Olá pessoal !
Estou trazendo aqui para vocês a solução de um problema que deixa muita gente de cabelos em pé no Active Directory, as falhas de Replicação entre Domain Controllers.
Muitas vezes essas falhas podem vir a ocorrer devido à queda de link de dados, que se prolongada, pode ocasionar na quebra do Secure channel pela perda do ticket de Kerberosdo Windows.
Nesse caso vou demonstrar com logs retirados de servidores reais, em produção, que tiveram seus nomes substituídos por ABSOLUTITDC:
Log extraído com o comando DCDIAG:
==== INBOUND NEIGHBORS ======================================
CN=Schema,CN=Configuration,DC=AbsolutIt,DC=MSFT
ANGELICA\ ABSOLUTITDC -01 via RPC
objectGuid: 1a263f6a-5546-43e4-a0ce-c8fa9fabc50d
Last attempt @ 2012-06-23 11:58.27 was successful.
ANGELICA \ ABSOLUTITDC -02 via RPC
objectGuid: 3fbc666b-a6af-448e-b56d-f190f1aaaa05
Last attempt @ 2012-06-23 11:58.27 was successful.
CASAVERDE\ABSOLUTITDC-03 via RPC
objectGuid: 76c6424f-68a4-484d-8ce0-ac10a7e1997d
Last attempt @ 2012-06-23 12:31.44 failed, result 5:
Access is denied.
Last success @ 2012-06-17 01:07.57.
1244 consecutive failure(s).
==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============
CN=Schema,CN=Configuration, DC=AbsolutIt,DC=MSFT
ANGELICA\ ABSOLUTITDC -01 via RPC
objectGuid: 1a263f6a-5546-43e4-a0ce-c8fa9fabc50d
ANGELICA\ ABSOLUTITDC -02 via RPC
objectGuid: 8025d5a8-4bed-460b-a0c6-4ba25017ff69
CASAVERDE\ABSOLUTITDC-03 via RPC
objectGuid: 76c6424f-68a4-484d-8ce0-ac10a7e1997d
******************************************************************************************************
Vamos aos procedimentos a serem executados:
Instalar o Support Tools(Caso seja Windows 2000/2003);
Executar o comando DCDIAG no Domain Controller principal ( FSMO ) – Caso não saiba qual é o DC que possui as regras de FSMO, execute o comando Netdom query fsmo
No nosso caso, o FSMO é o AbsolutDC-01.
Redefinida a conta do DC AbsolutDC-03 no DC AbsolutDC-01 e DC-02e vice e versa:
> netdom resetpwd /server: AbsolutDC-01 /userd:rede\Administrator /passwordd:* (solicita a senha da conta informada)
> netdom resetpwd /server: AbsolutDC-03 /userd:rede\ Administrator /passwordd:* (solicita a senha da conta informada)
> netdom resetpwd /server: AbsolutDC-02 /userd:rede\ Administrator /passwordd:* (solicita a senha da conta informada)
Executado o tshooting dos serviços do DC:
>dcdiag /fix
>repadmin /syncall
>repadmin /showreps
Redefinido o sincronismo de horário entre os DC’s.
Após executar os passos acima, seus Domain Controllers voltarão a replicar corretamente, sem erros.
Um abraço a todos,
Rodrigo Lopes
Absolut IT Soluções em Suporte e Tecnologia | Microsoft Partner
MCT | MCITP | Enterprise, Server, Lync and Virtualization Administrator, MCSA, MCTS | Active Directory, MCTS | Windows Server 2008 Virtualization, MCDST
Angelo Máximo Moreira Silva
14/07/2012 at 07:52
Muto bom Rodrigo. Realmente problemas de replicação são uma dor de cabeça para os administradores. Esse artigo acaba de entrar para minha lista de Tshoot.
Parabéns !
Leandro
15/07/2012 at 11:43
Só fiquei com uma pequena dúvida, na parte de redifinir a conta dos DC’s é para ser executado em cada DC o comando de reset para os outros dois?
assim:
DC01 eu executo o comando para o DC 2 e DC 3
DC02 eu executo o comando para o DC 1 e DC 3
DC03 eu executo o comando para o DC 1 e DC 2
Rodrigo Lopes
15/07/2012 at 12:29
Fala Leandro !
O reset deve ser feito em todos os DC´s porém, somente na conta do DC que apresenta problemas de replicação.
No exemplo citado, o DC3 que apresentava problemas tinha connectors para os DC´s 01 e 02, por isso fiz o reset em todos eles, mas o que vai ditar seu Tshooting é a quantidade de connectors que seu DC afetado possui, ok?
Super abraço,
Rodrigo Lopes