При репликации возникла ошибка 8456 - Ремонт и установка крупной бытовой техники

title	description	ms.date	author	ms.author	manager	audience	ms.topic	ms.prod	localization_priority	ms.reviewer	ms.custom	ms.technology
Troubleshoot replication error 8456 or 8457	Describes how to troubleshoot replication error 8456 or 8457.	04/28/2023	Deland-Han	delhan	dcscontentpm	itpro	troubleshooting	windows-server	medium	kaushika	sap:active-directory-replication, csstroubleshoot	windows-server-active-directory

Active Directory replication error 8456 or 8457: The source | destination server is currently rejecting replication requests

This article describes the symptoms, cause, and resolution steps for situations where Active Directory operations fail with error 8456 or 8457.

Applies to: Windows Server 2012 R2
Original KB number: 2023007

[!NOTE]
Home users: This article is only intended for technical support agents and IT professionals. If you’re looking for help with a problem, ask the Microsoft Community.

Symptoms

Active Directory operations fail with error 8456 or 8457: The source | destination server is currently rejecting replication requests.

The DCPROMO promotion of a new domain controller in an existing forest fails with the error: The source server is currently rejecting replication requests.

Dialog title text: Active Directory Installation Wizard
Dialog message text:

The operation failed because: Active Directory could not transfer the remaining data in directory partition <directory partition DN path> to domain controller <destination DC>. «The source server is currently rejecting replication requests.»
DCDIAG reports the error: The source server is currently rejecting replication requests or The destination server is currently rejecting replication requests.

Testing server: Default-First-Site-Name<DC NAME>
Starting test: Replications
* Replications Check
[Replications Check,<DC NAME>] A recent replication attempt failed:
From IADOMINO to <DC NAME>
Naming Context: DC=<DN path of partition>
The replication generated an error (8456):
The source server is currently rejecting replication requests.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <time>.
957 failures have occurred since the last success.
Replication has been explicitly disabled through the server options

Testing server: Default-First-Site-Name<DC NAME>
Starting test: Replications
* Replications Check
[Replications Check,<DC NAME>] A recent replication attempt failed:
From IADOMINO to <DC NAME>
Naming Context: DC=<DN path of partition>
The replication generated an error (8457):
The destination server is currently rejecting replication requests.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <time>.
957 failures have occurred since the last success.
Replication has been explicitly disabled through the server options
REPADMIN indicates that incoming and outgoing Active Directory replication may be failing with the error: The source | destination server is currently rejecting replication.

DC=Contoso,DC=COM
<site name><dc name> via RPC
DC object GUID: <objectguid of source DCs NTDS settings object>
Last attempt @ <date> <time> failed, result 8457 (0x2109):
The destination server is currently rejecting replication requests.

DC=Contoso,DC=COM
<site name><dc name> via RPC
DC object GUID: <objectguid of source DCs NTDS settings object>
Last attempt @ <date> <time> failed, result 8456 (0x2108):
The source server is currently rejecting replication requests.

[!NOTE]
REPADMIN commands may display both the hexadecimal and the decimal equivalent for the currently rejecting replication error.

Event sources and event IDs that indicate that a USN rollback has occurred include but are not limited to the following.

Event source	Event ID	Event string
NTDS KCC	1308	The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed.
NTDS KCC	1925	The attempt to establish a replication link for the following writable directory partition failed.
NTDS KCC	1926	The attempt to establish a replication link to a read-only directory partition with the following parameters failed
NTDS Replication	1586	The Windows NT 4.0 or earlier replication checkpoint with the PDC emulator master was unsuccessful. A full synchronization of the security accounts manager (SAM) database to domain controllers running Windows NT 4.0 and earlier might occur if the PDC emulator master role is transferred to the local domain controller before the next successful checkpoint. The checkpoint process will be tried again in four hours.
NTDS Replication	2023	The local domain controller was unable to replicate changes to the following remote domain controller for the following directory partition.
Microsoft-Windows-ActiveDirectory_DomainService	2095	During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC by using already acknowledged USN tracking numbers.
Microsoft-Windows-ActiveDirectory_DomainService	2103	The Active Directory Domain Services database was restored by using an unsupported restoration procedure. Active Directory Domain Services will be unable to log on users while this condition persists. Therefore, the Net Logon service has paused.

Where embedded status codes 8456 and 8457 map to the following.

Decimal error	Hexadecimal error	Error string
8456	2108	The source server is currently rejecting replication
8457	2109	The destination server is currently rejecting replication

NTDS General Event 2013 may be logged in the Directory Services event log. This indicates that a USN rollback occurred because of an unsupported rollback or restore of the Active Directory Database.

Event Type: Error
Event Source: NTDS General
Event Category: Service Control
Event ID: 2103
Date: <date>
Time: <time>
User: <user name>
Computer: <computer name>
Description: The Active Directory database has been restored by using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. As a result, the Net Logon service has paused. User Action See previous event logs for details. For more information, visit the Help and Support Center at https://support.microsoft.com.
NTDS General Event 1393 may be logged in the Directory Services event log. This indicates that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space:

Event Type: Error
Event Source: NTDS General
Event Category: Service Control
Event ID: 1393
Date: <date>
Time: <time>
User: <user name>
Computer: <computer name>
Description:
Attempts to update the Directory Service database are failing with error 112. Since Windows will be unable to log on users while this condition persists, the NetLogon service is being paused. M ake sure that sufficient free disk space is available on the drives where the directory database and log files reside.

Cause

Incoming or outgoing replication was automatically disabled by the operating system because of multiple root causes.

Three events that disable inbound or outbound replication include:

A USN rollback occurred (NTDS General Event 2103).
The hard disk is full (NTDS General Event 1393).
A corrupt UTD vector is present (Event 2881).

The operating system automatically makes four configuration changes when one of three conditions occurs. The four configuration changes are as follows:

Incoming Active Directory replication is disabled.
Outgoing Active Directory replication is disabled.
DSA not writable is set to a nonzero value in the registry.
The NETLOGON service status is changed from running to paused.

