В чем именно возникают проблемы с репликацией Active Directory?

Question

Фред

active-directory

В чем именно возникают проблемы с репликацией Active Directory?

Здравствуйте! Мне нужна помощь в решении проблемы с репликацией. У нас есть лес kubstu.edu, в который входят два домена: kubstu.edu и classes.kubstu.edu. При выполнении команды repadmin /syncall на одном из контроллеров домена (КД) в classes возникает ошибка репликации. В частности, вывод команды SyncAll показывает следующую ошибку:

Ошибка выдачи репликации: 8453 (0x2105):
    Доступ к репликации отвергнут.
    От: 9e895472-e19f-4eb8-a124-c0a83ae40777._msdcs.kubstu.edu
    Кому: b2681a2e-8e7e-4469-b1aa-57903ac8ed14._msdcs.kubstu.edu

Кроме этого, команда dcdiag /q не показывает никаких ошибок. Можете ли вы подтвердить, что 9e895472-e19f-4eb8-a124-c0a83ae40777._msdcs.kubstu.edu является идентификатором контроллера домена? И в каком направлении мне стоит двигаться для решения этой проблемы? На остальных контроллерах домена все работает нормально.

7 декабря 2024 г. 16:23

Ответы на вопрос 2

Похожие вопросы

Answer 1

Здравствуйте!

Да, идентификатор `9e895472-e19f-4eb8-a124-c0a83ac8ed14` представляет собой GUID контроллера домена из вашего леса Active Directory. Обычно такой GUID можно найти в свойствах конкретного контроллера домена в Active Directory или с помощью команды `Get-ADDomainController` в PowerShell.

Ошибка репликации 8453 (0x2105), как вы уже указали, означает "Доступ к репликации отвергнут". Это может быть связано с рядом проблем, и я рекомендую выполнить следующие шаги для диагностики и устранения проблемы:

1. **Проверка сетевого соединения**:
- Убедитесь, что контроллеры домена могут пинговать друг друга по имени и IP-адресу. Используйте команду `ping` для проверки доступности.

2. **Проверка DNS**:
- Убедитесь, что разрешение имен работает правильно. Проверьте записи SRV в DNS для обоих контроллеров домена.
- С помощью команды `nslookup` проверьте, что оба контроллера находятся в DNS и правильно разрешаются.

3. **Проверка прав доступа**:
- Убедитесь, что разрешения для репликации настроены корректно. Проверьте, что учетные записи и сертификаты, используемые для репликации, действительны и имеются соответствующие разрешения.
- Убедитесь, что учетная запись компьютера контроллера домена имеет доступ к другим контроллерам домена.

4. **Проверка журналов событий**:
- Проверьте журналы событий на обоих контроллерах домена для любых ошибок, касающихся репликации Active Directory. Журнал событий «Directory Service» может предоставить полезную информацию.

5. **Исправление ошибок репликации**:
- Используйте команду `repadmin /replsummary`, чтобы получить общее представление о состоянии репликации.
- Попробуйте принудительно запустить репликацию с помощью команды `repadmin /syncall /APED`.

6. **Проверка конфигурации**:
- Выполните команду `repadmin /showrepl`, чтобы просмотреть состояние репликации и выяснить, какие именно данные не могут быть реплицированы.
- Убедитесь, что службы репликации работают на обоих контроллерах (например, служба "Active Directory Domain Services").

Если после всех этих проверок проблема остается, возможно, стоит рассмотреть более глубинные проблемы с конфигурацией Active Directory или даже сетевыми проблемами между вашими контроллерами домена. Если будет необходимо, можно также использовать инструменты, такие как `dcdiag`, для более детальной проверки состояния домена.

Если у вас возникнут дополнительные вопросы, дайте знать!

Answer 2

Про 9e895472-e19f-4eb8-a124-c0a83ae40777._msdcs.kubstu.edu. Репликация использует псевдонимы КД в DNS, завязанные на GUID их копии  AD. Что это за КД - сморите в DNS, в зоне _msdcs.kubstu.edu на какое имя указывает этот псевдоним. 
 
 Для понимания, работает ли репликация реально, выполните на каждом КД из командной строки в режиме администратора команду repadmin /showrepl. 
 
 Причиной ошибки, которую вы видите, может быть то, что вы выполняете команду не в режиме администратора. Другая возможная причина - что вы выполняете команду из корневого домена под учетной записью, которая не имеет достаточных прав в дочернем домене: проверьте что она либо входит в группу Администраторы предприятия (она определена в корневом домене, но действует по всему лесу).