Хочу рассказать вам о паре проблем, возникших в моей инфраструктуре Active Directory.
Инфраструктура насчитывает несколько сайтов, сложную структуру сайт-линков и более десятка контроллеров домена. Топология репликации по большей части настроена в автоматическом режиме.
Случай №1.
Случилось мне как-то удалить 4 контроллера домена, находящиеся в разных сайтах. Через несколько дней мне пожаловались, что есть определенные проблемы и на сервера, поставленные вместо удаленных контроллеров, зайти не удается.
Проверка разрешения имени сервера показала, что в сайте Site1 (где и удалялся контроллер с целью замены) имя сервера site1-srv01.holding.com разрешается, а в моем сайте нет. Следовательно, есть какая-то проблема с репликацией.
Пойдя от сайта Site1 до своего сайта PRM, я столкнулся с удивительной особенностью — все кольца репликации этих четырех сайтов и моего пересекались на контроллере абсолютно «левого» сайта. Для наглядности, пусть это будет DC03 с этой картинки. Слева — мой сайт и еще парочка, справа — четыре сайта, осиротевшие на один контроллер.
Так вот, на DC03 внезапно 🙂 кончилось место, вследствие чего вся репликация через него встала. Освободил место — репликация зашуршала дальше.
Мораль: KCC не всегда оптимально подгоняет маршрут, даже если у вас хитросделанные связи сайтов.
Случай№2.
Поднимаю обратно в сайте Site1 контроллер домена (Site1-DC02). Имя и ip-адрес прежние. Поднял и проверил, что службы на нем установлены, репликация с Site1-DC01 благополучно выполняется.
Где-то через неделю присылают мне скриншот следующего содержания:
В оснастке Sites and Services на Site1-DC01 новоиспеченный контроллер отсутствует.
Проверил со своего контроллера домена — та же фигня.
Подключился к контроллеру домена Site1-DC02 — в его консоли ADUC все нормально. В Sites and Services — присутствуют оба сервера.
Проверил партнеров репликации и все стало ясно:
сервер Site1-DC02 реплицирует изменения с Site1-DC01;
а вот Site1-DC01 реплицирует изменения с кого угодно кроме Site1-DC02.
Попытался добавить в оснастке Sites and Services (на Site1-DC01) в качестве партнера репликации новый контроллер — не получилось, так как он там отсутствует.
Попробовал руками запустить репликацию:
repadmin /replicate Site1-DC01 Site1-DC02 CN=configuration,CN=holding,CN=com
Win32 Error 8419(0x20e3): The DSA object could not be found
Попытался из оснастки Sites and Services на Site1-DC02 выполнить команду «Replicate Configuration to the selected DC» (с целью передать конфигурацию на Site1-DC01). Облом.
Гугление на предмет проблем после добавления контроллера домена привело меня к следующей команде:
repadmin /add "cn=configuration,dc=enterprises,dc=HP, dc=com" 1388A125-9318-4992-AA53-1A0519E24D0A._msdcs.enterprises.HP.com A8413FDA-3131-4F0D-AFE0-C1E110321D25._msdcs.enterprises.HP.com
где 1388A125-9318-4992-AA53-1A0519E24D0A — исправный контроллер (получатель репликации), AFE0-C1E110321D25 — «неисправный» Site1-DC02.
После выполнения этой команды в партнерах репликации появился Site1-DC02, но repadmin /showreps
выдал ошибки KCC при репликации DNS-зон.
Для лечения этих ошибок была выполнена команда repadmin /kcc
.
Повторное выполнение repadmin /showreps
через 5 минут показало, что все доменные разделы успешно синхронизированы с Site1-DC02. После этого были проверены оснастки «ADUC» и «Sites and Services» — с контроллером все в порядке.
Мораль: надеюсь, вы, уважаемые читатели, поможете мне вынести мораль из случая №2.
Удаление старого контроллера из Active Directory. Самому пришлось тут как то копаться, ибо весело 2 мертвых контроллера домена… Остались по наследству…
Первый метод: только для Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним пакетом обновления. В моем случае был один живой контроллер домена к нему я и подключался с его же командной строки.
- Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
- В командной строке введите ntdsutil и нажмите клавишу ВВОД.
- Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
- Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_домена имя_пользователя Пароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
- Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
- Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
- Введите команду select operation target и нажмите клавишу ВВОД.
- Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами. 9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер.
- Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
- Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
- Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер.
- Появится подтверждение выбранного домена и узла.
- Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
- Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
- Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
- Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера.
Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO. Ошибка 8419 (0x20E3) Не удается найти объект DSA Ошибка 8419 (0x20E3) Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера. 18. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.
Ну, а дальше также может пригодится инструмент ADSIEdit. Ну и проверяем логи. Делаем dcdiag, netdiag. А именно проверяем на ошибки репликации dcdiag /test:replications проверяем работу ДНС dcdiag /test:dns. И только после того как никаких ошибок в репликации и ДНС нет можно приступать в поднятию нового-дополнительного контроллера домена! Что я успешно и сделал.
От себя добавлю: Не надо использовать на контроллерах домена Acronis если не хотите USNRollBACK словить. NTBackup+system state отлично работает. Это я к тому что не надо забывать про бэкапы…
Поделиться ссылкой:
- Remove From My Forums
-
Question
-
Can a pro please help me solve that issue? I’m having issue Map Drives users using GPO. I got an «Error 0x8007003a occurred parsing file. The specified server cannot perform the requested operation» every time I try to expand preferences.
I cannot even go click on Windows Settings as the same error message pops up. I’ve done anything to my knowledge but couldn’t find a legit solution. Not even online searches help. Can someone gives me an idea of what the possible cause is. Below is a screenshot
of the error. Any idea would help. Thank you.
Answers
-
Hi,
Please look at the event logs to see if there are any other messages, and you could check if the same error happens on other GPOs or other DCs, even you could create a new GPO for test.
If the only GPO is affected, maybe, the GPO is corrupt, in this case, you could restore a working one from backup if you have the backup.
If all GPOs have the same error, please check if the DC is working well, you could run the following command tools on domain controller to see if we could get more information to help troubleshooting the problem.
-> DCDIAG /V /C /D /E /s: dcname > c:dcdiag.log ,
-> repadmin.exe /showrepl dc* /verbose /all /intersite > c:repl.txt
Best regards,
Wendy
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.-
Marked as answer by
Monday, December 18, 2017 4:17 PM
-
Marked as answer by
TR DSA nesnesi bulunamadı.
HU A DSA-objektum nem található.
NB Finner ikke DSA-objektet.
PT O objeto DSA não foi encontrado.
IT Impossibile trovare l’oggetto DSA.
FI Hakemistopalvelun agenttiobjektia ei löydy.
ES No se encuentra el objeto DSA.
CS Objekt DSA nelze nalézt.
DA DSA-objektet blev ikke fundet.
KO DSA 개체를 찾을 수 없습니다.
PL Nie można znaleźć obiektu DSA.
NL Het DSA-object kan niet gevonden worden.
EL Δεν ήταν δυνατή η εύρεση του αντικειμένου DSA.
DE Das DSA-Objekt wurde nicht gefunden.
FR Impossible de trouver l’objet DSA.
JA DSA オブジェクトが見つかりませんでした。
ZH 找不到 DSA 对象。
SV Det gick inte att hitta DSA-objektet.