Hello,
I have a problem with replication on Windows Server 2012 Std.
Error LDAP error 52 (Unavailable) Win32 Err 55, LDAP error 81 (Server Down) Win32 Err 58
I have two DCs at Default-First-Site-Name Site and one at Tyumen Site, these sites connect through slow WAN link(~4Mb/s), subnet 192.168.25.0/24
and 192.168.26.0/24 for Default-First-Site-Name as well subnet 192.168.29.0/24 assigned to Tyumen Site and at least DEFAULTIPSITELINK tries to replicate night and day every 15 minutes Default-First-Site-Name Site and Tyumen Site are in this Link (earlier,
last month DEFAULTIPSITELINK used to replicate every 240 minutes, but without success anyway). I tried to reinstall Windows Server 2012 Std from scratch and promote to a DC again, which end up the same for few days working, then fails.
At the beginning I had a difficulty promoting remote site server to a Domain Controller, but coped with that. Then everything worked
just fine for a few days or a bit less than a week and now I can’t handle this. There are no services (DHCP Error 1059, DNS Error 4015) that can see AD DS even AD DS doesn’t see it self (As well error 1311, error 1865).
Here is https://skydrive.live.com/redir?resid=D8ABB824A29B6DE6%211009
ipconfig /all >c:ipconfig.txt [from each DC/DNS Server]
dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt
repadmin /showrepl dc* /verbose /all /intersite >c:repl.txt
dnslint /ad /s «DCipaddress»
I beg you for a help!
P.S.
May be I just need to increase timeout for few protocols, but I didn’t find out how to do this
All servers can ping each other
- Edited by
Monday, December 2, 2013 3:57 PM
Added 1 line
Hello,
I have a problem with replication on Windows Server 2012 Std.
Error LDAP error 52 (Unavailable) Win32 Err 55, LDAP error 81 (Server Down) Win32 Err 58
I have two DCs at Default-First-Site-Name Site and one at Tyumen Site, these sites connect through slow WAN link(~4Mb/s), subnet 192.168.25.0/24
and 192.168.26.0/24 for Default-First-Site-Name as well subnet 192.168.29.0/24 assigned to Tyumen Site and at least DEFAULTIPSITELINK tries to replicate night and day every 15 minutes Default-First-Site-Name Site and Tyumen Site are in this Link (earlier,
last month DEFAULTIPSITELINK used to replicate every 240 minutes, but without success anyway). I tried to reinstall Windows Server 2012 Std from scratch and promote to a DC again, which end up the same for few days working, then fails.
At the beginning I had a difficulty promoting remote site server to a Domain Controller, but coped with that. Then everything worked
just fine for a few days or a bit less than a week and now I can’t handle this. There are no services (DHCP Error 1059, DNS Error 4015) that can see AD DS even AD DS doesn’t see it self (As well error 1311, error 1865).
Here is https://skydrive.live.com/redir?resid=D8ABB824A29B6DE6%211009
ipconfig /all >c:ipconfig.txt [from each DC/DNS Server]
dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt
repadmin /showrepl dc* /verbose /all /intersite >c:repl.txt
dnslint /ad /s «DCipaddress»
I beg you for a help!
P.S.
May be I just need to increase timeout for few protocols, but I didn’t find out how to do this
All servers can ping each other
- Edited by
Monday, December 2, 2013 3:57 PM
Added 1 line
Hello,
I have a problem with replication on Windows Server 2012 Std.
Error LDAP error 52 (Unavailable) Win32 Err 55, LDAP error 81 (Server Down) Win32 Err 58
I have two DCs at Default-First-Site-Name Site and one at Tyumen Site, these sites connect through slow WAN link(~4Mb/s), subnet 192.168.25.0/24
and 192.168.26.0/24 for Default-First-Site-Name as well subnet 192.168.29.0/24 assigned to Tyumen Site and at least DEFAULTIPSITELINK tries to replicate night and day every 15 minutes Default-First-Site-Name Site and Tyumen Site are in this Link (earlier,
last month DEFAULTIPSITELINK used to replicate every 240 minutes, but without success anyway). I tried to reinstall Windows Server 2012 Std from scratch and promote to a DC again, which end up the same for few days working, then fails.
