Teh Hermit
Trace: • ошибки_репликации_кд

Ошибки репликации КД

Общий стаус репликации удобно мониторить командой:

repadmin /showrepl

Ошибка 8457

Если нам не посчастливилось увидить в выводе вот такое:

 Последняя попытка @ 2025-01-14 15:02:56 завершена с ошибкой, результат 8457 (0x2109)

Скорее всего, на нашем контроллере установлен флаг, препятствующий репликации. Искать этот флаг следует в реестре в следующем параметре:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters\Dsa Not Writable

В случае здорового статуса репликации КД - вероятно, этого параметра не будет совсем. В ином случае он может принимать различные значения - 1, 2, 4, 8 или даже комбинированное, если проблем сразу несколько.

Значение “4” - к примеру, означает “USN rollback” - ситуацию, когда база AD была восстановлена неправильно - к примеру, простым возвращением к снапшоту или бэкапу виртуальной машины. В этом случае восстановленный контроллер домена, скорее всего, будет считать себя авторитетным сервером.

Описание других параметров содержится в статье MS:

Resolution
Check the value for DSA not writable.

For each domain controller that is logging the 8456 or 8457 error, determine whether one of the three triggering events automatically disabled incoming or outgoing Active Directory Replication by reading the value for " DSA not writable" from the local registry.

When replication is automatically disabled, the operating system writes one of four possible values to DSA not writable:

Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Setting: DSA not writable
Type: Reg_dword
Values:
#define DSA_WRITABLE_GEN 1
#define DSA_WRITABLE_NO_SPACE 2
#define DSA_WRITABLE_USNROLLBCK 4
#define DSA_WRITABLE_CORRUPT_UTDV 8
A value of 1 can be written only when the forest version is incompatible with the OS (for example, the W2K DC is promoted into a Windows Server 2003 forest functional level forest or the like).

A value of 2 means that the physical or virtual drive that is hosting the Active Directory database or log files lacks sufficient free disk space.

A value of 4 means that a USN rollback occurred because the Active Directory database was incorrectly rolled back in time. Operations that are known to cause a USN rollback include the following:

The booting from previously saved virtual machine snapshots of domain controller role computers on Hyper-V or VMWARE hosts.
Incorrect physical-to-virtual (P2V) conversions in forests that contain more than one domain controller.
Restoring DC role computers by using imaging products such as Ghost.
Rolling the contents of a partition that is hosting the active directory database back in time by using an advanced disk subsystem.
A value of 8 indicates that the up-to-dateness-vector is corrupted on the local DC.

Technically, DSA not writable could consist of multiple values. For example, a registry value of 10 would indicate insufficient disk space and a corrupted UTD. Typically, a single value is written to DSA not writable.

https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/replication-error-8456-8457

Просто снять флаг и продолжить репликацию в данном случае не вариант, ведь этот флаг был установлен тоже не просто так. Вариант, который не предполагает риска потери данных - это волнение nonauthoritative restore проблемного контроллера домена.

Проццедура nonauthoritative restore для контроллера домена:

https://petri.com/nonauthoritative-restore-active-directory/

ActiveDirectory
Previous Next

Teh Hermit

Table of Contents

  

Microsoft

  Active Directory
  Active Directory Certificate Services
  Active Directory Federation Services
  BitLocker
  Terminal Services
  HYPER-V
  Exchange
  Internet Information Services (IIS)
  Storage Spaces Direct
  WSUS
  Windows Server
  Windows Server Core
  Windows
  Windows Admin Center
  Windows Backup
  Windows Firewall
  Windows 11
  Microsoft Office
  IPAM
  NPS и RADIUS
  Office Online
  Microsoft SQL Server
  Microsoft Endpoint Configuration Manager
  PowerShell
  KMS-активация

Unix-like

  Astra Linux
  Asterisk и FreePBX
  SQUID
  Debian
  CentOS
  Ubuntu Server + Desktop
  pfSense
  PostgreSQL
  SSH
  OpenSSL
  Zabbix

  

Hardware

  Keychron
  WakeOnLan
  Серверы HP
  Серверы SNR
  Настройка планшетов Handheld

  

Networking

  Cisco
  D-Link
  Mikrotik
  Keenetic

  

Other

  1С
  Docker
  DokuWiki
  Ghost Blog
  GoodbyeDPI
  Graylog
  VMWare
  ProxMox
  PrivateBin
  Outline VPN
  Wireguard
  Российская криптография
  Р-Виртуализация
  Kaspersky
  FileZilla ftp-сервер
  Soti MobiControl
  SysInternals
  VeraCrypt
  Non-Sucking Service Manager
  NMAP

     

DevOps

  Git
  Gitlab