مشکل عدم توانایی Replicate و ایجاد Object در اکتیودایرکتوری
با درود
من در ابتدا سناریویی که دارم رو توضیح بدم:
من دو عدد هاست ESX i دارم
روی یکی از این هاست ها dc1 با آدرس 192.168.0.2 رو دارو و روی هاست دوم dc2: 192.168.0.10 رو داریم
چند وقته این دو سرور به مشکل خوردن و replicate از from dc1 to dc2 انجام نمیشه ولی برعکس انجام میشه
بدون فایروال هم چک کردم ولی مشکل هست و تغییری نمیکنه
ارور هایی که دارم:
in replication:access denied in creating object(as new user: windows cannit create object .the directory service was unable to alocate a relation identifire
و همچنین برای showrepl result دارم:
The replication generated an error (8453): Replication access was denied.
به نظرتون مشکل از چی میتونه باشه؟
15 پاسخ
اینم راه حل مشکل
6 تا مرحله هست:
Since you are getting Access denied error check the below parameters as well. 1.To verify the Access this computer from network user right. Everyone, Authenticated Users, and Enterprise Domain Controllers must have that user right for successful replication. Important: There are customers that are going to remove the Everyone group from Access this computer from the network which is acceptable as long as Authenticated Users and Enterprise Domain Controllers are listed. 2.To check the CrashOnAuditFail Registry Key Check the <computername>_regentries.txt file in the Directory Services MPSReports to confirm if crashonauditfail [REG_DWORD] = 0x2 If CrashOnAuditFail = 0x2 perform the following steps Type regedit from Start, and then click Run. Expand HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA Right-click crashonauditfail, select Modify Under Value data:, select 2 and change the value to 0 Reboot domain controller. 3.To check the time skew between domain controllers. See Knowledge Base article 257187 4.Ensure the Trust computer for delegation check box is selected on the General tab of the domain controller Properties dialog box in Active Directory Users and Computers. 5.Using Adsiedit or Ldp (both included in the Windows 2000 Support Tools), confirm that the userAccountControl attribute is set to 532480. To check this, perform the following steps Type adsiedit.msc from Start, and then click Run. Expand the Domain NC container. Expand the object below, i.e. DC=Contoso, DC=COM Expand OU=Domain Controllers Right-click CN=<domain_controller>, and select Properties Under Select a property to view, select userAccountControl and verify the value is 532480. 6.Reset Password and Refresh Kerberos Tickets http://sandeshdubey.wordpress.com/2011/10/02/secure-channel-between-the-dcs-broken/ If still the issue persist you can demote the faulty DC forcefully followed by metadata cleanup and ptomote the server back as DC. You cannot demote the faulty DC gracefully you need to do forcefull removal.You need to ran dcpromo/force removal and then run matadata cleanup on other DC(healthy) to remove the instance of faulty DC from AD database and DNS. Once done you can promote the Server back as DC.If faulty DC is FSMO role holder you need to seize the FSMO on other DC.Also ensure Authorative time server is configured on PDC role holder server Forcefull removal of DC: http://support.microsoft.com/kb/332199 Complete Step by Step Guideline to Remove an Orphaned Domain controller (including seizing FSMOs, running a metadata cleanup, and more) Hope this helps -------------------------------------------------------------------------------- Best Regards,
الان FSMO های شما روی کدوم سرور قرار گرفتن ؟ می تونی دقیق بگی کجا هستند ؟
- RID Master
- Infrastructure Master
- Domain Naming Master
- Schema Master
- PDC Emulator
مخصوصا RID Master رو چک کن چون برای ایجاد کردن Object ها مهمه که سالم باشه ، این Role رو به سروری که خطا ازش صادر میشه انتقال بده ، آدرس IP مربوط به DNS هات رو بصورت ضربدری قرار بده و با استفاده از دستور repadmin /syncall مجددا از روی هر دومین کنترلر چک کن ببین مجددا به خطا برخورد میکنی نه ، در ضمن با دستور زیرSecure Channel بین دو تا سرور رو ریست کن و نتیجه رو اعلام کن ممنون.
nltest /sc_change_pwd:example.com
من این کارو انجام میدم و نتیجشو میگم.
با بررسی dcdiag ها به چه برداشتی رسیدی؟
- روی GPO مربوط به دامین کنترلر ها مطمئن شو که در قسمت Access this computer from network کاربر یا گروهی که عضوش هستی وجود داره.
- مطمئن شو که زمان دو تا دامین کنترلر دقیقا مشابه هم باشن.
- به مسیر زیر برو و اگر مقدار CrashOnAuditFail برابر با 2 هست مقدارش رو یک کن و بعد از خارج شدن از سرور ری استارت کن .
HKLM\System\CurrentControlSet\Control\LSA\CrashOnAuditFail
C:\>DCDIAG /TEST:CheckSecurityError C:\>W32TM /MONITOR
c:\>netdom resetpwd /server: server_name /userd: domain_name \administrator /passwordd: administrator_password
* در نهایت نتیجه دستور زیر رو برام بفرست که ببینیم Trust بین دامین کنترلرها در چه وضعیتی قرار داده شده
NETDIAG Trust Relationship
به یک نکته جالب رسیدم!!!
netdom /query fsmo رو که روی سرور اصلی میزنم،ارور زیرو میده:
the procedure entry point I_NetName validate could not be located in the dynamic link library netapi32.dll
ولی روی سرور ادیشنالdc2 جواب میده و مشکلی نداره و ریزالت به این صورته:
فایل ها رو به علت طولانی بودن پیوست کردم
- آیا دامین کنترلری داشتید از قبل که الان از بین رفته و یکی دیگه جایگزینش کردید ؟
- آیا از ویندوز سرور قدیمی به ویندوز سرور جدید بروز رسانی انجام شده ؟
- آیا دامین کنترلری داشتید در مجموعه که از طریق Backup بازیابی شده باشه ؟
- لطفا بر روی هر دو سرور دستور ipconfig / all رو اجرا کنید و در ادامه نکات خواسته شده در ادامه قرار بدید.
1.خیر
2.خیر
3.خیر. ولی بعد از اینکه به مشکل بر خوردم ،snapshot سیستم رو برگردوندم که با این قضیه هم برطرف نشد.
سرور ها همدیگه رو پینگ میکنن و فایروالی هم بینشون نیست
فایروال های ویندوزشون هم غیر فعاله
در ضمن هر دو سرور windows server 2008 r2 هستند.
و تنها تغییری که در مجموعه داشتم storage vmotion برای سرور dc بوده که اونم به صورت live انجام شده و تا جایی که میدونم نباید مشکلی ایجاد کنه
UNITY عزیز
با 6 مرحله اول مشکل حل شد. یعنی به remove dc نرسید.من هم دامین کنترلری نداشتم که از بین رفته باشه
اون برا جاییه که مشکل حل نشد.
مشکل من از secure chanel و CrashOnAuditFail Registry Key بود.
منم از راهنمایی های شما مچکرم
پیروز باشید.
لطفا با دقت به سئوالاتی که از شما پرسیده میشه پاسخ بدید ، در جل موضوع خیلی کمک می کنه دقت کنید :
- UNITY: آیا دامین کنترلری داشتید از قبل که الان از بین رفته و یکی دیگه جایگزینش کردید ؟
- sharifi1984 : خیر
در این مثال یعنی Orphaned Domain Controller ای وجود نداره ، پس پاسخ متفاوت خواهد شد ، در هر صورت خوشحالم که مشکل رفع شد.
نتیجه رو حتما اعلام کن ، با بررسی لاگی که از نتیجه dcdiag گرفتیم به این لینک رسیدم که در پایین میبینی :
- سرویس Active Directory Domain Services رو یکبار Restart کنید.
- سرویس FRS رو هم یکبار Restart کنید .
- مطمئن شید که در قسمت Domain Controllers OU اکانت مربوط به DC ها به عنوان Trusted for Delegation انتخاب شده اند.
- DNS ها رو بصورت ضربدری قرار بدید و خواهشا کل نتیجه دستور ipconfig / all رو با همه جزئیات در اینجا قرار بدید.
لطفا Dcdiag رو روی dc هاتون اجرا کنید و نتیجه رو اعلام کنید .
با درود
ممنون از دوستان
الان مشکل تا خد زیادی برطرف شده
میتونم ابجکت ایجاد کنم و پسورد یوزر ها رو بر طرف کنم
تنها مشکل رپلیکیت بین سرور ادیشنال و اصلیه