The dominant root cause for this error condition is a USN rollback discussed in A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback.

Do not assume that any nonzero value for DSA not writable or that a source or destination server is currently rejecting replication requests during DCPROMO / AD Replication definitively means that a USN rollback has occurred and that such domain controllers implicitly have to be force-demoted or force-repromoted. Demotionmaybe the correct option. However, it may be excessive when the error is caused by insufficient free disk space.

Resolution

Check the value for DSA not writable.

For each domain controller that is logging the 8456 or 8457 error, determine whether one of the three triggering events automatically disabled incoming or outgoing Active Directory Replication by reading the value for » DSA not writable» from the local registry.

When replication is automatically disabled, the operating system writes one of four possible values to DSA not writable:
- Path: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters
- Setting: DSA not writable
- Type: Reg_dword
- Values:
  - #define DSA_WRITABLE_GEN 1
  - #define DSA_WRITABLE_NO_SPACE 2
  - #define DSA_WRITABLE_USNROLLBCK 4
  - #define DSA_WRITABLE_CORRUPT_UTDV 8
A value of 1 can be written only when the forest version is incompatible with the OS (for example, the W2K DC is promoted into a Windows Server 2003 forest functional level forest or the like).

A value of 2 means that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space.

A value of 4 means that a USN rollback occurred because the Active Directory database was incorrectly rolled back in time. Operations that are known to cause a USN rollback include the following:
- The booting from previously saved virtual machine snapshots of domain controller role computers on Hyper-V or VMWARE hosts.
- Incorrect physical-to-virtual (P2V) conversions in forests that contain more than one domain controller.
- Restoring DC role computers by using imaging products such as Ghost.
- Rolling the contents of a partition that is hosting the active directory database back in time by using an advanced disk subsystem.
A value of 8 indicates that the up-to-dateness-vector is corrupted on the local DC.

Technically, DSA not writable could consist of multiple values. For example, a registry value of 10 would indicate insufficient disk space and a corrupted UTD. Typically, a single value is written to DSA not writable.

[!NOTE]
It is common for support professionals and administrators to partly disable the replication quarantine by enabling outgoing replication, by enabling incoming replication, by changing the startup value for the NETLOGON service from disabled to automatic, and by starting the NETLOGON service. Therefore, the full quarantine configuration may not be in place when it is examined.

Check the Directory Service event log for quarantine events.

Assuming the Directory Service event log has not wrapped, you may find one or more related events logged in the Directory Service event log of a domain controller that is logging the 8456 or 8457 error.

Event	Details
NTDS General 2103	The Active Directory database was restored by using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. Therefore, the Net Logon service has paused. User Action See previous event logs for more information.
NTDS General Event 1393	There is insufficient space on the disk.
Event 2881	Not applicable

Perform the recovery based on the value of DSA not writable or on events that are logged on the system:
- If DSA not writable equals 4 or if NTDS General Event 2103 is logged, perform the recovery steps for a USN Rollback. For more information, see A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback.
- If DSA not writable equals 2 or if NTDS General event 1393 is logged, check for sufficient free disk space on the physical and virtual partitions that are hosting the Active Directory database and log files. Free up space as required.
- If DSA not writable equals 8, demote and then repromote the domain controller before it can replicate its bad value to other domain controllers in the forest.

Data collection

If you need assistance from Microsoft support, we recommend you collect the information by following the steps mentioned in Gather information by using TSSv2 for Active Directory replication issues.

Источник

Здравствуйте! Вот dcdiag проблемного сервера. Хотелось бы найти самый безболезненный способ решения
проблемы:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = GK1-EX
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-NameGK1-EX
Запуск проверки: Connectivity
……………………. GK1-EX — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-NameGK1-EX
Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \GK1-AD.gimnasium.com.ua
при попытке получения доступа к GK1-EX.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
……………………. GK1-EX — не пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. GK1-EX — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
……………………. GK1-EX — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. GK1-EX — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. GK1-EX — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. GK1-EX — пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. GK1-EX — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
……………………. GK1-EX — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
……………………. GK1-EX — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. GK1-EX — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,Replications Check] Входящая репликация
отключена.
Для исправления выполните «repadmin /options GK1-EX
-DISABLE_INBOUND_REPL»
[Проверка репликации,GK1-EX] Исходящая репликация отключена.
Для исправления выполните «repadmin /options GK1-EX
-DISABLE_OUTBOUND_REPL»
……………………. GK1-EX — не пройдена проверка Replications
Запуск проверки: RidManager
……………………. GK1-EX — пройдена проверка RidManager
Запуск проверки: Services
Служба w32time в [GK1-EX] остановлена
Служба NETLOGON в [GK1-EX] приостановлена
……………………. GK1-EX — не пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x80001412
Время создания: 08/05/2014 09:51:34
Строка события:
Рабочий процесс «68672», обслуживающий пул приложений «MSExchangeRpc
ProxyAppPool», не смог остановить канал прослушивателя для протокола «http» в от
веденный интервал времени. Поле данных содержит номер ошибки.
Возникло предупреждение. Код события (EventID): 0x80001395
Время создания: 08/05/2014 09:51:34
Строка события:
Процесс, обслуживающий пул приложений «MSExchangeRpcProxyAppPool», п
ревысил лимиты времени для завершения работы. Идентификатор процесса «68672».
Возникло предупреждение. Код события (EventID): 0x80001412
Время создания: 08/05/2014 10:19:02
Строка события:
Рабочий процесс «68832», обслуживающий пул приложений «MSExchangeRpc
ProxyAppPool», не смог остановить канал прослушивателя для протокола «http» в от
веденный интервал времени. Поле данных содержит номер ошибки.
Возникло предупреждение. Код события (EventID): 0x80001395
Время создания: 08/05/2014 10:19:02
Строка события:
Процесс, обслуживающий пул приложений «MSExchangeRpcProxyAppPool», п
ревысил лимиты времени для завершения работы. Идентификатор процесса «68832».
Возникла ошибка. Код события (EventID): 0xC0001B77
Время создания: 08/05/2014 10:22:16
Строка события:
Служба Клиентский доступ к Microsoft Exchange RPC была неожиданно за
вершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпри
нято через 5000 мсек: Перезапуск службы.
……………………. GK1-EX — не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. GK1-EX — пройдена проверка VerifyReferences

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: gimnasium
Запуск проверки: CheckSDRefDom
……………………. gimnasium — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. gimnasium — пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: gimnasium.com.ua
Запуск проверки: LocatorCheck
……………………. gimnasium.com.ua — пройдена проверка
LocatorCheck
Запуск проверки: Intersite
……………………. gimnasium.com.ua — пройдена проверка
Intersite

Источник

Здравствуйте! Вот dcdiag проблемного сервера. Хотелось бы найти самый безболезненный способ решения
проблемы:

Диагностика сервера каталогов

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-NameGK1-EX
Запуск проверки: Connectivity
……………………. GK1-EX — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-NameGK1-EX
Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для GK1-AD.gimnasium.com.ua
при попытке получения доступа к GK1-EX.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
……………………. GK1-EX — не пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. GK1-EX — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
……………………. GK1-EX — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. GK1-EX — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. GK1-EX — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. GK1-EX — пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. GK1-EX — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
……………………. GK1-EX — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
……………………. GK1-EX — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. GK1-EX — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,Replications Check] Входящая репликация
отключена.
Для исправления выполните «repadmin /options GK1-EX
-DISABLE_INBOUND_REPL»
[Проверка репликации,GK1-EX] Исходящая репликация отключена.
Для исправления выполните «repadmin /options GK1-EX
-DISABLE_OUTBOUND_REPL»
……………………. GK1-EX — не пройдена проверка Replications
Запуск проверки: RidManager
……………………. GK1-EX — пройдена проверка RidManager
Запуск проверки: Services
Служба w32time в [GK1-EX] остановлена
Служба NETLOGON в [GK1-EX] приостановлена
……………………. GK1-EX — не пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x80001412
Время создания: 08/05/2014 09:51:34
Строка события:
Рабочий процесс «68672», обслуживающий пул приложений «MSExchangeRpc
ProxyAppPool», не смог остановить канал прослушивателя для протокола «http» в от
веденный интервал времени. Поле данных содержит номер ошибки.
Возникло предупреждение. Код события (EventID): 0x80001395
Время создания: 08/05/2014 09:51:34
Строка события:
Процесс, обслуживающий пул приложений «MSExchangeRpcProxyAppPool», п
ревысил лимиты времени для завершения работы. Идентификатор процесса «68672».
Возникло предупреждение. Код события (EventID): 0x80001412
Время создания: 08/05/2014 10:19:02
Строка события:
Рабочий процесс «68832», обслуживающий пул приложений «MSExchangeRpc
ProxyAppPool», не смог остановить канал прослушивателя для протокола «http» в от
веденный интервал времени. Поле данных содержит номер ошибки.
Возникло предупреждение. Код события (EventID): 0x80001395
Время создания: 08/05/2014 10:19:02
Строка события:
Процесс, обслуживающий пул приложений «MSExchangeRpcProxyAppPool», п
ревысил лимиты времени для завершения работы. Идентификатор процесса «68832».
Возникла ошибка. Код события (EventID): 0xC0001B77
Время создания: 08/05/2014 10:22:16
Строка события:
Служба Клиентский доступ к Microsoft Exchange RPC была неожиданно за
вершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпри
нято через 5000 мсек: Перезапуск службы.
……………………. GK1-EX — не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. GK1-EX — пройдена проверка VerifyReferences

Remove From My Forums

Question
I got this error when i run the repadmin /showreplsummay.

Source and destination server is currently rejecting replication requests. error code 8456 and 8457.

Appreciate if any resolution that could help me out on this.

i have been to this link below

https://support.microsoft.com/en-us/help/2023007/troubleshooting-ad-replication-error-8456-or-8457-the-source-destinati

and

https://support.microsoft.com/en-us/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-2003,but none for 2008 Server R2.

Registry path : HKLMSystemCurrentControlSetServicesNTDSParameters with «DSA not writable and value of 4»

Thanks for assistant.

—— bsl
- Edited by
  Sunday, July 9, 2017 5:51 AM

Answers

Hi,
Are you able to ping between the DCs with ip address, computer name and FQDN? And you could run dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt on each DC to reveal the exact problem on DC.
In addition, please try to run «repadmin /options» on all DCs. If DISABLE_OUTBOUND_REPL or DISABLE_INBOUND_REPL appears, try to run the command below to reset these options:
repadmin /options <DC NAME> +DISABLE_OUTBOUND_REPL

repadmin /options <DC NAME> -DISABLE_OUTBOUND_REPL
repadmin /options <DC NAME> +DISABLE_INBOUND_REPL
repadmin /options <DC NAME> -DISABLE_INBOUND_REPL
Note: Replace <DC NAME> with your problematic DC name.
Best regards,
Wendy

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
- Proposed as answer by
  Wendy Jiang
  Monday, July 17, 2017 6:09 AM
- Marked as answer by
  12BSL
  Thursday, July 27, 2017 8:34 PM

Remove From My Forums

Question
I got this error when i run the repadmin /showreplsummay.

Source and destination server is currently rejecting replication requests. error code 8456 and 8457.

Appreciate if any resolution that could help me out on this.

i have been to this link below

https://support.microsoft.com/en-us/help/2023007/troubleshooting-ad-replication-error-8456-or-8457-the-source-destinati

and

https://support.microsoft.com/en-us/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-2003,but none for 2008 Server R2.

Registry path : HKLMSystemCurrentControlSetServicesNTDSParameters with «DSA not writable and value of 4»

Thanks for assistant.

