web-dev-qa-db-ja.com

すべてのDCがVerifyEnterpriseReferencesとDNSRRegテストに失敗します-新品へのレプリケーションを含む他のすべてが機能しますDC

そのため、最近、新しいDCをドメイン(Win 2008 R2 Enterprise)に追加し、Win 2008 R2 Standard DCを2番目のEnterpriseに置き換えるというアイデアを取り入れました。 1つ-2008R2Enterpriseで2つのDCを提供します。

これを追加する一方で、DC)、2003年から2008年にかけてフォレストとドメインのレベルも上げることになりました。

私の知る限り、すべてがうまく複製されています。 AD、SYSVOL、その他の問題はありません。

2008 R2 Standardボックスを降格する前に、すべてが適切でタイトであることを確認しています。

すべてのDCは、次の出力でVerifyEnterpriseReferencesテストに失敗しています。

   Starting test: VerifyEnterpriseReferences
     The following problems were found while verifying various important DN
     references.  Note, that  these problems can be reported because of
     latency in replication.  So follow up to resolve the following
     problems, only if the same problem is reported on all DCs for a given
     domain or if  the problem persists after replication has had
     reasonable time to replicate changes. 
        [1] Problem: Missing Expected Value
         Base Object: CN=DC2008S-0,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        [2] Problem: Missing Expected Value
         Base Object:
        CN=DC2008E-0,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        [3] Problem: Missing Expected Value
         Base Object:
        CN=DC2008E-1,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        LDAP Error 0x20 (32) - No Such Object. 
     ......................... DC2008S-0 failed test VerifyEnterpriseReferences

さらに、DNS RRegテストは失敗します-これについてはまだ詳しく調べていませんが、dcdiagレポートに含まれているので、ここに追加します。

     Summary of DNS test results:


                                        Auth Basc Forw Del  Dyn  RReg Ext
        _________________________________________________________________
        Domain: domain.com

           DC2008S-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-1                    PASS PASS PASS PASS PASS FAIL n/a  

     Total Time taken to test all the DCs:2 min. 52 sec.

     ......................... domain.com failed test DNS

エラーは、2003サーバーのKB記事を示しています https://support.Microsoft.com/en-us/help/312862/recovering-missing-frs-objects-and-frs-attributes-in-active -ディレクトリ

私が見つけたものを見るために、私はまだそれを追いかけようとしました。

サーバー参照は、すべてのDCで記入されているようです。 (ASDIEdit、ルートドメイン、デフォルトの命名コンテキスト、CN =システム、CN =ファイルレプリケーションサービス、CN =ドメインシステムボリューム(SYSVOL共有)、3つのDCすべてがnTFRSMemberとしてリストされ、属性にはserverReferenceに詳細が入力されています。

それは私が引き出したものと完全には一致しませんが、私が正確に正しい場所を探しているとは100%確信していません:

CN=NTDS Site Settings,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

CN=NTDS Settings,CN=DC2008S-0,CN=Servers,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

ただし、2番目の値は3つのDCすべてに対して真です(異なるDC名前)。

Ntfrsutl dsを実行すると、(null)出力が得られます。

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
   FRS  DomainControllerName: (null)
   Computer Name            : DC2008E-0
   Computer DNS Name        : DC2008E-0.domain.com

そして、その出力は3つのDCすべてにも当てはまります。

繰り返しますが、私が知る限り、他のすべてはうまく機能しているようです。新しいDCをフロートし、5日前に機能レベルを更新しました。なぜこれらの障害が発生するのかわからないため、廃止措置を続行する前にクリーンアップしたいと思います。

追加の詳細:

スクリプト「PowerShellを介したSYSVOLレプリケーションの遅延/収束のテスト」を実行しましたが、すべてがうまくいったようです。

Name                      PDC   Site Name  DS Type    IP Address OS Version
----                      ---   ---------  -------    ---------- ----------
DC2008S-0.domain.com      FALSE sitename   Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      TRUE  sitename   Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      FALSE sitename   Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

これはすべて正しく、レポートは肯定的な結果を出しました!

  ====================== CHECK 6 ======================

  REMARK: Each DC In The List Below Must Be At Least Accessible Through SMB Over TCP (445)

  * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Exists In The NetLogon Share

  * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

  * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

  Start Time......: 2018-09-26 16:38:05
  End Time........: 2018-09-26 16:38:11
  Duration........: 6.20 Seconds

  Deleting Temp Text File...

  Temp Text File [sysvolReplTempObject20180926163805.txt] Has Been Deleted On The Target RWDC!


