Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.
В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:
- Error 2146893022 (главное конечное имя неверно);
- Error 1908 (не удалось найти контроллер домена);
- Error 8606 (недостаточно атрибутов для создания объекта);
- Error 8453 (доступ к репликации отвергнут).
Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.
Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.
 |
| Рисунок. Архитектура леса |
Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.
|
|
| Экран 1. Два недостающих контроллера домена |
В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.
|
|
| Экран 2. Статус репликации контроллеров домена |
Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.
|
|
| Экран 3. Ошибки репликации, возникающие в лесу Contoso |
Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:
Repadmin /showrel * /csv > ShowRepl.csv
Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:
- Из меню Home щелкните Format as table и выберите один из стилей.
- Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
- Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
- Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
- Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
- Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.
Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:
1. Перейдите к приглашению PowerShell и введите команду
Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView
2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.
3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.
4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.
|
|
| Экран 4. Задание фильтра |
Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.
Исправление ошибки AD Replication Error -2146893022
Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:
Repadmin /showrepl dc2
На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.
|
|
| Экран 5. Проблема с DC2 — целевое основное имя неверно |
Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:
Repadmin /bind DC1
На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:
Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»
И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).
|
|
| Экран 6. Сообщение о событии с Event ID 4 |
Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:
Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers, dc=root,dc=contoso,dc=com» > dc1objmeta1.txt
Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers, dc=root,dc=contoso,dc=com» > dc1objmeta2.txt
Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.
KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:
Net stop kdc
Теперь требуется начать репликацию корневого раздела Root:
Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»
Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:
Net start kdc
Обнаружение и устранение ошибки AD Replication Error 1908
Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:
Nltest /dbflag:2080fff
Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:
Repadmin /replicate dc1 childdc1 dc=child,dc=root, dc=contoso,dc=com
Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.
|
|
| Экран 7. Репликация не состоялась, потому что DC домена не может быть найден |
Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:
Nltest /dsgetdc:child /kdc
Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:
Nltest /dsgetdc:child
В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.
Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:
DSGetDcName function called: client PID=2176, Dom:child Acct:(null) Flags:KDC
Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.
Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:
Dcdiag /test:dns /dnsdelegation > Dnstest.txt
На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.
|
|
| Экран 8. Пример файла Dnstest.txt |
Чтобы устранить проблему DNS, сделайте следующее:
1. На DC1 откройте консоль управления DNS.
2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.
3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.
4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.
5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.
6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.
7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.
8. Дважды нажмите кнопку OK.
9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.
10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:
Nltest /dsgetdc:child /kdc /force
11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду
Repadmin /replicate dc1 childdc1 «dc=child,dc=root, dc=contoso,dc=com»
Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.
|
|
| Экран 9. Использование оснастки Active Directory Sites и?Services |
После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.
|
|
| Экран 10. Ошибка при репликации |
Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.
Устранение ошибки AD Replication Error 8606
Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).
Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»
Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.
|
|
| Экран 11. Ошибка из-за наличия устаревшего объекта |
|
|
| Экран 12. Событие с кодом 1988 |
Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.
Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:
Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt
Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).
Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:
Repadmin /showrepl DC1 > Showrepl.txt
В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:
DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.
Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4- b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com» /Advisory_mode
Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.
Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.
Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:
Repldiag /removelingeringobjects Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»
Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:
Repadmin /removelingeringobjects childdc2.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com» /Advisory_mode
После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.
|
|
| Экран 13. Сообщение об удалении устаревших объектов |
Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.
Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.
Устранение ошибки AD Replication Error 8453
Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.
Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:
Repadmin /showrepl childdc2 > Repl.txt
Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:
BoulderChildDC2 DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC WARNING: Not advertising as a global catalog
Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:
Source: BoulderTRDC1 ******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30 Last error: 8453 (0x2105): Replication access was denied Naming Context: DC=treeroot,DC=fabrikam,DC=com
Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.
|
|
| Экран 14. Отсутствие связи репликации |
Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:
Dcdiag /test:checksecurityerror
На экране 15 показан фрагмент вывода DCDiag.exe.
|
|
| Экран 15. Фрагмент вывода DCDiag.exe |
Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.
Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:
1. На TRDC1 откройте оснастку ADSI Edit.
2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.
3. Выберите вкладку Security.
4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.
5. Нажмите Add.
6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.
7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.
8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений
*Read
*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)
*Read Other domain parameters
9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.
10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду
Repadmin /kcc childdc2
|
|
| Экран 16. Включение разрешения Replicating Directory Change |
Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.
Состояние репликации критически важно
Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.