—— bsl
- Edited by
  Sunday, July 9, 2017 5:51 AM

Answers

Hi,
Are you able to ping between the DCs with ip address, computer name and FQDN? And you could run dcdiag /v /c /d /e /s:dcname >c:dcdiag.txt on each DC to reveal the exact problem on DC.
In addition, please try to run «repadmin /options» on all DCs. If DISABLE_OUTBOUND_REPL or DISABLE_INBOUND_REPL appears, try to run the command below to reset these options:
repadmin /options <DC NAME> +DISABLE_OUTBOUND_REPL

repadmin /options <DC NAME> -DISABLE_OUTBOUND_REPL
repadmin /options <DC NAME> +DISABLE_INBOUND_REPL
repadmin /options <DC NAME> -DISABLE_INBOUND_REPL
Note: Replace <DC NAME> with your problematic DC name.
Best regards,
Wendy

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
- Proposed as answer by
  Wendy Jiang
  Monday, July 17, 2017 6:09 AM
- Marked as answer by
  12BSL
  Thursday, July 27, 2017 8:34 PM

Как правило, ошибки 8456[1] вызваны повреждением или отсутствием файла связанного Microsoft Windows, а иногда — заражением вредоносным ПО. Как правило, решить проблему можно заменой файла WINDOWS. Мы также рекомендуем выполнить сканирование реестра, чтобы очистить все недействительные ссылки на 8456[1], которые могут являться причиной ошибки.

Если вам нужно заменить файл 8456[1], вы можете найти версию %%os%% в нашей базе данных, перечисленной в таблице ниже. В текущем каталоге файлов могут отсутствовать редкие или очень старые версии 8456[1], но вы можете запросить необходимую версию, нажав на кнопку Request (Запрос) рядом с необходимой версией файла. Если ниже отсутствует необходимая версия файла, мы рекомендуем вам связаться непосредственно с Microsoft Corporation.

Если вы успешно заменили соответствующий файл в соответствующем месте, у вас больше не должно возникать проблем, связанных с 8456[1]. Однако мы рекомендуем выполнить быструю проверку, чтобы окончательно в этом убедиться. Проверьте результат замены файла, запустив Microsoft Windows и проверив выводится ли возникающая ранее ошибка.

8456[1] Описание файла
Тип:	WINDOWS
Группа:
Application:	Microsoft Windows
Версия программного обеспечения:	6.3.9600.16384
Создано:	Microsoft Corporation


Имя файла:	8456[1]
Байт:	1259690
SHA-1:	8013a054056fbe47ee4c6f6e8cacb0c9be2ef8c8
MD5:	f11e5a56144ba82dc99c417638661d2d
CRC32:

Продукт Solvusoft

Загрузка
WinThruster 2023 — Сканировать ваш компьютер на наличие ошибок реестра в 8456[1]

Windows
11/10/8/7/Vista/XP

Установить необязательные продукты — WinThruster (Solvusoft) | Лицензия | Политика защиты личных сведений | Условия | Удаление

WINDOWS
8456[1]

Идентификатор статьи: 1358835

8456[1]

File

Идентификатор файла (контрольная сумма MD5)

Байт

Загрузить

+ 8456[1]

f11e5a56144ba82dc99c417638661d2d

1.20 MB

App	Microsoft Windows 6.3.9600.16384
Создано	Microsoft Corporation
Версия ОС	Windows 8.1
Тип	64-разрядная (x64)
Размер файла	1259690
MD5	f11e5a56144ba82dc99c417638661d2d
ША1	8013a054056fbe47ee4c6f6e8cacb0c9be2ef8c8
Контрольная сумма SHA256:	f6fc5eab9bfd0c2977e0fa2872ac83306f721d587f8ac098863bb7c76d76e0e8
CRC32:
Расположение каталога файлов	C:UsersUserAppDataLocalMicrosoftWindows …

Осложнения с Microsoft Windows и 8456[1] включают в себя:

«Ошибка: 8456[1]. «

«8456[1] удален, отсутствует или перемещен. «

«Отсутствует файл: 8456[1]»

«Не удалось загрузить файл 8456[1]. «

«Отсутствует модуль: не удалось зарегистрировать 8456[1]»

«Ошибка времени выполнения — 8456[1]. «

«Ошибка загрузки: 8456[1]. «

Как правило, ошибки 8456[1] возникают во время процесса установки оборудования или программного обеспечения, связанного с Microsoft Windowss, во время загрузки драйвера, связанного с Microsoft Corporation, или во время завершения работы или запуска Windows. Важно не учитывать, когда возникают проблемы с 8456[1], так как это помогает устранять ошибки, связанные с Microsoft Windowss, и сообщать о них в Microsoft Corporation.

Источники проблем 8456[1]

Эти проблемы 8456[1] создаются отсутствующими или поврежденными файлами 8456[1], недопустимыми записями реестра Microsoft Windows или вредоносным программным обеспечением.

В основном, осложнения 8456[1] из-за:

Недопустимая (поврежденная) запись реестра 8456[1].

Вирус или вредоносное ПО, которые повредили файл 8456[1] или связанные с Microsoft Windows программные файлы.

8456[1] ошибочно удален или злонамеренно программным обеспечением, не связанным с приложением Microsoft Windows.

Другая программа, конфликтующая с 8456[1] или другой общей ссылкой Microsoft Windows.

Загрузите повреждение или неполную установку программы, связанной с 8456[1].

title	description	ms.date	author	ms.author	manager	audience	ms.topic	ms.prod	localization_priority	ms.reviewer	ms.custom	ms.technology
Troubleshoot replication error 8456 or 8457	Describes how to troubleshoot replication error 8456 or 8457.	10/10/2020	Deland-Han	delhan	dcscontentpm	itpro	troubleshooting	windows-server	medium	kaushika	sap:active-directory-replication, csstroubleshoot	windows-server-active-directory

Active Directory replication error 8456 or 8457: The source | destination server is currently rejecting replication requests

This article describes the symptoms, cause, and resolution steps for situations where Active Directory operations fail with error 8456 or 8457.

Applies to: Windows Server 2012 R2
Original KB number: 2023007

[!NOTE]
Home users: This article is only intended for technical support agents and IT professionals. If you’re looking for help with a problem, ask the Microsoft Community.

