På mine DC'ere får jeg løbende følgende fejl i event viewer'en:
Source: NTDS Replication Category: Replication Event ID: 1864
The local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals. More than 24 hours:1 More than a week:1 More than one month:1 More than two months:1 More than a tombstone lifetime:1 Tombstone lifetime (days):60 Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled. To identify the domain controllers by name, install the support tools included on the installation CD and run dcdiag.exe. You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest. The command is "repadmin /showvector /latency <partition-dn>".
Som jeg forstår det, så er der én eller flere DC'ere, som ikke er synkroniseret. Men jeg kan ikke finde ud af hvilke ?
Når jeg synkroniserer manuelt fra "Active Directory Sites and Servers", så får jeg ikke nogen fejl. Kører jeg kommandoen "repadmin /showvector /latency dc=domæne,dc=local", så får jeg en liste med en masse GUID'er og i enden af listen mine servere:
9d3820a5-575b-4dd5-bbf7-9eec7c388de5 @ USN 6283267 @ Time 2009-10-26 10:44:13
2b27cb49-f66c-4f6a-a04e-171cf92a3174 @ USN 2802120 @ Time 2010-01-11 16:21:36UK\UKAD01 @ USN 10951957 @ Time 2010-01-22 10:06:22
NO\NOAD01 @ USN 9606355 @ Time 2010-01-22 10:06:22
Jeg formoder at det det er serverne der vises som GUID'er den er gal med ? Jeg vil gerne have fjernet fejlen, men ved ikke rigtigt hvor jeg skal starte. Nogen gode forslag ?
:-) Jens
Microsoft Certified Technology Specialist (MCTS): Windows Server 2008 Active Directory, Configuration (83-640)
Hej JensHar du prøvet med AdFind?.Se nedenstående miniguide.http://blog.joeware.net/2009/10/04/1721/Edit: - Download linkhttp://www.joeware.net/freetools/tools/adfind/index.htm/Jesper
Hej.
Det er i denne sammenhæng vigtigt at skelne de forskellige typer "GUID" numre man opererer med iforbindelse med AD Replikering.
Nu er GUID numre jo ikke det mest intuitive at jonglere med :-), men det er nødvendigt for at forstå hvordan AD fungerer.
Man har grundlæggende 2 typer GUIDs pr. Domain Controller i AD'et.
Man har DSA Object GUID nummeret, som er statisk sålænge domain controlleren eksisterer som domain controller, uanset om den bliver "rullet" tilbage i tid (System State Backup restore f.eks.).Dette GUID nummer er også det GUID nummer du kan se i DNS som CNAME records under "_MSDCS.ForestFQDN"Domain Controllerne anvender dette nummer til at identificere hinanden under AD replikeringen.
Derudover har man også et DSA Invocation ID GUID nummer pr Instans af AD databasen, som bliver anvendt til at holde styr på USN numre og UpToDateness vectorer (UTDVEC). Dette GUID nummer ændres hvergang AD replikeringen "nul-stilles" imod en DC'er, ved f.eks. en system-state restore.
Disse 2 GUID numre kan du se på hver DC via kommandoen:
Repadmin /showrepl <DC-navn> (Det står på de først linjer)
Den samlede liste af InvocationIDs der har deltaget i replikeringen af en partition i AD'et kan du netop se med "Repadmin /showutdvec" kommandoen (meget lig Repadmin /showvector)Denne liste bliver der IKKE ryddet op i overhovedet, men er ikke noget man skal bekymre sig over, og er helt "by design".
Afhængigt af hvordan du har nedlagt gamle ikke eksisterende DC'ere så kan du se en "pænt" demotet DC'er optræde i "Repadmin /showutdvec" listen som "Retired". Dette sker når du har demotet eller restoret en DCer.Har du derimod været nødsaget til at foretage en Metadata Cleanup, vil du kun se GUID nummeret i listen.
Iforhold til det specifikke problem, så er det rigtigt at det ser lidt mistænkeligt ud med de 2 udgaver af DK-DC01 i listen, hvoraf den ene er klart "bagud" iforhold tli TombStoneLifetime (TSL)
Derudover er der også den DC'er som bliver rapporteret som "DOMAIN\LostAndFoundConfig", men denne er højst sandsynligt resultatet af det NTDSA object du har fundet i "LostAndFound" containeren i Configuration partitonen.