At the beginning I had a difficulty promoting remote site server to a Domain Controller, but coped with that. Then everything worked
just fine for a few days or a bit less than a week and now I can’t handle this. There are no services (DHCP Error 1059, DNS Error 4015) that can see AD DS even AD DS doesn’t see it self (As well error 1311, error 1865).
Here is https://skydrive.live.com/redir?resid=D8ABB824A29B6DE6%211009
ipconfig /all >c:ipconfig.txt [from each DC/DNS Server]
dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt
repadmin /showrepl dc* /verbose /all /intersite >c:repl.txt
dnslint /ad /s «DCipaddress»
I beg you for a help!
P.S.
May be I just need to increase timeout for few protocols, but I didn’t find out how to do this
All servers can ping each other
- Edited by
Monday, December 2, 2013 3:57 PM
Added 1 line
Мы уже несколько дней боремся со странной ошибкой ldap. Следующий код отлично работал более года. Вдруг он возвращает local error (0x52) для нескольких CN пользователей.
Соответствующий код (подключение и привязка работают всегда, только поиск не выполняется для некоторых пользовательских CN):
$ldapconn = ldap_connect("LDAP URL")
or die("Connection failed.");
ldap_bind($ldapconn, 'USERNAME', 'PASSWORD')
or die("Binding failed");
$ldapsearch = ldap_search($ldapconn, '', '(&(uniqueMember=CN=FIRSTNAME LASTNAME,O=COMPANY)(objectClass=groupOfNames))')
or die("Search failed: ".ldap_error($ldapconn));
Странно то, что этот код работает для большинства пользователей, но для некоторых — нет.
Так например:
$ldapsearch = ldap_search($ldapconn, '', '(&(uniqueMember=CN=FIRSTNAME_1 LASTNAME_1,O=COMPANY)(objectClass=groupOfNames))')
-> works
$ldapsearch = ldap_search($ldapconn, '', '(&(uniqueMember=CN=FIRSTNAME_2 LASTNAME_2,O=COMPANY)(objectClass=groupOfNames))')
-> fails
Но оба CN определенно существуют (в браузере softterra ldap работают обе команды поиска, также в Lotus Notes оба пользователя кажутся идентичными, только с некоторыми клиентами ldap и кодом php он не работает).
Мы также нашли на этой странице следующее заявление от ibm:
https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_71/apis/ldap_error_condt.htm
0x52 — Some local error occurred. This usually indicates that either the LDAP support (IBM® i option 32) is not installed on the system, or a malloc() operation has failed
Поддержка Ldap установлена, и мы не знаем, где могла быть ошибка выделения памяти.
Если вам нужна дополнительная информация, дайте мне знать.
Любая помощь приветствуется
ОБНОВИТЬ:
Мы попробовали выполнить поиск в CentOS с помощью cli и получили ту же локальную ошибку (так что это не проблема php ldap, скорее, проблема с сервером домино Notes):
ldapsearch -D "USERNAME" -w PASSWORD -h LDAP_URL -b "" -s sub "(&(uniqueMember=CN=FIRSTNAME LASTNAME,O=COMPANY)(objectClass=groupOfNames))"
-> ldap_result: Local error (-2)
Ошибка возникает всегда для одних и тех же пользователей. CN пользователей, в которых возникает проблема, не содержат специальных символов или аналогичных символов и не содержат двойных букв или фамилий.
