PDA

Показать полную графическую версию : Проблема репликации


nokogerra
11-02-2013, 11:33
Доброго времени суток. dc (pdc), dc2 replica (vm vsphere 5.0u1). Было кратковременное падение сети, после этого на dc:

В ходе проверки согласованности знаний (КСС) обнаружено, что все дальнейшие попытки репликации со следующей службой каталогов завершились неудачно.

Попыток:
15
Служба каталогов:
CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mfk-22,DC=local
Интервал (мин):
71582322

Объект подключения для этой службы каталогов будет проигнорирован, а для продолжения репликации будет установлено новое временное подключение. Как только репликация с этой службой каталогов возобновится, временное подключение будет удалено.

Дополнительные данные
Значение ошибки:
1256 Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

dc2 доступна и по ip и по fqdn.
На dc2

Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера.

В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации. Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки. Как только соответствующие события перестанут регистрироваться в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок.

Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.

Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.



В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP, а именно:
(1) Привязку SASL (согласование, Kerberos, NTLM или выборка) LDAP без требования подписи (проверки целостности), или
(2) Простую привязку LDAP, которая была выполнена для подключения с открытым (не зашифрованным SSL/TLS) текстом

Данный сервер каталога в настоящий момент не настроен на отклонение привязок такого типа. Безопасность сервера можно существенно повысить, если настроить его на отклонение таких привязок. Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.

Общие сведения о числе этих привязок, полученных за последние 24 часа, приведены ниже.

Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.

Число простых привязок, выполненных без SSL/TLS: 0
Число привязок согласование/Kerberos/NTLM/выборка, выполненных без подписи: 1

Подскажите пожалуйста как реплицировать dc2 с dc заново.

nokogerra
12-02-2013, 10:13
Хм, удалив пару итемов в dc, зашел на dc2 и убедился что они тоже удалены (пользователи и компьютеры). Видимо репликация восстановилась, но на dc:

C:\Users\xxxxxx>repadmin /showrepl

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\DC
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: e187dcdc-32cb-4af5-9dad-5ce9597569f3
DSA - код вызова: e187dcdc-32cb-4af5-9dad-5ce9597569f3

==== ВХОДЯЩИЕ СОСЕДИ ======================================

DC=mfk-22,DC=local
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: d692fc74-92a3-4a76-9ae8-fee293234a8a
Последняя попытка @ 2013-02-12 13:09:17 успешна.

CN=Configuration,DC=mfk-22,DC=local
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: d692fc74-92a3-4a76-9ae8-fee293234a8a
Последняя попытка @ 2013-02-12 12:50:48 успешна.

CN=Schema,CN=Configuration,DC=mfk-22,DC=local
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: d692fc74-92a3-4a76-9ae8-fee293234a8a
Последняя попытка @ 2013-02-12 12:50:48 успешна.

DC=DomainDnsZones,DC=mfk-22,DC=local
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: d692fc74-92a3-4a76-9ae8-fee293234a8a
Последняя попытка @ 2013-02-12 12:50:48 успешна.

DC=ForestDnsZones,DC=mfk-22,DC=local
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: d692fc74-92a3-4a76-9ae8-fee293234a8a
Последняя попытка @ 2013-02-12 12:50:48 успешна.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.

Как так, последняя попытка успешна, но доступ к репликации отвергнут, к тому же опыты показали что реплика работает?


C:\Users\xxxxxxxx>repadmin /replsummary
Время запуска сводки по репликации: 2013-02-12 13:14:02

Начат сбор данных для сводки по репликации, подождите:
.....


Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC 16m:49s 0 / 5 0
DC2 23m:14s 0 / 5 0


Конечный DSA наиб. дельта сбои/всего %% ошибка
DC 23m:15s 0 / 5 0
DC2 16m:50s 0 / 5 0




© OSzone.net 2001-2012