Todos os DCs falharem VerifyEnterpriseReferences e DNS RReg Test - Tudo o resto funciona, incluindo replicação para um novo DC

Question

Todos os DCs falharem VerifyEnterpriseReferences e DNS RReg Test - Tudo o resto funciona, incluindo replicação para um novo DC

#1 resposta do (2 votos)

3

Então, recentemente adicionamos um novo DC ao nosso domínio (Win 2008 R2 Enterprise) com a idéia de substituir o nosso Win 2008 R2 Standard DC por um segundo Enterprise - o que nos dará os 2 DCs no 2008 R2 Enterprise. / p>

Ao adicionar esse CD, também aumentamos o nível de floresta e domínio de 2003 a 2008.

Tudo se reproduziu bem, tanto quanto eu posso dizer. Nenhum problema com o AD, SYSVOL ou qualquer outra coisa.

Estou certificando-me de que tudo está bem e firme antes de rebaixar a caixa 2008 R2 Standard.

Todos os DCs falham no teste VerifyEnterpriseReferences com a seguinte saída:

   Starting test: VerifyEnterpriseReferences
     The following problems were found while verifying various important DN
     references.  Note, that  these problems can be reported because of
     latency in replication.  So follow up to resolve the following
     problems, only if the same problem is reported on all DCs for a given
     domain or if  the problem persists after replication has had
     reasonable time to replicate changes. 
        [1] Problem: Missing Expected Value
         Base Object: CN=DC2008S-0,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        [2] Problem: Missing Expected Value
         Base Object:
        CN=DC2008E-0,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        [3] Problem: Missing Expected Value
         Base Object:
        CN=DC2008E-1,OU=Domain Controllers,DC=domain,DC=com
         Base Object Description: "DC Account Object"
         Value Object Attribute Name: msDFSR-ComputerReferenceBL
         Value Object Description: "SYSVOL FRS Member Object"
         Recommended Action: See Knowledge Base Article: Q312862

        LDAP Error 0x20 (32) - No Such Object. 
     ......................... DC2008S-0 failed test VerifyEnterpriseReferences

Além disso, o teste DNS RReg falha - eu não examinei isso ainda com tantos detalhes, mas ele está incluído no relatório dcdiag, então acho que vou adicioná-lo aqui por enquanto

     Summary of DNS test results:


                                        Auth Basc Forw Del  Dyn  RReg Ext
        _________________________________________________________________
        Domain: domain.com

           DC2008S-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-1                    PASS PASS PASS PASS PASS FAIL n/a  

     Total Time taken to test all the DCs:2 min. 52 sec.

     ......................... domain.com failed test DNS

O erro aponta para um artigo da base de conhecimento para o servidor 2003 link

Que eu ainda tentei acompanhar, só para ver o que encontraria.

A referência do servidor parece estar preenchida em todos os nossos DCs. (ASDIEdit, domínio raiz, contexto de nomenclatura padrão, CN = Sistema, CN = Serviço de Replicação de Arquivo, CN = Volume do Sistema de Domínio (compartilhamento SYSVOL), todos os 3 DCs são listados como nTFRSMember e os atributos têm detalhes preenchidos em serverReference. / p>

Ele não corresponde completamente ao que eu tirei, mas não tenho 100% de certeza de que estou procurando exatamente os lugares certos:

CN=NTDS Site Settings,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

CN=NTDS Settings,CN=DC2008S-0,CN=Servers,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

Mas o segundo valor é verdadeiro (com diferentes nomes de DC) para todos os 3 CDs.

Se eu executo o ntfrsutl ds, eu recebo a saída (nula):

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
   FRS  DomainControllerName: (null)
   Computer Name            : DC2008E-0
   Computer DNS Name        : DC2008E-0.domain.com

E essa saída é verdadeira em todos os 3 CDs também.

Novamente - até onde eu sei, tudo parece estar funcionando muito bem. Nós flutuamos o novo DC e atualizamos os níveis funcionais 5 dias atrás agora. Não sei por que estou tendo essas falhas e gostaria de limpá-las antes de continuar com o descomissionamento.

Detalhes adicionais:

Eu executei o script "Testando a latência / convergência de replicação do SYSVOL por meio do PowerShell" e tudo parece ter surgido rosas:

Name                      PDC   Site Name  DS Type    IP Address OS Version
----                      ---   ---------  -------    ---------- ----------
DC2008S-0.domain.com      FALSE sitename   Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      TRUE  sitename   Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      FALSE sitename   Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

O que está correto e o relatório cuspiu um resultado positivo!