Листинг 1. Команды для удаления устаревших объектов из Reference DC
REM Команды для удаления устаревших объектов REM из раздела Configuration. Repadmin /removelingeringobjects childdc1.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «cn=configuration,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела ForestDNSZones. Repadmin /removelingeringobjects childdc1.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc1.child. root.contoso.com 0b457f73-96a4-429b-ba81- 1a3e0f51c848 «dc=forestdnszones,dc=root, dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела домена Root. Repadmin /removelingeringobjects dc1.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела DomainDNSZones. Repadmin /removelingeringobjects dc1.root. contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6 «dc=root,dc=contoso,dc=com»
Листинг 2. Команды для удаления устаревших объектов из остальных DC
REM Команды для удаления устаревших объектов REM из раздела Configuration. Repadmin /removelingeringobjects dc1.root. contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects dc2.root. contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «cn=configuration,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects trdc1.treeroot. fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «cn=configuration,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела ForestDNSZones. Repadmin /removelingeringobjects dc1.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects dc2.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=forestdnszones,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects trdc1.treeroot. fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=forestdnszones,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела DomainDNSZones–Root. Repadmin /removelingeringobjects dc2.child.root. contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e «dc=domaindnszones,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела домена Child. Repadmin /removelingeringobjects dc1.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=child,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects dc2.root.contoso. com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=child,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=child,dc=root,dc=contoso,dc=com» Repadmin /removelingeringobjects trdc1.treeroot. fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=child,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела DomainDNSZones-Child. Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604 «dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com» REM Команды для удаления устаревших объектов REM из раздела домена TreeRoot. Repadmin /removelingeringobjects childdc1.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com» Repadmin /removelingeringobjects childdc2.child.root. contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com» Repadmin /removelingeringobjects dc1.root.contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com» Repadmin /removelingeringobjects dc2.root.contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848 «dc=treeroot,dc=fabrikam,dc=com»
Аннотация: Описаны типичные проблемы при функционировании Active Directory, включая ошибки репликации, неполадки с DNS и схемой, проблемы при задании разрешений и сведений о доверии. Приведены возможные варианты решения перечисленных проблем.
Цель лекции: Дать представление о возможных неполадках с Active Directory и способах их устранения.
При возникновении неполадок в работе Active Directory необходимо в
первую очередь проверить журнал событий службы каталогов. Кроме того,
существуют и другие специализированные средства отслеживания проблем.
Также для решения возникающих вопросов с Active Directory возможно
обращение в сертифицированные службы поддержки вендоров и к
информации, размещенной на официальном сайте производителя.
Типичные проблемы с Active Directory
Перечислим некоторые типичные проблемы с Active Directory, с
которыми можно столкнуться, и их возможные решения
[
4
]
,
[
5
]
.
- Невозможно добавить или удалить домен. Возможная причина: хозяин именования доменов недоступен, что может быть вызвано проблемами с сетевым соединением или отказом компьютера, играющего роль хозяина именования доменов. Предлагаемое решение: решить проблему с сетевым соединением, или починить/заменить компьютер, играющий роль хозяина именования доменов, или переназначить роль хозяина именования доменов.
- Невозможно создать объекты в Active Directory. Возможная причина: недоступен мастер относительных идентификаторов, что может быть вызвано проблемами с сетевым соединением или отказом компьютера, играющего роль мастера относительных идентификаторов. Предлагаемое решение: решить проблему с сетевым соединением, или починить/заменить компьютер, играющий роль мастера относительных идентификаторов, или переназначить роль мастера относительных идентификаторов.
- Изменения членства в группе не вступают в силу. Возможная причина: недоступен хозяин инфраструктуры, что может быть вызвано проблемами с сетевым соединением или отказом компьютера, играющего роль хозяина инфраструктуры. Предлагаемое решение: решить проблему с сетевым соединением, или починить/заменить компьютер, играющий роль хозяина инфраструктуры, или переназначить роль хозяина инфраструктуры.
- Пользователи без программного обеспечения Active Directory не могут войти в систему. Возможная причина: недоступен эмулятор основного контроллера домена, что может быть вызвано проблемами с сетевым соединением или отказом компьютера, играющего роль эмулятора основного контроллера домена. Предлагаемое решение: решить проблему с сетевым соединением, или починить/заменить компьютер, играющий роль эмулятора основного контроллера домена, или переназначить роль эмулятора основного контроллера домена.
- Пользователю не удается локально войти в систему на контроллере домена. Вероятная причина: возможность локального входа в систему контроллера домена управляется политиками безопасности, которые устанавливаются в параметрах групповой политики. Предлагаемое решение: в используемом по умолчанию объекте «Политика контроллера домена» назначить определенному пользователю или группе право «Локальный вход в систему».
- Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000. Возможная причина: на контроллере домена под управлением Windows 2000, к которому производится подключение, не установлен пакет обновления версии 3 или более поздней. Предлагаемое решение: установить на контроллер домена под управлением Windows 2000 пакет обновления версии 3 или более поздней.
- Сообщения об ошибках «Домен не найден», «Сервер недоступен» или «Сервер RPC недоступен». Возможная причина: ошибка регистрации или разрешения имени. Предлагаемое решение: проверить доступность и правильность работы службы DNS (в том числе регистрацию NetBIOS) на соответствующем сервере.
