Replication issue
DCDIAG.TXT
Testing server: Default-First-Site-NameADMAIL
Starting test: Replications
* Replications Check
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: DC=mst,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 12:20.50.
The last success occurred at 2007-12-02 01:48.16.
9009 failures have occurred since the last success.
[CAD] DsBind() failed with error -2146893022,
目標的主名稱不正確。.
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: CN=Schema,CN=Configuration,DC=mpi,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 11:50.25.
The last success occurred at 2007-12-02 01:48.16.
1263 failures have occurred since the last success.
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: CN=Configuration,DC=mpi,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 12:23.25.
The last success occurred at 2007-12-02 01:48.16.
7839 failures have occurred since the last success.
解決方法
- 確認時區時間一致
- 一般應該為security channel broken
如何使用 Netdom . exe 來重設機器帳戶密碼的 Windows 2000 網域控制站
https://support.microsoft.com/kb/260575
若是無法重設請先停用有問題DC的Kerberos Key Distribution Center服務然後重新開機,重新reset security channel
- 若是仍然不行請停用所有DC Kerberos Key Distribution Center服務重新開機在嘗試reset security channel ,然後使用repadmin /syncall 或是 ad site and services強制覆寫
完成後再將Kerberos Key Distribution Center設置為自動,重新啟動
************************************************************
repadmin.txt
==========
TPDCS01
DSA Options : IS_GC
objectGuid : 7809b003-4650-4646-949e-f25e22339a30
invocationID: 7809b003-4650-4646-949e-f25e22339a30
DsBindWithCred to localhost failed with status 1727 (0x6bf):
遠端程序呼叫失敗且不執行。(The remote procedure call failed and did not execute)
NTDS event log
========
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: 知識一致性檢查程式
事件識別碼: 2051
日期: 2008/1/7
時間: 上午 08:13:06
使用者: NT AUTHORITYANONYMOUS LOGON
電腦: DCS01
描述:
知識一致性檢查程式已偵測出可能的連線振盪。下列連線 (或與它相似的連線) 已被 重複地建立並刪除。在指出的時段內連線會持續,必須等到該時段過了之後,連線才 會再被刪除。
連線物件:
CN=04d9f039-96f1-4692-9386-a49426e47cf2,CN=NTDS Settings,CN=DCS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
目的地 DSA GUID:
7809b003-4650-4646-949e-f25e22339a30
來源 DSA:
CN=NTDS Settings,CN=TPNPCENGS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
來源 DSA GUID:
a53f49cc-b012-4e9f-9fde-83f1720d485a
選項:
1
保留期間 (秒):
604800
重複的刪除容錯:
3
刪除點內部識別碼:
f07023b
使用者動作:
經常建立及刪除錯誤後移轉連線可能是 bridghead 不穩定的表示。請檢查 bridgehead 的連線能力或複寫問題。也可以使用登錄來調整錯誤後移轉原則。
請在 https://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: 知識一致性檢查程式
事件識別碼: 1925
日期: 2008/1/7
時間: 上午 05:53:08
使用者: NT AUTHORITYANONYMOUS LOGON
電腦: DCS01
描述:
嘗試為以下可寫入的目錄磁碟分割建立複寫連結時失敗。
目錄磁碟分割:
CN=Configuration,DC=fp,DC=com
來源網域控制站:
CN=NTDS Settings,CN=TPNPCENGS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
來源網域控制站位址:
a53f49cc-b012-4e9f-9fde-83f1720d485a._msdcs.fpg.com
站台間傳輸 (如果有的話):
必須先修正此問題,否則這個網域控制站將無法以來源網域控制站進行複寫。
使用者動作
檢查來源網域控制站是否可以存取或網路連線是否可供使用。
其他資料
錯誤值:
1722 無法取得 RPC 伺服器。
請在 https://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
事件類型: 錯誤
事件來源: NTDS Replication
事件類別目錄: 複寫
事件識別碼: 1863
日期: 2008/1/6
時間: 下午 06:20:00
使用者: NT AUTHORITYANONYMOUS LOGON
電腦: DCS01
描述:
這是本機網域控制站上,下列目錄磁碟分割的複寫狀態。
目錄磁碟分割:
DC=npceng,DC=tw,DC=fp,DC=com
本機網域控制站並未在設定的延遲間隔內,從一些網域控制站收到複寫資訊。
延遲間隔 (小時):
24
所有站台上的網域控制站數目:
5
這個站台上的網域控制站數目:
3
可以使用下列登錄機碼來修改延遲間隔。
登錄機碼:
HKLMSystemCurrentControlSetServicesNTDSParametersReplicator latency error interval (小時)
