Проблемы с репликацией Active Directory

Хочу рассказать вам о паре проблем, возникших в моей инфраструктуре Active Directory.

Инфраструктура насчитывает несколько сайтов, сложную структуру сайт-линков и более десятка контроллеров домена. Топология репликации по большей части настроена в автоматическом режиме.

Случай №1.

Случилось мне как-то удалить 4 контроллера домена, находящиеся в разных сайтах. Через несколько дней мне пожаловались, что есть определенные проблемы и на сервера, поставленные вместо удаленных контроллеров, зайти не удается.

Проверка разрешения имени сервера показала, что в сайте Site1 (где и удалялся контроллер с целью замены) имя сервера site1-srv01.holding.com разрешается, а в моем сайте нет. Следовательно, есть какая-то проблема с репликацией.

Пойдя от сайта Site1 до своего сайта PRM, я столкнулся с удивительной особенностью – все кольца репликации этих четырех сайтов и моего пересекались на контроллере абсолютно “левого” сайта. Для наглядности, пусть это будет DC03 с этой картинки. Слева – мой сайт и еще парочка, справа – четыре сайта, осиротевшие на один контроллер.

Так вот, на DC03 внезапно 🙂 кончилось место, вследствие чего вся репликация через него встала. Освободил место – репликация зашуршала дальше.

Мораль: KCC не всегда оптимально подгоняет маршрут, даже если у вас хитросделанные связи сайтов.

Случай№2.

Поднимаю обратно в сайте Site1 контроллер домена (Site1-DC02). Имя и ip-адрес прежние. Поднял и проверил, что службы на нем установлены, репликация с Site1-DC01 благополучно выполняется.

Где-то через неделю присылают мне скриншот следующего содержания:

В оснастке Sites and Services на Site1-DC01 новоиспеченный контроллер отсутствует.

Проверил со своего контроллера домена – та же фигня.

Подключился к контроллеру домена Site1-DC02 – в его консоли ADUC все нормально. В Sites and Services – присутствуют оба сервера.

Проверил партнеров репликации и все стало ясно:

сервер Site1-DC02 реплицирует изменения с Site1-DC01;

а вот Site1-DC01 реплицирует изменения с кого угодно кроме Site1-DC02.

Попытался добавить в оснастке Sites and Services (на Site1-DC01) в качестве партнера репликации новый контроллер – не получилось, так как он там отсутствует.

Попробовал руками запустить репликацию:

repadmin /replicate Site1-DC01 Site1-DC02 CN=configuration,CN=holding,CN=com

Win32 Error 8419(0x20e3): The DSA object could not be found

Попытался из оснастки Sites and Services на Site1-DC02 выполнить команду “Replicate Configuration to the selected DC” (с целью передать конфигурацию на Site1-DC01). Облом.

Гугление на предмет проблем после добавления контроллера домена привело меня к следующей команде:

repadmin /add "cn=configuration,dc=enterprises,dc=HP, dc=com" 1388A125-9318-4992-AA53-1A0519E24D0A._msdcs.enterprises.HP.com A8413FDA-3131-4F0D-AFE0-C1E110321D25._msdcs.enterprises.HP.com

где 1388A125-9318-4992-AA53-1A0519E24D0A – исправный контроллер (получатель репликации), AFE0-C1E110321D25 – “неисправный” Site1-DC02.

После выполнения этой команды в партнерах репликации появился Site1-DC02, но repadmin /showreps выдал ошибки KCC при репликации DNS-зон.

Для лечения этих ошибок была выполнена команда repadmin /kcc.

Повторное выполнение repadmin /showreps через 5 минут показало, что все доменные разделы успешно синхронизированы с Site1-DC02. После этого были проверены оснастки “ADUC” и “Sites and Services” – с контроллером все в порядке.

Мораль: надеюсь, вы, уважаемые читатели, поможете мне вынести мораль из случая №2.