Kan du evt. løfte sløret for hvad der er sket med DK-DC01 omkring 2009-02-16 ? Blev den re-installeret med sammen navn igen ?
Du kan evt. også køre disse 2:
repadmin /showutdvec <dc-navn> "dc=domæne,dc=<...>" /nocache /latencyI denne liste bør du kunne finde InvocationID nummeret for DK-DC01 pr. 2009-02-16 15:44:25
Dernæst kan du se om du kan finde dette InvocationID via denne kommando:
adfind -config -f "objectClass=ntdsDSA" invocationID
HilsenPer Schou Christensen
Der står jo at den ikke har replikeret inden for tombstone alderen 60 dage, så vidt jeg husker så forhindrer den dig i at synkronisere, for forhindre problemer i dit AD. Vil sige at den sikreste løsning ville nok være at køre dcpromo forceremoval på de servere som fejler.
Jeg ville prøve at køre replmon, og tilføje de enkelte servere.. Der kan du se hvornår dine Dc'ere sidst har replikeret og med hvem.. Der burde du hurtigt kunne se hvilken DC det er som ikke har synket i længe.
Her er lidt mere læsning om dine to "Guids"
http://groups.google.com/group/microsoft.public.windows.server.active_directory/browse_thread/thread/4195522dc4e52d1c/2261955dbbcc246a?lnk=st&q=repadmin+showvector+guid&rnum=1&hl=en&pli=1
Eller fra EventID.net - ved ikke om du har kigget der ?
http://eventid.net/display.asp?eventid=1864&eventno=4849&source=NTDS%20Replication&phase=1
Peter Schmidt Microsoft MVP - IIS | Microsoft Certified Master: Exchange 2007 MCITP | MCSE: M+S+I | Blog: www.msdigest.net | DK UC BG: www.colabora.dk
Hej Jens !
Hvad med at "To identify the domain controllers by name, install the support tools included on the installation CD and run dcdiag.exe. You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest. The command is "repadmin /showvector /latency <partition-dn>"
Har du prøvet de kommandoer, for de skulle jo sige hvor problemet ligger ifølge MS. Alternativt den gamle metode, hvor du laver et object i AD på hver af dine DC'ere, og manuelt ser om de dukker op på alle øvrige DC'ere. Den/de DC'ere der ikke kommer noget til/fra, sikrer du at du har korrekte DNS opslag til, og i det tilfælde du har det, checkker du firewall's, evt. med den nye Netmon, alternativt med good old "Netstat -ano" og ser efter "SYN SENT" forbindelser. (Hvis replikeringen overhovedet forsøger mere efter tombstone er indtruffet for nogle DC'ere)
For fejlen ligger helt sikker i, at en eller flere DC'ere ikke kan/har kunnet se en eller flere andre. (DNS fejl, Netværksfejl/Firewall Blokering eller fejlkonfiguration af sites and services(nedtagne Bridgeheads, manuelle forbindelser etc.) eller en blanding af dem)
Og må jeg være så kæk at foreslå overvågning af dine DC'ere... Ikke for at gnide salt i noget sår, sleeet ikk :-)
c") Peace Out.. Mvh. Jan.
Btw. Den der kommer først til møllen, får sin sæk nederst i bunken... No worry, dont hurry !
Hej Jan,
Jan:Har du prøvet de kommandoer, for de skulle jo sige hvor problemet ligger ifølge MS
Jeg har installeret support tools og jeg prøvet diverse kommandoer, men ingen af dem giver et unikt svar, som jeg kan bruge til at sige at det er lige nøjagtigt den server, jeg får kun at vide at der er noget galt.... Jeg er igang med Replmon, som Claus har foreslået. Problemet er at jeg har en del DC'ere, og opdatering tager laannnngggg tid....
Jan:Alternativt den gamle metode, hvor du laver et object i AD på hver af dine DC'ere, og manuelt ser om de dukker op på alle øvrige DC'ere.
