3 votos

Todos los controladores de dominio fallan Verifique las referencias de prueba y la prueba de RReg de DNS: todo funciona, incluida la replicación en un DC nuevo

Así, recientemente hemos añadido un nuevo controlador de dominio para nuestro dominio (Win 2008 R2 Enterprise) con la idea de reemplazar nuestro Win 2008 R2 Standard DC con una segunda Empresa, lo que nos dará el 2 Dc en 2008 R2 Enterprise.

Mientras que la adición de este DC también terminé levantando el Bosque y el nivel de Dominio de 2003 a 2008.

Todo lo que se ha replicado bien por lo que puedo decir. No hay problemas con el ANUNCIO, SYSVOL o cualquier otra cosa.

Estoy asegurarse de que todo está bien y apretado antes de la destitución del 2008 R2 Estándar de la caja.

Todos los controladores de dominio que están fracasando en la VerifyEnterpriseReferences prueba con el siguiente resultado:

   Starting test: VerifyEnterpriseReferences
     The following problems were found while verifying various important DN
     references.  Note, that  these problems can be reported because of
     latency in replication.  So follow up to resolve the following
     problems, only if the same problem is reported on all DCs for a given
     domain or if  the problem persists after replication has had
     reasonable time to replicate changes. 
        [1] Problem: Missing Expected Value
         Base Object: CN=DC2008S-0,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        [2] Problem: Missing Expected Value
         Base Object:
        CN=DC2008E-0,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        [3] Problem: Missing Expected Value
         Base Object:
        CN=DC2008E-1,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        LDAP Error 0x20 (32) - No Such Object. 
     ......................... DC2008S-0 failed test VerifyEnterpriseReferences

Además, el DNS RReg prueba falla - no he mirado en este sin embargo, en tanto detalle, pero está incluido en el dcdiag informe, así que me imagino que voy a añadir aquí por ahora

     Summary of DNS test results:


                                        Auth Basc Forw Del  Dyn  RReg Ext
        _________________________________________________________________
        Domain: domain.com

           DC2008S-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-1                    PASS PASS PASS PASS PASS FAIL n/a  

     Total Time taken to test all the DCs:2 min. 52 sec.

     ......................... domain.com failed test DNS

El error de los puntos de mí a un artículo de KB para 2003 server https://support.microsoft.com/en-us/help/312862/recovering-missing-frs-objects-and-frs-attributes-in-active-directory

Que siempre traté de seguir, sólo para ver qué me iba a encontrar.

Servidor de Referencia parece ser llenada en todos nuestros países en desarrollo. (ASDIEdit, dominio root, contexto de nomenclatura predeterminado, CN=System, CN=Servicio de Replicación de Archivos, CN=Dominio de Volumen del Sistema (SYSVOL compartir), todos 3 los países en desarrollo son mencionados como un nTFRSMember, y los atributos que se tienen detalles de lleno en serverReference.

No coincide completamente lo saqué, pero no estoy 100% seguro de que yo estoy buscando exactamente en los lugares correctos:

CN=NTDS Site Settings,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

CN=NTDS Settings,CN=DC2008S-0,CN=Servers,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

Pero el segundo valor es true (con diferentes DC nombres) para todos 3 los países en desarrollo.

Si me quedo ntfrsutl ds hago la (nula) de salida, sin embargo:

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
   FRS  DomainControllerName: (null)
   Computer Name            : DC2008E-0
   Computer DNS Name        : DC2008E-0.domain.com

Y que la salida es verdadera en todos los 3 DCs así.

De nuevo - como yo puede decir que todo el mundo parece estar funcionando muy bien. Que propusimos el nuevo DC y actualizada de los niveles funcionales de 5 días atrás ahora. No estoy seguro de por qué estoy recibiendo estos fracasos y le gustaría para limpiarla antes de continuar con la clausura.


Detalles adicionales:

Corrí el script "Pruebas de Replicación de SYSVOL Latencia/Convergencia a Través de PowerShell" y todo parece haber llegado rosas:

Name                      PDC   Site Name  DS Type    IP Address OS Version
----                      ---   ---------  -------    ---------- ----------
DC2008S-0.domain.com      FALSE sitename   Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      TRUE  sitename   Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      FALSE sitename   Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

Que está todo correcto y el informe escupió un resultado positivo!

  ====================== CHECK 6 ======================

  REMARK: Each DC In The List Below Must Be At Least Accessible Through SMB Over TCP (445)

  * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Exists In The NetLogon Share

  * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

  * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

  Start Time......: 2018-09-26 16:38:05
  End Time........: 2018-09-26 16:38:11
  Duration........: 6.20 Seconds

  Deleting Temp Text File...

  Temp Text File [sysvolReplTempObject20180926163805.txt] Has Been Deleted On The Target RWDC!


