» Ошибка 1864 - как найти нерабочий контроллер домена

вот такая проблема с моим лесом...
На всех контроллерах домена каждый день (раз в сутки) появляется две ошибки (1864):
Состояние репликации для следующего раздела каталога на локальном контроллере домена.

Раздел каталога:
CN=Schema,CN=Configuration,DC=admin,DC=local

Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена. Далее приведено количество контроллеров домена с разделением по интервалам.

Более 24 часов:
1
Более недели:
1
Более месяца:
1
Более двух месяцев:
1
Более времени жизни захоронения:
1
Время жизни захоронения (в днях):
60

Состояние репликации для следующего раздела каталога на локальном контроллере домена.

Раздел каталога:
CN=Configuration,DC=admin,DC=local

Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена. Далее приведено количество контроллеров домена с разделением по интервалам.

Более 24 часов:
1
Более недели:
1
Более месяца:
1
Более двух месяцев:
1
Более времени жизни захоронения:
1
Время жизни захоронения (в днях):
60



Собственно проблема в том что я не могу найти "несуществующий" контроллер домена, как только не искал но идентифицировать его не получается, последенее что пробовал dcdiag /a /v - и все равно не понятно какой же именно контроллер домена был удален "некорректно" - может быть подскажите как решить эту проблему? заранее спасибо за ответ!

ЗЫ: всего контроллеров 35, вообше был бы благодарен если бы кто то подсказал просто и легкое решение для мониторинга всего леса, к сожалению администраторы в подразделениях имеют слишком много полномочий (так сложилось исторически и только начинаем с этим бороться) но хотелось бы знать сразу что кто то где то взял и включил новй контроллер домена, поднял свой ДНС и т.д.

Добавлено:
неужели никто не сталкивался?

up

вообще никто ничего не может подсказать?

На контроллерах домена какая операционная система? Service Pack какой?

А если реплики попробовать руками погонять
repadmin /kcc контролер_домена_1
repadmin /kcc контролер_домена_2
и посмотреть
@repadmin /replsummary /bysrc /errorsonly

сколько контролеров вообще? время синхронизировано на всех контролерах?
АД какой версии? Схема какой версии?

в основном везде Win2003 R2
но есть два контроллера с Win2000
по поводу сервис пака подсказать не могу, но стоит ВСУС и етсь уевренность что везде стоят последние обновления.

>АД какой версии? Схема какой версии?
не совсем понимаю как это можно посмотреть... подскажите пожалуйста?

Добавлено:
собственно как то так, я так понимаю что ошибок тоже нет?


H:\>@repadmin /replsummary /bysrc /errorsonly
Replication Summary Start Time: 2009-05-05 15:49:46

Beginning data collection for replication summary, this may take awhile:
.................................


Source DC largest delta fails/total %% error
ИМЯ_02 02h:01m:01s 0 / 316 0
ИМЯ_ 12 14m:27s 0 / 67 0
ИМЯ_ 01 01h:56m:14s 0 / 28 0
ИМЯ_ 01 59m:15s 0 / 31 0
ИМЯ_ 02 54m:33s 0 / 5 0
ИМЯ_ 01 01h:56m:14s 0 / 28 0
ИМЯ_ 02 56m:14s 0 / 25 0
ИМЯ_ 01 11m:15s 0 / 15 0
ИМЯ_ 01 01h:56m:14s 0 / 28 0
ИМЯ_ 01 11m:15s 0 / 11 0
ИМЯ_ 02 11m:15s 0 / 14 0
ИМЯ_ 02 56m:15s 0 / 28 0
ИМЯ_ 01 01h:56m:14s 0 / 28 0
ИМЯ_ 01 59m:47s 0 / 84 0
ИМЯ_ 00 56m:14s 0 / 9 0
ИМЯ_ 03 59m:47s 0 / 58 0
ИМЯ_ 05 59m:47s 0 / 13 0
ИМЯ_ 01 11m:15s 0 / 19 0
ИМЯ_ 01 11m:15s 0 / 19 0
ИМЯ_ 3A 14m:13s 0 / 13 0
ИМЯ_ 01 56m:14s 0 / 53 0
ИМЯ_ 01 14m:13s 0 / 16 0
ИМЯ_ 01 28m:12s 0 / 28 0
ИМЯ_ 01 56m:15s 0 / 28 0
ИМЯ_ S01 59m:47s 0 / 5 0
ИМЯ_ S03 56m:14s 0 / 30 0
ИМЯ_ U03 59m:15s 0 / 6 0
ИМЯ_ 01 56m:14s 0 / 28 0
ИМЯ_ 02 05m:42s 0 / 28 0
ИМЯ_ 02W2K 11m:15s 0 / 12 0

bbm58
это ты посмотрел на конкретном контролере. те с ним репликами вроде как все обмениваются.
Как узнать версию схемы
http://www.oszone.net/9274/AD
ещё какие-нить ошибки появляются?

Добавлено:
посмотри еще
http://support.microsoft.com/kb/899148/ru

H:\>dsquery * cn=schema,cn=configuration,dc=admin,dc=local -scope base -attr objectVersion
objectVersion
31

версия 31

не могу понять плохо это или хорошо?


по поводу второй ссылки: у нас нет контроллеров подключенных через VPN, везде ethernet


> это ты посмотрел на конкретном контролере. те с ним репликами вроде как все обмениваются.

то есть нужно проделать эту операцию на всех контроллерах домена? Просто странно тогда почему эта ошибка возникает на всех без исключения контроллерах

Цитата:

версия 31

31 - Windows Server 2003 R2
попробуй проделать на всех серваках. что на счет ошибок других?

А со временем что все нормально? Время на всех серверах одинаковое?
Никакой из контроллеров домена, участвующих в репликации, не был неработоспособным более 60 дней?

да вроде нормально все со временем...
на самом деле проблема втом чтоб найти этот самый контроллер домена который не было достпуен более 60 дней. всего контроллеров около 30, с помошью ntdsutil`а все прошерстил все корректно, реально глупая ситуация, винда ругается на несуществующий контроллер а какой именно - я не могу понять.

ЗЫ: пришел на эту работу полгода назад, до этого лес жил своей жизнью около 8 лет, вот и начал разбираться сейчас....

по поводу ошибок:
по мимо 1864 есть еще одна ошибка 1388

Исходный контроллер домена (сетевой адрес с указанием транспорта):
2e97e366-778d-4128-bfe5-e7404d849581._msdcs.admin.local
Объект:
CN=0b5eaeb4-6c9c-4b6a-8e1e-d7e30e765ee6\0ACNF:fab34b67-d97e-4719-a78f-9122939f7a57,CN=LostAndFoundConfig


чем то не нравится ему этот объект....

http://technet2.microsoft.com/WindowsServer/en/library/77dbd146-f265-4d64-bdac-605ecbf1035f1033.mspx?mfr=true

проверьте сетевые настройки на всех контролерах. Желательно конечно
ipconfig /all
со всех серверов.

вот тут
http://www.networkdoc.ru/forum/index.php?s=095c185936fd62bf966233f61f1094fb&act=Print&client=wordr&f=3&t=5502
похожая ситуация.
попробуйте
repadmin /options контролер_1 -DISABLE_INBOUND_REPL
repadmin /options контролер_1 -DISABLE_OUTBOUND_REPL

на кажждом контролере

в конце пишут

Цитата:

Спосибо за участие проблемма решена принудительным понижением роли контролера доменя serverxp и отчисткой метаданных на hpserver, далее заново повысили роль сервера до контролера домена и усё.

может как вариант пробовать по очереди понижать контролер, потом чистить метаданные и вновь повышать? реально или нет? как вариант ели совсем ничего не получится

ну как то это жестока.....каждый понижать и повышать....это во впервых...

bbm58
Цитата:

может как вариант

это в случае если ничего не поможет...

ну и во вторых во многих доменах только один контроллер, поэтому нужно еше и искать железо либо заморачиваться с виртуальными машинами, чтоб поднимать второй контроллер домена в каждом домене, чтоб понизить и вернуть назад существующие...

самое обидное что просто непонятно на какой именно контроллер домена ругается винда, и я до сих пор не могу понять как это можно определить с 100% уверенностью..


такой вопрос есть еше у меня целая куча упоминаний бывших контроллеров в разделе LOSTadnFOUND - есть смысл удалять их оттуда?

Цитата:

такой вопрос есть еше у меня целая куча упоминаний бывших контроллеров в разделе LOSTadnFOUND - есть смысл удалять их оттуда?

оно само протухает

сорри за долгий ответ...было ооочень много задач...
но 1864 по прежнему осталась...
не совсем понятно:
repadmin /options контролер_1 -DISABLE_INBOUND_REPL
repadmin /options контролер_1 -DISABLE_OUTBOUND_REPL

смысл отключтаь репликацию на всех контроллерах? или я неправильно опнимаю эти команды?


появились новый ошибки, причему именно на глобал каталогах, а именно: 1800 и 1801, это я так понимаю следствие 1864:
Частичная реплика раздела DC=xxx,DC=ddd,DC=ggg размещается на сайте
CN=XXX,CN=Sites,CN=Configuration,DC=ddd,DC=ggg, но не удалось найти пригодных для записи источников для этого раздела.