Содержание
- Глава 12. Ошибки и устранение неисправностей LDAP
- Стандартные сообщения об ошибках LDAP
- Журналы OpenLDAP
Глава 12. Ошибки и устранение неисправностей LDAP
Иногда OpenLDAP подвергается критике за скудность сообщений об ошибках и слабую диагностику. Отчасти это связано с генеральной линией стандартизации сообщений об ошибках, ограничивающей возможности реализаций служб каталогов по выдаче более информативных и творческих сообщений (справедливости ради стоит отметить, что в стандартах предусмотрено наличие в сообщении текстового элемента для более точного освещения проблемы), отчасти с тем, что многие сообщения об ошибках выводятся через клиентские программы, которые могут делать серьёзные искажения исходных диагностических сообщений.
Лучший источник диагностической информации — журналы OpenLDAP необходимого уровня (безусловно, наиболее полный из которых loglevel -1).
Ниже мы приводим некоторые сведения о том, как правильно читать журналы OpenLDAP, а также стандартные сообщения об ошибках LDAP с некоторыми подсказками о том, в чём может заключаться причина ошибки.
Данные сообщения об ошибках определены в разделе 4.1.9 RFC 4511, черновом RFC LDAP C API (датированным 2000-м годом), а также выяснены путём изучения заголовочного файла LDAPResult.h дистрибутива OpenLDAP.
Название ошибки | Номер | Пояснения/причины |
LDAP_SUCCESS | 0 (x’00) | Успешное завершение запроса. |
LDAP_OPERATIONS_ERROR | 1 (x’01) | Произошла ошибка операции. |
LDAP_PROTOCOL_ERROR | 2 (x’02) | Обнаружено нарушение протокола. |
LDAP_TIMELIMIT_EXCEEDED | 3 (x’03) | Превышено ограничение по времени LDAP. |
LDAP_SIZELIMIT_EXCEEDED | 4 (x’04) | Превышено ограничение по размеру LDAP. |
LDAP_COMPARE_FALSE | 5 (x’05) | Операция сравнения вернула «ложь». |
LDAP_COMPARE_TRUE | 6 (x’06) | Операция сравнения вернула «истину». |
LDAP_STRONG_AUTH_NOT_SUPPORTED | 7 (x’07) | Сервер LDAP не поддерживает строгую аутентификацию. |
LDAP_STRONG_AUTH_REQUIRED | 8 (x’08) | Для данной операции требуется прохождение строгой аутентификации. |
LDAP_PARTIAL_RESULTS | 9 (x’09) | Возвращены только частичные результаты. |
LDAP_REFERRAL | 10 (x’0A) | Указывает, что в ответе присутствует отсылка LDAP. Данное сообщение будет содержать один или несколько LDAP URL, по которым клиент должен перенаправить последующие операции для получения данного DN. |
LDAP_ADMINLIMIT_EXCEEDED | 11 (x’0B) | Указывает на то, что какие-либо ограничения, установленные на стороне сервера на количество записей, возвращаемое при поиске, были превышены. |
LDAP_UNAVAILABLE_CRITICAL_EXTENSION | 12 (x’0C) | Указывает на то, что элемент управления или правило соответствия, запрашиваемые в операции, не поддерживаются данным сервером. |
LDAP_CONFIDENTIALITY_REQUIRED | 13 (x’0D) | Конфигурация данного сервера требует обеспечения какой-либо формы конфиденциальности (TLS/SSL или SASL) при выполнении подсоединения с предоставляемым DN, например, определённая на глобальном уровне или в разделе database директива security может требовать соблюдения некоторой формы SSF при выполнении simple_bind или операции обновления. |
LDAP_SASL_BIND_IN_PROGRESS | 14 (x’0E) | Данный сервер в настоящий момент выполняет SASL-подсоединение и в этом контексте запрашиваемая операция является неверной. |
15 (x’0F) | Не используется. | |
LDAP_NO_SUCH_ATTRIBUTE | 16 (x’10) | Указанный в запросе атрибут не присутствует в записи. |