  ====================== CHECK 6 ======================

  REMARK: Each DC In The List Below Must Be At Least Accessible Through SMB Over TCP (445)

  * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Exists In The NetLogon Share

  * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

  * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
     - DC Is Reachable...
     - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

  Start Time......: 2018-09-26 16:38:05
  End Time........: 2018-09-26 16:38:11
  Duration........: 6.20 Seconds

  Deleting Temp Text File...

  Temp Text File [sysvolReplTempObject20180926163805.txt] Has Been Deleted On The Target RWDC!


Name                                    Site Name  Time
----                                    ---------  ----
DC2008E-1.domain.COM [SOURCE RWDC]      sitename    0
DC2008S-0.domain.com                    sitename    6.17
DC2008E-0.domain.com                    sitename    6.20

Mais detalhes:

Eu também executei o script "Testando a latência / convergência de replicação do Active Directory por meio do PowerShell" para verificar a replicação do AD

Name                      Domain        GC   FSMO                Site Name  DS Type    IP Address OS Version
----                      ------        --   ----                ---------  -------    ---------- ----------
DC2008S-0.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      domain.com   TRUE  SCH/DNM/PDC/RID/INF sitename Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

Todos os DCs aparecem corretos na floresta e, em seguida, na verificação de domínio (saída de domínio listada acima. Vêem que todos eles têm um catálogo global e DC2008E-0 tem todas as funções de FSMO)

====================== CHECK 15 ======================

  REMARK: Each DC In The List Below Must Be At Least Accessible Through LDAP Over TCP (389)
  REMARK: Each GC In The List Below Must Be At Least Accessible Through LDAP-GC Over TCP (3268)

  * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Exists In The Database

  * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

  * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
     - DC Is Reachable...
     - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

  Start Time......: 2018-09-26 16:49:16
  End Time........: 2018-09-26 16:49:32
  Duration........: 15.59 Seconds

  Deleting Temp Contact Object...

  Temp Contact Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Has Been Deleted On The Target RWDC!


Name                                    Domain        GC   Site Name   Time
----                                    ------        --   ---------   ----
DC2008E-1.domain.COM [SOURCE RWDC]     domain.com    TRUE sitename     0
DC2008E-0.domain.com                   domain.com    TRUE sitename    15.59
DC2008S-0.domain.com                   domain.com    TRUE sitename    2.20

Novamente, tudo parece estar se replicando bem. Ou são 15 segundos considerados longos demais? Esse atraso está me causando agita no teste dcdiag?

Outra atualização!

Eu verifiquei que o número de série SOA em cada zona em cada DC corresponde.

Eu também passei por todos os subdiretórios e registros na zona _msdcs e tudo o que também corresponde a 100%.

active-directory windows-server-2008 domain-controller file-replication-services

por Sam K 26.09.2018 / 19:01

1 resposta

Tags active-directory windows-server-2008 domain-controller file-replication-services

Orquestrador Lightweight Docker para servidor único NTP com autenticação no sistema Windows

score 2 · Accepted Answer

Parece que você está tendo um problema de replicação do SYSVOL, eu recomendo usar a seguinte ferramenta Powershell para testar a replicação do SYSVOL: link

Depois de confirmar que a replicação SYSVOL tem um problema, você pode resolver executando uma restauração SYSVOL não autoritativa. link

Se não autoritativo não funcionar, você pode usar uma restauração autoritativa, mas tenha cuidado, pois isso é mais perigoso.

Depois de ter resolvido a replicação do SYSVOL, recomendo fazer uma migração da replicação do FRS para a replicação do DFS-R. link

Para referência, há também um conjunto de etapas de ressincronização do DFS-R, se necessário: link

Jorge também fornece um script powershell de verificação de replicação do ADDS que eu recomendaria executar: link

As pessoas geralmente esquecem que a replicação do Active Directory é feita de duas metades separadas, ADDS e SYSVOL. Se um dos lados falhar, você terá grandes problemas. Além disso, FRS e DFS-R são infames por falharem silenciosamente, com consequências desastrosas para o GPO. O lado ADDS dos GPOs corresponderá entre os DCs, mas o lado do SYSVOL (que contém as instruções reais do GPO) não será.

Não tenho certeza sobre o problema do RREG, mas confirmo que suas zonas de pesquisa de DNS reverso estão configuradas e replicando corretamente. Você pode confirmar os números de série da zona entre os dois DCs para convergência. Além disso, revise a zona de encaminhamento _msdcs em busca de erros, incluindo entradas NS incorretas.

Após mais discussões com o OP, encontrei este link: link

Parece que seu erro original "teste com falha VerifyEnterpriseReferences" é um erro conhecido e esperado após a migração de um domínio do nível de 2003 para o nível de 2008, mas antes de migrar do FRS para a replicação DFS-R SYSVOL. O erro pode ser ignorado com segurança, mas as práticas recomendadas envolvem a conclusão da migração do DFS-R.