Ошибки репликации
Неэффективная репликация вызывает падение производительности службы
Active Directory, например, могут не распознаваться новые
пользователи. В большинстве случаев в результате неэффективной
обработки запросов и неэффективной репликации информация каталога
устаревает, а контроллеры домена становятся недоступными.
Журнал службы каталога сообщает об ошибках репликации, которые
происходят после установления репликационной связи. Нужно
просматривать журнал регистрации событий службы каталога в поисках
событий репликации, имеющих тип Error (Ошибка) или Warning
(Предупреждение).
Далее приводится два примера типичных ошибок репликации в том виде,
как они отображены в журнале регистрации событий службы каталога
[
13
]
.
- Событие с ID 1311. Информация о конфигурации репликации, имеющаяся в инструменте Active Directory Sites And Services ( Сайты и службы Active Directory), не отражает точно физическую топологию сети. Эта ошибка указывает на то, что один или более контроллеров домена или сервер-плацдарм находятся в автономном режиме (либо отключены), или что серверы-плацдармы подключены, но не содержат нужных контекстов именования (NC), либо при репликации требуемого контекста наименования между сайтами Active Directory возникают ошибки. Также возможная причина данной ошибки заключается в том, что один или несколько узлов не включены в связи сайтов либо связи сайтов содержат все сайты, но не все взаимодействующие между собой связи сайтов.
- Событие с ID 1265 (Access denied — Доступ запрещен). Эта ошибка может возникать в том случае, если локальный контроллер домена не сумел подтвердить подлинность своего партнера по репликации при создании репликационной связи или при попытке реплицировать по существующей связи. Ошибка возникает тогда, когда контроллер домена был отсоединен от остальной части сети в течение долгого времени и его пароль учетной записи компьютера не синхронизирован с паролем учетной записи компьютера, хранящимся в каталоге его партнера по репликации.
Если получено сообщение о событии с ID 1265 и ошибке «Ошибка
поиска в DNS » или об ошибке «RPC-сервер недоступен» в
журнале службы каталогов, то возможная причина свидетельствует о
неполадках DNS.
Репликация Active Directory зависит от следующих факторов:
- Записи должны реплицироваться на DNS-серверы, используемые партнерами репликации.
- Каждая зона DNS должна иметь необходимое делегирование дочерних зон.
- В IP-конфигурации контроллеров доменов должны быть правильно заданы основные и альтернативные DNS-серверы.
Как правило, проблемы, которые можно устранить средствами консоли
Active Directory Sites and Services, таковы
[
4
]
:
- новая информация каталога не распространяется своевременно;
- запросы на обслуживание не обрабатываются вовремя.
Далее приведены некоторые типичные ошибки репликации и способы их
устранения
[
4
]
,
[
5
]
,
[
6
]
.
- Любой отказ в репликации между контроллерами домена. Возможная причина: неправильное функционирование инфраструктуры DNS. Предлагаемое решение: настроить DNS-сервер и правильно сконфигурировать службу DNS.
- Репликация информации каталога прекратилась. Возможная причина: сайты, включающие клиентов и контроллеры домена, не имеют связей с контроллерами доменов другого сайта сети, что вызывает сбои в обмене информацией каталога между сайтами. Предлагаемое решение: создать связь между текущим сайтом и сайтом, подключенным к остальным сайтам сети.
- Репликация информации каталога замедлилась, но не остановилась. Возможные причины и предлагаемые решения приведены в таблице 14.1.
| Возможная причина | Предлагаемое решение |
|---|---|
| Хотя все сайты соединены связями, существующая структура межсайтовой репликации недостаточно полна. Информация каталога реплицируется на все контроллеры домена, если они объединены связями, однако это не оптимальное решение. При наличии связей сайтов и отсутствии мостов распространение изменений с одних контроллеров доменов на другие, с которыми отсутствуют прямые связи, выполняется слишком долго | Необходимо убедиться, что служба Active Directory настроена правильно. Для объединения нескольких связей сайтов, требующих более эффективной репликации, рекомендуется создать мост или объединить в мост все связи сайтов |
| Текущих сетевых ресурсов недостаточно для обслуживания суммарного трафика репликации. Такая ситуация может повлиять на службы, не имеющие отношения к Active Directory, поскольку обмен информацией каталога требует значительных сетевых ресурсов | Увеличить долю свободных сетевых ресурсов, выделяемых трафику каталога. Уменьшить частоту репликации в расписании. Настроить стоимость связей сайтов. Создать связи сайтов или мосты связей сайтов, чтобы получить сетевые подключения с повышенной пропускной способностью |
| Информация каталога, изменившаяся на контроллерах домена в одном сайте, своевременно не обновилась на контроллерах домена в других сайтах, поскольку заданная в расписании частота межсайтовой репликации слишком низка | Увеличить частоту репликации. Если репликация выполняется через мост, проверить, какая связь сайтов сдерживает репликацию. Увеличить интервал времени, отведенный для репликации, или частоту репликации в заданный интервал времени для проблемной связи сайтов. |
| Клиенты пытаются запросить аутентификацию, информацию и службы у контроллера домена по подключению с низкой пропускной способностью. Это может замедлить отклик на запросы клиентов. | Проверить, имеется ли сайт, который способен лучше обслуживать подсеть клиента. Если медленно обслуживаемый клиент изолирован от контроллера домена, попробовать создать другой сайт с собственным контроллером домена, к которому затем присоединить клиента. Создать подключение с большей пропускной способностью. |
- При попытке репликации вручную получено сообщение «Отказано в доступе» от оснастки Active Directory Sites And Services (Сайты и службы Active Directory). Возможная причина: принудительная репликация, выполняемая пользователем вручную, влечет за собой репликацию не всех общих каталогов приложений партнеров репликации, а возможна только для тех контейнеров, для которых разрешена синхронизация репликации, при этом репликация остальных каталогов приложений даст сбой. Предлагаемое решение: для принудительной репликации вручную указанного каталога приложений использовать средства командной строки Repadmin из набора инструментов поддержки Windows.
- Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory). Возможная причина: на контроллере домена, который работает под управлением Windows 2000 и к которому требуется подключиться, не установлен пакет обновления версии 3 или более поздний. Предлагаемое решение: установить на контроллер домена под управлением Windows 2000 пакет обновления версии 3 или более поздний.
Проверка топологии репликации заключается в том, что Active
Directory запускает процесс, который определяет стоимость межсайтовых
подключений, проверяет доступность известных контроллеров домена и
факт добавления новых. На основе полученных сведений Active Directory
добавляет или удаляет объекты-подключения для формирования эффективной
топологии репликации. Этот процесс не затрагивает объекты-подключения,
созданные вручную с помощью инструмента Active Directory Sites and
Services.
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию. В прошлый раз мы с вами устанавливали Windows 11 в домен Active Directory. Сегодня я хочу поговорить так же об активном каталоге и показать, как устраняется ошибка репликации, при которой в глобальном каталоге видятся удаленные объекты, которых не должно быть, при попытке посмотреть свойства данного объекта «Не удается отобразить объект Active Directory». Давайте смотреть в чем дело.
📛Описание ошибки The remote system is not available
Произошла аварийная ситуация и некоторая часть контроллеров домена вывалилась с синими экраном 0xc00002e2. В таких случаях такие контроллеры просто удаляют, даже если они и не доступны по сети. Там утилита ntdsutil делает все по красоте и должна вычистить все метаданные. Подождав немного я решил проверить репликацию между контроллерами домена, напоминаю сделать это можно через команду:
Но утилита показала, что удаленные контроллеры домена были в схеме репликации и не доступны, по статусу они имели ошибки:
- (2148074274) The target principal name is incorrect
- (1256) The remote system is not available. For information about network troubleshooting, see Windows Help.
Ошибку «(2148074274) The target principal name is incorrect» мы успешно устраняли ранее, но там нужен, чтобы контроллер домена был доступен, тут он был в ауте и его нельзя было вернуть, второй контроллер так же был в ауте.
Если вы запустите ADUC, и попытаетесь поискать имена сбойных контроллеров домена, то вы с большой вероятностью их обнаружите. У них будет описание «Контроллер домена доступный для записи (Writable Domane Controller)»
Если открыть свойства самого объекта, то вы увидите:
Не удалось отобразить объект служб Active Directory. не удается найти объект доменных служб Active Directory. Возможно он удален другим пользователем или контроллер домена Active Directory временно недоступен (Failed to map the Active Directory object. cannot find the Active Directory Domain Services object. It may have been deleted by another user or the Active Directory domain controller is temporarily unavailable)
Удалить он отсюда не дает данный объект «Windows cannot delete object because Directory object not found»
⚙️Как устранять ошибку репликации
Первое, что вы должны сделать, это выполнить команду на работающем контроллере домена:
С высокой долей вероятности вы увидите, где еще остались хвосты со старыми удаленными контроллерами домена.
SyncAll reported the following errors:
Error contacting server CN=NTDS Settings,CN=DC01,CN=Servers,CN=ISI,CN=Sites, CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Error contacting server CN=NTDS Settings,CN=IVAC,CN=Servers, CN=CO-IVA,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Error contacting server CN=NTDS Settings,CN=TVCO, CN=Servers,CN=CO-TV,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Syncing partition: DC=main,DC=Pyatilistnik,DC=ORG
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings, CN=IVAC,CN=Servers,CN=CO-IVA,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=TVCO,CN=Servers,CN=CO-TV,CN=Sites, CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Вся загвоздка в том, что вам нужно в разделе «Configuration» удалить старую информацию.
Берем утилиту ADSIEdit и подключаемся к разделу конфигурации, после чего идем по тем путям, что указаны в ошибках.
Находим нужные записи в. моем случае это в сайтах AD.
И удаляем их всех.
После того, как вы все почистили, еще можно проверить оставшиеся записи в DNS, в основных зонах _msdcs. После всех манипуляций в ADUC выполните поиск удаленных компьютеров, у меня ничего не нашлось.
