Проблема с репликацией после восстановления одного из КД

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

[решено]Проблема с репликацией после восстановления одного из КД

Ситуация такая, было все гуд, пока я не захотел обновить один из КД. После обновления он упал в синий экран. После чего был поднят через образ Акрониса, сделанный до начала обновления.
В общем, не стал я проверять, тестировать...я зря
Сегодня надо было поработат с АД, а вот репликация не работает
Ошибка идет от 11 числа, как раз, когда был восстановлен комп

Ошибки евента:

The local domain controller has attempted to replicate the following object from the following source domain controller. This object is not present on the local domain controller because it may have been deleted and already garbage collected.

Source domain controller:
de53c474-d44f-4720-8417-bd80c4b3db4c._msdcs.ohotnik.glv
Object:
DC=121\0ADEL:72e9392e-fe09-4043-973c-7a907aa036de,CN=Deleted Objects,DC=ohotnik,DC=glv
Object GUID:
72e9392e-fe09-4043-973c-7a907aa036de

Replication will not continue with the source domain controller until the situation has been resolved.

User Action
Verify that the object was deleted on this domain controller or in the forest. If object restoration is desired, authoritatively restore the object on the source domain controller. If restoration isn't desired, install the support tools included on the installation CD and use "repadmin /removelingeringobjects" on the source domain controller to remove the object from the forest and continue replication. To allow automatic restoration of this object and future similar objects, the following registry key can be set.

Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Ошибки dcdiag:

Doing initial required tests

Testing server: Default-First-Site-Name\DOMAIN
Starting test: Connectivity
......................... DOMAIN passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\DOMAIN
Starting test: Replications
[Replications Check,DOMAIN] A recent replication attempt failed:
From BIGSERVER to DOMAIN
Naming Context: DC=ohotnik,DC=glv
The replication generated an error (8606):
Win32 Error 8606
The failure occurred at 2007-02-13 10:45:24.
The last success occurred at (never).
659 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
DOMAIN: Current time is 2007-02-13 10:51:15.
DC=ohotnik,DC=glv
Last replication recieved from BIGSERVER at 2007-01-11 13:24:11.

Если сделать принудительную репликацию на Domain, то пересылаются только данные ДНС (причем обновления идут нормально, то есть объект отрабатываются в обе стороны)... новые записи AD C and U не появляются
Если сделать принудительную репликацию c Domain, то пишет "Задано недостаточное кол-во аттрибутов....Этот объект не может существовать, поскольку удален и собран в качестве мусора"

Помагайте, первый раз столкнулся, них понять не могу
ntdutil пробовал, adsi пробовал...

Залез в REPLMON
А там крестик стоит на других компах на BIGSERVER
Млять, кто же его поставил

А как снять???

Плохое дело востанавливать контроллер:((
Попробуй, снизить восстановленны в роли до мембер-сервера, а потом сново задисипромить его до ДК. Конечно не забудь про роли.
Ежели он (больной) был с ролями то сначала их переведи на другой ДК.

Ну это крайняя мера

Начал с removelingeringobjects
только синтаксис не очень понятен, выдает ошибку 8440 (1815)

Буду пробовать завтра
В общем один КД не может получить данные об удаленном объекте, и этот объекс у него никогда не был... типа аут оф дейт томбстоун

Разобрался, удалил записи... все равно не реплицирует...

Ну таки сделай, как я предлагал ранее, 20 мин и все будет хокей

Итакс, проблема решена
Поскольку данная ошибка репликации появляется в Инете, но решения как такого нет, напишу тут, что было сделано.

Итак, ошибки 1988, 2041, 8840 - появляются в dcdiag, repadmin /showreps, Event Viewer->Directory Service
Как проявляется? Новые объекты не реплицируются, ДНС не обновляется. Связано это с тем, что записи об объекте (объектах) которые были удалены, не были обновлены на КД, вследствии, как пишет майкрософт, долгого простоа КД.... хотя такое проявляется при восстановлении через Акронис

Майкрософт предлагет использоваьт иснтрумент repadmin /removelingeringobjects, но как именно понимается не сразу...

Эту команду можно применять только для:
DC=,DC=
CN=Configuration,DC=,DC=
CN=Schema, CN=Configuration,DC=,DC=
DC=DomainDNSZones, DC=,DC=
DC=ForestDNSZones, DC=,DC=

То есть repadmin /removelingeringobjects FQDN_сервера_на_котором_объект GUID_этого_же_сервера DC=domainname,DC=суффикдомена
Если в конце поставить /advisory_mode то repadmin запустится в режиме оповещения, то есть в Event Viewer будут те самые объекты, но не удалены

В моем случае он их не нашел.
Далее, если смотреть в ADSIedit.msc, то объекта такого не будет. Опять же обратимся к майкрософту, который поясняет, что эти объекты и другая инфа будут доступны только в ldp
Но работа в LDP не легка, как работать с ней тут http://support.microsoft.com/kb/314282

На смену ей приходит Ldap Administrator - нормальный визулизатор действий, Shareware, но нам как раз все равно, главное решить проблему
Ищем нужный объект (объекты), восстанавливаем (после этого репликация как бы заработает, на момент восстановления, но ошибки не уйдут), далее ждем репликации на всех КД
Далее удаляем объект (объекты) вновь.
Выключаем Strict Replication Consistency в реесте HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Ждем репликации на всех КД
Включаем Strict Replication Consistency в реесте HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Ждем репликации на всех КД

Выполняем тесты dcdiag, repadmin /showreps (или можно принудительную репликацию включить)
Ждем появления в Event Viewer об дефрагментации.... в общем все

Для пущей наглядности, можно запустить Ldap Administrator и поискать объект.....упс...его и нет...

полезные ссылки:
http://support.microsoft.com/kb/317097
http://support.microsoft.com/kb/870695
http://technet2.microsoft.com/Window....mspx?mfr=true

Dimas_83

Молодец, что описал! Обязательно кому-нибудь пригодятся.
У меня проблемы с репликацией возникли вообще на пустом месте (у меня была меланхолия, неделю к серверу не подходил), так что я не виноват по-любому. Все вроде работало, и тут на тебе.
Описания проблемы в этой статье.
http://support.microsoft.com/kb/837932.
Мне помогла дефрагментация(сжатие) базы ActiveDirectory.
Тоже - хоть поэму пиши. :)

Цитата:

Цитата Dimas_83

То есть repadmin /removelingeringobjects FQDN_сервера_на_котором_объект GUID_этого_же_сервера DC=domainname,DC=суффикдомена
Если в конце поставить /advisory_mode то repadmin запустится в режиме оповещения, то есть в Event Viewer будут те самые объекты, но не удалены
В моем случае он их не нашел »

Хочу добавить, что мне удалось все исправить как раз с помощью repadmin. Просто запускать его надо именно на сервере с ошибочными(устаревшими) данными, FQDN ставить тож этого сервера, а вот GUID как раз не его , а того с которым сравнивать, т.е. "нормального" контролера.

Цитата:

Цитата Dimas_83

поднят через образ Акрониса, сделанный до начала обновления. »

Этого делать категорически нельзя
При восстановлении из образа highest watermark USN возращается в то состояние которое было во время бекапа, при восстановлении AD поддерживаемым методом КД оповещает партнеров по репликации, что был восстановлен и сообщает им свой восстановленный highest watermark USN и те, зная из своего USN high-watermark vector(вычисляя разницу из USN) определяют какие изменения нужны партнеру.
При восстановлении из образа - проблема в том что восстановленный КД ничего никому не сообщает...