web-dev-qa-db-ja.com

Server 2008 DCレプリケーション要求を拒否する

最近ビジネス継続性テストの一部となったDCその後、スナップショットに戻りました。リンクがバックアップされたので、ADサービスにエラーがあるというSolar Winds経由の通知が表示されます。サーバーを見ると、NETLOGONサービスが一時停止しています。イベントログから収集できることから、これは原因です。 ADがサポートされていない方法(おそらくスナップショット)で復元されたという通知もあります。

サイトとサービスのスナップインを使用してレプリケーションを強制しようとしましたが、サーバーが現在レプリケーションを拒否していることを示して失敗します。サーバーにpingを実行できますが、奇妙なことに、10.168.3 NICであり、予想していた10.168.50 NICではありません。両方のIPただし、pingを実行でき、サーバーはRDPまたはvSphere経由のコンソールを介して接続できます。

Repadmin/showのさまざまな失敗を実行していますが、これらはレプリケーションサービスの開始をブロックしている根本的な失敗が原因であると確信しています。このレベルのトラブルシューティングは少し新しいですが、私のやり方で投げられる可能性のある助けに感謝します。

編集:それがUSNロールバック(?)/と関係があるかもしれないかどうか疑問に思います。 KBへのリンク ここ

windows-server-2008active-directoryvirtual-machinesreplication
1
Tim Alexander

あなたの問題はほぼ間違いなくUSNロールバックが原因です。スナップショットに戻すことは、DCを回復するためのサポートされている方法ではありません。この問題を解決するには、参照したKB記事に概説されている手順に従ってください。これには、DCの降格、メタデータのクリーンアップ、およびプロモートが含まれます。

3
HostBits

三つのこと:

このようなエラーが発生した場合は、レプリケーションを強制しないでください。レプリケーションが停止したのには理由があり、通常は悪いです。

ドメインコントローラーでスナップショットを使用しないでください。

誰かがDCの古いコピーを見つけて、今はなくなっているはずのオブジェクトを複製しているというシナリオにはなりたくありません。まだ行っていない場合は、厳密なレプリケーションを有効にする必要があります。ドメインコントローラーでこの設定を有効にすると、長引くオブジェクトが、長引くオブジェクトを含む問題のあるDCからインバウンドに複製されるのを防ぐことができます。

Hyper-Vでのドメインコントローラーの実行
http://technet.Microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28WS.10%29.aspx

記事から:
すべてのドメインコントローラーで厳密なレプリケーションの整合性を有効にする必要があります
http://technet.Microsoft.com/en-us/library/dd723692%28WS.10%29.aspx

Active Directory環境のドメインコントローラーがレプリケーショントポロジから長期間切断されると、他のすべてのドメインコントローラーのAD DSから削除されたすべてのオブジェクトが、切断されたドメインコントローラーに残る場合があります。このようなオブジェクトは、残留オブジェクトと呼ばれます。このドメインコントローラーがレプリケーショントポロジに再接続されると、宛先レプリケーションパートナーにはない1つ以上のオブジェクトを持つソースレプリケーションパートナーとして機能します。ソースドメインコントローラー上のこれらの残留オブジェクトが更新され、これらの更新がレプリケーションによって宛先ドメインコントローラーに送信されると、問題が発生します。宛先ドメインコントローラーは、次の2つの方法のいずれかで応答できます。

  1. 宛先ドメインコントローラーで厳密なレプリケーションの整合性が有効になっている場合、オブジェクトを更新できないことを認識し(オブジェクトが存在しないため)、そのソースドメインコントローラーからのディレクトリパーティションのインバウンドレプリケーションをローカルで停止します。

  2. 宛先ドメインコントローラーで厳密なレプリケーションの整合性が有効になっていない場合、更新されたオブジェクトの完全なレプリカが要求され、ディレクトリに残留オブジェクトが導入されます。

古いドメインコントローラーは、管理者、アプリケーション、またはサービスが残りのオブジェクトを更新しないか、ドメイン内で同じ名前または同じユーザープリンシパル名(UPN)でオブジェクトを作成しようとしない限り、目立った影響なしに残りのオブジェクトを格納できます。 ) 森の中。ただし、長引くオブジェクトの存在は、特にオブジェクトがセキュリティプリンシパルである場合に問題を引き起こす可能性があります。次の症状は、ドメインコントローラーにオブジェクトが残っていることを示しています。

  • 削除されたユーザーまたはグループアカウントは、Microsoft Exchange Serverを実行しているコンピューターのグローバルアドレス一覧(GAL)に残ります。したがって、アカウント名はGALに表示されますが、電子メールメッセージを送信しようとするとエラーが発生します。

  • オブジェクトの複数のコピーがオブジェクトピッカーに表示されるか、フォレスト内で一意である必要があるオブジェクトの場合はGALに表示されます。重複するオブジェクトが名前が変更されて表示されることがあり、ディレクトリ検索で混乱が生じます。たとえば、2つのオブジェクトの相対識別名(DNとも呼ばれます)を解決できない場合、競合解決では名前に「* CNF:GUID」が追加されます。*は予約文字を表し、CNFは競合解決を示す定数です。 、およびGUIDは、objectGUID属性値を表します。

  • Active Directoryアカウントが現在のものであると思われるユーザーには、電子メールメッセージは配信されません。古いドメインコントローラーまたはグローバルカタログサーバーが再接続されると、ユーザーオブジェクトの両方のインスタンスがグローバルカタログに表示されます。両方のオブジェクトの電子メールアドレスが同じであるため、電子メールメッセージを配信できません。

  • 存在しなくなったユニバーサルグループは、引き続きユーザーのアクセストークンに表示されます。グループはもう存在しませんが、ユーザーアカウントのセキュリティトークンにグループが残っている場合、そのユーザーは、そのユーザーが使用できないように意図したリソースにアクセスできる可能性があります。

  • 新しいオブジェクトまたはExchangeメールボックスを作成できませんが、ADDSにオブジェクトが表示されません。エラーメッセージは、オブジェクトがすでに存在することを報告します。

  • 既存のオブジェクトの属性を使用する検索では、同じ名前のオブジェクトの複数のコピーが誤って検出されます。 1つのオブジェクトがドメインから削除されましたが、分離されたグローバルカタログサーバーに残っています。

1
Greg Askew