Не удается отобразить объект Active Directory

Обновлено 04.07.2023

ad find logo

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию. В прошлый раз мы с вами устанавливали Windows 11 в домен Active Directory. Сегодня я хочу поговорить так же об активном каталоге и показать, как устраняется ошибка репликации, при которой в глобальном каталоге видятся удаленные объекты, которых не должно быть, при попытке посмотреть свойства данного объекта "Не удается отобразить объект Active Directory". Давайте смотреть в чем дело.

📛Описание ошибки The remote system is not available

Произошла аварийная ситуация и некоторая часть контроллеров домена вывалилась с синими экраном 0xc00002e2. В таких случаях такие контроллеры просто удаляют, даже если они и не доступны по сети. Там утилита ntdsutil делает все по красоте и должна вычистить все метаданные. Подождав немного я решил проверить репликацию между контроллерами домена, напоминаю сделать это можно через команду:

Но утилита показала, что удаленные контроллеры домена были в схеме репликации и не доступны, по статусу они имели ошибки:

  1. (2148074274) The target principal name is incorrect
  2. (1256) The remote system is not available. For information about network troubleshooting, see Windows Help.

(1256) The remote system is not available. For information about network troubleshooting

Ошибку "(2148074274) The target principal name is incorrect" мы успешно устраняли ранее, но там нужен, чтобы контроллер домена был доступен, тут он был в ауте и его нельзя было вернуть, второй контроллер так же был в ауте.

Если вы запустите ADUC, и попытаетесь поискать имена сбойных контроллеров домена, то вы с большой вероятностью их обнаружите. У них будет описание  "Контроллер домена доступный для записи (Writable Domane Controller)"

Контроллер домена доступный для записи

Если открыть свойства самого объекта, то вы увидите:

Не удалось отобразить объект служб Active Directory. не удается найти объект доменных служб Active Directory. Возможно он удален другим пользователем или контроллер домена Active Directory временно недоступен (Failed to map the Active Directory object. cannot find the Active Directory Domain Services object. It may have been deleted by another user or the Active Directory domain controller is temporarily unavailable)

Не удается отобразить объект Active Directory

Или еще вариант:

the active directory services object could not be displayed

Удалить он отсюда не дает данный объект "Windows cannot delete object because Directory object not found"

Windows cannot delete object

⚙️Как устранять ошибку репликации

Первое, что вы должны сделать, это выполнить команду на работающем контроллере домена:

repadmin /syncall /APed

С высокой долей вероятности вы увидите, где еще остались хвосты со старыми удаленными контроллерами домена.

SyncAll reported the following errors:
Error contacting server CN=NTDS Settings,CN=DC01,CN=Servers,CN=ISI,CN=Sites, CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Error contacting server CN=NTDS Settings,CN=IVAC,CN=Servers, CN=CO-IVA,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
Error contacting server CN=NTDS Settings,CN=TVCO, CN=Servers,CN=CO-TV,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.

Syncing partition: DC=main,DC=Pyatilistnik,DC=ORG
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings, CN=IVAC,CN=Servers,CN=CO-IVA,CN=Sites,CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=TVCO,CN=Servers,CN=CO-TV,CN=Sites, CN=Configuration,DC=Pyatilistnik,DC=ORG (network error): 1722 (0x6ba):
The RPC server is unavailable.

(network error) 1722 (0x6ba)

Еще могут быть просто закрыты порты отвечающие за репликацию, как при ошибке Error issuing replication: 8452 (0x2104)

Вся загвоздка в том, что вам нужно в разделе "Configuration" удалить старую информацию.

Напоминаю, что раздел Configuration, это часть базы данных Active Directory и является частью файла NTDS.dit

Берем утилиту ADSIEdit и подключаемся к разделу конфигурации, после чего идем по тем путям, что указаны в ошибках.

редактор Adsiedit

Находим нужные записи в. моем случае это в сайтах AD.

Удаление данных о старом DC

И удаляем их всех.

Удаление данных о старом DC

После того, как вы все почистили, еще можно проверить оставшиеся записи в DNS, в основных зонах _msdcs. После всех манипуляций в ADUC выполните поиск удаленных компьютеров, у меня ничего не нашлось.

Поиск компьютеров в ADUC

Запустим реплику:

Repadmin /replsummary

Ошибок не стало и все реплики успешно прошли.

Проверка реплики Repadmin replsummary

На этом все, мы с вами успешно удалили остатки мертвых контроллеров домена .устранили ошибки репликации "(1256) The remote system is not available. For information about network troubleshooting, see Windows Help". С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Автор - Сёмин Иван

2 Responses to Не удается отобразить объект Active Directory

  1. Arman:

    приветсвую,

    в одном лесу было два домена с разными именами. к примеру
    корневой papa.com
    созданный в том же лесу домен mama.com

    несколько дней назад единственный домен контроллер mama.com физический был сломан, коллега попытался выпилить этот недоступный домен с помощью NTDSutil

    домен mama.com не удален окончательно, сегодня чистил ручками остатки в dns , и на сайты и службы

    в » домены и доверие » дохлый домен остался, а так же остались доверительные отношения(удалить не могу серым горит)

    в » редакторе ADSI » CN=Partitions CN=mama остался , не удаляется

  2. Иван Семин:

    Можете покидать логи, какие есть ошибки в журналах и точные формулировки при попытке удалить.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *