1. توسینسو
  2. سوالات
  3. مجازی سازی
  4. مشکل عدم توانایی Replicate و ایجاد Object در اکتیودایرکتوری
0

مشکل عدم توانایی Replicate و ایجاد Object در اکتیودایرکتوری

با درود

من در ابتدا سناریویی که دارم رو توضیح بدم:

من دو عدد هاست ESX i دارم

روی یکی از این هاست ها dc1 با آدرس 192.168.0.2 رو دارو و روی هاست دوم dc2: 192.168.0.10 رو داریم

چند وقته این دو سرور به مشکل خوردن و replicate از from dc1 to dc2 انجام نمیشه ولی برعکس انجام میشه

بدون فایروال هم چک کردم ولی مشکل هست و تغییری نمیکنه

ارور هایی که دارم:

in replication:access denied
in creating object(as new user: windows cannit create object 
.the directory service was unable to alocate a relation identifire

و همچنین برای showrepl result دارم:

The replication generated an error (8453):
Replication access was denied.

به نظرتون مشکل از چی میتونه باشه؟

پرسیده شده در 1391/10/03 توسط
آواتار کاربر توسینسو

15 پاسخ

1

اینم راه حل مشکل

6 تا مرحله هست:

Since you are getting Access denied error check the below parameters as well.
 
1.To verify the Access this computer from network user right.
 Everyone, Authenticated Users, and Enterprise Domain Controllers must
 have that user right for successful replication.
 
Important:  
There are customers that are going to remove the Everyone group from
 Access this computer from the network which is acceptable as long as
 Authenticated Users and Enterprise Domain Controllers are listed.
 2.To check the CrashOnAuditFail Registry Key
 
Check the <computername>_regentries.txt file in the Directory Services
MPSReports to confirm if crashonauditfail [REG_DWORD] = 0x2
 If CrashOnAuditFail = 0x2 perform the following steps
 
Type regedit from Start, and then click Run.
 
Expand HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
 
Right-click crashonauditfail, select Modify
 
Under Value data:, select 2 and change the value to 0
 
Reboot domain controller.
 
3.To check the time skew between domain controllers.
See Knowledge Base article 257187
 
4.Ensure the Trust computer for delegation check box
 is selected on the General tab of the domain controller
 Properties dialog box in Active Directory Users and Computers.
 
5.Using Adsiedit or Ldp (both included in the Windows 2000
 Support Tools), confirm that the userAccountControl attribute
 is set to 532480. To check this, perform the following steps
 
Type adsiedit.msc from Start, and then click Run.
 
Expand the Domain NC container.
 
Expand the object below, i.e. DC=Contoso, DC=COM
 
Expand OU=Domain Controllers
 
Right-click CN=<domain_controller>, and select Properties
 
Under Select a property to view, select userAccountControl 
and verify the value is 532480.
 
6.Reset Password and Refresh Kerberos Tickets
http://sandeshdubey.wordpress.com/2011/10/02/secure-channel-between-the-dcs-broken/
 
If still the issue persist you can demote the faulty DC forcefully
 followed by metadata cleanup and ptomote the server back as DC.
You cannot demote the faulty DC gracefully you need to do forcefull
 removal.You need to ran dcpromo/force removal and then run matadata 
cleanup on other DC(healthy) to remove the instance of faulty DC
 from AD database and DNS.
 
Once done you can promote the Server back as DC.If faulty DC is
 FSMO role holder you need to seize the FSMO on other DC.Also
 ensure Authorative time server is configured on PDC role holder server
 
Forcefull removal of DC: http://support.microsoft.com/kb/332199
 
Complete Step by Step Guideline to Remove an Orphaned Domain
 controller (including seizing FSMOs, running a metadata cleanup, and more)

Hope this helps

--------------------------------------------------------------------------------

Best Regards,
پاسخ در 1391/10/05 توسط
آواتار کاربر توسینسو
0

الان FSMO های شما روی کدوم سرور قرار گرفتن ؟ می تونی دقیق بگی کجا هستند ؟

  1. RID Master
  2. Infrastructure Master
  3. Domain Naming Master
  4. Schema Master
  5. PDC Emulator

مخصوصا RID Master رو چک کن چون برای ایجاد کردن Object ها مهمه که سالم باشه ، این Role رو به سروری که خطا ازش صادر میشه انتقال بده ، آدرس IP مربوط به DNS هات رو بصورت ضربدری قرار بده و با استفاده از دستور repadmin /syncall مجددا از روی هر دومین کنترلر چک کن ببین مجددا به خطا برخورد میکنی نه ، در ضمن با دستور زیرSecure Channel بین دو تا سرور رو ریست کن و نتیجه رو اعلام کن ممنون.

nltest /sc_change_pwd:example.com
پاسخ در 1391/10/03 توسط
آواتار محمد نصیری
0

من این کارو انجام میدم و نتیجشو میگم.