Symptoms

Active Directory operations fail with error 8456 or 8457: The source | destination server is currently rejecting replication requests.

The DCPROMO promotion of a new domain controller in an existing forest fails with the error: The source server is currently rejecting replication requests.

Dialog title text: Active Directory Installation Wizard
Dialog message text:

The operation failed because: Active Directory could not transfer the remaining data in directory partition <directory partition DN path> to domain controller <destination DC>. «The source server is currently rejecting replication requests.»
DCDIAG reports the error: The source server is currently rejecting replication requests or The destination server is currently rejecting replication requests.

Testing server: Default-First-Site-Name<DC NAME>
Starting test: Replications
* Replications Check
[Replications Check,<DC NAME>] A recent replication attempt failed:
From IADOMINO to <DC NAME>
Naming Context: DC=<DN path of partition>
The replication generated an error (8456):
The source server is currently rejecting replication requests.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <time>.
957 failures have occurred since the last success.
Replication has been explicitly disabled through the server options

Testing server: Default-First-Site-Name<DC NAME>
Starting test: Replications
* Replications Check
[Replications Check,<DC NAME>] A recent replication attempt failed:
From IADOMINO to <DC NAME>
Naming Context: DC=<DN path of partition>
The replication generated an error (8457):
The destination server is currently rejecting replication requests.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <time>.
957 failures have occurred since the last success.
Replication has been explicitly disabled through the server options
REPADMIN indicates that incoming and outgoing Active Directory replication may be failing with the error: The source | destination server is currently rejecting replication.

DC=Contoso,DC=COM
<site name><dc name> via RPC
DC object GUID: <objectguid of source DCs NTDS settings object>
Last attempt @ <date> <time> failed, result 8457 (0x2109):
The destination server is currently rejecting replication requests.

DC=Contoso,DC=COM
<site name><dc name> via RPC
DC object GUID: <objectguid of source DCs NTDS settings object>
Last attempt @ <date> <time> failed, result 8456 (0x2108):
The source server is currently rejecting replication requests.

[!NOTE]
REPADMIN commands may display both the hexadecimal and the decimal equivalent for the currently rejecting replication error.

Event sources and event IDs that indicate that a USN rollback has occurred include but are not limited to the following.

Event source	Event ID	Event string
NTDS KCC	1308	The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed.
NTDS KCC	1925	The attempt to establish a replication link for the following writable directory partition failed.
NTDS KCC	1926	The attempt to establish a replication link to a read-only directory partition with the following parameters failed
NTDS Replication	1586	The Windows NT 4.0 or earlier replication checkpoint with the PDC emulator master was unsuccessful. A full synchronization of the security accounts manager (SAM) database to domain controllers running Windows NT 4.0 and earlier might occur if the PDC emulator master role is transferred to the local domain controller before the next successful checkpoint. The checkpoint process will be tried again in four hours.
NTDS Replication	2023	The local domain controller was unable to replicate changes to the following remote domain controller for the following directory partition.
Microsoft-Windows-ActiveDirectory_DomainService	2095	During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC by using already acknowledged USN tracking numbers.
Microsoft-Windows-ActiveDirectory_DomainService	2103	The Active Directory Domain Services database was restored by using an unsupported restoration procedure. Active Directory Domain Services will be unable to log on users while this condition persists. Therefore, the Net Logon service has paused.

Where embedded status codes 8456 and 8457 map to the following.

Decimal error	Hexadecimal error	Error string
8456	2108	The source server is currently rejecting replication
8457	2109	The destination server is currently rejecting replication

NTDS General Event 2013 may be logged in the Directory Services event log. This indicates that a USN rollback occurred because of an unsupported rollback or restore of the Active Directory Database.

Event Type: Error
Event Source: NTDS General
Event Category: Service Control
Event ID: 2103
Date: <date>
Time: <time>
User: <user name>
Computer: <computer name>
Description: The Active Directory database has been restored by using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. As a result, the Net Logon service has paused. User Action See previous event logs for details. For more information, visit the Help and Support Center at https://support.microsoft.com.
NTDS General Event 1393 may be logged in the Directory Services event log. This indicates that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space:

Event Type: Error
Event Source: NTDS General
Event Category: Service Control
Event ID: 1393
Date: <date>
Time: <time>
User: <user name>
Computer: <computer name>
Description:
Attempts to update the Directory Service database are failing with error 112. Since Windows will be unable to log on users while this condition persists, the NetLogon service is being paused. M ake sure that sufficient free disk space is available on the drives where the directory database and log files reside.

Cause

Incoming or outgoing replication was automatically disabled by the operating system because of multiple root causes.

Three events that disable inbound or outbound replication include:

A USN rollback occurred (NTDS General Event 2103).
The hard disk is full (NTDS General Event 1393).
A corrupt UTD vector is present (Event 2881).

The operating system automatically makes four configuration changes when one of three conditions occurs. The four configuration changes are as follows:

Incoming Active Directory replication is disabled.
Outgoing Active Directory replication is disabled.
DSA not writable is set to a nonzero value in the registry.
The NETLOGON service status is changed from running to paused.

The dominant root cause for this error condition is a USN rollback discussed in A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback.

Resolution

Check the value for DSA not writable.

For each domain controller that is logging the 8456 or 8457 error, determine whether one of the three triggering events automatically disabled incoming or outgoing Active Directory Replication by reading the value for » DSA not writable» from the local registry.

When replication is automatically disabled, the operating system writes one of four possible values to DSA not writable:
- Path: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters
- Setting: DSA not writable
- Type: Reg_dword
- Values:
  - #define DSA_WRITABLE_GEN 1
  - #define DSA_WRITABLE_NO_SPACE 2
  - #define DSA_WRITABLE_USNROLLBCK 4
  - #define DSA_WRITABLE_CORRUPT_UTDV 8
A value of 1 can be written only when the forest version is incompatible with the OS (for example, the W2K DC is promoted into a Windows Server 2003 forest functional level forest or the like).

