День добрый! Ситуация такая, есть 3 DC, на всех трех работает DNS, упорно не хочет ходить репликация между некоторыми серверами.
Результат replmon c основонго КД:
Active Directory Replication Domain Controller Replication Failure Output
Printed at 04.12.2012 12:38:23
Below are the replication failures detected on Domain Controllers for this domain:
Domain Controller Name: APPS
Directory Partition: DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: APPS
Directory Partition: CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: APPS
Directory Partition: CN=Schema,CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: APPS
Directory Partition: DC=DomainDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Domain Controller Name: APPS
Directory Partition: DC=ForestDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Domain Controller Name: PDC
Directory Partition: DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: PDC
Directory Partition: CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: PDC
Directory Partition: CN=Schema,CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: PDC
Directory Partition: DC=DomainDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Domain Controller Name: PDC
Directory Partition: DC=ForestDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Основной КД : Server 2003
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : bcd
Основной DNS-суффикс . . . . . . : mkmgr.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : mkmgr.local
Подключение по локальной сети — Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gigabit NIC
Физический адрес. . . . . . . . . : 00-13-21-B4-D6-3B
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.11
DNS-серверы . . . . . . . . . . . : 192.168.1.2
192.168.1.11
Резервный КД
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : APPS
Основной DNS-суффикс . . . . . . : mkmgr.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : mkmgr.local
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Broadcom NetXtreme для сети Ethernet, 1 Гбит/с #2
Физический адрес. . . . . . . . . : 00-05-5D-4E-CF-40
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 212.44.***.***(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.192
Основной шлюз. . . . . . . . . : 212.44.132.65
DNS-серверы. . . . . . . . . . . : 212.44.132.65
212.44.130.6
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : mkmgr.local
Описание. . . . . . . . . . . . . : Адаптер Broadcom NetXtreme для сети Ethernet, 1 Гбит/с
Физический адрес. . . . . . . . . : 00-12-3F-FF-0B-AB
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.11(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.1.2
192.168.1.11
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Kerio Virtual Network:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети*:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . : mkmgr.local
Описание. . . . . . . . . . . . . : isatap.mkmgr.local
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 9:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : 6TO4 Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:d42c:8463::d42c:8463(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 212.44.132.65
212.44.130.6
NetBios через TCP/IP. . . . . . . . : Отключен
Туннельный адаптер Подключение по локальной сети* 11:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{0A2CE4F7-863E-4CCC-8CA2-5B93A49E68CD}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 12:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{28ECABD7-1114-43C8-8F47-D77419CB166D}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Резервный КД
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : pdc
Основной DNS-суффикс . . . . . . : mkmgr.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : mkmgr.local
Подключение по локальной сети — Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gigabit NIC
Физический адрес. . . . . . . . . : 00-13-21-B4-D6-3B
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.11
DNS-серверы . . . . . . . . . . . : 192.168.1.2
192.168.1.1
БУДУ РАД ЛЮБОЙ ПОМОЩИ!!!
| title | description | ms.date | author | ms.author | manager | audience | ms.topic | ms.prod | localization_priority | ms.reviewer | ms.custom | ms.technology |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Active Directory replication error 1256 |
Describes how to Active Directory replication error 1256. |
04/28/2023 |
Deland-Han |
delhan |
dcscontentpm |
itpro |
troubleshooting |
windows-server |
medium |
kaushika, justintu |
sap:active-directory-replication, csstroubleshoot |
windows-server-active-directory |
Active Directory replication error 1256: The remote system is not available
This article describes the symptoms, cause, and resolution steps for cases when Active Directory replication fails with error 1256: The remote system is not available.
Applies to: Windows Server 2012 R2
Original KB number: 2200187
Symptoms
-
The DCDIAG reports that the Active Directory Replications test has failed with error 1256: The remote system is not available.
Starting test: Replications
[Replications Check, <Destination DC>] A recent replication attempt failed:
From <source DC> to <destination DC>
Naming Context: <directory partition DN path>
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at <date> <time>
The last success occurred at <date> <time> -
REPADMIN.EXE reports that a replication attempt has failed with status 1256.
REPADMIN commands that commonly cite the 1256 status include but are not limited to:REPADMIN /REPLSUMREPADMIN /SHOWREPSREPADMIN /SHOWREPLREPADMIN /FAILCACHE
Sample output from
REPADMIN /SHOWREPSdepicting inbound replication from LonEMEADC to LonContosoDC failing with The remote system is not available error is shown below:Repadmin: running command /showrepl against full DC localhost
LondonLONCONTOSODC
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: a29bbfda-8425-4cb9-9c66-8e07d505a5c6
DSA invocationID: d58a6322-6a28-4708-82d3-53b7dcc13c1a==== INBOUND NEIGHBORS ======================================
<snip>
DC=ForestDnsZones,DC=Contoso,DC=com
LondonLONEMEADC via RPC
DSA object GUID: cd691606-63d1-4cc8-b77a-055674ba569d
Last attempt @ 2010-06-10 17:35:46 failed, result 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
<#> consecutive failure(s).
Last success @ <date> <time>. -
NTDS KCC, NTDS Replication, or ActiveDirectory_DomainService events with the 1256 status are logged in the directory service event log.
Event Source Event ID Event String NTDS Replication ActiveDirectory_DomainService 1085 * Internal event: Active Directory Domain Services could not synchronize the following directory partition with the directory service at the following network address. NTDS KCC ActiveDirectory_DomainService 1308 The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed. The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following directory service has consistently failed. [!NOTE]
Event 1085 is only logged if the NTDS Diagnostics value 5 Replication Events has been set to a value of 1 or higher.
Cause
Replication status 1256 is logged for the following reason:
When the destination DC fails to bind to the source DC using RPC a win32 error code in the Repsfrom status for that partition — usually Schema or Configuration since these partitions are replicated at a higher priority. After an RPC bind failure has occurred, a cleanup routine will run to clear the destination DCs queue from that same source DC. This is done to avoid wasting time attempting to replicate with a DC that it can’t connect to. Since it hasn’t attempted a sync for the partitions that have been cleared from the queue, a status 1256 is logged. In a scenario where destination DC replicates Schema, Configuration, and several GC non-writable partitions from the source DC, the win32 error status for the Schema and Configuration partitions that caused the RPC bind failure is logged. The destination DC will then cancel the pending replication tasks for the remaining partitions and log win32 error 1256 for the status.
In summary: 1256 is logged as the replication status per partition as a result of the destination DC cancelling the sync request from the source DC due to a connectivity failure previously encountered.
Resolution
The win32 error 1256 should not be the focus of troubleshooting efforts, instead find the replication status that led to the RPC bind failure and then follow the corresponding Troubleshooting Active Directory operations that fail with error… article.
Diagnose Active Directory replication failures.
In order to determine the actual win32 error to troubleshoot, use one of the following methods:
-
View
repadmin /showrepsor/showreploutput on the destination DC- Identify Source DC in the output and list all win32 status messages per partition
- The win32 status that is listed that is not a 1256 should be the focus of troubleshooting efforts
-
Use
repadmin /showrepl * /csvoutput:- Filter column K, Last Failure Status: Deselect 0 and (Blanks)
- Filter column C, Destination DSA: Deselect (Select All) and select just the DC where the 1256 status is logged.
- If 1256 is logged on more than one Source DC, Filter column F, Source DSA: Deselect (Select All) and Select just one DC to narrow the focus.
- Column K, Last Failure Status will list the 1256’s along with the real win32 error that led to the RPC bind failure.
In the following example, win32 error 1722 is logged for the Configuration and Schema partitions and should be the focus of troubleshooting.
B C D E F H I J K Destination DSA Site Destination DSA Naming Context Source DSA Site Source DSA Number of Failures Last Failure Time Last Success Time Last Failure Status London LONCONTOSODC CN=Configuration,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1722 London LONCONTOSODC CN=Schema,CN=Configuration, DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:36 6/10/2010 14:50 1722 London LONCONTOSODC DC=ForestDnsZones,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1256 London LONCONTOSODC DC=corp,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1256 London LONCONTOSODC DC=EMEA,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:54 1256 London LONCONTOSODC DC=apac,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1256 -
Initiate a manual replication sync between source and destination DCs using repadmin.
Repadmin /replicate DestinationDC SourceDC <DN of partition reporting status 1256>(This will require /readonly switch for GC partition or /selsecrets switch if destination is an RODC)repadmin /replicate loncontosodc lonemeadc.emea.contoso.com dc=forestdnszones,dc=contoso,dc=comDsReplicaSync() failed with status 1722 (0x6ba):
The RPC server is unavailable.
Take note that after manually initiating replication for the partition that the status has changed from 1256 to 1722:
B C D E F H I J K Destination DSA Site Destination DSA Naming Context Source DSA Site Source DSA Number of Failures Last Failure Time Last Success Time Last Failure Status London LONCONTOSODC CN=Configuration,DC=Contoso, DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1722 London LONCONTOSODC CN=Schema,CN=Configuration, DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:36 6/10/2010 14:50 1722 London LONCONTOSODC DC=ForestDnsZones, DC=Contoso,DC=com London LONEMEADC 12 6/10/2010 17:46 6/10/2010 14:50 1722 London LONCONTOSODC DC=corp,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1256 London LONCONTOSODC DC=EMEA,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:54 1256 London LONCONTOSODC DC=apac,DC=Contoso,DC=com London LONEMEADC 11 6/10/2010 17:35 6/10/2010 14:50 1256
Data collection
If you need assistance from Microsoft support, we recommend you collect the information by following the steps mentioned in Gather information by using TSSv2 for Active Directory replication issues.
More information
The following articles contain the troubleshooting procedures for errors typically logged with win32 error 1256:
| Win32 error | Article |
|---|---|
| -2146893022 | Active Directory replication error -2146893022: The target principal name is incorrect |
| 5 | Active Directory replication error 5 — Access is denied |
| 1722 | Active Directory replication error 1722: The RPC server is unavailable |
| 1727 | Troubleshoot domain controller replication error 1727-The remote procedure call failed and did not execute |
| 1753 | Active Directory Replication Error 1753: There are no more endpoints available from the endpoint mapper |
| 1908 | Troubleshooting Active Directory operations that fail with error 1908: Could not find the domain controller for this domain |
| 8524 | Active Directory Replication Error 8524: The DSA operation is unable to proceed because of a DNS lookup failure |
| 8453 | Active Directory replication error 8453: Replication access was denied |
День добрый! Ситуация такая, есть 3 DC, на всех трех работает DNS, упорно не хочет ходить репликация между некоторыми серверами.
Результат replmon c основонго КД:
Active Directory Replication Domain Controller Replication Failure Output
Printed at 04.12.2012 12:38:23
Below are the replication failures detected on Domain Controllers for this domain:
Domain Controller Name: APPS
Directory Partition: DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: APPS
Directory Partition: CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: APPS
Directory Partition: CN=Schema,CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: APPS
Directory Partition: DC=DomainDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Domain Controller Name: APPS
Directory Partition: DC=ForestDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Domain Controller Name: PDC
Directory Partition: DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: PDC
Directory Partition: CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: PDC
Directory Partition: CN=Schema,CN=Configuration,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1722
Failure Reason: Сервер RPC недоступен.
Domain Controller Name: PDC
Directory Partition: DC=DomainDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Domain Controller Name: PDC
Directory Partition: DC=ForestDnsZones,DC=mkmgr,DC=local
Replication Partner: Default-First-Site-NameBCD
Failure Code: 1256
Failure Reason: Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной
системе Windows.