Udemærket forslag, men jeg har desværre alt for mange DC'ere til at det er muligt. Hvis jeg havde et par stykker, kunne det måske, men der er flere en du kan tælle på 2 hænder :-)
Jeg tror at fejlen er opstået fordi at nogle servere ikke er fjernet korrekt i sin tid.
Umiddelbart ser det ud til at Replmon kan være det værktøj der kan vise mig, hvilken server der drejer sig om, men det tager altså lige noget tid før jeg har været alle igennem.
Tak til alle for indspark. Kan ihvertfald anbefale alle med flere DC'ere på flere lokationer at tage et kig på Replmon. Jeg vender tilbage med info når jeg ved mere. Indtil da er alle velkommne til at komme med yderligere forslag.
Hej Jesper,
Super kanon værktøj......
Jeg får følgende output:
AdFind V01.40.00cpp Joe Richards (joe@joeware.net) February 2009
Using server: dc01.domæne.local:389Directory: Windows Server 2003Base DN: CN=Configuration,DC=DOMÆNE,DC=LOCAL
dn:CN=Configuration,DC=DOMÆNE,DC=LOCAL>msDS-NCReplCursors;binary: 185233 2008/06/30-14:45:43 DOMÆNE\LOSTANDFOUNDCONFIG
Der udover lister den alle mine servere, og de er alle fuldstændig up to date.
Kigger jeg i ADSIedit i CN=LostAndFoundConfig, så ser jeg følgende:
CN=DC02 nTDSConnection CN=DC02,CN=LostAndFoundConfig,CN=Configuration,DC=DOMÆNE,DC=LOCALCN=DC03 nTDSConnection CN=DC03,CN=LostAndFoundConfig,CN=Configuration,DC=DOMÆNE,DC=LOCALCN=NTDS Settings nTDSDSA CN=NTDS Settings,CN=LostAndFoundConfig,CN=Configuration,DC=DOMÆNE,DC=LOCAL
Det ligner for mig indstillinger for synkroniserings "Connections" i AD Site and Services. Der er oprettet synkroniserings connections til begge servere i AD sites and services, så det ligner dobbelte records.
Spørgsmålet er så om jeg kan slette ovenstående med ADSIedit ? Hvad vil det have af konsekvenser ?
Hej JensJa, noget kunne tyde på at det er leftovers for en metadata cleanup.Men for at være helt sikker ville jeg gøre følgende:Kør kommandoen repadmin /showvector /latency dc=domæne,dc=local, som du har anvendt tidligere.Noter de guid som er over tombstone lifetime.Start DNS manager - Forward lookup zone - _msdscSe om disse guid lægger der og matcher server navn i LostAndFoundConfig.Kør herefter for god ordens skyld nedenstående kommando og se om den finder nogle DC over tombstone lifetimeRepadmin/replsum /bysrc /bydest /sort:deltaHvis intet af ovenstående er tilfældet vil jeg mene det er sikkeret at slette dem.Når de er slettet ville jeg køre kommandoen DCDIAG /V /C /E og se om der generes yderligere fejlAfslut det hele med en manuel synkronisering som feks repadmin /syncall /A /e /P/Jesper
Jesper Ravn:Kør kommandoen repadmin /showvector /latency dc=domæne,dc=local, som du har anvendt tidligere.Noter de guid som er over tombstone lifetime.
Når jeg gør det, så får jeg en liste med en masse GUID, ind imellem én af mine DC'ere (DK-DC01), som alle er over tombstone. Lige under kommer så mine servere listet med navn, ikke GUID. De har korrekt tid, bortset fra én (IT-DC01). Den er listet 2 gange. Udfor den første, står der (retired).
