диагностика active directory

[Nick]

Коллеги есть вопрос! Планирую обновить лес active directory до 2016 уровня. Сейчас режим работы леса = 2008r2. Решил провести полную диагностику службы каталогов и обнаружил несколько ошибок. Помогите диагностировать ошибку и устранить. Контроллеров 2, оба на server 2008r2
Вот некоторые результаты тестов:

Результат вывода dcdiag /e /v /q

За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... PDC - не пройдена проверка FrsEvent
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=DOMAIN,DC=Local
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=DOMAIN,DC=Local
......................... PDC - не пройдена проверка NCSecDesc
Не удалось запросить журнал событий File Replication Service на
сервере SDC.DOMAIN.Local, ошибка 0x6ba "Сервер RPC недоступен."
......................... SDC - не пройдена проверка FrsEvent
Не удалось запросить журнал событий Directory Service на сервере
SDC.DOMAIN.Local, ошибка 0x6ba "Сервер RPC недоступен."
......................... SDC - не пройдена проверка KccEvent
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=DOMAIN,DC=Local
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=DOMAIN,DC=Local
......................... SDC - не пройдена проверка NCSecDesc
Не удалось запросить журнал событий System на сервере SDC.DOMAIN.Local,
ошибка 0x6ba "Сервер RPC недоступен."
......................... SDC - не пройдена проверка SystemLog

Вывод repadmin /showrepl

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
MySite\PDC
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 948922e8-c0a7-4c64-b749-e1fbcd7a40d2
DSA - код вызова: 4932aa57-23ad-48cd-bb18-bbfd930e365c
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=DOMAIN,DC=Local
MySite\SDC через RPC
DSA - GUID объекта: a3b1d98c-9ed6-4381-8ca9-02691011e0f6
Последняя попытка @ 2019-01-11 10:58:17 успешна.
CN=Configuration,DC=DOMAIN,DC=Local
MySite\SDC через RPC
DSA - GUID объекта: a3b1d98c-9ed6-4381-8ca9-02691011e0f6
Последняя попытка @ 2019-01-11 10:50:07 успешна.
CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
MySite\SDC через RPC
DSA - GUID объекта: a3b1d98c-9ed6-4381-8ca9-02691011e0f6
Последняя попытка @ 2019-01-11 10:50:08 успешна.
DC=DomainDnsZones,DC=DOMAIN,DC=Local
MySite\SDC через RPC
DSA - GUID объекта: a3b1d98c-9ed6-4381-8ca9-02691011e0f6
Последняя попытка @ 2019-01-11 10:50:08 успешна.
DC=ForestDnsZones,DC=DOMAIN,DC=Local
MySite\SDC через RPC
DSA - GUID объекта: a3b1d98c-9ed6-4381-8ca9-02691011e0f6
Последняя попытка @ 2019-01-11 10:50:08 успешна.

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
__________________________________________________ _______________
Домен: DOMAIN.Local

SDC PASS PASS PASS PASS WARN PASS n/a
PDC PASS PASS PASS PASS WARN PASS n/a

......................... DOMAIN.Local - пройдена проверка DNS

 

[apache]

похоже не работает репликация папки SYSVOL

Посмотрите кто является инициатором репликации для Sysvol. Похоже что каждый из серверов не может инициировать репликацию из-за отсутствия primary member.
Проверить это можно с помощью ADSI, контекст Domain Naming -> System -> File Replication Service -> Domain System Volume.
Зайдите в свойства папки Domain System Volume и проверьте параметр fRSPrimaryMember.
Если параметр стоит null, то сделайте следующее:

1. Остановите службу File Replication Service (NtFrs) на обоих серверах

2. На контроллере, который вы хотите назначить инициатором репликации папки Sysvol пропишите параметр fRSPrimaryMember в формате CN=ИМЯ_СЕРВЕРА,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=ДОМЕН,DC=ДОМЕН (например CN=Server,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=msft,DC=com)

3. На инициаторе репликации пропишите в реестре параметр D4 (http://support.microsoft.com/kb/290762)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

• D2, also known as a nonauthoritative mode restore
• D4, also known as an authoritative mode restore

4. На другом сервере пропишите параметр D2

5. Запустите службу NtFrs на инициаторе репликации, а потом на втором сервере.

 

[Nick]

Начал разбираться какой тип репликации sysvol у меня используется, зашел в ADSIedit.msc в Default Naming Context -> Domain Name — > CN=System -> CN=File Replication Service
Обнаружил там несуществующий контроллер домена. Можно ли его удалить из adsiedit ?:wtf:

 

[UEF]

Начал разбираться какой тип репликации sysvol у меня используется, зашел в ADSIedit.msc в Default Naming Context -> Domain Name — > CN=System -> CN=File Replication Service
Обнаружил там несуществующий контроллер домена. Можно ли его удалить из adsiedit ?:wtf:

Есть ли ошибки в журналах КД в журнале Служба репликации файлов ?

 

[Nick]

Event id 13508

Служба репликации файлов столкнулась с проблемами при включении репликации с "SDC" на "PDC" для "c:\windows\sysvol\domain", использующего DNS-имя "SDC.DOMAIN.Local". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя "SDC.DOMAIN.Local" с этого компьютера.
[2] FRS не запущена на "SDC.DOMAIN.Local".
[3] Сведения о топологии в доменных службах Active Directory для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

EventID 13559

Служба репликации файлов обнаружила что путь к корню репликации изменен с "c:\windows\sysvol\domain" на "c:\windows\sysvol\domain". Если это сделано умышленно, то в новом корне необходимо создать файл с именем NTFRS_CMD_FILE_MOVE_ROOT.
Это было обнаружено для следующего набора реплик:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Изменение пути к корню реплики является двухэтапным процессом, который запускается при создании файла NTFRS_CMD_FILE_MOVE_ROOT file.

[1] Во время первого опроса, который происходит в течение 5 минут, этот компьютер будет удален из набора реплик.
[2] Во время следующего опроса, этот компьютер будет вновь добавлен к набору реплик с новым путем к корню. Повторное добавление запустит полную синхронизацию дерева для данного набора реплик. После этой синхронизации все файлы будут находится на новом месте. Удалять те же файлы из их прежнего местоположения зависит от того, нужны они еще там или нет.

Event ID 13509

Служба репликации файлов разрешила репликацию с SDC на PDC для c:\windows\sysvol\domain после нескольких повторных попыток.

 

[Engineer]

Скорее всего, проблемы с настройкой брандмауэров на обоих КД. Как вариант попробуйте их временно отключить и повторить проверку.