Проблемы репликации Active Directory после проблем с синхронизацией по времени |

22 марта Microsoft

Это было довольно трудно взломать, у клиента за ночь возникла ситуация, когда у NTP (сервера времени) возникла проблема, и все часы в домене были переведены на 8 месяцев вперед. В этот период все контроллеры домена реплицированы. Когда клиент решил проблемы с сервером времени, все часы сервера по сети вернулись в правильное время. Результат? все контроллеры домена думали, что они не реплицировались в течение 6 месяцев, и все они гробница забросана камнями друг друга. Это руководство относится к серверу 2000, серверу 2003, серверу 2008 и серверу 2012.

Сообщения об ошибках, которые где вошли, где следующим образом.

  • Evernt ID 1126: Active Directory не удалось установить соединение с глобальным каталогом. Дополнительные данные
    Значение ошибки:
    8430 Служба каталогов обнаружила внутренний сбой.
    Внутренний идентификатор:
    3200c89
  • Evernt ID 1655: Active Directory попытался установить связь со следующим глобальным каталогом, и попытки оказались безуспешными. Глобальный каталог:
    \\ my-DC.myPC.CO.UK
  • Evernt ID 1925: попытка установить ссылку репликации для следующего доступного для записи раздела каталога не удалась. Раздел каталога:
    DC = MYPC, DC = CO, DC = UK
    Контроллер исходного домена:
    CN = Настройки NTDS, CN = FPC-DC, CN = Серверы, CN = Default-First-Site-
    8614 Active Directory не может реплицироваться с этим сервером, потому что время с момента последней репликации на этом сервере превысило время жизни захоронения.
  • Evernt ID 4: клиент kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера my-dc $. Используемое целевое имя было LDAP / 10fc5b93-e8be-4495-8333-bba75064a4fb._msdcs.myPC.CO.UK

Разрешение репликации с захороненными контроллерами домена

В обычной ситуации вы бы этого не сделали, так как вероятность того, что активный каталог на контроллере домена, который не реплицировался в течение 6 месяцев, значительно превысит срок его продажи по дате. Однако в этой ситуации я знал все контроллеры домена, где текут. Нам нужно включить параметр, который позволяет репликацию с расходящимся и коррумпированным партнером.

Этот параметр должен быть включен ВСЕ ВАШИ ДОМЕННЫЕ КОНТРОЛЛЕРЫ для репликации существует два способа добавления этого параметра, первый — через реестр.

Запустите regedit и перейдите к следующему ключу.

HKLM> Система> к.х.н.> Услуги> NTDS> Параметры.

Затем создайте значение DWord Разрешить репликацию с расходящимся и поврежденным партнером

Разрешить репликацию с расходящимся и коррумпированным партнером

установить его значение 1 для позволять.

Разрешить репликацию с расходящимся и коррумпированным партнером

Другой способ, которым мы можем включить это на всех наших контроллерах домена, с помощью следующей команды.

repadmin / regkey * + allowDivergent

Теперь, когда у нас есть эти настройки на всех наших контроллерах домена, мы теперь можем принудительно реплицировать их, стандартным способом является использование графического интерфейса в сайтах и ​​службах активных каталогов, выбор сервера, NTDS, затем щелчок правой кнопкой мыши и репликация с соединителем. Здесь мы используем команду repadmin. Убедитесь, что вы запускаете это на каждом контроллере.

repadmin / syncall / d / e

/ d Идентифицирует серверы по отличительным именам в сообщениях.
/ e Синхронизирует контроллеры домена на всех сайтах предприятия. По умолчанию эта команда не синхронизирует контроллеры домена на других сайтах.

Теперь, когда все ваши серверы синхронизируются, вам нужно удалить этот раздел реестра или установить его в 0, чтобы запретить. Процесс сейчас завершен.

Ссылка на основную публикацию
Adblock
detector