Меня удивляют возгласы одминчегов на тему поломанных реплик Active Directory. Если не было нештатных ситуаций или кто-то не занимался криворукими экспериментами над рабочей системой, то причин поломаться репликам нет.
Ну хорошо, предположим поломалось электричество. Пришел «злой» электрик и отключил электричество. ИБП продержался сколько смог и сдох. Контролер домена рухнул. Прошло время «злой» электрик дал слабину, стал «добрым» и включил рубильник. Системный администратор и на сервере с Active Directory нажал кнопку «Power». Сервер запустился, Ось загрузилась. Реплика поломалась или, вернее сказать – разъехалась. В одну сторону идет, в другую нет. Ошибка: целевое основное имя неверно.
В 99% в моей практике ошибка связана со службой KDC. У контролеров домена разные версии пароля учетной записи от контроллеров домена. Поэтому, целевой компьютер Kerberos (источника) не может расшифровать данные проверки подлинности Kerberos, отправленные клиентом Kerberos (назначения).
Для получения уверенности в дальнейших шагах смотрим журнал сервера. Если там много ошибок Security-Kerberos, то делаем 3 шага:
- Останавливаем KDC командой: net stop kdc
- Толкаем реплику, как удобнее и проще. Можно через консоль сайты и службы AD, а можете через repadmin. Если ошибок нет и прошла реплика, то переходим к шагу 3.
- Запускаем сервер KDC: net start kdc
Данная проблема будет возникать в случаях, когда один контроллер домена, особенно содержащий роли FSMO будет недоступен «продолжительное» время.
Поэтому, в очередной раз, рекомендую после перезагрузки и тем более после нештатных ситуаций, всегда проверять журналы сервера.