A value of 2 means that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space.

A value of 4 means that a USN rollback occurred because the Active Directory database was incorrectly rolled back in time. Operations that are known to cause a USN rollback include the following:
- The booting from previously saved virtual machine snapshots of domain controller role computers on Hyper-V or VMWARE hosts.
- Incorrect physical-to-virtual (P2V) conversions in forests that contain more than one domain controller.
- Restoring DC role computers by using imaging products such as Ghost.
- Rolling the contents of a partition that is hosting the active directory database back in time by using an advanced disk subsystem.
A value of 8 indicates that the up-to-dateness-vector is corrupted on the local DC.

Technically, DSA not writable could consist of multiple values. For example, a registry value of 10 would indicate insufficient disk space and a corrupted UTD. Typically, a single value is written to DSA not writable.

[!NOTE]
It is common for support professionals and administrators to partly disable the replication quarantine by enabling outgoing replication, by enabling incoming replication, by changing the startup value for the NETLOGON service from disabled to automatic, and by starting the NETLOGON service. Therefore, the full quarantine configuration may not be in place when it is examined.

Check the Directory Service event log for quarantine events.

Event	Details
NTDS General 2103	The Active Directory database was restored by using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. Therefore, the Net Logon service has paused. User Action See previous event logs for more information.
NTDS General Event 1393	There is insufficient space on the disk.
Event 2881	Not applicable

Perform the recovery based on the value of DSA not writable or on events that are logged on the system:
- If DSA not writable equals 4 or if NTDS General Event 2103 is logged, perform the recovery steps for a USN Rollback. For more information, see A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback.
- If DSA not writable equals 2 or if NTDS General event 1393 is logged, check for sufficient free disk space on the physical and virtual partitions that are hosting the Active Directory database and log files. Free up space as required.
- If DSA not writable equals 8, demote and then repromote the domain controller before it can replicate its bad value to other domain controllers in the forest.

title	description	ms.date	author	ms.author	manager	audience	ms.topic	ms.prod	localization_priority	ms.reviewer	ms.custom	ms.technology
Troubleshoot replication error 8456 or 8457	Describes how to troubleshoot replication error 8456 or 8457.	10/10/2020	Deland-Han	delhan	dcscontentpm	itpro	troubleshooting	windows-server	medium	kaushika	sap:active-directory-replication, csstroubleshoot	windows-server-active-directory

Active Directory replication error 8456 or 8457: The source | destination server is currently rejecting replication requests

This article describes the symptoms, cause, and resolution steps for situations where Active Directory operations fail with error 8456 or 8457.

Applies to: Windows Server 2012 R2
Original KB number: 2023007

[!NOTE]
Home users: This article is only intended for technical support agents and IT professionals. If you’re looking for help with a problem, ask the Microsoft Community.

Symptoms

Active Directory operations fail with error 8456 or 8457: The source | destination server is currently rejecting replication requests.

The DCPROMO promotion of a new domain controller in an existing forest fails with the error: The source server is currently rejecting replication requests.

Dialog title text: Active Directory Installation Wizard
Dialog message text:

The operation failed because: Active Directory could not transfer the remaining data in directory partition <directory partition DN path> to domain controller <destination DC>. «The source server is currently rejecting replication requests.»
DCDIAG reports the error: The source server is currently rejecting replication requests or The destination server is currently rejecting replication requests.

Testing server: Default-First-Site-Name<DC NAME>
Starting test: Replications
* Replications Check
[Replications Check,<DC NAME>] A recent replication attempt failed:
From IADOMINO to <DC NAME>
Naming Context: DC=<DN path of partition>
The replication generated an error (8456):
The source server is currently rejecting replication requests.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <time>.
957 failures have occurred since the last success.
Replication has been explicitly disabled through the server options

Testing server: Default-First-Site-Name<DC NAME>
Starting test: Replications
* Replications Check
[Replications Check,<DC NAME>] A recent replication attempt failed:
From IADOMINO to <DC NAME>
Naming Context: DC=<DN path of partition>
The replication generated an error (8457):
The destination server is currently rejecting replication requests.
The failure occurred at <Date> <Time>.
The last success occurred at <Date> <time>.
957 failures have occurred since the last success.
Replication has been explicitly disabled through the server options
REPADMIN indicates that incoming and outgoing Active Directory replication may be failing with the error: The source | destination server is currently rejecting replication.

DC=Contoso,DC=COM
<site name><dc name> via RPC
DC object GUID: <objectguid of source DCs NTDS settings object>
Last attempt @ <date> <time> failed, result 8457 (0x2109):
The destination server is currently rejecting replication requests.

DC=Contoso,DC=COM
<site name><dc name> via RPC
DC object GUID: <objectguid of source DCs NTDS settings object>
Last attempt @ <date> <time> failed, result 8456 (0x2108):
The source server is currently rejecting replication requests.

[!NOTE]
REPADMIN commands may display both the hexadecimal and the decimal equivalent for the currently rejecting replication error.

Event sources and event IDs that indicate that a USN rollback has occurred include but are not limited to the following.

Event source	Event ID	Event string
NTDS KCC	1308	The Knowledge Consistency Checker (KCC) has detected that successive attempts to replicate with the following domain controller has consistently failed.
NTDS KCC	1925	The attempt to establish a replication link for the following writable directory partition failed.
NTDS KCC	1926	The attempt to establish a replication link to a read-only directory partition with the following parameters failed
NTDS Replication	1586	The Windows NT 4.0 or earlier replication checkpoint with the PDC emulator master was unsuccessful. A full synchronization of the security accounts manager (SAM) database to domain controllers running Windows NT 4.0 and earlier might occur if the PDC emulator master role is transferred to the local domain controller before the next successful checkpoint. The checkpoint process will be tried again in four hours.
NTDS Replication	2023	The local domain controller was unable to replicate changes to the following remote domain controller for the following directory partition.
Microsoft-Windows-ActiveDirectory_DomainService	2095	During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC by using already acknowledged USN tracking numbers.
Microsoft-Windows-ActiveDirectory_DomainService	2103	The Active Directory Domain Services database was restored by using an unsupported restoration procedure. Active Directory Domain Services will be unable to log on users while this condition persists. Therefore, the Net Logon service has paused.

Where embedded status codes 8456 and 8457 map to the following.

Decimal error	Hexadecimal error	Error string
8456	2108	The source server is currently rejecting replication
8457	2109	The destination server is currently rejecting replication

NTDS General Event 2013 may be logged in the Directory Services event log. This indicates that a USN rollback occurred because of an unsupported rollback or restore of the Active Directory Database.

Event Type: Error
Event Source: NTDS General
Event Category: Service Control
Event ID: 2103
Date: <date>
Time: <time>
User: <user name>
Computer: <computer name>
Description: The Active Directory database has been restored by using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. As a result, the Net Logon service has paused. User Action See previous event logs for details. For more information, visit the Help and Support Center at https://support.microsoft.com.
NTDS General Event 1393 may be logged in the Directory Services event log. This indicates that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space:

Event Type: Error
Event Source: NTDS General
Event Category: Service Control
Event ID: 1393
Date: <date>
Time: <time>
User: <user name>
Computer: <computer name>
Description:
Attempts to update the Directory Service database are failing with error 112. Since Windows will be unable to log on users while this condition persists, the NetLogon service is being paused. M ake sure that sufficient free disk space is available on the drives where the directory database and log files reside.

Cause

Incoming or outgoing replication was automatically disabled by the operating system because of multiple root causes.

Three events that disable inbound or outbound replication include:

A USN rollback occurred (NTDS General Event 2103).
The hard disk is full (NTDS General Event 1393).
A corrupt UTD vector is present (Event 2881).

The operating system automatically makes four configuration changes when one of three conditions occurs. The four configuration changes are as follows:

Incoming Active Directory replication is disabled.
Outgoing Active Directory replication is disabled.
DSA not writable is set to a nonzero value in the registry.
The NETLOGON service status is changed from running to paused.

The dominant root cause for this error condition is a USN rollback discussed in A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback.

Resolution

Check the value for DSA not writable.

For each domain controller that is logging the 8456 or 8457 error, determine whether one of the three triggering events automatically disabled incoming or outgoing Active Directory Replication by reading the value for » DSA not writable» from the local registry.

When replication is automatically disabled, the operating system writes one of four possible values to DSA not writable:
- Path: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters
- Setting: DSA not writable
- Type: Reg_dword
- Values:
  - #define DSA_WRITABLE_GEN 1
  - #define DSA_WRITABLE_NO_SPACE 2
  - #define DSA_WRITABLE_USNROLLBCK 4
  - #define DSA_WRITABLE_CORRUPT_UTDV 8
A value of 1 can be written only when the forest version is incompatible with the OS (for example, the W2K DC is promoted into a Windows Server 2003 forest functional level forest or the like).

A value of 2 means that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space.

A value of 4 means that a USN rollback occurred because the Active Directory database was incorrectly rolled back in time. Operations that are known to cause a USN rollback include the following:
- The booting from previously saved virtual machine snapshots of domain controller role computers on Hyper-V or VMWARE hosts.
- Incorrect physical-to-virtual (P2V) conversions in forests that contain more than one domain controller.
- Restoring DC role computers by using imaging products such as Ghost.
- Rolling the contents of a partition that is hosting the active directory database back in time by using an advanced disk subsystem.
A value of 8 indicates that the up-to-dateness-vector is corrupted on the local DC.

Technically, DSA not writable could consist of multiple values. For example, a registry value of 10 would indicate insufficient disk space and a corrupted UTD. Typically, a single value is written to DSA not writable.

[!NOTE]
It is common for support professionals and administrators to partly disable the replication quarantine by enabling outgoing replication, by enabling incoming replication, by changing the startup value for the NETLOGON service from disabled to automatic, and by starting the NETLOGON service. Therefore, the full quarantine configuration may not be in place when it is examined.

Check the Directory Service event log for quarantine events.

Event	Details
NTDS General 2103	The Active Directory database was restored by using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. Therefore, the Net Logon service has paused. User Action See previous event logs for more information.
NTDS General Event 1393	There is insufficient space on the disk.
Event 2881	Not applicable

Perform the recovery based on the value of DSA not writable or on events that are logged on the system:
- If DSA not writable equals 4 or if NTDS General Event 2103 is logged, perform the recovery steps for a USN Rollback. For more information, see A Windows Server domain controller logs Directory Services event 2095 when it encounters a USN rollback.
- If DSA not writable equals 2 or if NTDS General event 1393 is logged, check for sufficient free disk space on the physical and virtual partitions that are hosting the Active Directory database and log files. Free up space as required.
- If DSA not writable equals 8, demote and then repromote the domain controller before it can replicate its bad value to other domain controllers in the forest.

Источник

Active Directory

WARNING: Since this article can cause an issue on your System, take any necessary action before running any command.

Today, I got a replication error from my Active Directory with error 8456 or 8457: “The source | destination server is currently rejecting replication requests”

When I run repadmin /replsummary command, I got “IS_GC DISABLE_OUTBOUND_REPL DISABLE_INBOUND_REPL” on the DSA Options

After some further check, I suspect that My domain controller is in USN Rollback mode.

What is USN Rollback

USN rollback occurred because the Active Directory database was incorrectly rolled back in time. There are some conditions that can cause the USN Rollback as below:

The booting from previously saved virtual machine snapshots of domain controller role computers on Hyper-V or VMWARE hosts
Incorrect physical-to-virtual (P2V) conversions in forests that contain more than one domain controller
Restoring DC role computers by using imaging products such as Ghost
Rolling the contents of a partition that is hosting the active directory database back in time by using an advanced disk subsystem

How to check if my AD is on USN Rollback?

Check the value for “DSA not writable.”

For each domain controller that is logging the 8456 or 8457 error, determine whether one of the three triggering events automatically disabled incoming or outgoing Active Directory Replication by reading the value for “DSA not writable” from the local registry.