Запустим реплику:
Ошибок не стало и все реплики успешно прошли.
На этом все, мы с вами успешно удалили остатки мертвых контроллеров домена .устранили ошибки репликации «(1256) The remote system is not available. For information about network troubleshooting, see Windows Help». С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.
| title | titleSuffix | description | services | author | manager | ms.service | ms.workload | ms.topic | ms.date | ms.author | ms.subservice | ms.openlocfilehash | ms.sourcegitcommit | ms.translationtype | ms.contentlocale | ms.lasthandoff | ms.locfileid |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Справочник по кодам ошибок |
Azure AD B2C |
Список кодов ошибок, которые могут возвращаться службой Azure Active Directory B2C. |
B2C |
msmimart |
celestedg |
active-directory |
identity |
reference |
10/02/2020 |
mimart |
B2C |
f6ae806b7666d83652e6b82bac16d89f2f9ce7aa |
772eb9c6684dd4864e0ba507945a83e48b8c16f0 |
MT |
ru-RU |
03/19/2021 |
92215439 |
Коды ошибок: Azure Active Directory B2C
Служба Azure Active Directory B2C может возвращать следующие ошибки.
| Код ошибки | Сообщение |
|---|---|
AADB2C90002 |
Ресурс CORS » {0} » вернул 404 не найден. |
AADB2C90006 |
URI перенаправления » {0} «, указанный в запросе, не зарегистрирован для идентификатора клиента » {1} «. |
AADB2C90007 |
Приложение, связанное с идентификатором клиента » {0} «, не имеет зарегистрированных URI перенаправления. |
AADB2C90008 |
Запрос не содержит параметр идентификатора клиента. |
AADB2C90010 |
Запрос не содержит параметр области. |
AADB2C90011 |
Идентификатор клиента «», {0} указанный в запросе, не совпадает с идентификатором клиента » {1} «, зарегистрированным в политике. |
AADB2C90012 |
Область » {0} «, указанная в запросе, не поддерживается. |
AADB2C90013 |
Запрошенный тип ответа » {0} «, указанный в запросе, не поддерживается. |
AADB2C90014 |
Запрошенный режим ответа » {0} «, указанный в запросе, не поддерживается. |
AADB2C90016 |
Запрошенный тип утверждения клиента » {0} » не соответствует ожидаемому типу » {1} «. |
AADB2C90017 |
В запросе указано недопустимое утверждение клиента: {0} |
AADB2C90018 |
Идентификатор клиента » {0} «, указанный в запросе, не зарегистрирован в клиенте » {1} «. |
AADB2C90019 |
Контейнер ключей с идентификатором » {0} » в клиенте » {1} » не имеет допустимого ключа. Причина: {2} . |
AADB2C90021 |
Технический профиль » {0} » не существует в политике » {1} » клиента » {2} «. |
AADB2C90022 |
Не удалось вернуть метаданные для политики » {0} » в клиенте » {1} «. |
AADB2C90023 |
Профиль » {0} » не содержит требуемый ключ метаданных » {1} «. |
AADB2C90025 |
Профиль » {0} » в политике » {1} » в клиенте » {2} » не содержит необходимый криптографический ключ » {3} «. |
AADB2C90027 |
Для «» указаны недопустимые основные учетные данные {0} . Проверьте правильность учетных данных и убедитесь, что доступ предоставлен ресурсом. |
AADB2C90028 |
Сертификат клиента, указанный для » {0} «, недопустим. Убедитесь, что сертификат указан правильно, содержит закрытый ключ и этот доступ предоставлен ресурсом. |
AADB2C90031 |
Политика » {0} » не указывает пути взаимодействия пользователя по умолчанию. Убедитесь, что политика или ее родительские объекты указывают путь взаимодействия пользователя по умолчанию в рамках раздела проверяющей стороны. |
AADB2C90035 |
Служба временно недоступна. Повторите попытку через несколько минут. |
AADB2C90036 |
Запрос не содержит универсальный код ресурса (URI) для перенаправления пользователя после выхода из системы. Укажите URI в поле параметра post_logout_redirect_uri. |
AADB2C90037 |
При обработке этого запроса возникла ошибка. Обратитесь к администратору сайта, к которому вы пытаетесь получить доступ. |
AADB2C90039 |
Запрос содержит утверждение клиента, но в указанной политике » {0} » в клиенте » {1} » отсутствует Client_secret в релингпартиполици. |
AADB2C90040 |
Путь взаимодействия пользователя » {0} » не содержит шаг «Отправка утверждений». |
AADB2C90043 |
Строка, входящая в запрос, содержит недопустимые значения. Ожидалось «None», «Login», «согласие» или «select_account». |
AADB2C90044 |
Утверждение » {0} » не поддерживается распознавателем утверждений » {1} «. |
AADB2C90046 |
Возникли проблемы при загрузке текущего состояния. Возможно, вы захотите попробовать начать сеанс с самого начала. |
AADB2C90047 |
Ресурс » {0} » содержит ошибки сценария, препятствующие его загрузке. |
AADB2C90048 |
На сервере возникло необработанное исключение. |
