Устранение неполадок с репликацией Active Directory
Попробуйте наш виртуальный агент . Это поможет быстро определить и устранить распространенные проблемы репликации Active Directory.
Проблемы репликации Active Directory могут иметь несколько различных источников. Например, проблемы системы доменных имен (DNS), сетевые проблемы или проблемы безопасности могут привести к сбою репликации Active Directory.
В остальной части этой статьи описываются средства и общая методология устранения ошибок репликации Active Directory. В следующих подтопиках рассматриваются симптомы, причины и способы устранения определенных ошибок репликации:
Общие сведения и ресурсы для устранения неполадок репликации Active Directory
Сбой входящей или исходящей репликации приводит к тому, что объекты Active Directory, представляющие топологию репликации, расписание репликации, контроллеры домена, пользователи, компьютеры, пароли, группы безопасности, членства в группах и групповую политику, несогласованы между контроллерами домена. Несоответствие каталогов и сбой репликации вызывают операционные сбои или несогласованные результаты в зависимости от контроллера домена, контактированного с операцией, и могут предотвратить применение групповой политики и разрешений управления доступом. домен Active Directory службы (AD DS) зависят от сетевого подключения, разрешения имен, проверки подлинности и авторизации, базы данных каталогов, топологии репликации и ядра репликации. Если первопричина проблемы репликации не сразу очевидна, определение причины среди многих возможных причин требует систематической ликвидации вероятных причин.
Чтобы средство на основе пользовательского интерфейса помогало отслеживать репликацию и диагностировать ошибки, скачайте и запустите средство помощника по служба поддержки Майкрософт и восстановлению.
Полный документ, описывающий, как можно использовать средство Repadmin для устранения неполадок репликации Active Directory; См. статью "Мониторинг и устранение неполадок репликации Active Directory с помощью Repadmin".
Сведения о том, как работает репликация Active Directory, см. в следующих технических справочниках:
- Технический справочник по модели репликации Active Directory
- Технический справочник по топологии репликации Active Directory
Рекомендации по решению событий и инструментов
В идеале красные (ошибка) и желтые (предупреждения) события в журнале событий службы каталогов предполагают конкретное ограничение, вызывающее сбой репликации на исходном или целевом контроллере домена. Если в сообщении о событии указаны шаги для решения проблемы, попробуйте выполнить действия, описанные в этом сообщении о событии. Средство Repadmin и другие средства диагностики также предоставляют сведения, которые помогут устранить сбои репликации.
Подробные сведения об использовании Repadmin для устранения неполадок репликации см. в разделе "Мониторинг и устранение неполадок репликации Active Directory с помощью Repadmin".
Исключить преднамеренные нарушения или сбои оборудования
Иногда возникают ошибки репликации из-за преднамеренных сбоев. Например, при устранении неполадок репликации Active Directory исключить преднамеренные отключения и сбои оборудования или обновления.
Преднамеренные отключения
Если сообщается об ошибках репликации контроллером домена, который пытается выполнить репликацию с контроллером домена, который был создан на промежуточном сайте и в настоящее время находится в автономном режиме, ожидая его развертывания на окончательном рабочем сайте (удаленный сайт, например филиал), можно учесть эти ошибки репликации. Чтобы избежать разделения контроллера домена от топологии репликации в течение длительных периодов, что приводит к непрерывным ошибкам до повторного подключения контроллера домена, рассмотрите возможность добавления таких компьютеров изначально в качестве серверов-членов и использования метода установки из носителя (IFM) для установки служб домен Active Directory (AD DS). Средство командной строки Ntdsutil можно использовать для создания установочного носителя, который можно хранить на съемных носителях (CD, DVD или других носителях) и отправить на целевой сайт. Затем можно использовать установочный носитель для установки AD DS на контроллерах домена на сайте без использования репликации.
Сбои оборудования или обновления
Если в результате сбоя оборудования возникают проблемы репликации (например, сбой материнской платы, подсистемы диска или жесткого диска), сообщите владельцу сервера, чтобы устранить проблему оборудования.
Периодические обновления оборудования также могут привести к тому, что контроллеры домена не будут работать. Убедитесь, что владельцы серверов имеют хорошую систему обмена данными о таких сбоях заранее.
Настройка брандмауэра
По умолчанию удаленные вызовы процедур репликации Active Directory (RPCs) выполняются динамически через доступный порт через RPC Endpoint Mapper (RPCSS) через порт 135. Убедитесь, что брандмауэр Windows с расширенной безопасностью и другими брандмауэрами настроен правильно, чтобы разрешить репликацию. Сведения об указании порта для репликации и параметров портов Active Directory см . в статье 224196 в базе знаний Майкрософт.
Сведения о портах, которые использует репликация Active Directory, см. в разделе "Средства и параметры репликации Active Directory".
Сведения об управлении репликацией Active Directory по брандмауэрам см. в статье "Репликация Active Directory по брандмауэрам".
Реагирование на сбой устаревшего сервера под управлением Windows 2000 Server
Если контроллер домена под управлением Windows 2000 Server завершился сбоем дольше, чем количество дней в течение времени существования могилы, решение всегда одинаково:
- Переместите сервер из корпоративной сети в частную сеть.
- Принудительно удалите Active Directory или переустановите операционную систему.
- Удалите метаданные сервера из Active Directory, чтобы не удалось возродить объект сервера.
Скрипт можно использовать для очистки метаданных сервера в большинстве операционных систем Windows. Сведения об использовании этого скрипта см. в разделе "Удаление метаданных контроллера домен Active Directory".
По умолчанию объекты параметров NTDS, удаленные, автоматически восстанавливаются в течение 14 дней. Таким образом, если вы не удаляете метаданные сервера (используйте Ntdsutil или скрипт, упомянутый ранее для очистки метаданных), метаданные сервера будут восстановлены в каталоге, что запрашивает попытку репликации. В этом случае ошибки будут регистрироваться постоянно в результате невозможности репликации с отсутствующим контроллером домена.
Основные причины
Если исключить преднамеренные отключения, сбои оборудования и устаревшие контроллеры домена Windows 2000, остальные проблемы репликации почти всегда имеют одну из следующих первопричин:
- Сетевое подключение: сетевое подключение может быть недоступно или параметры сети настроены неправильно.
- Разрешение имен. Неправильные настройки DNS являются распространенной причиной сбоев репликации.
- Проверка подлинности и авторизация. Проблемы проверки подлинности и авторизации вызывают ошибки "Отказано в доступе", когда контроллер домена пытается подключиться к своему партнеру репликации.
- База данных каталогов (хранилище): база данных каталогов может не обрабатывать транзакции достаточно быстро, чтобы обеспечить время ожидания репликации.
- Механизм репликации. Если расписания межсайтовой репликации имеют слишком короткие промежутки времени, очереди репликации могут быть слишком большими для обработки в течение времени, необходимого для соблюдения расписания исходящих данных репликации. В этом случае репликация некоторых изменений может быть остановлена на неопределенный срок, достаточно долго, чтобы превысить время существования могилы.
- Топология репликации. Контроллеры домена должны иметь межсайтовые связи в AD DS, которые сопоставляются с реальными подключениями к сети WAN или виртуальной частной сети (VPN). При создании объектов в AD DS для топологии репликации, которые не поддерживаются топологией фактического сайта вашей сети, репликация с неправильно настроенной топологией завершается сбоем.
Общий подход к устранению проблем
Используйте следующий общий подход к устранению проблем репликации:
Отслеживайте работоспособность репликации ежедневно или используйте Repadmin.exe для получения состояния репликации ежедневно.
Старайтесь своевременно устранять любые сообщаемые сбои с помощью методов, описанных в сообщениях о событиях и в этом руководстве. Если программное обеспечение может вызвать проблему, удалите программное обеспечение, прежде чем продолжить работу с другими решениями.
Если проблема, приводящую к сбою репликации, не может быть устранена с помощью известных методов, удалите AD DS с сервера и переустановите AD DS. Дополнительные сведения о переустановке AD DS см. в статье о списании контроллера домена.
Если AD DS не удается удалить обычно, пока сервер подключен к сети, используйте один из следующих методов для устранения проблемы:
- Удалите AD DS в режиме восстановления служб каталогов (DSRM), выполните очистку метаданных сервера, а затем переустановите AD DS.
- Переустановите операционную систему и перестройте контроллер домена.
Дополнительные сведения о принудительном удалении AD DS см. в разделе "Принудительное удаление контроллера домена".
Использование Repadmin для получения состояния репликации
Состояние репликации является важным способом оценки состояния службы каталогов. Если репликация работает без ошибок, вы знаете контроллеры домена, которые находятся в сети. Вы также знаете, что работают следующие системы и службы:
- Инфраструктура DNS
- Протокол проверки подлинности Kerberos
- Служба времени Windows (W32time)
- Удаленный вызов процедур (RPC)
- Сетевое соединение
Используйте Repadmin для ежедневного мониторинга состояния репликации, выполнив команду, которая оценивает состояние репликации всех контроллеров домена в лесу. Процедура создает файл .csv, который можно открыть в Microsoft Excel и фильтровать для сбоев репликации.