如果要依照名稱來識別網域控制站,請安裝包含在安裝 CD 中的支援工具,然後執行 dcdiag.exe。
您也可以使用支援工具 repadmin.exe 來顯示樹系中網域控制站的複寫延遲。 命令為 "repadmin /showvector /latency <partition-dn>"。
RPC網路不透通
解決方法
- 檢察135 port 是否Listen
Netstat –ano
-嘗試telnet Server IP 135
-收集網路封包
RPC連接埠
RPC TCP 135
隨機高 TCP 連接埠配置 TCP 介於 1024 - 65534 隨機連接埠號碼 *
Inbound 135要通
Outbound 1024 - 65534
有些客戶會有檔Inbound與Outbound 須特別注意
與網路連接埠需求為 Windows Server 系統服務概觀
https://support.microsoft.com/?id=832017
若是客戶一定要限制動態RPC可以參考以下文件
如何設定 RPC 動態連接埠配置以使用防火牆
https://support.microsoft.com/kb/154596/
************************************************************
NTDS Event Log:
===============================
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: (1)
事件識別碼: 1265
日期: 2008/8/27
時間: 下午 05:11:13
使用者: N/A
電腦: AD2
描述:
DC=mst,DC=com,DC=cn, 8bc74036-872f-4cbf-9d2a-6f6e03606122._msdcs.audrey.com.tw, Access is denied.
, CN=NTDS Settings,CN=THAD,CN=Servers,CN=Taichung,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw, CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw.
資料:
0000: 05 00 00 00 ....
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: (1)
事件識別碼: 1265
日期: 2008/8/27
時間: 下午 05:11:08
使用者: N/A
電腦: AD2
描述:
CN=Schema,CN=Configuration,DC=mst,DC=com,DC=tw, 8bc74036-872f-4cbf-9d2a-6f6e03606122._msdcs.audrey.com.tw, Access is denied.
, CN=NTDS Settings,CN=THAD,CN=Servers,CN=Taichung,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw, CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw.
資料:
0000: 05 00 00 00 ....
DCDiag:
===================================
Testing server: ThailandAD2
Starting test: Replications
* Replications Check
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=mst,DC=com,DC=cn
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 15:54.44.
The last success occurred at 2008-08-27 12:18.51.
11 failures have occurred since the last success.
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=sing,DC=com,DC=cn
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 15:54.44.
The last success occurred at 2008-08-27 12:18.52.
11 failures have occurred since the last success.
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=mst,DC=com,DC=tw
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 16:11.25.
The last success occurred at 2008-08-27 12:18.50.
61 failures have occurred since the last success.
......................... AD2 passed test Replications
Repadmin:
==== INBOUND NEIGHBORS ======================================
DC=mst,DC=com,DC=cn
ThailandAD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 15:54.44 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.51.
11 consecutive failure(s).
DC=sing,DC=com,DC=cn
ThailandAD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 15:54.44 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.52.
11 consecutive failure(s).
DC=mst,DC=com,DC=tw
ThailandAD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 16:11.25 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.50.
61 consecutive failure(s).
解決方式
有關於此問題,經確認後為DC的時間差超過5分鐘所導致的
參考資料
Troubleshooting Active Directory Replication Problems
https://technet.microsoft.com/en-us/library/bb727057.aspx
在該文件中提到的Event ID 1265中的檢查項目之一就是系統時間
在KB https://support.microsoft.com/kb/837361 中說明了
預設如果超過5分鐘的時間差會造成KDC Failed 的issue
確認時間差異大約8分鐘.修正時間後,DC複寫恢復正常
************************************************************