Основной КД : Server 2003
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : bcd
Основной DNS-суффикс . . . . . . : mkmgr.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : mkmgr.local
Подключение по локальной сети — Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gigabit NIC
Физический адрес. . . . . . . . . : 00-13-21-B4-D6-3B
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.11
DNS-серверы . . . . . . . . . . . : 192.168.1.2
192.168.1.11
Резервный КД
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : APPS
Основной DNS-суффикс . . . . . . : mkmgr.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : mkmgr.local
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Broadcom NetXtreme для сети Ethernet, 1 Гбит/с #2
Физический адрес. . . . . . . . . : 00-05-5D-4E-CF-40
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 212.44.***.***(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.192
Основной шлюз. . . . . . . . . : 212.44.132.65
DNS-серверы. . . . . . . . . . . : 212.44.132.65
212.44.130.6
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : mkmgr.local
Описание. . . . . . . . . . . . . : Адаптер Broadcom NetXtreme для сети Ethernet, 1 Гбит/с
Физический адрес. . . . . . . . . : 00-12-3F-FF-0B-AB
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.11(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.1.2
192.168.1.11
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Kerio Virtual Network:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети*:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . : mkmgr.local
Описание. . . . . . . . . . . . . : isatap.mkmgr.local
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 9:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : 6TO4 Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:d42c:8463::d42c:8463(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 212.44.132.65
212.44.130.6
NetBios через TCP/IP. . . . . . . . : Отключен
Туннельный адаптер Подключение по локальной сети* 11:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{0A2CE4F7-863E-4CCC-8CA2-5B93A49E68CD}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 12:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.{28ECABD7-1114-43C8-8F47-D77419CB166D}
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Резервный КД
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : pdc
Основной DNS-суффикс . . . . . . : mkmgr.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : mkmgr.local
Подключение по локальной сети — Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gigabit NIC
Физический адрес. . . . . . . . . : 00-13-21-B4-D6-3B
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.11
DNS-серверы . . . . . . . . . . . : 192.168.1.2
192.168.1.1
БУДУ РАД ЛЮБОЙ ПОМОЩИ!!!
Hi,
We have one DC and ADC which is running on the same premises. Few days back the ADC got power failure and after that long it thrown an error of some services are not started. We checked the event viewer to find out the service failed but not
found the same. In Services all the services are in started mode. Restarted server serval time. Still the replication not happening with DC. If any one can help me out to find out the real issue will very helpful.
Pasting Below dciag and showrepl results ,
repadmin running command /showrepl against server localhost
Default-First-Site-NameBACKUPDC
DC Options: (none)
Site Options: (none)
DC object GUID: bcbf105f-e755-4c24-b846-01d447834480
DC invocationID: da4dec2a-3c22-4b5f-8f36-586ee3969ea2
==== INBOUND NEIGHBORS ======================================
DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:05 failed, result 5 (0x5):
Access is denied.
1479 consecutive failure(s).
Last success @ 2014-05-12 09:42:25.
CN=Configuration,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:06 failed, result 5 (0x5):
Access is denied.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:23:26.
CN=Schema,CN=Configuration,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:06 failed, result 5 (0x5):
Access is denied.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:23:26.
DC=DomainDnsZones,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:05 failed, result 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:33:40.
DC=ForestDnsZones,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:05 failed, result 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:23:27.
Source: Default-First-Site-NameDC
******* 1479 CONSECUTIVE FAILURES since 2014-05-12 09:42:25
Last error: 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
Replication Summary Start Time: 2014-06-30 12:49:41
Beginning data collection for replication summary, this may take awhile:
…..
Source DC largest delta fails/total %% error
BACKUPDC 49d.03h:30m:38s 5 / 5 100 (2148074274) The target principal name is incorrect.
DC 49d.03h:26m:15s 5 / 5 100 (5) Access is denied.
Destination DC largest delta fails/total %% error
BACKUPDC 49d.03h:26m:16s 5 / 5 100 (5) Access is denied.
DC 49d.03h:30m:39s 5 / 5 100 (2148074274) The target principal name is incorrect.
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-NameBACKUPDC
Starting test: Connectivity
……………………. BACKUPDC passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-NameBACKUPDC
Starting test: Replications
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: DC=ForestDnsZones,DC=bannaridc,DC=com
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:23:27.
1181 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: DC=DomainDnsZones,DC=bannaridc,DC=com
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:33:40.
1181 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: CN=Schema,CN=Configuration,DC=bannaridc,DC=com
The replication generated an error (5):
Access is denied.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:23:26.
1181 failures have occurred since the last success.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: CN=Configuration,DC=bannaridc,DC=com
The replication generated an error (5):
Access is denied.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:23:26.
1181 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: DC=bannaridc,DC=com
The replication generated an error (5):
Access is denied.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:42:25.
1477 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
REPLICATION-RECEIVED LATENCY WARNING
BACKUPDC: Current time is 2014-06-30 12:20:45.
DC=ForestDnsZones,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:23:27.
DC=DomainDnsZones,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:33:40.
CN=Schema,CN=Configuration,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:23:26.
CN=Configuration,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:23:26.
DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:42:25.
……………………. BACKUPDC passed test Replications
Starting test: NCSecDesc
……………………. BACKUPDC passed test NCSecDesc
Starting test: NetLogons
……………………. BACKUPDC passed test NetLogons
Starting test: Advertising
……………………. BACKUPDC passed test Advertising
Starting test: KnowsOfRoleHolders
……………………. BACKUPDC passed test KnowsOfRoleHolders
Starting test: RidManager
……………………. BACKUPDC passed test RidManager
Starting test: MachineAccount
……………………. BACKUPDC passed test MachineAccount
Starting test: Services
……………………. BACKUPDC passed test Services
Starting test: ObjectsReplicated
……………………. BACKUPDC passed test ObjectsReplicated
Starting test: frssysvol
……………………. BACKUPDC passed test frssysvol
Starting test: frsevent
……………………. BACKUPDC passed test frsevent
Starting test: kccevent
……………………. BACKUPDC passed test kccevent
Starting test: systemlog
……………………. BACKUPDC passed test systemlog
Starting test: VerifyReferences
……………………. BACKUPDC passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Running partition tests on : bannaridc
Starting test: CrossRefValidation
……………………. bannaridc passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. bannaridc passed test CheckSDRefDom
Running enterprise tests on : bannaridc.com
Starting test: Intersite
……………………. bannaridc.com passed test Intersite
Starting test: FsmoCheck
……………………. bannaridc.com passed test FsmoCheck
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-NameDC
Starting test: Connectivity
……………………. DC passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-NameDC
DNS Tests are running and not hung. Please wait a few minutes…
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : bannaridc
Running enterprise tests on : bannaridc.com
Starting test: DNS
……………………. bannaridc.com passed test DNS
Hi,
We have one DC and ADC which is running on the same premises. Few days back the ADC got power failure and after that long it thrown an error of some services are not started. We checked the event viewer to find out the service failed but not
found the same. In Services all the services are in started mode. Restarted server serval time. Still the replication not happening with DC. If any one can help me out to find out the real issue will very helpful.
