error replication
سلام ، لطفا کمک کنید این باره سومه که من سوال میپرسم ولی کسی جواب نمیده.
هنگام replication در دامین ارور زیر میاد
عکسشو پیوست کردم
57 پاسخ
اسم دامین تون test.ir هست ؟ پس hazizi.ir چی هست ؟!
لطفا اسکرین شات بدید از محتویات SYSVOL share هر دو DC
نشد و همون ارور قبلی.
به پوشه sysvol هم در pdc2 هم از طریق UNC Path دسترسی ندارم
باید چیکار کنم تا Raise بشه؟
این لینک رو ببینید : https://www.youtube.com/watch?v=9mHCUS5BUX4
Raise کردن FFL و DFL فعلا ضروری نیست بعدا هم میتونید انجام بدید.
الان روی هر دو DC باید Authoritative FRS SYSVOL Restore انجام بدید تا بتونید به SYSVOL share ها دسترسی داشته باشید و مشکل Replication برطرف بشه. لینک زیر رو ببینید :
1 - 2تا dc دارم - یکیش 2012 datacenter . یکی دیگش 2012 standarad -- سرور اول فیزیکیه و سرور دوم مجازی و خیر تبدیل نشدن
2- بله یک dc مجازی داشتم که کل fsmo روش بود و خراب شده بود - به سختی fsmo رو انتقال دادم رو dc اول و از مدار خارجش کردن و همچنین metadata کلشو پاک کردم (2تا dc به مدت چند سال replication انجام نمیدادن و مسئول it قبلی هم درستش نکرد)
3- من هم دیروز dc خرابو بعد از انتقال fsmo خاموش کردم
4- dns اولی روی دوم و بلعکس .
خیلی خیلی ممنونم مهندس جان
برم انجامش بدم
اگه بازم مشکلی بود ممنون میشم پاسخ بدید
در خصوص ارور I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED لطفا لینک زیر رو ببینید :
Dynamic Update رو مطمئن باشید توی DNS به صورت Secure Only تنظیم شده. ضمنا سایر کارت شبکه های مربوط به DC توی Hyper-V رو بغیر از کارت شبکه اصلی Disable کنید.
الان pdc2 سرور dce-1 رو replicate میکنه
از کجا اینو متوجه شدید ؟ وقتی توی کنسول AD Sites and Services سرور PDC2 دامین کنترلر DCE-1 رو Source قرار میدید و Replicate now رو میزنید پیغام Success میده ؟ وقتی PDC2 رو از روی DCE-1 سورس قرارش میدین ارور میده ؟
SRV record مربوط به DCE-1 هم توی PDC2 اضافه شد ؟
لطفا آدرس IP رو روی DCE-1 به صورت دستی ست کنید. همه سرور ها بهتره که از DHCP آدرس نگیرن.
DNS رو اینجوری ست کنید : تو DCE-1 آدرس DNS اول رو PDC-2 بزارید و دومی رو 127.0.0.1 و توی PDC-2 آدرس DNS اول رو DCE-1 بزارید و دومی رو 127.0.0.1
ضمنا اگه PDC-2 داره زمانش رو با HyperVisor ای که روش قرار داره Sync می کنه نزارید این کار رو انجام بده. همچنین مطمئن باشید زمان و تاریخ و منطقه زمانی هر دو DC یکسان هست.
مطمئن بشید که از هر DC میتونید به محتویات SYSVOL share دامین کنترلر دومی دسترسی داشته باشید.
این موارد مهم رو چک کنید و بعد ببینید DC ها Replicate می کنند اطلاعات رو یا خیر.
ارور میده - windows cannot access
خودشم نمیتونه به خودش دسترسی داشته باشه .
رفتن محتویات فولدرشو دیدم فقط یک فولدر خالی به اسم دامین بود.
sysvol خود dce-1 اینطوریه :
c:\windows\SYSYVOL\sysvol
محتویاتش policies و scripts هست
policies - چنتا فولدر هست که برای replication 2016 هست
scripts - فقط چنتا فایل و فولدر شخصی با برنامه .exe هست
دستور زیر رو توی DCE-1 اجرا کنید تا رکورد هاش رو توی PDC2 ایجاد کنه :
nltest /server:pdc2.hazizi.ir /dsregdns
دستور زیر رو توی PDC2 اجرا کنید تا رکورد هاش رو توی DCE-1 ایجاد کنه :
nltest /server:dce-1.hazizi.ir /dsregdns
لطفا از ارور اسکرین شات ارسال کنید.
مشکلی نیست میتونید فایل های اضافی به غیر از Policies و scripts رو حذف کنید. اما قبلش پیشنهاد می کنم Backup بگیرید از اون فایل ها تا یه وقت مشکلی بوجود نیاد. میتونید از System State Backup هم استفاده کنید که چه بهتر. بعد از حذف فایل های duplicate لطفا DC ها یکبار Reboot کنید.