Выдает всегда ошибку 1864 в жунрале событий. Как с ней бороться?

Ниже отображено состояние репликации в следующем разделе каталога на сервере каталогов.

Раздел каталога:
DC=ForestDnsZones,DC=mvk,DC=slav,DC=gov,DC=ua

Этот сервер каталога давно не получал информацию о репликации от нескольких серверов каталогов. Здесь отображен счетчик серверов каталогов, разделенных следующими интервалами.

Более 24 часов:
1
Более недели:
1
Более месяца:
0
Более двух месяцев:
0
Дольше времени жизни захоронения:
0
Время жизни захоронения (дней):
60

На серверах каталогов, которые не производят своевременную репликацию, могут возникнуть ошибки. Они могут пропустить смену пароля и не сумеют пройти проверку подлинности. Контроллер домена, не успевший произвести репликацию за время жизни захоронения, может пропустить удаление некоторых объектов и будет автоматически исключен из последующих репликаций вплоть до выверки.

Для определения серверов каталогов по имени пользуйтесь программой dcdiag.exe.
Также для отображения задержек репликации на серверах каталогов можно использовать средство поддержки repadmin.exe. Командный синтаксис выглядит как "repadmin /showvector /latency <раздел-dn>".

Никто никакой совет не даст?

Цитата:

Собственно проблема в том что я не могу найти "несуществующий" контроллер домена, как только не искал но идентифицировать его не получается, последенее что пробовал dcdiag /a /v - и все равно не понятно какой же именно контроллер домена был удален "некорректно" - может быть подскажите как решить эту проблему? заранее спасибо за ответ!

ЗЫ: всего контроллеров 35, вообше был бы благодарен если бы кто то подсказал просто и легкое решение для мониторинга всего леса

если проблема с утилитами командной строки то в support tools для win2003 есть графическая - replmon (Active Directory Replication Monitor)

ТА же ситуация ... плин все делал нечего не помогло!!!помогите !!

27grom Проблема в чем? Найти удаленный DC или что?
просмотр списка контроллеров
Netdom query DC
просмотр репликаций
Repadmin /showrepl
эта команда возможно покажет перед удаленным DC префикс DEL:
repadmin /test:replication
покажет DC c проблемами репликации, вот эти DC и проверяй.
аналог dcdiag /test:replications
на худой конец пингать все DC или пробовать зайти на них.

Спасибо...буду пробовать!!

Добавлено:
[more] 1.пинги ходят по всякому.
2.Netdom query DC два контроллера DC и DC-02
3.Repadmin /showrepl
ошибка DC=qwerty,DC=local
Default-First-Site-Name\DC-02 через RPC
DSA - GUID объекта: 6527241f-49a9-42cf-ae47-721adabf18b8
Последняя попытка @ 2014-04-29 14:50:53 завершена с ошибкой, результат 1
722 (0x6ba):
Сервер RPC недоступен.
123 последовательных ошибок.
Последний успех @ 2014-04-26 03:25:25.
и т.д.
4.dcdiag /test:replications

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Connectivity
......................... DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Replications
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC-02 в DC
Контекст именования: DC=ForestDnsZones,DC=qwerty,DC=local
При репликации возникла ошибка (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.

Сбой возник в 2014-04-29 14:50:53.
Последняя успешная операция была в 2014-04-17 15:52:43. После
последней успешной операции было
313 сбоев.
[DC-02] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
4.
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Connectivity
......................... DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Replications
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC-02 в DC
Контекст именования: DC=ForestDnsZones,DC=qwerty,DC=local
При репликации возникла ошибка (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.

Сбой возник в 2014-04-29 15:50:50.
Последняя успешная операция была в 2014-04-17 15:52:43. После
последней успешной операции было
314 сбоев.
[DC-02] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC-02 в DC
Контекст именования: DC=DomainDnsZones,DC=qwerty,DC=local
При репликации возникла ошибка (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.