Для получения состояния репликации всех контроллеров домена в лесу можно использовать следующую процедуру.
Требования
Членство в корпоративных администраторах или эквивалентных параметрах является минимальным обязательным для выполнения этой процедуры.
Инструменты:
- Repadmin.exe
- Excel (Microsoft Office)
Создание электронной таблицы repadmin /showrepl для контроллеров домена
Откройте командную строку от имени администратора: в меню щелкните правой кнопкой мыши командную строку и нажмите кнопку "Запуск от имени администратора". Если появится диалоговое окно "Контроль учетных записей пользователей", укажите учетные данные администраторов предприятия, если это необходимо, а затем нажмите кнопку "Продолжить".
В командной строке введите следующую команду и нажмите клавишу ВВОД:
repadmin /showrepl * /csv > showrepl.csvОткройте Excel.
Нажмите кнопку Office, нажмите кнопку "Открыть", перейдите к showrepl.csv и нажмите кнопку "Открыть".
Скрыть или удалить столбец A, а также столбец типа транспорта, как показано ниже.
Выберите столбец, который нужно скрыть или удалить.
- Чтобы скрыть столбец, щелкните правой кнопкой мыши столбец и нажмите кнопку "Скрыть".
- Чтобы удалить столбец, щелкните правой кнопкой мыши выбранный столбец и нажмите кнопку "Удалить".
Выберите строку 1 под строкой заголовка столбца. На вкладке "Вид" щелкните "Закрепить области" и нажмите кнопку "Закрепить верхнюю строку".
Выберите всю электронную таблицу. На вкладке "Данные" нажмите кнопку "Фильтр".
В столбце "Время последнего успеха" щелкните стрелку вниз и нажмите кнопку "Сортировка по возрастанию".
В столбце исходного контроллера домена щелкните стрелку вниз фильтра, наведите указатель мыши на текстовые фильтры и нажмите кнопку "Настраиваемый фильтр".
В диалоговом окне "Настраиваемый автофильтр" в разделе "Показать строки", где щелкните не содержится. В соседнем текстовом поле введите
del, чтобы исключить результаты для удаленных контроллеров домена.Повторите шаг 11 для столбца времени последнего сбоя, но используйте значение не равно, а затем введите значение 0.
Устранение сбоев репликации.
Для каждого контроллера домена в лесу электронная таблица показывает партнера по исходной репликации, время последнего выполнения репликации и время последнего сбоя репликации для каждого контекста именования (секции каталога). С помощью автофильтра в Excel можно просмотреть работоспособность репликации только для рабочих контроллеров домена, только контроллеров домена или контроллеров домена, которые являются наименьшими или наиболее текущими, и вы увидите партнеров репликации, которые успешно реплицируются.
Проблемы и решения репликации
Проблемы репликации сообщаются в сообщениях о событиях и в различных сообщениях об ошибках, возникающих при попытке приложения или службы. В идеале эти сообщения собираются приложением мониторинга или при получении состояния репликации.
Большинство проблем репликации указываются в сообщениях о событиях, регистрируемых в журнале событий службы каталогов. Проблемы с репликацией также могут быть указаны в форме сообщений об ошибках в выходных данных команды repadmin /showrepl.
сообщения об ошибках repadmin /showrepl, указывающие на проблемы репликации
Чтобы определить проблемы репликации Active Directory, используйте repadmin /showrepl команду, как описано в предыдущем разделе. В следующей таблице показаны сообщения об ошибках, создаваемые этой командой, а также первопричины ошибок и ссылки на разделы, которые предоставляют решения для ошибок.