بله دسترسی داره بالا ذکر کردم که محتویاتش چجوریه.
اون محتویات SYSVOL لوکال بود نه UNC Path. روی PDC-2 وقتی تو RUN تایپ می کنید
\\127.0.0.1\SYSVOL\
میتونید ببینید محتویات SYSVOL share رو ؟
هر2 روی windows2003
پیشنهاد می کنم DFL و FFL رو Raise کنید.
http://s7.picofile.com/file/8390070576/ts.JPG
محتویات داخل policies وpolicies_NTFRS_000887e6 هم عین همه
1- I_NetLogonControl failed: Status = 5 0x5 ERROR_ACCESS_DENIED
2- Flags: 0
Connection Status = 0 0x0 NERR_Success
The command completed successfully
System Log های هر دو DC رو پاک کنید. بعد DC ها رو به طور ضربدری (تو پست های اخیر توضیحش دادم) Reboot کنید تا ارور برطرف بشه.
pdc2 به خودش دسترسی نداره
DCE-1 به SYSVOL share خودش دسترسی داره ؟
نسخه FFL و DFL چنده ؟ دستورات زیر رو تو Powershell اجرا کنید :
Get-ADDomain | fl DomainMode
Get-ADForest | fl ForestMode
بله انجام دادم .
خواهش می کنم. لطفا بعد از انجام موارد بالا دستور زیر رو روی هر دو DC اجرا کنید و خروجی رو ارسال کنید :
repadmin /replsum
خروجی دستور DCDiag /c /v /e /q رو هم ارسال کنید. روی هر دو DC اجراش کنید.
لطفا به سئوالات زیر با دقت پاسخ بدید :
1. چند تا DC تو شبکه دارید ؟ سیستم عامل هاشون چی هست ؟ فیزیکی هستند یا مجازی ؟ اگه فیزیکی بودن به مجازی تبدیل نشدن ؟
2. DC ای قبلا داشتید که از مدار خارج شده باشه ؟ اگه بوده و از مدار خارجش کردید Metadata های باقی مونده از اون DC رو از روی سایر DC ها پاک کردید ؟
3. DC ای دارید که چند وقته خاموش بوده و اخیرا روشن شده و تو مدار قرار گرفته ؟ اگه دارید چند روز یا چند ماه تو مدار نبوده ؟
4. DNS ها رو چجوری ست کردید روی DC ها ؟ خروجی دستور ipconfig /all رو ارسال کنید. لطفا دستور رو روی همه DC ها اجرا کنید.
raise انجام شد . 2008r2 , 20012
زیاد مهم نیست ارور system log ها. میتونید نادیدشون بگیرید. ببینید با غیرفعال/فعال کردن IPv6 برطرف میشه ؟ اگه نشد مهم نیست مهم Replication درست بین DC ها و سلامت کلی DC ها است. با دستور زیر میتونید در خروجی DCDiag ارور system log ها رو مشاهده نکنید :
DCDiag /q /skip:systemlog
دستور DCDiag /fix رو روی DC ها اجرا کنید. لینک زیر رو هم ببینید :
https://social.technet.microsoft.com/Forums/windows/en-US/465a7b63-df62-40ec-9cce-a5920cba559c/not-advertising-as-a-key-distribution-center-quotthe-specificed-service-does-not-existquot?forum=winserverDS
محتویات SYSVOL share سرور PDC2 برگشت ؟
الان وقتی از طریق کنسول مدیریتی AD Sites and Services فورس می کنید Replicate رو پیغام Success میده ؟
لطفا درخواست ارتباط خصوصی نکنید. من پست تون رو ویرایش کردم.
خروجی دستور dcdiag /test:dns رو ارسال کنید.
pdc2 به خودش دسترسی نداره
The current domain functional level is not at least Windows Server 2008
DFSRMig is only supported on at least Windows Server 2008 level domains
خروجی دستور بالا اینه
همین کارو انجام دادم
The host 17549543-53ae-4e2c-a2da-f0c44afe3b08._msdcs.test.ir could
not be resolved to an IP address. Check the DNS server, DHCP, server
name, etc.
Neither the the server name (PDC2.@missing_dnsHostName@) nor the Guid
DNS name (17549543-53ae-4e2c-a2da-f0c44afe3b08._msdcs.test.ir) could
be resolved by DNS. Check that the server is up and is registered
correctly with the DNS server.
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
......................... PDC2 failed test Connectivity
[DCE-1] No security related replication errors were found on this DC!
To target the connection to a specific source DC use /ReplSource:.