Name                                    Site Name  Time
----                                    ---------  ----
DC2008E-1.domain.COM [SOURCE RWDC]      sitename    0
DC2008S-0.domain.com                    sitename    6.17
DC2008E-0.domain.com                    sitename    6.20

詳細:

また、スクリプト「PowerShellを介したActive Directoryレプリケーションの待機時間/収束のテスト」を実行して、ADレプリケーションを確認しました

Name                      Domain        GC   FSMO                Site Name  DS Type    IP Address OS Version
----                      ------        --   ----                ---------  -------    ---------- ----------
DC2008S-0.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      domain.com   TRUE  SCH/DNM/PDC/RID/INF sitename Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

すべてのDCがフォレストで正しく表示され、次にドメインチェックが行われます(上記のドメイン出力。すべてのDCにグローバルカタログがあり、DC2008E-0にすべてのFSMOの役割があることがわかります)。

====================== CHECK 15 ======================

  REMARK: Each DC In The List Below Must Be At Least Accessible Through LDAP Over TCP (389)
  REMARK: Each GC In The List Below Must Be At Least Accessible Through LDAP-GC Over TCP (3268)

  * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Exists In The Database

  * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

  * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

  Start Time......: 2018-09-26 16:49:16
  End Time........: 2018-09-26 16:49:32
  Duration........: 15.59 Seconds

  Deleting Temp Contact Object...

  Temp Contact Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Has Been Deleted On The Target RWDC!


Name                                    Domain        GC   Site Name   Time
----                                    ------        --   ---------   ----
DC2008E-1.domain.COM [SOURCE RWDC]     domain.com    TRUE sitename     0
DC2008E-0.domain.com                   domain.com    TRUE sitename    15.59
DC2008S-0.domain.com                   domain.com    TRUE sitename    2.20

繰り返しますが、すべてがうまく複製されているように見えます。または、15秒は長すぎると見なされますか?その遅れが、dcdiagテストで私をアジタさせている原因ですか?

別のアップデート!

SOA各DCの各ゾーンのシリアル番号が一致することを確認しました。

また、_msdcsゾーンのすべてのサブディレクトリとレコードを調べたところ、そこにあるすべてのものも100%一致しています。

windows-server-2008active-directorydomain-controllerfile-replication-services
3
Sam K

SYSVOLレプリケーションの問題が発生しているようですが、次のPowershellツールを使用してSYSVOLレプリケーションをテストすることをお勧めします。 https://gallery.technet.Microsoft.com/Testing-SYSVOL-Replication-c3e9dc68

SYSVOLレプリケーションに問題があることを確認したら、権限のないSYSVOLリストアを実行することで解決できます。 https://support.Microsoft.com/en-us/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

権限のないものが機能しない場合は、権限のある復元を使用できますが、より危険なので注意してください。

SYSVOLレプリケーションを解決したら、FRSレプリケーションからDFS-Rレプリケーションに移行することをお勧めします。 https://blogs.technet.Microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/

参考までに、必要に応じて再同期手順のDFS-Rセットもあります。 https://support.Microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and -non-authoritative-synchronization-fo

Jorgeは、実行することをお勧めするADDSレプリケーションチェックPowerShellスクリプトも提供しています: https://gallery.technet.Microsoft.com/Testing-Active-Directory-94e61e3e

Active DirectoryレプリケーションがADDSとSYSVOLの2つの別々の半分で構成されていることを忘れがちです。どちらかの側が失敗すると、大きな問題が発生します。その上、FRSとDFS-Rは、GPOに悲惨な結果をもたらし、黙って失敗したことで有名です。 GPOのADDS側はDC間で一致しますが、SYSVOL側(GPOの実際の命令を含む)は一致しません。

RREGの問題についてはよくわかりませんが、逆引きDNSルックアップゾーンが設定され、正しく複製されていることを確認します。 2つのDC間のゾーンのシリアル番号を確認して収束させることができます。さらに、_msdcsフォワードゾーンで、誤ったNSエントリを含むエラーがないか確認してください。

OPとさらに話し合ったところ、次のリンクが見つかりました: https://social.technet.Microsoft.com/Forums/windowsserver/en-US/2ce07c3f-9956-4bec-ae46-055f311c5d96/dcdiag-test-failed -on-verifyenterprisereferences?forum = winserverDS

彼の元のエラー「失敗したテストVerifyEnterpriseReferences」は、ドメインを2003レベルから2008レベルに移行した後、FRSからDFS-RSYSVOLレプリケーションに移行する前の既知の予想されるエラーのようです。エラーは無視しても問題ありませんが、ベストプラクティスにはDFS-Rの移行を完了することが含まれます。

2
duct_tape_coder