LDAP_UNDEFINED_TYPE | 17 (x’11) | Указанный в запросе тип атрибута был неверным. |
LDAP_INAPPROPRIATE_MATCHING | 18 (x’12) | Указывает на то, что правило соответствия с расширяемым фильтром соответствия не поддерживается для указываемого типа атрибута. |
LDAP_CONSTRAINT_VIOLATION | 19 (x’13) | Указываемое в операции значение атрибута нарушает некоторые ограничения. Возможные причины: 1. Строка слишком большой длины. 2. Неверный тип — строка записывается в числовой атрибут. 3. Неправильное значение, например, атрибут может принимать только определённое значение, либо одно из набора значений. |
LDAP_TYPE_OR_VALUE_EXISTS | 20 (x’14) | Указываемый тип атрибута или значение атрибута уже присутствует в записи. Возможные причины: 1. При добавлении записи — один или несколько атрибутов в LDIF (или операции добавления/замены) для записи в точности совпадают (дублируются). |
LDAP_INVALID_SYNTAX | 21 (x’15) | Было указано неверное значение атрибута. |
22 — 31 | (x’16 — x’1F). Не используются. | |
LDAP_NO_SUCH_OBJECT | 32 (x’20) | Указанная запись не существует в каталоге (DIT). |
LDAP_ALIAS_PROBLEM | 33 (x’21) | Псевдоним в DIT указывает на несуществующую запись. |
LDAP_INVALID_DN_SYNTAX | 34 (x’22) | Был указан синтаксически неверный DN. Может также возникнуть, если Вы используете файл в формате LDIF (dn: cn=xxx и т.д.) с утилитой ldapdelete, которой требуется только указание простого DN. |
35 (x’23) | Зарезервировано и не используется в LDAPv3 (LDAPv2: LDAP_IS_LEAF — указанный объект является листовым, то есть у него нет дочерних объектов). | |
LDAP_ALIAS_DEREF_PROBLEM | 36 (x’24) | Возникла проблема при разыменовании псевдонима. Смотрите также описание ошибки 33. |
37 — 47 | (x’25 — x’2F). Не используются. | |
LDAP_INAPPROPRIATE_AUTH | 48 (x’30) | Была указана проверка подлинности, которую невозможно осуществить, например, была указана LDAP_AUTH_SIMPLE, а у записи нет атрибута userPassword. |
LDAP_INVALID_CREDENTIALS | 49 (x’31) | Были предоставлены неверные учётные данные, например, неправильный пароль. Дополнительный текст: unable to get TLS Client DN (невозможно получить DN клиента TLS). Возможные причины: 1. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘demand’. 2. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘never’. В этом случае данное сообщение об ошибке не является фатальным и обслуживание клиента продолжается. |
LDAP_INSUFFICIENT_ACCESS | 50 (x’32) | У данного пользователя недостаточно прав доступа на осуществление запрашиваемой операции. |
LDAP_BUSY | 51 (x’33) | Данный сервер (DSA) слишком занят, чтобы выполнить запрашиваемую операцию. |
LDAP_UNAVAILABLE | 52 (x’34) | DSA недоступен. Он может быть, например, остановлен, поставлен на паузу или находится в процессе инициализации. |
LDAP_UNWILLING_TO_PERFORM | 53 (x’35) | Данный сервер (DSA) не желает выполнять запрашиваемую операцию. Дополнительный текст: no global superior knowledge (нет сведений о глобальном вышестоящем каталоге) — имя записи, которую собираются добавить или модифицировать, не находится ни в одном из контекстов именования и у сервера нет правильной отсылки на вышестоящий каталог. Возможная причина: не задан атрибут olcSuffix (директива suffix в slapd.conf) для DIT, на которое идёт ссылка. Дополнительный текст: Shadow context; no update referral (теневой контекст (реплика); отсылки для выполнения обновлений не указано) — DIT, в которое собираются вносить изменения, является репликой в режиме «только для чтения», и, из-за отсутствия директивы updateref, невозможно возвратить отсылку. Возможные причины: 1. Была попытка произвести запись в реплику «только для чтения» (в конфигурации syncrepl потребитель всегда в режиме «только для чтения»). 