75-21B8-4863-BD5D-8B3B44DEB90B}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : ДаТуннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : ДаRepadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
RUGK-SiteDC2-RU
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 2d613729-0d42-4baa-969a-2ec4f1491057
DSA - код вызова: ee275999-a4f8-49d1-9341-ce760ada63de==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=rugk,DC=wan
RUGK-SiteDC1-RU через RPC
DSA - GUID объекта: 83dc93e7-b66c-4e0a-9d76-5314aa6e6162
Последняя попытка @ 2014-03-14 15:04:23 успешна.
Пытался сделать non-authoritative/authoritative synchronization, но у меня не появляются ни Event ID 4114 in the DFSR event log, ни Event ID 4614 and 4604 in the DFSR event log
В современных системах Active Directory для синхронизации каталогов SYSVOL использует службу репликации DFS (DFSR), для которой намеренно убрана возможность внесения любых изменений через интерфейсы управления, чтобы избежать аварийных ситуаций. Но случается, что файловая репликация в домене перестает работать и администраторы начинают испытывать существенные затруднения с ее диагностикой и восстановлением. Но не все так плохо, при помощи нашей статьи вы быстро и без особых затруднений сможете исправить ситуацию.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Файловая репликация SYSVOL используется в Active Directory для синхронизации логон-скриптов и групповых политик между контроллерами домена и при ее нарушении наблюдаются проблемы с изменением и применением политик. Одним из симптомов нарушения репликации является пропажа из общих ресурсов контроллера папки SYSVOL.
В этом случае у нас будет наблюдаться рассинхронизация содержимого данной директории на контроллерах и станет необходимо определить контроллер с наиболее полным и актуальным ее содержимым, чтобы сделать его заслуживающим доверия (авторитетным) источником и провести с него репликацию SYSVOL на остальные контроллеры.
Ответственным за внесение изменений в групповые политики и пространство имен DFS является эмулятор первичного контроллера домена — PDC, поэтому скорее всего именно он будет обладать наиболее актуальной копией. Если это не так, то мы рекомендуем передать эту роль контроллеру, обладающему наиболее актуальной копией или перенести ее содержимое на PDC.
Все указанные ниже команды нужно производить в командной строке, запущенной с повышенными правами.
Прежде всего остановим службу репликации DFS на всех контроллерах домена:
sc stop dfsrТеперь перейдем на контроллер, назначенный нами авторитетным, в нашем случае это PDC и запустим на нем оснастку Редактирование ADSI и выполним Действия — Подключения к — Контекст именования по умолчанию.
И в нем разворачиваем дерево CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<Имя_Контроллера>,OU=Domain Controllers,DC=<Имя_Домена> и раскрываем свойства объекта.
На авторитетном контроллере мы должны установить два параметра:
msDFSR-Enabled=FALSE
msDFSR-Options=1Затем здесь же раскрываем деревья других контроллеров и изменяем там только один параметр:
msDFSR-Enabled=FALSEПосле чего на авторитетном контроллере запускаем принудительную репликацию:
repadmin /syncall /APedНа всех остальных контроллерах проверяем, что репликация выполнена:
repadmin /showreplВозвращаемся на авторитетный контроллер и запускаем на нем службу репликации DFS:
sc start dfsrЗатем переходим в оснастку Просмотр событий — Журналы приложений и служб — Репликация DFS:
В нем должно появиться событие 4114 — Реплицированная папка с локальным путем C:WindowsSYSVOLdomain была отключена.
После чего возвращаемся в оснастку Редактирование ADSI и для авторитетного контроллера устанавливаем:
msDFSR-Enabled=TRUEСнова выполняем принудительную репликацию и убеждаемся, что она завершилась успехом.
Затем на авторитетном DC выполняем:
DFSRDIAG POLLADВ журнале событий должна появиться запись 4602 — Служба репликации DFS успешно инициализировала реплицированную папку SYSVOL по локальному пути C:WindowsSYSVOLdomain. Этот участник является назначенным основным членом для этой реплицированной папки.
Переходим на остальные контроллеры и запускаем на них службу репликации DFS:
sc start dfsrУбеждаемся, что на каждом из них в журнале появилось событие 4114.