50e36e9a-7420-4725-a8b5-4ac0c632dac6 @ USN 45309 @ Time 2004-09-23 08:36:39
a7c3112f-139c-4ff6-9ae3-2e6edc4f7702 @ USN 27962 @ Time 2004-09-23 13:06:01
172f191f-da1f-4d7d-81b7-a0165ec0ab37 @ USN 27960 @ Time 2004-09-23 14:27:52
b452b308-03ba-4fa9-9fd0-783e5f82ca73 @ USN 28759 @ Time 2004-09-24 08:58:33
cc818c3e-fffa-43cf-8aff-088410138ce2 @ USN 28031 @ Time 2004-09-24 09:52:59
f385a1c8-87ea-4353-9c2c-8dc12dd0ecf1 @ USN 28109 @ Time 2004-09-24 12:36:59
43298bdf-27c9-4f46-b980-8cb8a171ed83 @ USN 24723 @ Time 2004-09-24 14:53:40
fac3967c-bf09-4e24-86f1-2afa0b483dcd @ USN 25171 @ Time 2004-09-27 11:12:57
e4b2c390-a2be-4597-8fca-22e0bd76e366 @ USN 29054 @ Time 2004-10-01 11:48:20
7e2a1754-1273-41ae-8294-00ed6fd688c5 @ USN 16492 @ Time 2004-12-16 13:45:29
3a5e1c8b-e030-4a0a-843e-f00becdb79c4 @ USN 25015 @ Time 2004-12-17 14:36:01
df424c35-fdbd-42c6-a75d-1b2af9406274 @ USN 20491 @ Time 2005-06-30 14:50:00
69c36dc0-7710-4f81-933e-9be2b28375e4 @ USN 98055 @ Time 2005-10-04 11:17:27
b3d796cb-5e53-4b42-b30b-fc6e2ffc19ea @ USN 20776 @ Time 2005-10-05 10:10:47
08a578cf-332c-42fc-b097-ed28e67550dd @ USN 28829 @ Time 2005-11-15 08:58:51
3138ebc9-193b-469f-a5fd-bf1cc501d74b @ USN 21429 @ Time 2005-12-05 08:45:39
41eb7638-2fb2-4bfa-9636-f9bc169cd1b8 @ USN 92001 @ Time 2006-01-12 09:47:18
69f9a781-cf87-4f3d-ad42-3cbcfecf9369 @ USN 1277442 @ Time 2006-01-12 11:21:01
307b29b5-631e-4715-9f4b-bf783925c439 @ USN 20799 @ Time 2006-01-12 12:43:05
2dce11a6-a8c1-4269-8ee5-c1a5e6cbfaff @ USN 1261595 @ Time 2006-03-14 14:47:40
05d084f2-a743-4d2d-96f3-5e48bd25392b @ USN 20917 @ Time 2006-09-06 13:05:13
7b892005-b8f7-428d-bc33-3ced9af6e49d @ USN 62424 @ Time 2007-02-28 08:49:46
23ff486b-1992-4df5-8ea4-9e3f1c5ea566 @ USN 1531960 @ Time 2007-12-05 22:40:02
6a5f5f46-e8bd-4c60-aa6a-2bfbbd03ef99 @ USN 28709 @ Time 2008-03-14 11:14:03
9e37776c-0b68-40c1-9c4d-5d4f352332c3 @ USN 33097 @ Time 2008-03-17 14:37:12
4c691429-8b5b-4044-a404-aa86eeb03b47 @ USN 49430 @ Time 2008-03-18 11:41:41
868afba2-202a-4c3f-bd1b-849e9d1ca2a7 @ USN 49560 @ Time 2008-03-18 12:30:49
DOMAIN\LostAndFoundConfig @ USN 185270 @ Time 2008-06-30 15:59:42
e3a3eef4-e6cf-4129-976e-919c4953f981 @ USN 404974 @ Time 2008-08-08 14:18:28
f31f374f-301e-4629-aedf-6afd74265c27 @ USN 45277 @ Time 2008-09-01 12:08:53
323158ce-21f7-45c0-8a38-75fb71eddfcd @ USN 377393 @ Time 2008-09-30 14:37:22
5a934c31-a844-40f0-a30e-d0f992e47233 @ USN 54735 @ Time 2008-10-20 11:58:13
6c63950c-3462-4d50-96ea-c4011cd1257d @ USN 173700 @ Time 2008-10-24 14:25:37
ba284de4-7264-4df2-8786-2cac67dddb82 @ USN 74333 @ Time 2008-11-03 12:55:56
49f1b33e-ee23-484f-814e-4521e047ba2b @ USN 65761 @ Time 2008-11-05 22:33:01
26eabfb8-44b5-457c-9b74-e0d385bb3027 @ USN 365507 @ Time 2008-11-10 15:47:49
0c8dc056-6d61-4da9-8de0-0929efd7e811 @ USN 348199 @ Time 2008-11-11 16:02:20
075fc174-ef1d-4de5-8243-8f02121b4839 @ USN 126947 @ Time 2008-11-25 15:37:21
2f3c635f-b5bf-4b78-b6df-6468f2825fa1 @ USN 4102869 @ Time 2009-01-13 08:16:45
68820ce2-a966-4027-9de7-0328fad2fe26 @ USN 37810 @ Time 2009-01-17 01:26:04
0566225b-78c6-49a4-aea5-349a6de35fb4 @ USN 45358 @ Time 2009-01-24 01:41:07
DK\DK-DC01 @ USN 70144729 @ Time 2009-02-16 15:44:25
a2d214e8-d59d-4912-afa1-7e0568b35238 @ USN 4568553 @ Time 2009-05-07 23:13:53
09e25b8d-9bdc-47a7-a641-7bf2af64bb49 @ USN 5434614 @ Time 2009-07-19 06:06:34
732936e6-c382-40fc-bf47-18143b87fceb @ USN 67137 @ Time 2009-07-20 08:52:21
1f8c7bc4-2d2e-4aa1-b9a3-f1b839dad2b8 @ USN 77892 @ Time 2009-08-14 14:51:18
2b27cb49-f66c-4f6a-a04e-171cf92a3174 @ USN 2802120 @ Time 2010-01-11 16:21:36
IT\IT-DC01 (retired) @ USN 23847137 @ Time 2010-01-12 16:07:20
SG\SG-DC01 @ USN 11832399 @ Time 2010-01-28 08:38:19
UK\UK-DC01 @ USN 9663597 @ Time 2010-01-28 08:40:04
NL\NL-DC01 @ USN 7870185 @ Time 2010-01-28 08:40:05
NO\NO-DC01 @ USN 5316944 @ Time 2010-01-28 08:40:05
RU\RU-DC01 @ USN 3857608 @ Time 2010-01-28 08:40:05
EE\EE-DC01 @ USN 10481685 @ Time 2010-01-28 08:40:05
SE\SE-DC01 @ USN 10445807 @ Time 2010-01-28 08:40:05
FI\FI-DC01 @ USN 11010778 @ Time 2010-01-28 08:40:05
ES\ES-DC01 @ USN 5472731 @ Time 2010-01-28 08:40:06
UK\UK-DC02 @ USN 10080073 @ Time 2010-01-28 08:40:06
ES\ES-DC01 @ USN 6130134 @ Time 2010-01-28 08:40:07
DK\DK-DC03 @ USN 14874772 @ Time 2010-01-28 08:40:07
ES\ES-DC01 @ USN 8971488 @ Time 2010-01-28 08:40:07
NO\NO-DC02 @ USN 10159657 @ Time 2010-01-28 08:40:07
DE\DE-DC01 @ USN 5270319 @ Time 2010-01-28 08:40:07
US\US-DC01 @ USN 6109699 @ Time 2010-01-28 08:40:07
SA\SA-DC01 @ USN 10876748 @ Time 2010-01-28 08:40:14
SA\SA-DC02 @ USN 1515136 @ Time 2010-01-28 08:40:15
UK\UK-DC03 @ USN 10924333 @ Time 2010-01-28 08:40:15
AE\AE-DC01 @ USN 6974335 @ Time 2010-01-28 08:40:15
IS\IS-DC01 @ USN 10866359 @ Time 2010-01-28 08:40:16
HK\HK-DC01 @ USN 11111453 @ Time 2010-01-28 08:40:16
DE\DE-DC02 @ USN 10748976 @ Time 2010-01-28 08:40:16
NO\NO-Dc03 @ USN 4875504 @ Time 2010-01-28 08:40:16
TR\TR-DC01 @ USN 5324067 @ Time 2010-01-28 08:40:17
NL\NL-DC02 @ USN 7737222 @ Time 2010-01-28 08:40:17
TH\TH-DC01 @ USN 17316188 @ Time 2010-01-28 08:40:18
IT\IT-DC02 @ USN 10066393 @ Time 2010-01-28 08:40:18
UK\UK-DC04 @ USN 882670 @ Time 2010-01-28 08:40:18
FR\FR-DC01 @ USN 6038329 @ Time 2010-01-28 08:40:18
BE\BE-DC01 @ USN 7311259 @ Time 2010-01-28 08:40:19
FR\FR-DC01 @ USN 3568732 @ Time 2010-01-28 08:40:19
ES\ES-DC01 @ USN 5296747 @ Time 2010-01-28 08:40:19
UK\UK-DC04 @ USN 2311976 @ Time 2010-01-28 08:40:19
US\US-DC02 @ USN 6042925 @ Time 2010-01-28 08:40:20
IT\IT-DC01 @ USN 24017951 @ Time 2010-01-28 08:40:20
US\US-DC03 @ USN 6614010 @ Time 2010-01-28 08:40:21