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... DCE-1 failed test FrsEvent
** Did not run Outbound Secure Channels test because /testdomain: was
not entered
An error event occurred. EventID: 0x40000004
Time Generated: 03/02/2020 15:12:09
Event String:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server pdc2$. The target name used was cifs/PDC2.test.IR. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (HAZIZI.IR) is different from the client domain (HAZIZI.IR), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
An error event occurred. EventID: 0x40000004
Time Generated: 03/02/2020 15:45:44
Event String:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server pdc2$. The target name used was RPCSS/PDC2.test.ir. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (HAZIZI.IR) is different from the client domain (HAZIZI.IR), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
An error event occurred. EventID: 0x0000272C
Time Generated: 03/02/2020 15:45:44
Event String:
DCOM was unable to communicate with the computer PDC2.@missing_dnsHostName@ using any of the configured protocols; requested by PID a04 (C:\Windows\system32\dcdiag.exe).
An error event occurred. EventID: 0x0000272C
Time Generated: 03/02/2020 15:45:44
Event String:
DCOM was unable to communicate with the computer 172.30.34.180 using any of the configured protocols; requested by PID a04 (C:\Windows\system32\dcdiag.exe).
An error event occurred. EventID: 0x0000272C
Time Generated: 03/02/2020 15:45:45
Event String:
DCOM was unable to communicate with the computer 192.168.2.83 using any of the configured protocols; requested by PID a04 (C:\Windows\system32\dcdiag.exe).
An error event occurred. EventID: 0x40000004
Time Generated: 03/02/2020 15:46:18
Event String:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server pdc2$. The target name used was DNS/pdc2.test.ir. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (HAZIZI.IR) is different from the client domain (HAZIZI.IR), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
An error event occurred. EventID: 0x0000272C
Time Generated: 03/02/2020 15:46:18
Event String:
DCOM was unable to communicate with the computer 192.168.2.86 using any of the configured protocols; requested by PID a04 (C:\Windows\system32\dcdiag.exe).
......................... DCE-1 failed test SystemLog
Downstream topology is disconnected for
CN=Schema,CN=Configuration,DC=test,DC=ir.
Home server DCE-1 can't get changes from these servers:
Default-First-Site-Name/PDC2
Downstream topology is disconnected for
CN=Configuration,DC=test,DC=ir.
Home server DCE-1 can't get changes from these servers:
Default-First-Site-Name/PDC2
Downstream topology is disconnected for DC=test,DC=ir.
Home server DCE-1 can't get changes from these servers:
Default-First-Site-Name/PDC2
......................... DCE-1 failed test Topology
The following problems were found while verifying various important DN
references. Note, that these problems can be reported because of
latency in replication. So follow up to resolve the following
problems, only if the same problem is reported on all DCs for a given
domain or if the problem persists after replication has had
reasonable time to replicate changes.
[1] Problem: Missing Expected Value
Base Object: CN=PDC2,OU=Domain Controllers,DC=test,DC=ir
Base Object Description: "DC Account Object"
Value Object Attribute Name: frsComputerReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862
......................... DCE-1 failed test VerifyEnterpriseReferences
......................... PDC2 failed test DNS
Test results for domain controllers:
DC: dce-1.test.ir
Domain: test.ir
TEST: Delegations (Del)
Error: DNS server: sdc1.test.ir. IP:
[Missing glue A record]
DC: PDC2.@missing_dnsHostName@
Domain: test.ir
TEST: Basic (Basc)
Error: No LDAP connectivity
Error: No WMI connectivity
No host records (A or AAAA) were found for this DC
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: test.ir
dce-1 PASS PASS PASS FAIL WARN WARN n/a
PDC2 FAIL FAIL n/a n/a n/a n/a n/a
......................... test.ir failed test DNS
srv pdc2 اضافه شد تو dns.
الان pdc2 سرور dce-1 رو replicate میکنه ولی
dce-1 نمیتونه pdc2 رو replicate کنه و همون ارور میاد
نه ،متاسفانه بیشترم شد
خروجی دستور رو لطفا توی code box بزارید تا راحت تر بشه خوندش. ممنون
آره برگشت ولی محتویات پوشه sysvol 4تا شد .مشکلی نداره؟؟
بله success میده
لطفا بعد از انجام موارد بالا دستور زیر رو روی هر دو DC اجرا کنید و خروجی رو ارسال کنید :
repadmin /replsum
http://s7.picofile.com/file/8389969426/site_service_dce_1.JPG
http://s7.picofile.com/file/8389969476/dsa_dce_1.JPG
اصلا از سرور dce-1 نمیتونم به pdc2 وصل بشم و ارور میده ، تو عکس دوم که در dce-1 هست فقط یک سرور نشون میده که خودشه ولی pdc2 رو نشون نمیده ، دستی هم وارد میکنم access denied میده .