When replication is automatically disabled, the operating system writes one of four possible values to “DSA not writable”.

You can find the registry value on the path ” HKLMSystemCurrentControlSetServicesNTDSParameters” and ” DSA not writable” Key.

If your value of “DSA not writable” key is “4”, then your AD is on the USN Rollback state.

Solution

Remove the “DSA not Writeable” key that you find before.
Enable replication by running repadmin /options servername -DISABLE_OUTBOUND_REPL and repadmin /options servername -DISABLE_INBOUND_REPL Note: There is (-) minus character before the “DISABLE” word.
Restart the computer.

Once the reboot process is done, you will see the netlogon is working again, You can run repadmin /options to verify the AD Replication.

Источник

Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.

В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:

Error 2146893022 (главное конечное имя неверно);
Error 1908 (не удалось найти контроллер домена);
Error 8606 (недостаточно атрибутов для создания объекта);
Error 8453 (доступ к репликации отвергнут).

Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.

Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.

Рисунок. Архитектура леса

Роли системы и настройки

Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.

Экран 1. Два недостающих контроллера домена

В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.

Экран 2. Статус репликации контроллеров домена

Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.

Экран 3. Ошибки репликации, возникающие в лесу Contoso

Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:

Repadmin /showrel * /csv > ShowRepl.csv

Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:

Из меню Home щелкните Format as table и выберите один из стилей.
Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.

Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:

1. Перейдите к приглашению PowerShell и введите команду

Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.

3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.

4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.

Экран 4. Задание фильтра

Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.

Исправление ошибки AD Replication Error -2146893022

Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:

Repadmin /showrepl dc2

На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.

Экран 5. Проблема с DC2 — целевое основное имя неверно

Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:

Repadmin /bind DC1

На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).

Экран 6. Сообщение о событии с Event ID 4

Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:

Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta1.txt

Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta2.txt

Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.

KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:

Net stop kdc

Теперь требуется начать репликацию корневого раздела Root:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:

Net start kdc

Обнаружение и устранение ошибки AD Replication Error 1908

Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:

Nltest /dbflag:2080fff

Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:

Repadmin /replicate dc1 childdc1 dc=child,dc=root,
dc=contoso,dc=com

Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.

Экран 7. Репликация не состоялась, потому что DC домена не может быть найден

Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:

Nltest /dsgetdc:child /kdc

Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:

Nltest /dsgetdc:child

В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.

Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:

DSGetDcName function called: client PID=2176,
Dom:child Acct:(null) Flags:KDC

Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.

Пример потока 3372

Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:

Dcdiag /test:dns /dnsdelegation > Dnstest.txt

На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.

Экран 8. Пример файла Dnstest.txt

Чтобы устранить проблему DNS, сделайте следующее:

1. На DC1 откройте консоль управления DNS.

2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.

3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.

4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.

5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.

6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.

7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.

8. Дважды нажмите кнопку OK.

9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.

10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:

Nltest /dsgetdc:child /kdc /force

11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду

Repadmin /replicate dc1 childdc1 «dc=child,dc=root,
dc=contoso,dc=com»

Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.

Экран 9. Использование оснастки Active Directory Sites и?Services

После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.

Экран 10. Ошибка при репликации

Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.

Устранение ошибки AD Replication Error 8606

Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).

Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:

Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.

Экран 11. Ошибка из-за наличия устаревшего объекта

Экран 12. Событие с кодом 1988

Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.

Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:

Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt

Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).

Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:

Repadmin /showrepl DC1 > Showrepl.txt

В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:

DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e

Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.

Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4-
b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com»
/Advisory_mode

Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.

Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.

Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:

Repldiag /removelingeringobjects
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:

Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=root,dc=contoso,dc=com» /Advisory_mode

После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.

Экран 13. Сообщение об удалении устаревших объектов

Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.

Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.

Устранение ошибки AD Replication Error 8453

Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.

Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:

Repadmin /showrepl childdc2 > Repl.txt

Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:

BoulderChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
WARNING: Not advertising as a global catalog

Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:

Source: BoulderTRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
Replication access was denied
Naming Context: DC=treeroot,DC=fabrikam,DC=com

Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.

Экран 14. Отсутствие связи репликации

Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:

Dcdiag /test:checksecurityerror

На экране 15 показан фрагмент вывода DCDiag.exe.

Экран 15. Фрагмент вывода DCDiag.exe

Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.

Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:

1. На TRDC1 откройте оснастку ADSI Edit.

2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.

3. Выберите вкладку Security.

4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.

5. Нажмите Add.

6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.

7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.

8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений

*Read

*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)

*Read Other domain parameters

9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.

10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду

Repadmin /kcc childdc2

Экран 16. Включение разрешения Replicating Directory Change

Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.

Состояние репликации критически важно

Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.

Листинг 1. Команды для удаления устаревших объектов из Reference DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.
root.contoso.com 0b457f73-96a4-429b-ba81-
1a3e0f51c848 «dc=forestdnszones,dc=root,
dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Root.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»

Листинг 2. Команды для удаления устаревших объектов из остальных DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects dc1.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones–Root.
Repadmin /removelingeringobjects dc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=domaindnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Child.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones-Child.
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена TreeRoot.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc1.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»

Источник

Active Directory replication error 8456 or 8457: The source | destination server is currently rejecting replication requests

Symptoms

Cause

Resolution

Data collection

Question

Answers

Question

Answers

8456[1]

Источники проблем 8456[1]

Active Directory replication error 8456 or 8457: The source | destination server is currently rejecting replication requests

Symptoms

Cause

Resolution

Active Directory replication error 8456 or 8457: The source | destination server is currently rejecting replication requests

Symptoms

Cause

Resolution

What is USN Rollback

How to check if my AD is on USN Rollback?

Check the value for “DSA not writable.”

Solution

Исправление ошибки AD Replication Error -2146893022

Обнаружение и устранение ошибки AD Replication Error 1908

Устранение ошибки AD Replication Error 8606

Устранение ошибки AD Replication Error 8453

Состояние репликации критически важно