Сбой возник в 2014-04-29 15:50:50.
Последняя успешная операция была в 2014-04-17 15:52:43. После
последней успешной операции было
381 сбоев.
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC-02 в DC
Контекст именования: CN=Schema,CN=Configuration,DC=qwerty,DC=local
При репликации возникла ошибка (1722):
Сервер RPC недоступен.
Сбой возник в 2014-04-29 15:51:32.
Последняя успешная операция была в 2014-04-17 15:52:43. После
последней успешной операции было
295 сбоев.
Источник все еще отключен. Проверьте компьютер.
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC-02 в DC
Контекст именования: CN=Configuration,DC=qwerty,DC=local
При репликации возникла ошибка (1722):
Сервер RPC недоступен.
Сбой возник в 2014-04-29 15:51:11.
Последняя успешная операция была в 2014-04-17 15:52:43. После
последней успешной операции было
329 сбоев.
Источник все еще отключен. Проверьте компьютер.
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC-02 в DC
Контекст именования: DC=qwerty,DC=local
При репликации возникла ошибка (1722):
Сервер RPC недоступен.
Сбой возник в 2014-04-29 15:50:50.
Последняя успешная операция была в 2014-04-26 03:25:25. После
последней успешной операции было
124 сбоев.
Источник все еще отключен. Проверьте компьютер.
......................... DC - не пройдена проверка Replications


Выполнение проверок разделов на: ForestDnsZones

Выполнение проверок разделов на: DomainDnsZones

Выполнение проверок разделов на: Schema

Выполнение проверок разделов на: Configuration

Выполнение проверок разделов на: qwerty

Выполнение проверок предприятия на: qwerty.local
[/more]

Добавлено:
Помогите плз....

Добавлено:
проблема не выполняется репликация ...=(

так есть мысли?
И кстати при выполнение Netdom query DC на серверах выдает на одном
1.DC
Список контроллеров домена с учетными записями в домене:

DC
DC-02
Команда выполнена успешно.
2. DC-02
Список контроллеров домена с учетными записями в домене:

DC-02
DC
Команда выполнена успешно.

это нормально что в списке первым у DC-02 стоит не DC?

27grom Это нормально.
по dcdiag
> Сервер RPC недоступен.
займись для начала этой проблемой. Оба DC должны пингать по rpc друг друга, командой
rpcping

жмакаем rpcping -s имя_dc_или_его_айпи # не себя, а другого DC

пока это не заработает - думаем! Или RPC на DC не запущена или кто-то бреет на фаере (для начала тупо открыть всё)
В оснастке "Службы", как себя чувствует служба RPC?
Программа PRC Ping входит в пакет Microsoft Windows Server 2003 Resource Kit.
рескит для W2K3 тута - http://download.microsoft.com/download/8/e/c/8ec3a7d8-05b4-440a-a71e-ca3ee25fe057/rktools.exe
PRC Ping в w2k8 и старше вроде уже сразу в составе системы
Успешный ответ на rpcping выглядит так:
Completed 1 calls in 31 ms
32 T/S or 31.000 ms/T

[more] [more] [more] ок спасибо буду работать в эту сторону =)

Добавлено:
1.C DC
C:\Windows\system32>rpcping -s dc-02
Завершено вызовов: 1 за 47 мс
21 T/S или 47.000 мс/T


C:\Windows\system32>rpcping -s dc-02.qwerty.local
Завершено вызовов: 1 за 718 мс
1 T/S или 718.000 мс/T


C:\Windows\system32>rpcping -s 192.168.1.23
Завершено вызовов: 1 за 31 мс
32 T/S или 31.000 мс/T
2.C DC-02
C:\Windows\system32>rpcping dc
Недопустимый ключ: dc
Завершено вызовов: 1 за 63 мс
15 T/S или 63.000 мс/T


C:\Windows\system32>rpcping dc.qwerty.local
Недопустимый ключ: dc.qwerty.local
Завершено вызовов: 1 за 63 мс
15 T/S или 63.000 мс/T


C:\Windows\system32>rpcping 192.168.1.21
Недопустимый ключ: 192.168.1.21
Завершено вызовов: 1 за 62 мс
16 T/S или 62.000 мс/T

Тут я так понял что c DC все ок а вот с DC-02 что то не так...

Все Службы RPC работают ... на всякий случай перезапустил.
У меня оба сервака Windows Server 2008 R2

[/more] [/more] [/more]

Добавлено:
а вот как исправить это"Сервер RPC недоступен." я ума не прилажу =(

27grom брандмаэры винды проверь, чтобы разрешали обоим DC всё. Для проверки попрбуй их отключить и еще раз rpc пингануть

ipmanyak
А как предельно настроить их?Он у меня был откл.

27grom Проверить правила и разрешить для локальной/доменной сети всё. Или создать свое разрешающее правило и поставить его выше других. В локалке брандмаэур нафиг не нужен, если твои DC не имеют внешних интерфейсов с белыми IP.
Windows Firewall
http://demotivators.to/media/posters/2929/795511_windows-firewall.jpg
пока RPCPING не заработает в обе стороны, далее двигаться нечего!