ВНИМАНИЕ!: Информация приведённая в данной статье должна восприниматься “как есть”, без каких либо гарантий работоспособности доменных контроллеров, после воспроизведения действий, описанных в статье, со стороны автора. Данная статья является отражением единичного случая, описанного на http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/6b38b1bd-cbed-4856-bb66-e649bd3ec531.
Возможно данная информация кому нибудь поможет.
Описание проблемы:
Корневой доменный контроллер инфраструктуры развёрнут на Windows Server 2003 R2 SP2 x86, на нём размещаются все роли FSMO; При введении в домен доменного контроллера на базе Windows Server 2008 R2 оканчивается ошибкой репликации раздела CN=Configuration;
В журналах присутствуют следующие ошибки:
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 10.11.2011 13:06:15
Код события: 1084
Категория задачи:Репликация
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: dc04.msft.local
Описание:
Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.
Object:
CN=Configuration,DC=msft,DC=local
Object GUID:
8686a414-5d23-407e-8061-a7d443382eef
Source directory service:
dc01.msft.local
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.
This operation will be tried again at the next scheduled replication.
User Action
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).
Additional Data
Error value:
8451 Произошла ошибка базы данных при выполнении репликации.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
<EventID Qualifiers="49152">1084</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>5</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2011-11-10T09:06:15.429679800Z" />
<EventRecordID>2009</EventRecordID>
<Correlation />
<Execution ProcessID="452" ThreadID="768" />
<Channel>Directory Service</Channel>
<Computer>dc04.msft.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>CN=Configuration,DC=msft,DC=local</Data>
<Data>8686a414-5d23-407e-8061-a7d443382eef</Data>
<Data>dc01.msft.local</Data>
<Data>Произошла ошибка базы данных при выполнении репликации.</Data>
<Data>8451</Data>
</EventData>
< /Event>
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 10.11.2011 13:06:15
Код события: 2108
Категория задачи:Репликация
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: dc04.msft.local
Описание:
В этом событии содержится описание ПРОЦЕДУР ВОССТАНОВЛЕНИЯ для события 1084, которое было записано в журнал событий ранее. Это сообщение указывает на конкретную проблему согласованности базы данных доменных служб Active Directory на этом направлении репликации. Ошибка обработки базы данных произошла при применении реплицированных изменений для следующего объекта. База данных находится в непредвиденном состоянии, не позволяющем внести эти изменения.
Объект:
CN=Configuration,DC=msft,DC=local
GUID объекта:
8686a414-5d23-407e-8061-a7d443382eef
Исходный контроллер домена:
dc01.msft.local
Действия пользователя
Ознакомьтесь со статьей базы знаний 837932, http://support.microsoft.com/?id=837932. Подмножество процедур восстановления приведено ниже.
1. Убедитесь, что на дисках, несущих базу данных доменных служб Active Directory, достаточно свободного места, затем повторите операцию. Убедитесь, что на дисках, несущих NTDS.DIT и файлы журналов, не включено сжатие NTFS. Проверьте, не используется ли для этих дисков антивирусное программное обеспечение.
2. Может быть полезным выполнить принудительное построение родительской цепочки контейнеров этого объекта в базе данных с помощью Security Descriptor Propagator. Это можно сделать, следуя инструкциям из статьи базы знаний 251343, http://support.microsoft.com/?id=251343.
3. Проблема может быть связана с родительским объектом на этом контроллере домена. На исходном контроллере домена переместите этот объект так, чтобы он имел другого родителя.
4. Если этот компьютер является глобальным каталогом и ошибка возникает в одном из разделов, предназначенных только для чтения, то следует лишить этот компьютер роли глобального каталога, сняв флажок глобального каталога в пользовательском интерфейсе "Сайты и службы". Если ошибка происходит в разделе каталога приложений, можно остановить несение раздела каталога приложений на этой реплике. Это можно сделать с помощью команды NTDSUTIL.EXE.
5. Получите самую последнюю версию NTDSUTIL.EXE, установив последний пакет обновления для данной операционной системы. Прежде чем выполнять загрузку в режиме восстановления службы каталогов (DSRM), убедитесь, что вам известен пароль режима DSRM. В противном случае следует сбросить пароль перед перезагрузкой системы.