AADB2C90051 |
Не найдены подходящие поставщики утверждений. |
AADB2C90052 |
Недопустимое имя пользователя или пароль. |
AADB2C90053 |
Не удалось найти пользователя с указанными учетными данными. |
AADB2C90054 |
Недопустимое имя пользователя или пароль. |
AADB2C90055 |
Область » {0} «, указанная в запросе, должна указывать ресурс, например » https://example.com/calendar.read «. |
AADB2C90057 |
Указанное приложение не настроено для разрешения неявного потока OAuth. |
AADB2C90058 |
Указанное приложение не настроено для разрешения открытых клиентов. |
AADB2C99059 |
Указанный запрос должен представлять code_challenge. Требуется для одностраничных приложений с помощью потока кода авторизации. |
AADB2C90067 |
URI перенаправления после выхода из системы {0} имеет недопустимый формат. Укажите URL-адрес на основе HTTPS, например » https://example.com/return «, или для собственных клиентов используйте URI собственного клиента IETF «urn: IETF: WG: OAuth: 2.0: OOB». |
AADB2C90068 |
Указанное приложение с ИДЕНТИФИКАТОРом » {0} » не является допустимым для этой службы. Используйте приложение, созданное с помощью портала B2C, и повторите попытку. |
AADB2C90075 |
Обмен утверждениями » {0} «, указанным на шаге » {1} «, вернул ответ об ошибке HTTP с кодом » {2} » и причиной » {3} «. |
AADB2C90077 |
У пользователя нет существующего сеанса, и у параметра Prompt запроса есть значение » {0} «. |
AADB2C90079 |
Клиенты должны отправить client_secret при активации конфиденциального предоставления прав. |
AADB2C90080 |
Истек срок действия предоставленного разрешения GRANT. Выполните повторную проверку подлинности и повторите попытку. Текущее время: {0} , предоставление времени выдачи: {1} , предоставление скользящего времени окончания срока действия окна: {2} . |
AADB2C90081 |
Указанное значение client_secret не соответствует ожидаемому значению для этого клиента. Исправьте client_secret и повторите попытку. |
AADB2C90083 |
В запросе отсутствует обязательный параметр: {0} . |
AADB2C90084 |
Общедоступные клиенты не должны отсылать client_secret при активации общедоступного предоставления разрешений. |
AADB2C90085 |
В службе произошла внутренняя ошибка. Выполните повторную проверку подлинности и повторите попытку. |
AADB2C90086 |
Указанный grant_type [ {0} ] не поддерживается. |
AADB2C90087 |
Предоставленное разрешение не было выдано для этой версии конечной точки протокола. |
AADB2C90088 |
Предоставленное разрешение не было выдано для этой конечной точки. Фактическое значение: {0} и ожидаемое значение: {1} |
AADB2C90091 |
Отмена пользователем. |
AADB2C90092 |
Указанное приложение с ИДЕНТИФИКАТОРом » {0} » отключено для клиента » {1} «. Включите приложение и повторите попытку. |
AADB2C90107 |
Приложению с ИДЕНТИФИКАТОРом » {0} » не удается получить маркер идентификатора, так как область OpenID Connect не была указана в запросе, или приложение не имеет разрешений для него. |
AADB2C90108 |
На шаге оркестрации » {0} » не указан кпимиссуертечникалпрофилереференцеид, если ожидался один из них. |
AADB2C90110 |
При запросе response_type, включающего «id_token», параметр области должен включать «OpenID Connect». |
AADB2C90111 |
Ваша учетная запись заблокирована. Обратитесь к представителю службы поддержки, чтобы разблокировать ее, и повторите попытку. |
AADB2C90114 |
Ваша учетная запись временно заблокирована, чтобы предотвратить ее несанкционированное использование. Повторите попытку позже. |
AADB2C90115 |
При запросе response_type кода параметр области должен включать идентификатор ресурса или клиента для маркеров доступа, а также «OpenID Connect» для маркеров идентификации. Кроме того, добавьте «offline_access» для маркеров обновления. |
AADB2C90117 |
Область » {0} «, указанная в запросе, не поддерживается. |
AADB2C90118 |
Пользователь забыл свой пароль. |
AADB2C90120 |
{0}В запросе указан недопустимый параметр максимального срока «». Максимальный возраст должен быть целым числом в диапазоне от » {1} » до » {2} » включительно. |
AADB2C90122 |
Входные данные для » {0} «, полученного в запросе, не прошли проверку HTTP-запроса. Убедитесь, что входные данные не содержат таких символов, как < или &. |
AADB2C90128 |
Учетная запись, связанная с этим предоставлением, больше не существует. Выполните повторную проверку подлинности и повторите попытку. |
AADB2C90129 |
Предоставленный объект Grant был отозван. Выполните повторную проверку подлинности и повторите попытку. |
AADB2C90145 |