FR\FR-DC02 @ USN 9706257 @ Time 2010-01-28 08:40:21
NO\NO-DC04 @ USN 6353148 @ Time 2010-01-28 08:40:21
CN\CN-DC01 @ USN 11598287 @ Time 2010-01-28 08:40:22
DK\DK-DC01 @ USN 101172185 @ Time 2010-01-28 08:49:54
DK\DK-DC02 @ USN 65936806 @ Time 2010-01-28 08:49:55
DK\DK-DC04 @ USN 25428987 @ Time 2010-01-28 08:50:06
Hvilke skal fjernes, og hvordan får jeg dem fjernet ?
Jesper Ravn:Start DNS manager - Forward lookup zone - _msdsc. Se om disse guid lægger der og matcher server navn i LostAndFoundConfig
Jeg kan ikke finde nogen af GUID'erne i DNS.....
Jesper Ravn:Kør herefter for god ordens skyld nedenstående kommando og se om den finder nogle DC over tombstone lifetimeRepadmin/replsum /bysrc /bydest /sort:delta
Denne får jeg ingen fejl på. Den melder korrekt alle mine servere. I rækken fails er der 0 ud for alle. Det samme i % errors.
Hej JensDe cached guid er historiske i forhold til removed eller restored domain controllers.Jeg mener ikke du kan fjerne dem.Men det er er heller ikke disse guid der giver dig problemet. Jeg har dem også i mit domæne.Se først dette link.http://technet.microsoft.com/en-us/library/bb727059.aspxHvis det er udfaset objekter ville jeg slette dem fra LostAndFoundConfig via ADSIedit og kører en manuel replikering igen.Kør forinden en system state backup :-)/Jesper
Hej Per,
perSCHOU:Kan du evt. løfte sløret for hvad der er sket med DK-DC01 omkring 2009-02-16 ? Blev den re-installeret med sammen navn igen ?
Nej, desværre. Jeg var ikke ansat dengang og ingen af mine andre kollegaer kan huske noget.
perSCHOU: repadmin /showutdvec <dc-navn> "dc=domæne,dc=<...>" /nocache /latencyI denne liste bør du kunne finde InvocationID nummeret for DK-DC01 pr. 2009-02-16 15:44:25 Dernæst kan du se om du kan finde dette InvocationID via denne kommando: adfind -config -f "objectClass=ntdsDSA" invocationID
Det er nøjagtigt det samme invocationID der kommer frem for serveren i listen. Altså både for den gamle dato og for den nye dato.
Jeg føler mig på herrens mark omkring dette. Har læst mig igennem masser af AD sider på technet og andre steder. Ingen giver umiddelbart noget fornuftigt forslag til at løse problemer som dette. Jeg er meget taknemlig for jeres gode indspark, det er simpelthen uvurderligt :-)
Jeg har nu fået løst mit replikeringsproblem. Det var som jeg også mistænkte de gamle records der lå i LostAndFoundConfig. Nu replikerer alle mine server fint (checker jævnligt med replmon), på nær selvfølgelig når der ikke er en ordentligt TCP/IP forbindelse, pga. for høj latency eller manglende forbindelse etc.
Tusind tak til alle for kompetent hjælp, specielt Jesper Ravn der henviste til Adfind værktøjet, som var særdeles brugbart og til Per Schou for super beskrivelse af GUID'er, DSA objecter osv.
Dette forum er simpelthen guld værd!
Go' weekend!