| Ошибка repadmin | Причина | Решение |
|---|---|---|
| Время после последней репликации с этим сервером превысило время существования могилы. | Контроллер домена завершился сбоем входящего репликации с именованным исходным контроллером домена достаточно долго, чтобы удаление было перемечено, реплицировано и собрано мусор из AD DS. | Идентификатор события 2042: это было слишком долго после репликации этого компьютера |
| Нет входящих соседей. | Если элементы не отображаются в разделе "Входящие соседи" выходных данных, созданных repadmin /showrepl, контроллер домена не смог установить связи репликации с другим контроллером домена. | Устранение проблем подключения при репликации (событие с идентификатором 1925) |
| Отказано в доступе. | Связь репликации существует между двумя контроллерами домена, но репликация не может быть выполнена должным образом в результате сбоя проверки подлинности. | Устранение проблем с безопасностью при репликации |
| Последняя попытка на дату — сбой <времени> с неправильным именем целевой учетной записи. | Эта проблема может быть связана с проблемами подключения, DNS или проверки подлинности. Если это ошибка DNS, локальный контроллер домена не может разрешить глобально уникальный идентификатор (GUID) DNS-имени своего партнера репликации. | Устранение проблем с поиском dns репликации (идентификаторы событий 1925, 2087, 2088) Устранение проблем с безопасностью репликации, устраняющих проблемы с подключением к репликации (идентификатор события 1925) |
| Ошибка LDAP 49. | Учетная запись компьютера контроллера домена не может быть синхронизирована с Центром распространения ключей (KDC). | Устранение проблем с безопасностью при репликации |
| Не удается открыть подключение LDAP к локальному узлу | Средство администрирования не удалось связаться с AD DS. | Устранение проблем поиска в DNS при репликации (события с идентификаторами 1925, 2087, 2088) |
| Репликация Active Directory была предварительно выполнена. | Ход выполнения входящего репликации был прерван запросом на репликацию с более высоким приоритетом, например запрос, созданный вручную с помощью команды repadmin /sync. | Дождитесь завершения репликации. Это информационное сообщение указывает на обычную операцию. |
| Репликация размещена, ожидая. | Контроллер домена опубликовал запрос репликации и ожидает ответа. Репликация выполняется из этого источника. | Дождитесь завершения репликации. Это информационное сообщение указывает на обычную операцию. |
В следующей таблице перечислены распространенные события, которые могут указывать на проблемы с репликацией Active Directory, а также основные причины проблем и ссылки на разделы, которые предоставляют решения проблем.
| Идентификатор события и источник | Основная причина | Решение |
|---|---|---|
| 1311 NTDS KCC | Сведения о конфигурации репликации в AD DS точно не отражают физическую топологию сети. | Устранение проблем топологии репликации (событие с идентификатором 1311) |
| Репликация 1388 NTDS | Строгая согласованность репликации не действует, и объект с задержкой был реплицирован на контроллер домена. | Устранение проблем с устаревшими объектами при репликации (события с идентификаторами 1388, 1988 2042) |
| 1925 NTDS KCC | Сбой попытки установить ссылку репликации для секции каталога, допускаемой для записи. Это событие может иметь различные причины в зависимости от ошибки. | Устранение проблем с подключением к репликации (идентификатор события 1925) устранение проблем подстановки репликации DNS (идентификаторы событий 1925, 2087, 2088) |
| Репликация NTDS 1988 | Локальный контроллер домена попытался реплицировать объект из исходного контроллера домена, который не присутствует на локальном контроллере домена, так как он может быть удален и уже собран мусором. Репликация не продолжается для этой секции каталога с этим партнером, пока не будет решена ситуация. | Устранение проблем с устаревшими объектами при репликации (события с идентификаторами 1388, 1988 2042) |
| Репликация NTDS 2042 | Репликация не произошла с этим партнером для времени существования могилы, и репликация не может продолжиться. | Устранение проблем с устаревшими объектами при репликации (события с идентификаторами 1388, 1988 2042) |
| Репликация NTDS 2087 | AD DS не удалось разрешить DNS-имя узла исходного контроллера домена IP-адресу и сбой репликации. | Устранение проблем поиска в DNS при репликации (события с идентификаторами 1925, 2087, 2088) |
| Репликация NTDS 2088 | AD DS не удалось разрешить DNS-имя узла исходного контроллера домена IP-адресу, но репликация завершилась успешно. | Устранение проблем поиска в DNS при репликации (события с идентификаторами 1925, 2087, 2088) |
| 5805 Net Logon | Не удалось выполнить проверку подлинности учетной записи компьютера, которая обычно вызвана несколькими экземплярами одного и того же имени компьютера или именем компьютера, не реплицируемым для каждого контроллера домена. | Устранение проблем с безопасностью при репликации |
Дополнительные сведения о концепциях репликации см. в разделе "Технологии репликации Active Directory".
Следующие шаги
Дополнительные сведения, включая статьи поддержки, относящиеся к кодам ошибок, см. в статье о поддержке. Устранение распространенных ошибок репликации Active Directory