2. В конфигурации syncrepl multi-master в файле slapd.conf возможно пропущена директива mirrormode true. 3. Если slapd при запуске использовал файл slapd.conf, а директория slapd.d (cn=config) также существует, то при последующих модификациях DIT могут возникать ошибки с выдачей этого сообщения. В частности, в FreeBSD требуется наличие явного указания в rc.conf (slapd_cn_config=»YES») для принудительного использования slapd.d. |
LDAP_LOOP_DETECT | 54 (x’36) | Выявлено зацикливание. |
54 — 59 | (x’37 — x’3B). Не используются. | |
LDAP_SORT_CONTROL_MISSING | 60 (x’3C) | В стандартах не используется. Только для Sun LDAP Directory Server. Сервер не получил требуемый элемент управления сортировки на стороне сервера. |
LDAP_RANGE_INDEX_ERROR | 61 (x’3D) | В стандартах не используется. Только для Sun LDAP Directory Server. Результаты запроса превысили диапазон, указанный в запросе. |
62 — 63 | (x’3E — x’3F). Не используются. | |
LDAP_NAMING_VIOLATION | 64 (x’40) | Указывает на то, что данный запрос содержит нарушение именования в отношении текущего DIT. |
LDAP_OBJECT_CLASS_VIOLATION | 65 (x’41) | Произошло нарушение объектного класса при использовании текущего набора схемы данных, например, при добавлении записи был пропущен обязательный (must) атрибут. |
LDAP_NOT_ALLOWED_ON_NONLEAF | 66 (x’42) | Операция на нелистовой записи (то есть той, у которой есть дочерние записи) не разрешается. |
LDAP_NOT_ALLOWED_ON_RDN | 67 (x’43) | Операция над RDN, например, удаление атрибута, использующегося в качестве RDN в DN, не разрешается. |
LDAP_ALREADY_EXISTS | 68 (x’44) | Данная запись уже существует в этом DIT. |
LDAP_NO_OBJECT_CLASS_MODS | 69 (x’45) | Не разрешена модификация объектного класса. |
LDAP_RESULTS_TOO_LARGE | 70 (x’46) | Только C API (черновой RFC). Результаты слишком велики и не могут содержаться в данном сообщении. |
LDAP_AFFECTS_MULTIPLE_DSAS | 71 (x’47) | Указывает на то, что операцию необходимо выполнить на нескольких серверах (DSA), а это не разрешено. |
72 — 79 | (x’48 — x’4F). Не используются. | |
LDAP_OTHER | 80 (x’50) | Произошла неизвестная ошибка. Возможная причина: Попытка удаления атрибута (особенно в cn=config), удаление которого запрещено. Дополнительный текст: olcDbDirectory: value #0: invalid path: No such file or directory Возможная причина: перед инициализацией новой базы данных директория для её размещения должна существовать. |
LDAP_SERVER_DOWN | 81 (x’51) | Только C API (черновой RFC). Библиотека LDAP не может связаться с LDAP-сервером. |
LDAP_LOCAL_ERROR | 82 (x’52) | Только C API (черновой RFC). Произошла некоторая локальная ошибка. Обычно это неудачная попытка выделения динамической памяти. |
LDAP_ENCODING_ERROR | 83 (x’53) | Только C API (черновой RFC). Произошла ошибка при кодировании параметров, отправляемых на LDAP-сервер. |
LDAP_DECODING_ERROR | 84 (x’54) | Только C API (черновой RFC). Произошла ошибка при декодировании результатов, полученных от LDAP-сервера. |
LDAP_TIMEOUT | 85 (x’55) | Только C API (черновой RFC). При ожидании результатов было превышено ограничение по времени. |
LDAP_AUTH_UNKNOWN | 86 (x’56) | Только C API (черновой RFC). В ldap_bind() был указан неизвестный метод аутентификации. |