ولی در سرور pdc2 هر دوتا dc رو نشون میده و دسترسی هم داره.
خروجی دستور repadmin /replsum رو هم ارسال کنید.
به sysvol share دسترسی ندارم
چه اروری میده ؟ از روی DCE-1 تو RUN آدرس زیر رو تایپ کنید ببینید باز میشه :
\\PDC-2\SYSVOL\
اسم دامین همون hazizi هست.
قبلیا ویرایش شده بود . :/
عملیات restoration رو اول روی DC ای که نقش PDC emulator رو بر عهده داره انجام دادید ؟ بعد روی DC دوم انجامش دادید ؟ قدم به قدم هر چی گفته شده بود توی لینک رو انجام دادید ؟
DC ها رو یکبار Restart کنید و مجددا تست کنید. لطفا ضربدری Restart شون کنید. یعنی یکی رو Restart کنید و بزارید کامل بوت بشه و سرویس هاش بیاد بالا و بعد دومی رو Restart کنید. خروجی repadmin /replsum رو هم لطفا بزارید.
ببخشید اینجا نوشته D4 یعنی باید تی decimal رو بزنم بعدش تو value بنویسم D4؟
خیر ، Hexadecimal رو انتخاب کنید و تو قسمت Value data بنویسید D4
و اینکه محتویات پوشه sysvol رو تو هر 2 dc پاک کنم؟
هر کاری توی لینک گفته شده به دقت انجام بدید. از اون پوشه هایی که گفته شده قبل حذف کردنشون Backup بگیرید.
ببخشید اینجا نوشته D4 یعنی باید تی decimal رو بزنم بعدش تو value بنویسم D4؟
و اینکه محتویات پوشه sysvol رو تو هر 2 dc پاک کنم؟
لطفا خروجی دستور DCDiag /c /v /e /q رو ارسال کنید.
ظاهرا Metadata Cleanup رو درست انجام ندادین. هر رکوردی که مربوط به DC قدیمی هست رو از توی DNS server پاک کنید.
Restart کردید نتیجه چی شد ؟
به نظرتون مشکل از چیه؟
http://s7.picofile.com/file/8389900400/rep1.txt.html
راستی Authoritative Restore انجام دادید روی DC ای که محتویات پوشه SYSVOL share اش خالیه ؟
همه رکوردهای قدیمی پاک شدن
restart هم کردم بازم access denied میده
باید با یوزره خاصی لاگین کنم؟
خیلی خیلی ممنونم مهندس - مشکلم تا حدود زیادی حل شده .
خروجی دستور dcdiag رو آپلود کرده بودم . کم کم خطاها رفع شده بود ولی با reboot دوباره برگشت یعنی:
DCE-1 failed test SystemLog
اینجور ارور برای هردو dc میده
به sysvol share دسترسی ندارم
مگه ترفند خاصی داره که به این فولدر دسترسی داشته باشه؟
دوست عزیز مشکل شما برطرف شده. سوالاتی که دارید میپرسید مربوط به بحث Replication نمیشه و مربوط به سلامت DC هست و خودش یه بحث مفصله. ممنون میشم پست بنده رو به عنوان جواب انتخاب کنید و سوالات جدیدتون رو در قالب پست جداگانه مطرح بفرمایید. متشکرم
- از کجا اینو متوجه شدید ؟ وقتی توی کنسول AD Sites and Services سرور PDC2 دامین کنترلر DCE-1 رو Source قرار میدید و Replicate now رو میزنید پیغام Success میده ؟ وقتی PDC2 رو از روی DCE-1 سورس قرارش میدین ارور میده ؟ بله
- SRV record مربوط به DCE-1 هم توی PDC2 اضافه شد ؟
آره ولی تو قسمت : msdcs_\dc\sites\default first site name\tcp
3تا srv record ایجاد شده . یعنی kerberos_ برای dce-1 ایجاد نشده
- راستی Authoritative Restore انجام دادید روی DC ای که محتویات پوشه SYSVOL share اش خالیه ؟ خیر
خودشم نمیتونه به خودش دسترسی داشته باشه
PDC-2 یا DCE-1 ؟ اگه هر دو پس متاسفانه باید بگم باید Authoritative FRS SYSVOL Restore باید انجام بدید. از FRS استفاده می کنید دیگه درسته ؟ خروجی دستور زیر چیه ؟
dfsrmig /getmigrationstate
خروجی اگه Start باشه یعنی دارید از FRS استفاده می کنید.
برطرف نشد ارور ؟
بله دسترسی داره بالا ذکر کردم که محتویاتش چجوریه.
هر2 روی windows2003
همین کارو کرده بودم و اینکه محتویات UNC Path همونه
بازم access denied میده در pdc2 و نمیشه دید.
باید چیکار کنم تا Raise بشه؟