Pasting Below dciag and showrepl results ,
repadmin running command /showrepl against server localhost
Default-First-Site-NameBACKUPDC
DC Options: (none)
Site Options: (none)
DC object GUID: bcbf105f-e755-4c24-b846-01d447834480
DC invocationID: da4dec2a-3c22-4b5f-8f36-586ee3969ea2
==== INBOUND NEIGHBORS ======================================
DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:05 failed, result 5 (0x5):
Access is denied.
1479 consecutive failure(s).
Last success @ 2014-05-12 09:42:25.
CN=Configuration,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:06 failed, result 5 (0x5):
Access is denied.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:23:26.
CN=Schema,CN=Configuration,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:06 failed, result 5 (0x5):
Access is denied.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:23:26.
DC=DomainDnsZones,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:05 failed, result 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:33:40.
DC=ForestDnsZones,DC=bannaridc,DC=com
Default-First-Site-NameDC via RPC
DC object GUID: 2a328743-72f5-48c7-b932-cbe8f957a580
Last attempt @ 2014-06-30 12:28:05 failed, result 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
1182 consecutive failure(s).
Last success @ 2014-05-12 09:23:27.
Source: Default-First-Site-NameDC
******* 1479 CONSECUTIVE FAILURES since 2014-05-12 09:42:25
Last error: 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
Replication Summary Start Time: 2014-06-30 12:49:41
Beginning data collection for replication summary, this may take awhile:
…..
Source DC largest delta fails/total %% error
BACKUPDC 49d.03h:30m:38s 5 / 5 100 (2148074274) The target principal name is incorrect.
DC 49d.03h:26m:15s 5 / 5 100 (5) Access is denied.
Destination DC largest delta fails/total %% error
BACKUPDC 49d.03h:26m:16s 5 / 5 100 (5) Access is denied.
DC 49d.03h:30m:39s 5 / 5 100 (2148074274) The target principal name is incorrect.
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-NameBACKUPDC
Starting test: Connectivity
……………………. BACKUPDC passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-NameBACKUPDC
Starting test: Replications
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: DC=ForestDnsZones,DC=bannaridc,DC=com
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:23:27.
1181 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: DC=DomainDnsZones,DC=bannaridc,DC=com
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:33:40.
1181 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: CN=Schema,CN=Configuration,DC=bannaridc,DC=com
The replication generated an error (5):
Access is denied.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:23:26.
1181 failures have occurred since the last success.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: CN=Configuration,DC=bannaridc,DC=com
The replication generated an error (5):
Access is denied.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:23:26.
1181 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,BACKUPDC] A recent replication attempt failed:
From DC to BACKUPDC
Naming Context: DC=bannaridc,DC=com
The replication generated an error (5):
Access is denied.
The failure occurred at 2014-06-30 11:28:05.
The last success occurred at 2014-05-12 09:42:25.
1477 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source DC
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
REPLICATION-RECEIVED LATENCY WARNING
BACKUPDC: Current time is 2014-06-30 12:20:45.
DC=ForestDnsZones,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:23:27.
DC=DomainDnsZones,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:33:40.
CN=Schema,CN=Configuration,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:23:26.
CN=Configuration,DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:23:26.
DC=bannaridc,DC=com
Last replication recieved from DC at 2014-05-12 09:42:25.
……………………. BACKUPDC passed test Replications
Starting test: NCSecDesc
……………………. BACKUPDC passed test NCSecDesc
Starting test: NetLogons
……………………. BACKUPDC passed test NetLogons
Starting test: Advertising
……………………. BACKUPDC passed test Advertising
Starting test: KnowsOfRoleHolders
……………………. BACKUPDC passed test KnowsOfRoleHolders
Starting test: RidManager
……………………. BACKUPDC passed test RidManager
Starting test: MachineAccount
……………………. BACKUPDC passed test MachineAccount
Starting test: Services
……………………. BACKUPDC passed test Services
Starting test: ObjectsReplicated
……………………. BACKUPDC passed test ObjectsReplicated
Starting test: frssysvol
……………………. BACKUPDC passed test frssysvol
Starting test: frsevent
……………………. BACKUPDC passed test frsevent
Starting test: kccevent
……………………. BACKUPDC passed test kccevent
Starting test: systemlog
……………………. BACKUPDC passed test systemlog
Starting test: VerifyReferences
……………………. BACKUPDC passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Running partition tests on : bannaridc
Starting test: CrossRefValidation
……………………. bannaridc passed test CrossRefValidation
Starting test: CheckSDRefDom
……………………. bannaridc passed test CheckSDRefDom
Running enterprise tests on : bannaridc.com
Starting test: Intersite
……………………. bannaridc.com passed test Intersite
Starting test: FsmoCheck
……………………. bannaridc.com passed test FsmoCheck
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-NameDC
Starting test: Connectivity
……………………. DC passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-NameDC
DNS Tests are running and not hung. Please wait a few minutes…
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : bannaridc
Running enterprise tests on : bannaridc.com
Starting test: DNS
……………………. bannaridc.com passed test DNS
Содержание
- Ошибка репликации Active Directory 1256: удаленная система недоступна
- Симптомы
- Причина
- Решение
- Дополнительные сведения
- Active Directory replication error 1256: The remote system is not available
- Symptoms
- Cause
- Resolution
- More information
Ошибка репликации Active Directory 1256: удаленная система недоступна
В этой статье описываются симптомы, причины и шаги по устранению проблем, когда репликация Active Directory завершается ошибкой 1256: удаленная система недоступна.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2200187
Симптомы
DCDIAG сообщает, что сбой теста репликации Active Directory с ошибкой 1256: удаленная система недоступна.