Еще раз возвращаемся в оснастку Редактирование ADSI и устанавливаем для всех неавторитетных контроллеров значение:
msDFSR-Enabled=TRUEИ выполняем принудительную репликацию. Убедившись, что она завершилась успешно, на каждом неавторитетном контроллере вводим команду:
DFSRDIAG POLLADПосле чего контролируем появление в журнале событий 4614 и 4604, указывающие на то, что SYSVOL был инициализирован и реплицирован с заслуживающего доверия контроллера домена.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
- Remove From My Forums
-
Question
-
Hi everyone,
Just wondering if anyone out there has run into the following error that started without much warning. Yet, following instructions on how to solve the problem haven’t help me much.
ERROR:
The File Replication Service is having trouble enabling replication
from [Server2] to [Server1] for c:windowssysvoldomain
using the DNS name [Server2].domain.com. FRS will keep retrying.
Following are some of the reasons you would see this warning.
[1] FRS can not correctly resolve the DNS name [Server2].domain.com
from this computer.
ANSWER: I can ping both, back and forth using the FQN.
[2] FRS is not running on [Server2].domain.com.
ANSWER: I chekced the services in both servers = both working.
[3] The topology information in the Active Directory for this replica
has not yet replicated to all the Domain Controllers.
ANSWER: The service was working before. How can I check if the topology
info is gone? How should I tackle this one?
ADITIONAL DATA:
i. RPC is working. I can eventview back and forth.
ii. Space in the disks is fine. Both servers have plenty of space for replication.
iii. I have stopped and started the FRS to force the systems to start all over again = problem persists.
Thank you all!!
-
Moved by
Friday, November 25, 2011 1:37 AM
(From:Server Manager)
-
Moved by
Answers
-
The event id 13508 & 13509 indicates replication failure between the DC.There could be many reason why this can happen.
DNS missconfig,network latency issue,secure channel between the DC broken,FRS in Journal Wrap error state.Performance issue on the server,server may have reached tombstone life cycle period,time difference between the sever,firewall blocking the replication
Ports,etc.Most of the time it is DNS misconfig or network connectivity issue.
1.Check the DNS setting on the Server’s it should point to itself assuming DNS role is installed on the server.If the public ip address is added in the NIC DNS setting remove the same and add to DNS forwarders if required.
If 127.0.0.1 is entered as dns remove the same and add ip address.Add alternate DNS setting.Regards,
Sandesh Dubey.
——————————-
MCSE|MCSA:Messaging|MCTS|MCITP:Enterprise Adminitrator
My Blog: http://sandeshdubey.wordpress.com
This posting is provided AS IS with no warranties, and confers no rights.-
Marked as answer by
Bruce-Liu
Tuesday, November 29, 2011 9:34 AM
-
Marked as answer by
Поучительная история о том, как не надо удалять контроллеры из домена и как чинить упавшую репликацию между контроллерами.
Итак, смеркалось… Ко мне обратился коллега с просьбой помочь разобраться в странной, необъяснимой ™ проблеме: между DC выделенной инфраструктуры ВНЕЗАПНО не реплицируются шары Netlogon и Sysvol. При этом, разумеется, «никто ничего не трогал» (с), однако какое-то время назад из этого домена был удален контроллер OLDDC со всеми FSMO ролями, каковые роли, со слов коллеги, были перед этим корректно перенесены на один из оставшихся в строю контроллеров DC1 (все имена действующих героев серверов и доменов изменены на произвольные).
Путем беглого просмотра логов на одном из пострадавших контроллеров были довольно быстро выловлены три ключевые ошибки:
1058 - The processing of Group Policy failed.1014 - Name resolution for the name _ldap._tcp.DC1. timed out after none of the configured DNS servers responded.
9033 - The DFS Replication service is stopping communication with partner DC1 for replication group Domain System Volume due to an error. The service will retry the connection periodically.
Далее – наш любимый dcdiag, который в числе прочего мусора выдал крайне примечательную вещь:
TEST: Delegations (Del)
Delegation information for the zone: domain.ru.
Delegated domain name: _msdcs.domain.ru.
Error: DNS server: OLDDC.domain.ru.
IP:<Unavailable> [Missing glue A record]
[Error details: 9714 (Type: Win32 — Description: DNS name does not exist.)]
Все чудесатее и чудесатее. Чешем репу, открываем консоль DNS и проверяем NS записи в зоне _msdcs.domain.ru. Вроде все на месте и все указывают на боевые домен-контроллеры. А вот в зоне domain.ru для зоны-заглушки _msdcs.domain.ru как раз и обнаружилась NS запись с указанием старого OLDDC, причем она же – единственная.