Name                                    Site Name  Time
----                                    ---------  ----
DC2008E-1.domain.COM [SOURCE RWDC]      sitename    0
DC2008S-0.domain.com                    sitename    6.17
DC2008E-0.domain.com                    sitename    6.20

Más detalles:

También corrí el script de "Pruebas de Replicación de Active Directory Latencia/Convergencia a Través de PowerShell" para verificar la replicación de AD

Name                      Domain        GC   FSMO                Site Name  DS Type    IP Address OS Version
----                      ------        --   ----                ---------  -------    ---------- ----------
DC2008S-0.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      domain.com   TRUE  SCH/DNM/PDC/RID/INF sitename Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

Todos los DCs llegar correcta en el Bosque y, a continuación, la verificación de Dominio (dominio de salida mencionados anteriormente. Ve todos ellos tienen un catálogo global y DC2008E-0 tiene todas nuestras funciones FSMO)

====================== CHECK 15 ======================

  REMARK: Each DC In The List Below Must Be At Least Accessible Through LDAP Over TCP (389)
  REMARK: Each GC In The List Below Must Be At Least Accessible Through LDAP-GC Over TCP (3268)

  * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Exists In The Database

  * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

  * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

  Start Time......: 2018-09-26 16:49:16
  End Time........: 2018-09-26 16:49:32
  Duration........: 15.59 Seconds

  Deleting Temp Contact Object...

  Temp Contact Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Has Been Deleted On The Target RWDC!


Name                                    Domain        GC   Site Name   Time
----                                    ------        --   ---------   ----
DC2008E-1.domain.COM [SOURCE RWDC]     domain.com    TRUE sitename     0
DC2008E-0.domain.com                   domain.com    TRUE sitename    15.59
DC2008S-0.domain.com                   domain.com    TRUE sitename    2.20

De nuevo, todo se ve como se está replicando. O es de 15 segundos considerado demasiado largo? Es que el retraso de lo que me está causando agita en el dcdiag prueba?


Otra actualización!

He verificado que el SOA número de Serie en cada zona de cada uno DC los partidos.

Yo también fui a través de todos los subdirectorios y los archivos en la zona _msdcs y todo lo que no coincide con el 100% así.

2voto

Bill Bell Puntos 115

Suena como que usted está teniendo una replicación de SYSVOL problema, me gustaría recomendar el uso de los siguientes Powershell herramienta para poner a prueba la replicación de SYSVOL: https://gallery.technet.microsoft.com/Testing-SYSVOL-Replication-c3e9dc68

Una vez que se ha confirmado que la replicación de SYSVOL tiene un problema, se puede resolver mediante la realización no autorizada de SYSVOL de restauración. https://support.microsoft.com/en-us/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

Si no autorizada no funciona, puede utilizar una restauración autoritaria, pero tenga cuidado ya que es más peligroso.

Una vez que hayas resuelto tu replicación de SYSVOL, yo recomendaría hacer una migración de la replicación de FRS DFS-R de replicación. https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/

Para referencia, también hay un DFS-R conjunto de resyncronization pasos si es necesario: https://support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-fo

Jorge también proporciona un AÑADE la replicación de verificación script de powershell que yo recomendaría ejecutando: https://gallery.technet.microsoft.com/Testing-Active-Directory-94e61e3e

La gente olvida a menudo que la replicación de Active Directory está hecho de dos mitades separadas, AGREGA y SYSVOL. Si cualquiera de las partes falla, usted terminará para arriba con grandes problemas. En la parte superior de que, FRS y DFS-R son famosos por no en silencio, con consecuencias desastrosas para GPO. La suma del lado de los Gpo coincidirá entre los países en desarrollo, pero el SYSVOL lado ( que contiene las instrucciones para GPO) no.

No estoy seguro acerca de la RREG problema, pero me gustaría confirmar que su DNS inversa buscar zonas de configurar y reproducir correctamente. Puede confirmar los números de serie de la zona entre los dos controladores de dominio para la convergencia. Además, revise la zona _msdcs avance la zona en busca de errores, incluyendo incorrecto NS entradas.


Después de una discusión con OP, he encontrado este enlace: https://social.technet.microsoft.com/Forums/windowsserver/en-US/2ce07c3f-9956-4bec-ae46-055f311c5d96/dcdiag-test-failed-on-verifyenterprisereferences?forum=winserverDS

Parece que su original de error "no se pudo probar la VerifyEnterpriseReferences" es un conocido y esperado de error después de la migración de un dominio de nivel de 2003 a 2008, pero antes de migrar de FRS a DFS-R replicación de SYSVOL. El error puede ser ignorado, pero las mejores prácticas implican completar la DFS-R de la migración.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: