この記事には広告を含む場合があります。
記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。
ども。あいしんくいっと(@ithinkitnet)です。
ithinkit
ADサーバで「今すぐレプリケート」を実行したところ、レプリケートエラーが。
ithinkit
仮想上のADなので「前に稼働させたのって、いつだったかなー」ってレベルなので仕方ないか。。。
ActiveDirectoryはデリケートなサービスなので、時刻がズレると正常に動作しなくなったりします。
repadminコマンドで接続確認を試みるも、やはりエラー。
C:\Users\Administrator> repadmin /showrepl
Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\WIN2012R2-2
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: d398053b-7fc6-45d5-aeac-389b4ffd6adb
DSA 起動 ID: d398053b-7fc6-45d5-aeac-389b4ffd6adb
==== 入力方向の近隣サーバー======================================
DC=hoge,DC=local
Default-First-Site-Name\WIN2012R2-3 (RPC 経由)
DSA オブジェクト GUID: 7113838e-136d-4cd7-aa82-309dee5296fb
2018-06-02 19:44:48 の最後の試行は、失敗しました。結果は 8614 (0x21a6):
このサーバーとの最後のレプリケーション以来、廃棄 (Tombstone) の有効
期間を超えた時間がたっているため、ディレクトリ サービスはこのサーバーでレプリケ
ートできません。
16 回連続で失敗しました。
最後に成功したのは 2017-07-17 11:28:11 です。
CN=Configuration,DC=hoge,DC=local
まぁ、サーバ自体停止させてたし、長いことお互いに同期出来てなかったから、レプリケートエラーが起きても不思議じゃないか・・・。
ADってDC間の時刻が同期されていないと使いもんにならないって聞くし。
にしても、久しぶりにADサーバ起動したと思ったら、レプリケートエラーとか。。。
どうすっかなーってコマンドを調べてみると、下記のコマンドで直るっぽい。
repadmin /replicate 複製先DC名 複製元DC名 DC=example,DC=com /full /force
ADは非常にデリケートなディレクトリサービスです。なので、本番環境でrepadmin使って安易に強制同期するのはオススメしませんので悪しからず。実施は自己責任でお願いします。
/forceつけてるので強制同期っぽいですね。
プライベートなADなので気にせず試してみることに♪
repadmin /replicate win2012r2-3 win2012r2-2 DC=hoge,DC=local /full /force
すると、、、
おぉ。無事に同期出来た!
ちなみに二回目以降は「/force」オプション無しでも同期出来た。
で、「もしかしたら!」と、GUIから試すも同様にレプリケートエラーが。
う〜ん。根本解決とは行かないらしい。
どうやら、repadminコマンドとGUI操作の「今すぐレプリケート」では挙動が異なるっぽい。やはり、正常に戻すにはDC降格&再昇格しないとダメなのかな〜?
ithinkit
GPOが上手く適用されない場合はこちら。
ActiveDirectoryでGPOが適用されない時に確認したいこと
ActiveDirectoryのフォレストとドメインの機能レベルを下げる方法。
ADDSフォレストとドメインの機能レベルを下げる方法
以上、あいしんくいっとでした( ´ ▽ ` )