Проблемы с репликацией Active Directory

Хочу рассказать вам о паре проблем, возникших в моей инфраструктуре Active Directory.

Инфраструктура насчитывает несколько сайтов, сложную структуру сайт-линков и более десятка контроллеров домена. Топология репликации по большей части настроена в автоматическом режиме.

Случай №1.

Случилось мне как-то удалить 4 контроллера домена, находящиеся в разных сайтах. Через несколько дней мне пожаловались, что есть определенные проблемы и на сервера, поставленные вместо удаленных контроллеров, зайти не удается.

Проверка разрешения имени сервера показала, что в сайте Site1 (где и удалялся контроллер с целью замены) имя сервера site1-srv01.holding.com разрешается, а в моем сайте нет. Следовательно, есть какая-то проблема с репликацией.

Пойдя от сайта Site1 до своего сайта PRM, я столкнулся с удивительной особенностью — все кольца репликации этих четырех сайтов и моего пересекались на контроллере абсолютно «левого» сайта. Для наглядности, пусть это будет DC03 с этой картинки. Слева — мой сайт и еще парочка, справа — четыре сайта, осиротевшие на один контроллер.

Так вот, на DC03 внезапно 🙂 кончилось место, вследствие чего вся репликация через него встала. Освободил место — репликация зашуршала дальше.

Мораль: KCC не всегда оптимально подгоняет маршрут, даже если у вас хитросделанные связи сайтов.

Случай№2.

Поднимаю обратно в сайте Site1 контроллер домена (Site1-DC02). Имя и ip-адрес прежние. Поднял и проверил, что службы на нем установлены, репликация с Site1-DC01 благополучно выполняется.

Где-то через неделю присылают мне скриншот следующего содержания:

В оснастке Sites and Services на Site1-DC01 новоиспеченный контроллер отсутствует.

Проверил со своего контроллера домена — та же фигня.

Подключился к контроллеру домена Site1-DC02 — в его консоли ADUC все нормально. В Sites and Services — присутствуют оба сервера.

Проверил партнеров репликации и все стало ясно:

сервер Site1-DC02 реплицирует изменения с Site1-DC01;

а вот Site1-DC01 реплицирует изменения с кого угодно кроме Site1-DC02.

Попытался добавить в оснастке Sites and Services (на Site1-DC01) в качестве партнера репликации новый контроллер — не получилось, так как он там отсутствует.

Попробовал руками запустить репликацию:

repadmin /replicate Site1-DC01 Site1-DC02 CN=configuration,CN=holding,CN=com

Win32 Error 8419(0x20e3): The DSA object could not be found

Попытался из оснастки Sites and Services на Site1-DC02 выполнить команду «Replicate Configuration to the selected DC» (с целью передать конфигурацию на Site1-DC01). Облом.

Гугление на предмет проблем после добавления контроллера домена привело меня к следующей команде:

repadmin /add "cn=configuration,dc=enterprises,dc=HP, dc=com" 1388A125-9318-4992-AA53-1A0519E24D0A._msdcs.enterprises.HP.com A8413FDA-3131-4F0D-AFE0-C1E110321D25._msdcs.enterprises.HP.com

где 1388A125-9318-4992-AA53-1A0519E24D0A — исправный контроллер (получатель репликации), AFE0-C1E110321D25 — «неисправный» Site1-DC02.

После выполнения этой команды в партнерах репликации появился Site1-DC02, но repadmin /showreps выдал ошибки KCC при репликации DNS-зон.

Для лечения этих ошибок была выполнена команда repadmin /kcc.

Повторное выполнение repadmin /showreps через 5 минут показало, что все доменные разделы успешно синхронизированы с Site1-DC02. После этого были проверены оснастки «ADUC» и «Sites and Services» — с контроллером все в порядке.

Мораль: надеюсь, вы, уважаемые читатели, поможете мне вынести мораль из случая №2.

Запись опубликована в рубрике Domain Controller, Microsoft. Добавьте в закладки постоянную ссылку.

4 комментария: Проблемы с репликацией Active Directory

  1. Serg говорит:

    Смысл все держать в одном сайт-линке?
    Не стоит надеяться на то что в сложной топологии KCC сумеет разрулить отсутсвие места и пр., у него несколько другие задачи.

    PS Постройте звезду и забудьте про то что описано выше 🙂

  2. A.Vakhitov говорит:

    Там 80 сайт-линков :)))

  3. Serg говорит:

    Это настолько страшно?
    У нас поболее будет 🙂

  4. A.Vakhitov говорит:

    Ну вот, не получилось выпендриться 🙁

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *