Active Directory Как синхронизировать SID pool между контроллерами домена?
Здравствуйте.
В сети два контроллера домена dc01 (Держит 5 FSMO ролей) и dc02. При создании любого объекта в домене (пользователь, компьютер или группа) на dc01 выдаются SID вида XXX-1613, а на dc02 номер SID больше XXX-1820.
Предположительно SID от DC01 меньше чем должны быть.
Сейчас из AD начали пропадать учётные записи пользователей и компьютеров (видимо из-за колизии SID-ов)
Судя по всему произошла рассинхронизация SID Pool между контроллерами домена. Можно ли это исправить без пересоздания dc01?
Судя по всему это нормальное поведение.
Диагностика dcdiag.exe /test:ridmanager /v и dcdiag /s - ошибок не выявила. Но при создании нового объекта на dc01 в логе появляется две ошибки 12293 "There are two or more objects that have the same SID attribute in the SAM database. The Distinguished Name of the account is ..." с указанием id объектов, которые были удалены.
Добрый день.
Какие серваки? Какой уровень леса? Какой уровень домена? Какой механизм репликации используете: DFS-R или, если ситемы старые - FRS? Что показывает repadmin /showrepl? Что показывает repadmin /replsummary?
Принудительный запуск репликации:
repadmin /replicate dest-dc01 source-dc01 DC=contoso,DC=com
Контроллеры домена и уровень леса 2012 R2.
repadmin /showrepl и repadmin /replsummary не показывают ошибки.
Принудительная репликация тоже прошла успешно.
Т.к. уровень леса 2012R2 - значит для репликации используется DFS-R. Этот режим репликации поддерживает автоматическое исправление возникающих ошибок, за некоторым исключением, к примеру подобная проблема.
Вы не восстанавливали из бэкапа или не клонировали контроллер?
Классическое решение такой проблемы - пересоздание контроллера. Сравниваем AvailableRIDPool на обоих контроллерах, у кого будет старше - передаем роли FSMO, понижаем контроллер до рядового сервера, и потом поднимаем либо на его основе, либо вообще новый контроллер.
Дмитрий, а что у вас в RidAvailablePool значится на контроллерах? Можете немного его передвинуть попробовать. Скажем 5-6 знак справа поднять на 1 (обрежете порядка 100 000 - 1 000 000 сидов), Но для следующего пула из 500 свободных сидов должен выдаться уже непересекающийся ни с чем пул. Посмотрите некоторое время, какие сиды будут выдаваться. Лучше несколько учеток позаводить через PoSh, с указанием конкретного контроллера (по несколько на каждом), на котором делаете:
New-aduser -identity testuser# -server#
Потом пару мин на репликацию, и проверьте с противоположного контроллера заведенную учетку запросив:
Get-aduser -identity testuser# -server# -properties sid.
Сравните сиды, проверьте события на контроллерах на наличие ошибок.
Вадим Чопоров, dc01 - виртуальный контроллер домена. Я сделал снепшот перед выполнением скрипта. Потом откатился к нему, что вызвала смену RID Pool. Ошибок больше нет, но контроллер я всё равно пересоздам.
Спасибо за помощь!
Диагностика - ошибок не выявила. Но при создании нового объекта на dc01 в логе появляется две ошибки 12293 "There are two or more objects that have the same SID attribute in the SAM database. The Distinguished Name of the account is ..." с указанием id объектов, которые были удалены.
Простой
Средний
Простой
Средний