LDAP_FILTER_ERROR | 87 (x’57) | Только C API (черновой RFC). Операции ldap_search() был предоставлен неправильный фильтр (например, количество открывающихся и закрывающихся скобок в фильтре не совпадает). |
LDAP_USER_CANCELLED | 88 (x’58) | Только C API (черновой RFC). Указывает на то, что пользователь прервал запрошенную операцию. |
LDAP_PARAM_ERROR | 89 (x’59) | Только C API (черновой RFC). Процедура ldap была вызвана с неверными параметрами. |
LDAP_NO_MEMORY | 90 (x’5A) | Только C API (черновой RFC). Выделение памяти (например, с помощью malloc(3) или другого механизма динамического выделения памяти) вызвало сбой в процедуре из библиотеки ldap. |
LDAP_CONNECT_ERROR | 91 (x’5B) | Только C API (черновой RFC). Библиотека/клиент не может соединиться с LDAP-сервером, указанным в URL. |
LDAP_NOT_SUPPORTED | 92 (x’5C) | Только C API (черновой RFC). Указывает на то, что в запросе используется функция, не поддерживаемая данным сервером. |
LDAP_CONTROL_NOT_FOUND | 93 (x’5D) | Только C API (черновой RFC). Запрашиваемый элемент управления не найден на данном сервере. |
LDAP_NO_RESULTS_RETURNED | 94 (x’5E) | Только C API (черновой RFC). Запрашиваемая операция завершилась успешно, но никаких результатов возвращено (получено) не было. |
LDAP_MORE_RESULTS_TO_RETURN | 95 (x’5F) | Только C API (черновой RFC). Запрашиваемая операция завершилась успешно, но должны быть возвращены дополнительные результаты, которые можно уместить в текущее сообщение. |
LDAP_CLIENT_LOOP | 96 (x’60) | Только C API (черновой RFC). Клиент выявил зацикливание, например, при следовании по отсылкам. |
LDAP_REFERRAL_LIMIT_EXCEEDED | 97 (x’61) | Только C API (черновой RFC). Сервер или клиент превысил какое-либо установленное ограничение при следовании по отсылкам. |
Журналы OpenLDAP
В данном разделе показаны журналы OpenLDAP с нашими пояснениями. Строки, начинающиеся с # — комментарии, добавленные в целях пояснения, в нормальных журналах (логах) их не будет.
Проблемы, комментарии, предположения, исправления (включая битые ссылки) или есть что добавить? Пожалуйста, выкроите время в потоке занятой жизни, чтобы написать нам, вебмастеру или в службу поддержки. Оставшийся день Вы проведёте с чувством удовлетворения.
Источник
Hello,
I have a problem with replication on Windows Server 2012 Std.
Error LDAP error 52 (Unavailable) Win32 Err 55, LDAP error 81 (Server Down) Win32 Err 58
I have two DCs at Default-First-Site-Name Site and one at Tyumen Site, these sites connect through slow WAN link(~4Mb/s), subnet 192.168.25.0/24
and 192.168.26.0/24 for Default-First-Site-Name as well subnet 192.168.29.0/24 assigned to Tyumen Site and at least DEFAULTIPSITELINK tries to replicate night and day every 15 minutes Default-First-Site-Name Site and Tyumen Site are in this Link (earlier,
last month DEFAULTIPSITELINK used to replicate every 240 minutes, but without success anyway). I tried to reinstall Windows Server 2012 Std from scratch and promote to a DC again, which end up the same for few days working, then fails.
At the beginning I had a difficulty promoting remote site server to a Domain Controller, but coped with that. Then everything worked
just fine for a few days or a bit less than a week and now I can’t handle this. There are no services (DHCP Error 1059, DNS Error 4015) that can see AD DS even AD DS doesn’t see it self (As well error 1311, error 1865).