با بررسی dcdiag ها به چه برداشتی رسیدی؟

پاسخ در 1391/10/03 توسط
آواتار کاربر توسینسو
0
  • روی GPO مربوط به دامین کنترلر ها مطمئن شو که در قسمت Access this computer from network کاربر یا گروهی که عضوش هستی وجود داره.
  • مطمئن شو که زمان دو تا دامین کنترلر دقیقا مشابه هم باشن.
  • به مسیر زیر برو و اگر مقدار CrashOnAuditFail برابر با 2 هست مقدارش رو یک کن و بعد از خارج شدن از سرور ری استارت کن .
    •  HKLM\System\CurrentControlSet\Control\LSA\CrashOnAuditFail
  • دو دستور زیر رو اجرا کن و نتیجه رو اعلام کن :
    • C:\>DCDIAG /TEST:CheckSecurityError
C:\>W32TM /MONITOR
  • در GPO مربوط به Domain Controller ها در قسمت Security Options دقت کن ببین SMB Signing هر دوشون به یک شکل هست یا نه.
  • KDC Service رو بر روی سرور مشکل دار غیر فعال کن و دستور زیر رو اجرا کن که Kerberos Ticket ها ریست بشه ، بعد سرور رو ری استارت کن و سرویس رو استارت کن .
    •  c:\>netdom resetpwd /server: server_name /userd: domain_name \administrator /passwordd: administrator_password

* در نهایت نتیجه دستور زیر رو برام بفرست که ببینیم Trust بین دامین کنترلرها در چه وضعیتی قرار داده شده

NETDIAG Trust Relationship
پاسخ در 1391/10/03 توسط
آواتار محمد نصیری
0

به یک نکته جالب رسیدم!!!

netdom /query fsmo رو که روی سرور اصلی میزنم،ارور زیرو میده:

the procedure entry point I_NetName validate could not be located in the dynamic link library netapi32.dll

ولی روی سرور ادیشنالdc2 جواب میده و مشکلی نداره و ریزالت به این صورته:

پاسخ در 1391/10/03 توسط
آواتار کاربر توسینسو
0

فایل ها رو به علت طولانی بودن پیوست کردم

پاسخ در 1391/10/03 توسط
آواتار کاربر توسینسو
0
  1. آیا دامین کنترلری داشتید از قبل که الان از بین رفته و یکی دیگه جایگزینش کردید ؟
  2. آیا از ویندوز سرور قدیمی به ویندوز سرور جدید بروز رسانی انجام شده ؟
  3. آیا دامین کنترلری داشتید در مجموعه که از طریق Backup بازیابی شده باشه ؟
  4. لطفا بر روی هر دو سرور دستور ipconfig / all رو اجرا کنید و در ادامه نکات خواسته شده در ادامه قرار بدید.
پاسخ در 1391/10/03 توسط
آواتار محمد نصیری
0

1.خیر

2.خیر

3.خیر. ولی بعد از اینکه به مشکل بر خوردم ،snapshot سیستم رو برگردوندم که با این قضیه هم برطرف نشد.

سرور ها همدیگه رو پینگ میکنن و فایروالی هم بینشون نیست

فایروال های ویندوزشون هم غیر فعاله

در ضمن هر دو سرور windows server 2008 r2 هستند.

و تنها تغییری که در مجموعه داشتم storage vmotion برای سرور dc بوده که اونم به صورت live انجام شده و تا جایی که میدونم نباید مشکلی ایجاد کنه

پاسخ در 1391/10/03 توسط
آواتار کاربر توسینسو
0

UNITY عزیز

با 6 مرحله اول مشکل حل شد. یعنی به remove dc نرسید.من هم دامین کنترلری نداشتم که از بین رفته باشه

اون برا جاییه که مشکل حل نشد.

مشکل من از secure chanel و CrashOnAuditFail Registry Key بود.

منم از راهنمایی های شما مچکرم

پیروز باشید.

پاسخ در 1391/10/05 توسط
آواتار کاربر توسینسو
0

لطفا با دقت به سئوالاتی که از شما پرسیده میشه پاسخ بدید ، در جل موضوع خیلی کمک می کنه دقت کنید :

  • UNITY: آیا دامین کنترلری داشتید از قبل که الان از بین رفته و یکی دیگه جایگزینش کردید ؟
  • sharifi1984 : خیر

در این مثال یعنی Orphaned Domain Controller ای وجود نداره ، پس پاسخ متفاوت خواهد شد ، در هر صورت خوشحالم که مشکل رفع شد.

پاسخ در 1391/10/05 توسط
آواتار محمد نصیری
0
  1. سرویس Active Directory Domain Services رو یکبار Restart کنید.
  2. سرویس FRS رو هم یکبار Restart کنید .
  3. مطمئن شید که در قسمت Domain Controllers OU اکانت مربوط به DC ها به عنوان Trusted for Delegation انتخاب شده اند.
  4. DNS ها رو بصورت ضربدری قرار بدید و خواهشا کل نتیجه دستور ipconfig / all رو با همه جزئیات در اینجا قرار بدید.
پاسخ در 1391/10/04 توسط
آواتار محمد نصیری
0

لطفا Dcdiag رو روی dc هاتون اجرا کنید و نتیجه رو اعلام کنید .

پاسخ در 1391/10/03 توسط
آواتار محمد نصیری
0

با درود

ممنون از دوستان

الان مشکل تا خد زیادی برطرف شده

میتونم ابجکت ایجاد کنم و پسورد یوزر ها رو بر طرف کنم

تنها مشکل رپلیکیت بین سرور ادیشنال و اصلیه

پاسخ در 1391/10/04 توسط
آواتار کاربر توسینسو

پاسخ شما