Непроверенные номера телефонов не найдены, и политика не разрешает введенный пользователем номер. |
AADB2C90146 |
Область » {0} «, указанная в запросе, указывает более одного ресурса для маркера доступа, что не поддерживается. |
AADB2C90149 |
{0}Не удалось загрузить скрипт «». |
AADB2C90151 |
Пользователь превысил максимальное число повторных попыток для многофакторной проверки подлинности. |
AADB2C90152 |
Запрос многофакторного опроса не смог получить ответ от службы. |
AADB2C90154 |
Запрос многофакторной проверки подлинности не смог получить идентификатор сеанса от службы. |
AADB2C90155 |
Запрос многофакторной проверки подлинности завершился с причиной » {0} «. |
AADB2C90156 |
Запрос многофакторной проверки подлинности завершился с причиной » {0} «. |
AADB2C90157 |
Пользователь превысил максимальное число повторных попыток для самостоятельного этапа. |
AADB2C90158 |
Сбой запроса с самоподтверждением проверки с причиной » {0} «. |
AADB2C90159 |
Не удалось выполнить самоподтвержденный запрос проверки с причиной » {0} «. |
AADB2C90161 |
Сбой автоматического подтверждения отправки ответа с причиной » {0} «. |
AADB2C90165 |
В состоянии не удается найти сообщение инициации SAML с идентификатором » {0} «. |
AADB2C90168 |
Запрос HTTP-Redirect не содержит обязательный параметр » {0} » для подписанного запроса. |
AADB2C90178 |
Сертификат подписи » {0} » не имеет закрытого ключа. |
AADB2C90182 |
Указанный code_verifier не соответствует связанному code_challenge |
AADB2C90183 |
Указан недопустимый code_verifier |
AADB2C90184 |
Указанный code_challenge_method не поддерживается. Поддерживаемые значения — plain или S256 |
AADB2C90188 |
В техническом профиле SAML » {0} » указан URL-адрес партнерентити » {1} «, но получение метаданных завершается сбоем с причиной » {2} «. |
AADB2C90194 |
Утверждение » {0} «, указанное для токена носителя, отсутствует в доступных утверждениях. Доступные утверждения » {1} «. |
AADB2C90205 |
Это приложение не имеет достаточных разрешений на доступ к этому веб-ресурсу для выполнения операции. |
AADB2C90206 |
Истекло время ожидания при инициализации клиента. |
AADB2C90208 |
Истек срок действия указанного id_token_hint параметра. Укажите другой токен и повторите попытку. |
AADB2C90209 |
Указанный параметр id_token_hint не содержит допустимую аудиторию. Допустимые значения аудитории: » {0} «. Укажите другой токен и повторите попытку. |
AADB2C90210 |
Не удалось проверить указанный параметр id_token_hint. Укажите другой токен и повторите попытку. |
AADB2C90211 |
Запрос содержал неполный файл cookie состояния. |
AADB2C90212 |
Запрос содержал недопустимый файл cookie состояния. |
AADB2C90220 |
Контейнер ключей в клиенте » {0} » с идентификатором хранилища » {1} » существует, но не содержит допустимый сертификат. Возможно, срок действия сертификата истек, или ваш сертификат может стать активным в будущем (NBF). |
AADB2C90223 |
Произошла ошибка при исключении ресурса CORS. |
AADB2C90224 |
Поток с владельцем ресурса не включен для приложения. |
AADB2C90225 |
В запросе указано недопустимое имя пользователя или пароль. |
AADB2C90226 |
Указанный обмен маркерами поддерживается только для HTTP-запроса POST. |
AADB2C90232 |
Указанный параметр id_token_hint не содержит обслуживаемого издателя. Допустимые издатели: » {0} «. Укажите другой токен и повторите попытку. |
AADB2C90233 |
Указанный параметр id_token_hint не прошел проверку подписи. Укажите другой токен и повторите попытку. |
AADB2C90235 |
Срок действия указанного id_token истек. Укажите другой токен и повторите попытку. |
AADB2C90237 |
Указанный id_token не содержит допустимую аудиторию. Допустимые значения аудитории: » {0} «. Укажите другой токен и повторите попытку. |
AADB2C90238 |
Предоставленный id_token не содержит допустимого издателя. Допустимые значения издателя: » {0} «. Укажите другой токен и повторите попытку. |
AADB2C90239 |
Предоставленный id_token не прошел проверку подписи. Укажите другой токен и повторите попытку. |
AADB2C90240 |
Указанный id_token имеет неправильный формат и не может быть проанализирован. Укажите другой токен и повторите попытку. |
AADB2C90242 |
В техническом профиле SAML » {0} » указывается ПАРТНЕРЕНТИТИ CDATA, который не может быть загружен по причине » {1} «. |
AADB2C90243 |
Ключ клиента IDP или секрет настроен неправильно. |
AADB2C90244 |
Сейчас слишком много запросов. Подождите и повторите попытку. |
AADB2C90248 |
Поток-владелец ресурса может использоваться только приложениями, созданными на портале администрирования B2C. |