Правим запись, делаем принудительную репликацию AD, рестартуем службу DFSR на контроллерах. В логах наблюдаем:
5004 - The DFS Replication service successfully established an inbound connection with partner DC1 for replication group Domain System Volume.
Все? Как бы не так: репликация по-прежнему не работает. Курим лог дальше. Обнаруживаем вот это:
4614 - The DFS Replication service initialized SYSVOL at local path C:WindowsSYSVOLdomain and is waiting to perform initial replication.
Initial replication, как несложно догадаться, так и не проходит. Мораль – надо восстанавливать хирургическими методами. Пробуем обойтись малой кровью, не трогая PDC: выполняем процедуру non-authoritative synchronization на подчиненном контроллере – не помогает. Тут уж иного выхода, кроме как authoritative synchronization, нет. Сам механизм пошагово описан в приведенной статье KB, повторять его не вижу смысла, однако хотел бы заострить внимание на некоторых моментах:
1. Перед началом процедуры крайне желательно сделать полный бэкап папки C:WindowsSYSVOLdomain (а в случае, если при установке DC дефолтные пути менялись – той папки, которая была прописана при установке роли ADDS).
2. Никаких изменений в GPO во время процедуры проводиться не должно.
3. После выполнения authoritative synchronization на основном DC, необходимо выполнить non-authoritative synchronization на всех подчиненных. При этом перед началом данной процедуры рекомендуется очистить на них папки C:WindowsSYSVOLdomainPolicies и C:WindowsSYSVOLdomainscripts, предварительно на всякий случай тоже забэкапив их.
4. Если на каком-то из DC не находится утилита dfsrdiag – ставим фичу DFS Management Tools из ветки Remote Server Administration Tools.
Если все сделано правильно, то в конце на каждом DC мы получим такое сообщение в логе:
4604 - The DFS Replication service successfully initialized the SYSVOL replicated folder at local path C:WindowsSYSVOLdomain.
А мораль сей басни такова: при удалении DC из домена, тем более при переносе с него ролей FSMO, будет далеко не лишним пройтись по консолям DNS и Sites and Services в поисках оставшихся от него «хвостов». В данном случае это не было сделано и могло бы привести к печальным последствиям, поскольку отсутствие репликации между контроллерами означает, в том числе, и рассинхронизацию GPO.
Здравствуйте!
Поднял резервный DC сутки назад и заметил, что sysvol не реплицировалась на него
NTP прописан
Логи с владельца FSMO:
Ошибка в журнале —
Служба репликации DFS не обнаружила настроенных подключений для группы репликации Domain System Volume. Данные для этой группы репликации не реплицируются.
Дополнительные сведения:
Идентификатор группы репликации: C4C4781F-3AD3-41B0-9835-F5A389DCAAF0
Идентификатор члена: 1F29C088-9083-4E4F-A<code></code>832-C922B42B75D4dcdiag /q —
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об
ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
......................... MPADSERV - не пройдена проверка DFSREventDFSR c каким-то неопределенным членом репликации (видимо когда-то насильно убитый DC)
net share Нужные папки среди прочих присутствуют —
NETLOGON C:WindowsSYSVOLsysvolMPAD.localSCRIPTS
SYSVOL C:WindowsSYSVOLsysvolЛоги с резервного DC:
Вот такое есть в журнале —
Служба репликации DFS успешно установила входящее подключение с партнером MPADSERV для группы репликации Domain System Volume.dcdiag /q
Внимание: DsGetDcName вернул сведения для \MPADSERV.MPAD.local при попытке получения доступа к DCSERV2.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
......................... DCSERV2 - не пройдена проверка Advertising
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DCSERV2 - не пройдена проверка DFSREvent
Не удается подключиться к общему ресурсу NETLOGON. (\DCSERV2netlogon)
[DCSERV2] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
......................... DCSERV2 - не пройдена проверка NetLogons
[Проверка репликации,DCSERV2] Сбой функции DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105 "Доступ к репликации отвергнут."
......................... DCSERV2 - не пройдена проверка Replications
Возникла ошибка. Код события (EventID): 0x00000051
Время создания: 08/05/2020 13:04:00
Строка события: LogExtendedErrorInformation (974): Extended RPC error information:
......................... DCSERV2 - не пройдена проверка SystemLogDFSR — тоже самое
net share — Нужные папки отсутствуют
В какую сторону курить?