Иметь DC, который недавно прошел тест на непрерывность бизнеса. Насколько я понимаю, на сервере (который является виртуальным) был создан моментальный снимок, тест проводился, когда связь между двумя сайтами была отключена, а затем был выполнен возврат к моментальному снимку. Теперь, когда ссылка восстановлена, я получаю уведомления через Solar Winds о том, что служба AD работает с ошибкой. При просмотре сервера служба NETLOGON приостановлена. Судя по журналам событий, это связано с неудачными повторными попытками репликации. Также есть уведомление о том, что AD был восстановлен неподдерживаемым методом (возможно, снимком).
Я попытался принудительно выполнить репликацию с помощью оснастки сайтов и служб, но это не удалось, заявив, что сервер в настоящее время отклоняет репликацию. Я могу проверить связь с сервером, хотя, как ни странно, он отвечает от сетевого адаптера 10.168.3, а не 10.168.50, как я ожидал. Однако оба IP-адреса могут быть опрошены, а сервер может быть подключен через RDP или консоль через vSphere.
Запуск repadmin / show различных сбоев, но я уверен, что это связано с каким-то исходным сбоем, который блокирует запуск службы репликации. Немного новичок в этом уровне устранения неполадок, но был бы благодарен за любую помощь, которая может быть мне предложена.
РЕДАКТИРОВАТЬ: Интересно, может ли это быть связано с откатом USN (?) /. Ссылка на КБ Вот
Ваша проблема почти наверняка связана с откатом USN. Возврат к моментальному снимку не является поддерживаемым методом восстановления контроллера домена. Чтобы решить эту проблему, выполните действия, описанные в статье базы знаний, на которую вы ссылались. Это будет включать понижение уровня DC, очистку метаданных, а затем его повышение.
Три вещи:
Если вы видите такие ошибки, никогда не пытайтесь принудительно реплицировать. Есть причина, по которой репликация была остановлена, и обычно она плохая.
Не используйте моментальные снимки на контроллере домена.
Вы же не хотите попасть в ситуацию, когда кто-то обнаружил старую копию постоянного тока, а теперь вы реплицируете объекты, которые должны исчезнуть. Если вы еще этого не сделали, вам следует включить строгую репликацию. Включение этого параметра на контроллере домена предотвращает входящую репликацию устаревших объектов из некорректного контроллера домена с устаревшим объектом.
Запуск контроллеров домена в Hyper-V
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28WS.10%29.aspx
Из статьи:
На всех контроллерах домена должна быть включена строгая согласованность репликации.
http://technet.microsoft.com/en-us/library/dd723692%28WS.10%29.aspx
Когда контроллер домена в вашей среде Active Directory отключен от топологии репликации на длительный период времени, все объекты, удаленные из AD DS на всех других контроллерах домена, могут остаться на отключенном контроллере домена. Такие объекты называются затяжными объектами. Когда этот контроллер домена повторно подключается к топологии репликации, он действует как исходный партнер репликации, у которого есть один или несколько объектов, которых у его конечных партнеров по репликации больше нет. Проблемы возникают, когда эти устаревшие объекты на исходном контроллере домена обновляются, и эти обновления отправляются путем репликации на контроллеры домена назначения. Конечный контроллер домена может ответить одним из двух способов:
Если на конечном контроллере домена включена строгая согласованность репликации, он распознает, что он не может обновить объект (поскольку объект не существует), и локально останавливает входящую репликацию раздела каталога с этого исходного контроллера домена.
Если на конечном контроллере домена не включена строгая согласованность репликации, он запрашивает полную реплику обновленного объекта, что добавляет устаревший объект в каталог.
Устаревший контроллер домена может хранить устаревшие объекты без заметного эффекта до тех пор, пока администратор, приложение или служба не обновят устаревший объект или не попытаются создать объект с тем же именем в домене или с тем же основным именем пользователя (UPN ) В лесу. Однако наличие устаревших объектов может вызвать проблемы, особенно если объект является участником безопасности. Следующие симптомы указывают на то, что контроллер домена имеет устаревшие объекты:
Удаленная учетная запись пользователя или группы остается в глобальном списке адресов (GAL) на компьютерах с Microsoft Exchange Server. Таким образом, хотя имя учетной записи отображается в глобальном списке адресов, попытки отправки сообщений электронной почты приводят к ошибкам.
Несколько копий объекта отображаются в средстве выбора объектов или глобальном списке адресов для объекта, который должен быть уникальным в лесу. Иногда появляются повторяющиеся объекты с измененными именами, вызывая путаницу при поиске в каталогах. Например, если относительное отличительное имя (также известное как DN) двух объектов не может быть разрешено, при разрешении конфликта к имени добавляется «* CNF: GUID», где * представляет собой зарезервированный символ, CNF - это константа, указывающая на разрешение конфликта. , а GUID представляет значение атрибута objectGUID.
Сообщения электронной почты не доставляются пользователю, чья учетная запись Active Directory является текущей. После повторного подключения устаревшего контроллера домена или сервера глобального каталога оба экземпляра объекта пользователя появляются в глобальном каталоге. Поскольку оба объекта имеют одинаковый адрес электронной почты, сообщения электронной почты не могут быть доставлены.
Универсальная группа, которой больше не существует, продолжает отображаться в токене доступа пользователя. Хотя группа больше не существует, если в учетной записи пользователя все еще есть группа в токене безопасности, пользователь может иметь доступ к ресурсу, который вы намеревались сделать недоступным для этого пользователя.
Невозможно создать новый объект или почтовый ящик Exchange, но вы не видите этот объект в AD DS. Сообщение об ошибке сообщает, что объект уже существует.
Поиски, использующие атрибуты существующего объекта, неправильно находят несколько копий объекта с тем же именем. Один объект был удален из домена, но остался на изолированном сервере глобального каталога.