AADB2C90250 |
Универсальная конечная точка входа не поддерживается. |
AADB2C90255 |
Обмен утверждениями, указанный в техническом профиле » {0} «, не был завершен должным образом. Возможно, вы захотите попробовать начать сеанс с самого начала. |
AADB2C90261 |
При обмене утверждениями » {0} «, указанном на шаге » {1} «, возвращен ответ об ошибке HTTP, который не удалось проанализировать. |
AADB2C90272 |
В запросе не указан параметр id_token_hint. Укажите токен и повторите попытку. |
AADB2C90273 |
Получен недопустимый ответ: » {0} « |
AADB2C90274 |
В метаданных поставщика не указана одна служба выхода, или привязка конечной точки не является одним из «urn: Oasis: Names: TC: SAML: 2.0: Bindings: HTTP-redirect» или «urn: Oasis: Names: TC: SAML: 2.0: Bindings: HTTP-POST». |
AADB2C90276 |
Запрос не согласуется с параметром управления » {0} «: » {1} » в техническом профиле » {2} » для политики » {3} Клиент» {4} «. |
AADB2C90277 |
Этап оркестрации » {0} » пути взаимодействия пользователя » {1} » политики » {2} » не содержит ссылку на определение содержимого. |
AADB2C90279 |
Указанный идентификатор клиента » {0} » не совпадает с идентификатором клиента, который выдал Грант. |
AADB2C90284 |
Приложению с идентификатором » {0} » не было предоставлено согласие, и его нельзя использовать для локальных учетных записей. |
AADB2C90285 |
Приложение с идентификатором » {0} » не найдено. |
AADB2C90288 |
UserJourney с идентификатором » {0} «, указанный в техническом профиле » {1} » для активации токена обновления для клиента » {2} «, не существует в политике » {3} » или в ее базовых политиках. |
AADB2C90289 |
Произошла ошибка при подключении к поставщику удостоверений. Повторите попытку позже. |
AADB2C90296 |
Приложение настроено неправильно. Обратитесь к администратору сайта, к которому вы пытаетесь получить доступ. |
AADB2C99005 |
Запрос содержит недопустимый параметр области, который содержит недопустимый символ » {0} «. |
AADB2C99006 |
Azure AD B2C не удается найти приложение расширений с идентификатором приложения » {0} «. https://go.microsoft.com/fwlink/?linkid=851224Дополнительные сведения см. по адресу. |
AADB2C99011 |
Значение метаданных » {0} » не указано в техническом профиле » {1} » в политике » {2} «. |
AADB2C99013 |
Указанная комбинация grant_type [ {0} ] и TOKEN_TYPE [ {1} ] не поддерживается. |
AADB2C99015 |
В профиле » {0} » в политике «» {1} в клиенте » {2} » отсутствуют все inputclaim, необходимые для потока учетных данных для пароля владельца ресурса. |
Добрый день всем. Имеется проблема с АД. Имеем один лес 3 контроллера домена (dc01,dc02,dc03), ОS windows server 2012 std. Кроме dc03 все не давно досталось по наследству. dc01 физическая машина, dc02 dc03
виртуальные. Видимо когда то dc01 дал сбой, и сейчас хозяином всех ролей является dc02. В середине марта я заметил что есть у некоторых пользователей есть проблемы при смене пароля, пароль он меняет но в ад этот пароль
не изменяется. Проверил сервера и стало ясно что есть проблемы с репликацией между dc01 и dc02. Бывший админ сказал что с первым были проблемы и его хотели вообще удалить из ад.Видимо не успели. Выключил dc01 (из АД
не удалял) Поднял на виртуалке dc03. Планировал что он реплецируется с dc02 и тогда я смогу спокойно удалить dc01. Установка прошла гладко, ошибок при установке не было. Но сейчас я вижу что папка sysvol и NETLOGON не появились на dc03.
По ошибкам вижу следующие.
1) nslookup преобразовывает имена в ип, на оборот не всегда и не всех
2) На dc02 (Основной КД)есть ошибки по АД и ДНС:
1)Этот сервер является владельцем роли FSMO, но не считает ее допустимой. Для раздела, содержащего FSMO, сервер с момента своего перезапуска не выполнил успешную репликацию ни с одним из партнеров. Ошибки репликации мешают
проверке этой роли.
2)На данном компьютере теперь расположен указанный экземпляр Active Directory, но веб-службам Active Directory не удалось обработать его запросы. Веб-службы Active Directory будут периодически пытаться повторить эту операцию.
3)DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS
могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого
DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.
На DC03 (новый резервный)
1)DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: «» (может отсутствовать). Данные о событии содержат сведения об ошибке.
2)Ошибка функции recv() DNS-cервера. Данные о событии содержат сведения об ошибке.
-
Перемещено
18 июня 2017 г. 12:02