Ошибка репликации 8524 в Active Directory

Ошибка репликации 8524 в Active DirectoryДобрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В минувший раз мы с вами научились устанавливать MS SQL 2019 с последующей, базовой настройкой. В сегодняшней статья я вновь хочу с вами поделиться опытом устранения проблем с репликацией базы данных Active Directory. Сегодняшняя ошибка звучит вот так "(8524) The DSA operation is unable to proceed because of a DNS lookup failure". Ниже я хочу показать, что можно проверить и выполнить дабы восстановить нормальную работу активного каталога.

Описание ситуации

И так у меня есть лес и 3 домена Active Directory, развитая сеть сайтов AD. Утром в систему мониторинга поступило уведомление, что появились проблемы с репликацией между контроллерами домена, при выводе команды repadmin /replsummary, я увидел ряд ошибок:

  • (8524) The DSA operation is unable to proceed because of a DNS lookup failure
  • (1722) The RPC server is unavailable.

(8524) The DSA operation is unable to proceed because of a DNS lookup failure

Если с ошибкой "(1722) The RPC server is unavailable." я сталкивался и ее успешно решал, то вот "(8524) The DSA operation is unable to proceed because of a DNS lookup failure" я видел впервые.

Также я вам советую сразу запустить массовую диагностику и выгрузить весь результат в текстовые файлы, для этого создайте bat-файл вот с таким содержанием:

@echo off
chcp 855
repadmin /replsummary > c:\temp\replsummary.log
repadmin /syncall > c:\temp\syncall.txt
repadmin /Queue > c:\temp\Queue.txt
repadmin /istg * /verbose > c:\temp\istg.txt
repadmin /bridgeheads * /verbose > c:\temp\bridgeheads.txt
repadmin /syncall /APed > c:\temp\APed.txt
dcdiag /a /q > c:\temp\dcdiag.txt

repadmin /showrepl > c:\temp\showrepl.txt

Например я также через showrepl вижу ошибку:

Last attempt @ 2022-09-23 09:09:37 failed, result 1722 (0x6ba):

failed, result 1722 (0x6ba)

Как исправить ошибку репликации (8524)

Первое, что вы должны выполнить, это убедиться:

  • 1️⃣Что ваши контроллеры домена доступны по сети, вы точно должны увидеть, что порты по которым работает активный каталог, нормально доступны с контроллеров домена на которых нет проблем. Самое важное, чтобы все DNS-имена нормально резолвелись. Очень часто работающие контроллеры ссылаются на состояние 8524, если контроллер домена Active Directory не может разрешить удаленный DC с помощью полностью CNAME-записи.
  • 2️⃣Для проверки портов я советую использовать утилиту Telnet или PowerShell
  • 3️⃣100% быть уверенным, что на сбойном контроллере нет ошибки и состояния (1722) The RPC server is unavailable
  • 4️⃣Если с портами и доступностью все хорошо, и все контроллеры друг друга видят без ошибок, то попробуйте выполнить принудительную реплику по всем контроллерам через команду (Лучше это делать сначала на любом рабочем DC, потом можно на сбойном или имеющем ошибки):

Данная команда выполнятся может долго, зависит от количества сайтов и контроллеров домена.

  • 5️⃣Проверьте правильность настройки ваших сайтов Active Directory, нет ли там устаревших связей, или сайтов которых уже нет, в которых могут быть уже выведенные контроллеры домена. Если такие присутствуют, то удалите сайт и такие объекты. На проблемы с сайтами может указывать ошибка с ID 8524, чтобы решить эту проблему, запустите сайты и службы Active Directory (dssite.msc). Затем перейдите в раздел "Серверы", выберите удаленный контроллер домена - Настройки NTDS и удалите подключения,  удалите настройки NTDS, удалите от туда контроллер домена
  • 6️⃣Обязательно проверьте в просмотре событий журналы "СИСТЕМА", "Active Directory Web Services", "DFS Replication", "Directory Service", "DNS Server" наличие альтернативных ошибок, которые вам могут, что-то подсказать, куда дальше копать.

Тут вы можете обнаружить ряд событий, которые будут причиной ошибки репликации "(8524) The DSA operation is unable to proceed because of a DNS lookup failure":

    1. ID 1926 - Попытка установить ссылку репликации на раздел каталога только для чтения со следующими параметрами не удалась
    2. ID 1925 - Попытка установить ссылку на репликацию для следующего раздела каталога writable не удалась.
    3. ID 1865 - KCC не смог сформировать полную топологию сети деревьев. В результате, следующий список сайтов не может быть достигнут с локального сайта
    4. ID 1308 - KCC обнаружил, что последовательные попытки реплицироваться со следующей службой каталогов последовательно сбой.
    5. ID 1655 - Active Directory попытался связаться со следующим глобальным каталогом, и попытки оказались безуспешными
    6. ID 2023 - Этот сервер каталогов не смог реплицировать изменения на следующий удаленный сервер каталога для следующего раздела каталога

После того, как сбойный контроллер домена был введен в боевое состояние, проверены нужные пункты из указанных выше, реплика восстановилась. Об этом стало говорить уменьшающееся количество ошибок при попытке реплики.

Устранение ошибки репликации (8524)

Надеюсь, что смог чем-то помочь, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Оцените статью
Настройка серверов windows и linux
Добавить комментарий