Запуск теста: репликации
[Проверка репликацией, домена] Не удалось выполнить последнюю попытку репликации:
Из исходного в конечный
Контекст именования:
При репликации произошла ошибка (1256):
Удаленная система недоступна. Сведения об устранении неполадок в сети см. в справке Windows.
Сбой произошел во время <>
Последний успех произошел на момент <>
REPADMIN.EXE сообщает о сбое попытки репликации с состоянием 1256. Команды REPADMIN, которые обычно ссылаются на состояние 1256, включают, но не ограничиваются:
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPS
- REPADMIN /SHOWREPL
- REPADMIN /FAILCACHE
Ниже приведен пример REPADMIN /SHOWREPS выходных данных, отображаемых при входящей репликации из LonEMEADC в LonContosoDC с ошибкой «Удаленная система недоступна»:
Repadmin: выполнение команды /showrepl для полного контроллера домена localhost
ЛондонLONCONTOSODC
Параметры DSA: IS_GC
Параметры сайта: (нет)
GUID объекта DSA: a29bbfda-8425-4cb9-9c66-8e07d505a5c6
DSA invocationID: d58a6322-6a28-4708-82d3-53b7dcc13c1a
==== INBOUND NEIGHBORS ===========================================
DC=ForestDnsZones,DC=Contoso,DC=com
ЛондонКОДЕАДC через RPC
GUID объекта DSA: cd691606-63d1-4cc8-b77a-055674ba569d
Сбой последней попытки @ 2010-06-10 17:35:46, результат 1256 (0x4e8):
Удаленная система недоступна. Сведения об устранении неполадок в сети см. в справке Windows.
последовательные сбои.
Last success @ .
События NTDS KCC, репликация NTDS или ActiveDirectory_DomainService с состоянием 1256 регистрируются в журнале событий службы каталогов.
| Источник события | Идентификатор события | Строка события |
|---|---|---|
| Репликация NTDS ActiveDirectory_DomainService | 1085 * | Внутреннее событие: доменные службы Active Directory не удалось синхронизировать следующий раздел каталога со службой каталогов по следующему сетевому адресу. |
| NTDS KCC ActiveDirectory_DomainService | 1308 | Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки репликации со следующим контроллером домена постоянно завершались сбоем. Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки репликации со следующей службой каталогов постоянно завершались сбоем. |
Событие 1085 регистрируется только в том случае, если для параметра диагностики NTDS 5 Replication Events (События репликации) задано значение 1 или более.
Причина
Состояние репликации 1256 регистрируется по следующей причине:
Если целевому контроллеру домена не удается выполнить привязку к исходному контроллеру домена с помощью RPC, код ошибки win32 в состоянии Repsfrom для этой секции — обычно схема или конфигурация, так как эти секции реплицируются с более высоким приоритетом. После сбоя привязки RPC выполняется подпрограмма очистки для очистки очереди конечных контроллеров домена из того же исходного контроллера домена. Это делается, чтобы избежать использования времени при попытке репликации с контроллером домена, к которой он не может подключиться. Так как он не пытался выполнить синхронизацию для секций, которые были удалены из очереди, регистрируется состояние 1256. В сценарии, где конечный контроллер домена реплицирует схему, конфигурацию и несколько неопределяемых разделов сборки мусора из исходного контроллера домена, регистрируется состояние ошибки win32 для разделов схемы и конфигурации, вызвавшей сбой привязки RPC. Затем конечный контроллер домена отменит ожидающие задачи репликации для оставшихся разделов и журнал ошибки win32 1256 для состояния.
Сводка: 1256 регистрируется как состояние репликации для каждой секции в результате отмены целевого контроллера домена запроса на синхронизацию из исходного контроллера домена из-за ранее обнаруженного сбоя подключения.
Решение
Ошибка Win32 1256 не должна быть в фокусе усилий по устранению неполадок. Вместо этого найдите состояние репликации, которая привела к сбою привязки RPC, а затем выполните соответствующие операции по устранению неполадок Active Directory , которые завершались ошибкой.
Чтобы определить фактическую ошибку win32 для устранения неполадок, используйте один из следующих методов:
Просмотр repadmin /showreps или вывод /showrepl в целевом контроллере домена
- Определение исходного контроллера домена в выходных данных и вывод списка всех сообщений о состоянии Win32 на секцию
- Состояние win32 в списке, не равное 1256, должно быть в фокусе действий по устранению неполадок.
Используйте repadmin /showrepl * /csv выходные данные:
- Столбец фильтра K, состояние последнего сбоя: отмена выбора и (пустые значения)
- Отфильтруйте столбец C, назначение DSA: отмените выбор (выберите все ) и выберите только контроллер домена, в котором регистрируется состояние 1256.
- Если в журнале 1256 имеется более одного исходного контроллера домена, столбец фильтра F, исходный DSA: отмена выбора (выбор всех ) и выберите только один контроллер домена, чтобы сузить фокус.
- Столбец K, состояние последнего сбоя будет содержать 1256 и реальную ошибку win32, которая привела к сбою привязки RPC.
В следующем примере ошибка Win32 1722 регистрируется для разделов конфигурации и схемы и должна находиться в фокусе устранения неполадок.
| Б | В | D | E | F | H | I | J | K |
|---|---|---|---|---|---|---|---|---|
| Целевойсайт DSA | DSA назначения | Контекст именования | Исходный сайт DSA | Исходная служба DSA | Число сбоев | Время последнего сбоя | Время последнего успеха | Состояние последнего сбоя |
| Лондон | LONCONTOSODC | CN=Configuration,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1722 |
| Лондон | LONCONTOSODC | CN=Schema,CN=Configuration, DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:36 | 6/10/2010 14:50 | 1722 |
| Лондон | LONCONTOSODC | DC=ForestDnsZones,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
| Лондон | LONCONTOSODC | DC=corp,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
| Лондон | LONCONTOSODC | DC=EMEA,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:54 | 1256 |
| Лондон | LONCONTOSODC | DC=apac,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
Инициируйте синхронизацию репликации вручную между исходным и целевым контроллерами домена с помощью repadmin.