6. В режиме DSRM запустите командную строку, затем выполните команду "ntdsutil files integrity". Если будет найдено повреждение и существуют другие реплики, лишите эту реплику ее роли и проверьте надежность работы оборудования. Если другие реплики отсутствуют, восстановите состояние системы с помощью архивной копии и повторите эту проверку.
7. Находясь в автономном режиме, выполните дефрагментацию с помощью функции "ntdsutil files compact".
8. Следует также выполнить команду "ntdsutil semantic database analysis". Если будут найдены ошибки, их можно исправить с помощью функции "go fixup". Не путайте эту команду с функцией "ESE repair", которую нельзя использовать в данном случае, поскольку она может привести к потере данных в базе данных Active Directory.
Если ни одно из этих действий не помогает и ошибки репликации продолжаются, следует лишить этот компьютер роли контроллера домена, а затем вновь выдвинуть его на эту роль.
Дополнительные данные
Основная ошибка:
8451 Произошла ошибка базы данных при выполнении репликации.
Вторичная ошибка:
-1507 JET_errColumnNotFound, No such column
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
<EventID Qualifiers="49152">2108</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>5</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2011-11-10T09:06:15.429679800Z" />
<EventRecordID>2010</EventRecordID>
<Correlation />
<Execution ProcessID="452" ThreadID="768" />
<Channel>Directory Service</Channel>
<Computer>dc04.msft.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>CN=Configuration,DC=msft,DC=local</Data>
<Data>8686a414-5d23-407e-8061-a7d443382eef</Data>
<Data>dc01.msft.local</Data>
<Data>Произошла ошибка базы данных при выполнении репликации.</Data>
<Data>8451</Data>
<Data>JET_errColumnNotFound, No such column</Data>
<Data>-1507</Data>
</EventData>
< /Event>
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 10.11.2011 13:06:15
Код события: 1173
Категория задачи: Внутренняя обработка
Уровень: Предупреждение
Ключевые слова: Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: dc04.msft.local
Описание:
Internal event: Active Directory Domain Services has encountered the following exception and associated parameters.
Exception:
e0010002
Parameter:
0
Additional Data
Error value:
8451
Internal ID:
106027e
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
<EventID Qualifiers="32768">1173</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>9</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2011-11-10T09:06:15.429679800Z" />
<EventRecordID>2011</EventRecordID>
<Correlation />
<Execution ProcessID="452" ThreadID="768" />
<Channel>Directory Service</Channel>
<Computer>dc04.msft.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>e0010002</Data>
<Data>8451</Data>
<Data>0</Data>
<Data>106027e</Data>
</EventData>
< /Event>
Анамнез:
Уровень леса и домена Windows Server 2003;
Подготовка к введению в инфраструктуру доменного контроллера на базе Windows Server 2008 R2 SP1 прошла успешно:
Подготовка леса и домена с помощью adprep /forest prep и adprep /domainprep /gpprep выполнена без ошибок;
Значение ObjectVertion после выполнения adprep для контейнера Schema:
CN=Schema, CN=Configuration, DC=MSFT, DC=LOCAL равно 47 http://bshwjt.blogspot.com/2010/07/schema-version.html
Значение Revision после выполнения adprep для контейнера ActiveDirecrotyUpdate:
CN=ActiveDirectoryUpdate, CN=ForestUpdates, CN=Configuration, DC=MSFT, DC=LOCAL равно 5 http://technet.microsoft.com/en-us/library/dd378805(WS.10).aspx;
DCdiag ошибок в функционировании доменного контроллера не выявляет;
Стандартные решения, которые предлагались в рамках инцидента http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/6b38b1bd-cbed-4856-bb66-e649bd3ec531 не приводили к результату;
Вероятная причина:
Доподлинно установить не удалось, но есть подозрение, что вызвано некорректной работой adprep x86;
Решение:
В ручную через ADSI были изменены значения:
CN=Schema, CN=Configuration, DC=MSFT, DC=LOCAL равно 44
CN=ActiveDirectoryUpdate, CN=ForestUpdates, CN=Configuration, DC=MSFT, DC=LOCAL равно 2
После этого было проведено повторное расширение схемы и подготовка домена для Windows Server 2008 R2.
Доменные контроллеры успешно ввелись в домен, репликация прошла успешно.
Благодарности:
Коллеги, если у кого была похожая проблема поделитесь опытом!
Комментариев нет:
Отправить комментарий
Уважаемый коллега, Ваш комментарий пройдёт модерацию, чтобы избежать спам-атак в ленте. Спасибо за понимание.