Here is https://skydrive.live.com/redir?resid=D8ABB824A29B6DE6%211009
ipconfig /all >c:ipconfig.txt [from each DC/DNS Server]
dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt
repadmin /showrepl dc* /verbose /all /intersite >c:repl.txt
dnslint /ad /s «DCipaddress»
I beg you for a help!
P.S.
May be I just need to increase timeout for few protocols, but I didn’t find out how to do this
All servers can ping each other
-
Edited by
Monday, December 2, 2013 3:57 PM
Added 1 line
Hello,
I have a problem with replication on Windows Server 2012 Std.
Error LDAP error 52 (Unavailable) Win32 Err 55, LDAP error 81 (Server Down) Win32 Err 58
I have two DCs at Default-First-Site-Name Site and one at Tyumen Site, these sites connect through slow WAN link(~4Mb/s), subnet 192.168.25.0/24
and 192.168.26.0/24 for Default-First-Site-Name as well subnet 192.168.29.0/24 assigned to Tyumen Site and at least DEFAULTIPSITELINK tries to replicate night and day every 15 minutes Default-First-Site-Name Site and Tyumen Site are in this Link (earlier,
last month DEFAULTIPSITELINK used to replicate every 240 minutes, but without success anyway). I tried to reinstall Windows Server 2012 Std from scratch and promote to a DC again, which end up the same for few days working, then fails.
At the beginning I had a difficulty promoting remote site server to a Domain Controller, but coped with that. Then everything worked
just fine for a few days or a bit less than a week and now I can’t handle this. There are no services (DHCP Error 1059, DNS Error 4015) that can see AD DS even AD DS doesn’t see it self (As well error 1311, error 1865).
Here is https://skydrive.live.com/redir?resid=D8ABB824A29B6DE6%211009
ipconfig /all >c:ipconfig.txt [from each DC/DNS Server]
dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt
repadmin /showrepl dc* /verbose /all /intersite >c:repl.txt
dnslint /ad /s «DCipaddress»
I beg you for a help!
P.S.
May be I just need to increase timeout for few protocols, but I didn’t find out how to do this
All servers can ping each other
-
Edited by
Monday, December 2, 2013 3:57 PM
Added 1 line
Соглашусь, что тема известная, избитая и в интернете много информации на сей счёт. Пишу скорее шпаргалку для себя, дабы не искать где-то ещё… Так получилось, что одна компания внезапно продала свой филиал, находящийся в другом городе. «Отрезанный» сегмент сети оказался в изоляции, её домен-контроллер без некоторых ролей. А надо как-то «жить дальше»… |
Единственный оставшийся домен-контроллер (бывший когда-то вторичным) работает под управлением Windows Server 2003 R2. Уровень работы домена такой же.
Всего существует 5 ролей FSMO (Flexible single-master operations — «операции с одним исполнителем»):
- хозяин схемы (schema master);
- хозяин именования доменов (domain naming master);
- PDC (primary domain controller);
- диспетчер пула RID (relative ID master);
- хозяин инфраструктуры (infrastructure master).
Подробнее можно почитать тут.
Для нормального функционирования домена оставшийся единственным домен-контроллер должен обладать всеми этими ролями. Но в нашем случае передать эти роли от других домен-контроллеров бывшей уже сети не представляется возможным из-за их недоступности. Остаётся только принудительно захватить все эти роли. Делается это следующим образом…
Исходные данные:
- srv-krasnodar – оставшийся единственным домен-контроллер;
- srv-moscow – вышестоящий недоступный домен-контроллер;
- Moskva – сайт (сегмент сети) головной компании;
- Krasnodar – сайт оставшегося сегмента сети;
- domain.ru – наименование домена,
- все команды выполняются от имени администратора домена.
C:>ntdsutil
ntdsutil:roles
fsmo maintenance:connections
server connections:connect to server srv-krasnodar
Привязка к srv-krasnodar ... Подключен к srv-krasnodar с помощью учетных данных локального пользователя. server connections:q
Пытаемся получить роль PDC:
fsmo maintenance: seize PDC
Попытка безопасной передачи PDC FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321051A, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может быть ошибка подключения, LDAP или передачи роли.
Не удалось передать PDC FSMO, выполняется захват...
При этом в появившемся окне подтверждаем выполнение желаемого действия:
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем роль RID:
fsmo maintenance: seize RID master
Попытка безопасной передачи RID FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321092B, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может бытьошибка подключения, LDAP или передачи роли.
Не удалось передать RID FSMO, выполняется захват...
Поиск наивысшего пула RID в домене Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем роль хозяина именования доменов:
fsmo maintenance: seize domain naming master
Попытка безопасной передачи domain naming FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может бытьошибка подключения, LDAP или передачи роли.
Не удалось передать domain naming FSMO, выполняется захват...
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем роль хозяина инфраструктуры:
fsmo maintenance: seize infrastructure master
Попытка безопасной передачи infrastructure FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может быть ошибка подключения, LDAP или передачи роли.
Не удалось передать infrastructure FSMO, выполняется захват...
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем последнюю известную роль хозяина схемы:
fsmo maintenance: seize schema master
Попытка безопасной передачи schema FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может быть ошибка подключения, LDAP или передачи роли.
Не удалось передать schema FSMO, выполняется захват...
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru fsmo maintenance:q
ntdsutil:q
Отключение от srv-krasnodar...
Таким образом оставшийся «в изоляции» домен-контроллер srv-krasnodar стал единственным полноправным хозяином данного сегмента сети.
Возможные причины:
1. Строка слишком большой длины.
2. Неверный тип — строка записывается в числовой атрибут.
3. Неправильное значение, например, атрибут может принимать только определённое значение, либо одно из набора значений.
Возможные причины:
1. При добавлении записи — один или несколько атрибутов в LDIF (или операции добавления/замены) для записи в точности совпадают (дублируются).
Дополнительный текст: unable to get TLS Client DN (невозможно получить DN клиента TLS).
Возможные причины:
1. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘demand’.
2. Не предоставлен сертификат клиента в случае, если директива TLSVerifyClient установлена в ‘never’. В этом случае данное сообщение об ошибке не является фатальным и обслуживание клиента продолжается.
Дополнительный текст: no global superior knowledge (нет сведений о глобальном вышестоящем каталоге) — имя записи, которую собираются добавить или модифицировать, не находится ни в одном из контекстов именования и у сервера нет правильной отсылки на вышестоящий каталог.
Возможная причина: не задан атрибут olcSuffix (директива suffix в slapd.conf) для DIT, на которое идёт ссылка.
Дополнительный текст: Shadow context; no update referral (теневой контекст (реплика); отсылки для выполнения обновлений не указано) — DIT, в которое собираются вносить изменения, является репликой в режиме «только для чтения», и, из-за отсутствия директивы updateref, невозможно возвратить отсылку.
Возможные причины:
1. Была попытка произвести запись в реплику «только для чтения» (в конфигурации syncrepl потребитель всегда в режиме «только для чтения»).
2. В конфигурации syncrepl multi-master в файле slapd.conf возможно пропущена директива mirrormode true.
3. Если slapd при запуске использовал файл slapd.conf, а директория slapd.d (cn=config) также существует, то при последующих модификациях DIT могут возникать ошибки с выдачей этого сообщения. В частности, в FreeBSD требуется наличие явного указания в rc.conf (slapd_cn_config=»YES») для принудительного использования slapd.d.
Возможная причина:
Попытка удаления атрибута (особенно в cn=config), удаление которого запрещено.
Дополнительный текст: olcDbDirectory: value #0: invalid path: No such file or directory
Возможная причина: перед инициализацией новой базы данных директория для её размещения должна существовать.