Repadmin /replicate DestinationDC SourceDC (Для этого потребуется параметр /readonly для раздела GC или параметр /selsecrets , если назначением является RODC)
repadmin /replicate loncontosodc lonemeadc.emea.contoso.com dc=forestdnszones,dc=contoso,dc=com
Ошибка DsReplicaSync() с состоянием 1722 (0x6ba):
Обратите внимание, что после инициации репликации вручную для раздела состояние изменилось с 1256 на 1722:
| Б | В | D | E | F | H | I | J | K |
|---|---|---|---|---|---|---|---|---|
| Целевой сайт DSA | DSA назначения | Контекст именования | Исходный сайт DSA | Исходная служба DSA | Числосбоев | Время последнего сбоя | Время последнего успеха | Состояние последнего сбоя |
| Лондон | LONCONTOSODC | CN=Configuration,DC=Contoso, DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1722 |
| Лондон | LONCONTOSODC | CN=Schema,CN=Configuration, DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:36 | 6/10/2010 14:50 | 1722 |
| Лондон | LONCONTOSODC | DC=ForestDnsZones, DC=Contoso,DC=com | Лондон | КОДЕАДC | 12 | 6/10/2010 17:46 | 6/10/2010 14:50 | 1722 |
| Лондон | LONCONTOSODC | DC=corp,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
| Лондон | LONCONTOSODC | DC=EMEA,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:54 | 1256 |
| Лондон | LONCONTOSODC | DC=apac,DC=Contoso,DC=com | Лондон | КОДЕАДC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
Дополнительные сведения
В следующих статьях содержатся процедуры устранения ошибок, которые обычно регистрируются с ошибкой Win32 1256:
Источник
Active Directory replication error 1256: The remote system is not available
This article describes the symptoms, cause, and resolution steps for cases when Active Directory replication fails with error 1256: The remote system is not available.
Applies to: В Windows Server 2012 R2
Original KB number: В 2200187
Symptoms
The DCDIAG reports that the Active Directory Replications test has failed with error 1256: The remote system is not available.
Starting test: Replications
[Replications Check, ] A recent replication attempt failed:
From to
Naming Context:
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at
The last success occurred at
REPADMIN.EXE reports that a replication attempt has failed with status 1256. REPADMIN commands that commonly cite the 1256 status include but are not limited to:
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPS
- REPADMIN /SHOWREPL
- REPADMIN /FAILCACHE
Sample output from REPADMIN /SHOWREPS depicting inbound replication from LonEMEADC to LonContosoDC failing with The remote system is not available error is shown below:
Repadmin: running command /showrepl against full DC localhost
LondonLONCONTOSODC
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: a29bbfda-8425-4cb9-9c66-8e07d505a5c6
DSA invocationID: d58a6322-6a28-4708-82d3-53b7dcc13c1a
==== INBOUND NEIGHBORS ======================================
DC=ForestDnsZones,DC=Contoso,DC=com
LondonLONEMEADC via RPC
DSA object GUID: cd691606-63d1-4cc8-b77a-055674ba569d
Last attempt @ 2010-06-10 17:35:46 failed, result 1256 (0x4e8):
The remote system is not available. For information about network troubleshooting, see Windows Help.
consecutive failure(s).
Last success @ .
NTDS KCC, NTDS Replication, or ActiveDirectory_DomainService events with the 1256 status are logged in the directory service event log.
| Event Source | Event ID | Event String |
|---|---|---|
| NTDS Replication ActiveDirectory_DomainService | 1085 * | Internal event: Active Directory Domain Services could not synchronize the following directory partition with the directory service at the following network address. |
| NTDS KCC ActiveDirectory_DomainService | 1308 | The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed. The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following directory service has consistently failed. |
Event 1085 is only logged if the NTDS Diagnostics value 5 Replication Events has been set to a value of 1 or higher.
Cause
Replication status 1256 is logged for the following reason:
When the destination DC fails to bind to the source DC using RPC a win32 error code in the Repsfrom status for that partition — usually Schema or Configuration since these partitions are replicated at a higher priority. After an RPC bind failure has occurred, a cleanup routine will run to clear the destination DCs queue from that same source DC. This is done to avoid wasting time attempting to replicate with a DC that it can’t connect to. Since it hasn’t attempted a sync for the partitions that have been cleared from the queue, a status 1256 is logged. In a scenario where destination DC replicates Schema, Configuration, and several GC non-writable partitions from the source DC, the win32 error status for the Schema and Configuration partitions that caused the RPC bind failure is logged. The destination DC will then cancel the pending replication tasks for the remaining partitions and log win32 error 1256 for the status.
In summary: 1256 is logged as the replication status per partition as a result of the destination DC cancelling the sync request from the source DC due to a connectivity failure previously encountered.
Resolution
The win32 error 1256 should not be the focus of troubleshooting efforts, instead find the replication status that led to the RPC bind failure and then follow the corresponding Troubleshooting Active Directory operations that fail with error. article.
In order to determine the actual win32 error to troubleshoot, use one of the following methods:
View repadmin /showreps or /showrepl output on the destination DC
- Identify Source DC in the output and list all win32 status messages per partition
- The win32 status that is listed that is not a 1256 should be the focus of troubleshooting efforts
Use repadmin /showrepl * /csv output:
- Filter column K, Last Failure Status: Deselect and (Blanks)
- Filter column C, Destination DSA: Deselect (Select All) and select just the DC where the 1256 status is logged.
- If 1256 is logged on more than one Source DC, Filter column F, Source DSA: Deselect (Select All) and Select just one DC to narrow the focus.
- Column K, Last Failure Status will list the 1256’s along with the real win32 error that led to the RPC bind failure.
In the following example, win32 error 1722 is logged for the Configuration and Schema partitions and should be the focus of troubleshooting.
| B | C | D | E | F | H | I | J | K |
|---|---|---|---|---|---|---|---|---|
| DestinationDSA Site | Destination DSA | Naming Context | Source DSA Site | Source DSA | Number of Failures | Last Failure Time | Last Success Time | Last Failure Status |
| London | LONCONTOSODC | CN=Configuration,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1722 |
| London | LONCONTOSODC | CN=Schema,CN=Configuration, DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:36 | 6/10/2010 14:50 | 1722 |
| London | LONCONTOSODC | DC=ForestDnsZones,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
| London | LONCONTOSODC | DC=corp,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
| London | LONCONTOSODC | DC=EMEA,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:54 | 1256 |
| London | LONCONTOSODC | DC=apac,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
Initiate a manual replication sync between source and destination DCs using repadmin.
Repadmin /replicate DestinationDC SourceDC (This will require /readonly switch for GC partition or /selsecrets switch if destination is an RODC)
repadmin /replicate loncontosodc lonemeadc.emea.contoso.com dc=forestdnszones,dc=contoso,dc=com
DsReplicaSync() failed with status 1722 (0x6ba):
The RPC server is unavailable.
Take note that after manually initiating replication for the partition that the status has changed from 1256 to 1722:
| B | C | D | E | F | H | I | J | K |
|---|---|---|---|---|---|---|---|---|
| Destination DSA Site | Destination DSA | Naming Context | Source DSA Site | Source DSA | Numberof Failures | Last Failure Time | Last Success Time | Last Failure Status |
| London | LONCONTOSODC | CN=Configuration,DC=Contoso, DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1722 |
| London | LONCONTOSODC | CN=Schema,CN=Configuration, DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:36 | 6/10/2010 14:50 | 1722 |
| London | LONCONTOSODC | DC=ForestDnsZones, DC=Contoso,DC=com | London | LONEMEADC | 12 | 6/10/2010 17:46 | 6/10/2010 14:50 | 1722 |
| London | LONCONTOSODC | DC=corp,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
| London | LONCONTOSODC | DC=EMEA,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:54 | 1256 |
| London | LONCONTOSODC | DC=apac,DC=Contoso,DC=com | London | LONEMEADC | 11 | 6/10/2010 17:35 | 6/10/2010 14:50 | 1256 |
More information
The following articles contain the troubleshooting procedures for errors typically logged with win32 error 1256:
Источник
Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.
В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:
- Error 2146893022 (главное конечное имя неверно);
- Error 1908 (не удалось найти контроллер домена);
- Error 8606 (недостаточно атрибутов для создания объекта);
- Error 8453 (доступ к репликации отвергнут).
Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.
Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.
 |
| Рисунок. Архитектура леса |
Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.
|
|
| Экран 1. Два недостающих контроллера домена |
В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.
|
|
| Экран 2. Статус репликации контроллеров домена |
Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.
|
|
| Экран 3. Ошибки репликации, возникающие в лесу Contoso |
Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:
Repadmin /showrel * /csv > ShowRepl.csv
Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:
- Из меню Home щелкните Format as table и выберите один из стилей.
- Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
- Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
- Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
- Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
- Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.
Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:
1. Перейдите к приглашению PowerShell и введите команду
Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView
2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.
3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.
4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.
|
|
| Экран 4. Задание фильтра |
Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.
Исправление ошибки AD Replication Error -2146893022
Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:
Repadmin /showrepl dc2
На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.
|
|
| Экран 5. Проблема с DC2 — целевое основное имя неверно |
Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:
Repadmin /bind DC1
На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:
Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»
И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).
|
|
| Экран 6. Сообщение о событии с Event ID 4 |
Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:
Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers, dc=root,dc=contoso,dc=com» > dc1objmeta1.txt
Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers, dc=root,dc=contoso,dc=com» > dc1objmeta2.txt
Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.
KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:
Net stop kdc
Теперь требуется начать репликацию корневого раздела Root:
Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»
Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:
Net start kdc
Обнаружение и устранение ошибки AD Replication Error 1908
Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:
Nltest /dbflag:2080fff
Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:
Repadmin /replicate dc1 childdc1 dc=child,dc=root, dc=contoso,dc=com
Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.
|
|
| Экран 7. Репликация не состоялась, потому что DC домена не может быть найден |
Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:
Nltest /dsgetdc:child /kdc
Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:
Nltest /dsgetdc:child
В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.
Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:
DSGetDcName function called: client PID=2176, Dom:child Acct:(null) Flags:KDC
Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.
Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:
Dcdiag /test:dns /dnsdelegation > Dnstest.txt
На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.
|
|
| Экран 8. Пример файла Dnstest.txt |
Чтобы устранить проблему DNS, сделайте следующее:
1. На DC1 откройте консоль управления DNS.
2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.
3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.
4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.
5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.
6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.
7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.
8. Дважды нажмите кнопку OK.
9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.
10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:
Nltest /dsgetdc:child /kdc /force
11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду
Repadmin /replicate dc1 childdc1 «dc=child,dc=root, dc=contoso,dc=com»
Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.
|
|
| Экран 9. Использование оснастки Active Directory Sites и?Services |
После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.
|
|
| Экран 10. Ошибка при репликации |
Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.
Устранение ошибки AD Replication Error 8606
Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).
Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»
Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.
|
|
| Экран 11. Ошибка из-за наличия устаревшего объекта |
|
|
| Экран 12. Событие с кодом 1988 |
Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.
Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:
Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt
Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).
Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:
Repadmin /showrepl DC1 > Showrepl.txt
В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:
DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.
Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4- b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com» /Advisory_mode
Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.
Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.
Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:
Repldiag /removelingeringobjects Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»
Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:
Repadmin /removelingeringobjects childdc2.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com» /Advisory_mode
После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.
|
|
| Экран 13. Сообщение об удалении устаревших объектов |
Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.
Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.
Устранение ошибки AD Replication Error 8453
Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.
Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:
Repadmin /showrepl childdc2 > Repl.txt
Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:
BoulderChildDC2 DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC WARNING: Not advertising as a global catalog
Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:
Source: BoulderTRDC1 ******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30 Last error: 8453 (0x2105): Replication access was denied Naming Context: DC=treeroot,DC=fabrikam,DC=com
Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.
|
|
| Экран 14. Отсутствие связи репликации |
Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:
Dcdiag /test:checksecurityerror
На экране 15 показан фрагмент вывода DCDiag.exe.
|
|
| Экран 15. Фрагмент вывода DCDiag.exe |
Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.
Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:
1. На TRDC1 откройте оснастку ADSI Edit.
2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.
3. Выберите вкладку Security.
4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.
5. Нажмите Add.
6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.
7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.
8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений
*Read
*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)
*Read Other domain parameters
9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.
10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду
Repadmin /kcc childdc2
|
|
| Экран 16. Включение разрешения Replicating Directory Change |
Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.
Состояние репликации критически важно
Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.
Листинг 1. Команды для удаления устаревших объектов из Reference DC
REM Команды для удаления устаревших объектов REM из раздела Configuration. Repadmin /removelingeringobjects childdc1.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «cn=configuration,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела ForestDNSZones. Repadmin /removelingeringobjects childdc1.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child. root.contoso.com 0b457f73-96a4-429b-ba81- 1a3e0f51c848 «dc=forestdnszones,dc=root, dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела домена Root. Repadmin /removelingeringobjects dc1.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела DomainDNSZones. Repadmin /removelingeringobjects dc1.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «dc=root,dc=contoso,dc=com»
Листинг 2. Команды для удаления устаревших объектов из остальных DC
REM Команды для удаления устаревших объектов REM из раздела Configuration. Repadmin /removelingeringobjects dc1.root. contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects dc2.root. contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects trdc1.treeroot. fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «cn=configuration,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела ForestDNSZones. Repadmin /removelingeringobjects dc1.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects dc2.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects trdc1.treeroot. fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=forestdnszones,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела DomainDNSZones–Root. Repadmin /removelingeringobjects dc2.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «dc=domaindnszones,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела домена Child. Repadmin /removelingeringobjects dc1.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=child,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects dc2.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=child,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=child,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects trdc1.treeroot. fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=child,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела DomainDNSZones-Child. Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела домена TreeRoot. Repadmin /removelingeringobjects childdc1.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com» Repadmin /removelingeringobjects dc1.root.contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com» Repadmin /removelingeringobjects dc2.root.contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com»
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию. В прошлый раз мы с вами устанавливали Windows 11 в домен Active Directory. Сегодня я хочу поговорить так же об активном каталоге и показать, как устраняется ошибка репликации, при которой в глобальном каталоге видятся удаленные объекты, которых не должно быть, при попытке посмотреть свойства данного объекта «Не удается отобразить объект Active Directory». Давайте смотреть в чем дело.
📛Описание ошибки The remote system is not available
Произошла аварийная ситуация и некоторая часть контроллеров домена вывалилась с синими экраном 0xc00002e2. В таких случаях такие контроллеры просто удаляют, даже если они и не доступны по сети. Там утилита ntdsutil делает все по красоте и должна вычистить все метаданные. Подождав немного я решил проверить репликацию между контроллерами домена, напоминаю сделать это можно через команду:
Но утилита показала, что удаленные контроллеры домена были в схеме репликации и не доступны, по статусу они имели ошибки:
- (2148074274) The target principal name is incorrect
- (1256) The remote system is not available. For information about network troubleshooting, see Windows Help.
Ошибку «(2148074274) The target principal name is incorrect» мы успешно устраняли ранее, но там нужен, чтобы контроллер домена был доступен, тут он был в ауте и его нельзя было вернуть, второй контроллер так же был в ауте.
Если вы запустите ADUC, и попытаетесь поискать имена сбойных контроллеров домена, то вы с большой вероятностью их обнаружите. У них будет описание «Контроллер домена доступный для записи (Writable Domane Controller)»
Если открыть свойства самого объекта, то вы увидите:
Не удалось отобразить объект служб Active Directory. не удается найти объект доменных служб Active Directory. Возможно он удален другим пользователем или контроллер домена Active Directory временно недоступен (Failed to map the Active Directory object. cannot find the Active Directory Domain Services object. It may have been deleted by another user or the Active Directory domain controller is temporarily unavailable)
Удалить он отсюда не дает данный объект «Windows cannot delete object because Directory object not found»
⚙️Как устранять ошибку репликации
Первое, что вы должны сделать, это выполнить команду на работающем контроллере домена:
С высокой долей вероятности вы увидите, где еще остались хвосты со старыми удаленными контроллерами домена.
SyncAll reported the following errors:
Error contacting server CN=NTDS Settings,CN=DC01,CN=Servers,CN=ISI,CN=Sites, CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Error contacting server CN=NTDS Settings,CN=IVAC,CN=Servers, CN=CO-IVA,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Error contacting server CN=NTDS Settings,CN=TVCO, CN=Servers,CN=CO-TV,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Syncing partition: DC=main,DC=Pyatilistnik,DC=ORG
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings, CN=IVAC,CN=Servers,CN=CO-IVA,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=TVCO,CN=Servers,CN=CO-TV,CN=Sites, CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Вся загвоздка в том, что вам нужно в разделе «Configuration» удалить старую информацию.
Берем утилиту ADSIEdit и подключаемся к разделу конфигурации, после чего идем по тем путям, что указаны в ошибках.
Находим нужные записи в. моем случае это в сайтах AD.
И удаляем их всех.
После того, как вы все почистили, еще можно проверить оставшиеся записи в DNS, в основных зонах _msdcs. После всех манипуляций в ADUC выполните поиск удаленных компьютеров, у меня ничего не нашлось.
Запустим реплику:
Ошибок не стало и все реплики успешно прошли.
На этом все, мы с вами успешно удалили остатки мертвых контроллеров домена .устранили ошибки репликации «(1256) The remote system is not available. For information about network troubleshooting, see Windows Help». С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.