BPAの結果が気に入らないから(笑)、対策をしてみる。
ルートサーバーはね、警告でちゃっててもいいんです。このコにはデフォゲ設定してないからアクセス出来なくて当然だし…
★厳密なレプリケーション整合性を有効にするために、以下のコマンドを使用します。
-------------------------------------
repadmin /regkey ~
-------------------------------------
このコマンドは、以下のレジストリ値を追加・編集するものです。作業前のレジストリ バックアップは忘れずに。
レジストリ エディタ(regedit)でもいいんですけどね・・・。
*******************************************************
追加する値:allowDivergent
正式な値:"Allow Replication With Divergent and Corrupt Partner"
変更する値:strict
正式な値:"Strict Replication Consistency"
*******************************************************
-------------------------------------------------------
☆ここでは以下の環境を想定しています。
・厳密なレプリケーションの整合性を有効にしろと警告が出ているDC = ns3.nekoprint.mobi
・その他のDC = ns2.nekoprint.mobi
・全てのDCに適用したい = DC=nekoprint,DC=mobi
・SYSVOL_DFSR 共有にアップグレードずみ
・DCサーバーは2台構成(Widows Server 2008 R2、Windows Server 2012 R2)で2台ともまだ厳密なレプリケーションの整合性を有効にしていない状態。
※操作はNS3 (Windows Server 2012 R2)で実施。
-------------------------------------------------------
◆事前に、残留オブジェクトの削除を確認してから実行します。
もし残留オブジェクトがあれば、それを削除してから実行します。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/211.html
レプリケーションのイベントログに、残留オブジェクト関連のイベントログ ID:2042 がなれば次へ。
①コマンドプロンプト(管理者として実行)へ以下を入力・実行します。
-------------------------------------
repadmin /regkey GC: +allowDivergent
-------------------------------------
※1台だけ(Widows Server 2012 R2側)に設定する場合は以下。
repadmin /regkey ns3.nekoprint.mobi +allowDivergent
②次に以下のコマンドを入力・実行します。
-------------------------------------
repadmin /regkey * +strict
-------------------------------------
このコマンドでは、厳密なレプリケーション整合性をフォレスト内のすべての DC 上で有効にします。
※念のためレジストリエディタを開き、以下の場所に値が設定されているか確認してみるとよい。
HKLM\system\ccs\services\ntds\parameters
③ここまで行ったら、レプリケーションが正しく出来ているかを確認してみます。
以下のコマンドを入力し、実行します。
-------------------------------------
repadmin /showrepl
-------------------------------------
問題がなければ、同じ内容で以下のような表示が5つ確認できる。
---------------------------------------------------------
DC=DomainDnsZones,DC=nekoprint,DC=mobi
Default-First-Site-Name\NS2 (RPC 経由)
DSA オブジェクト GUID: e326cfd2-835e-4449-ab07-681840dfab07
yyyy-mm-dd hh:mm:ss の最後の試行は成功しました。
---------------------------------------------------------
時々、時間の早いほうがRPC関係のログで失敗していることがあるが、数時間経過後に同じ動作を行えばすべて「yyyy-mm-dd hh:mm:ss の最後の試行は成功しました。」が表示するはずである。
④以下のコマンドを入力・実行し、複製先のレプリケーションの状態を確認します。
-------------------------------------
dcdiag /s:ns2 /test:dfsrevent /v
-------------------------------------
(上記のコマンドで ns2 側のDFSR テストで失敗がないかを確認、もしくは dcdiag /s:ns2 /v で、ns2 側の現在のすべての状態で失敗がないかを確認)
エラーについては、コマンド実行後の直近のイベント生成時間を参照します。
イベントIDが 1722 もしくは 1753 エラーの場合は RPC サーバーにアクセスできない等のエラーによるものなので RPCエラーについては、以下のリンクでも対策を書いています。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/10.html
理想は、24時間以上経過後に同じコマンドを入力・実行したときの状態で問題がないかを確認します。24時間以内に何度も同じコマンドを入力しても同じエラーなどが表示されるだけだから。
④複製元のDCである ns3 側でも同様に【 dcdiag /test:dfsrevent /v 】を実行し、失敗していないかを確認する。
⑤イベント ログの確認
すべての DC においてイベントビューアを開き、アプリケーションとサービス ログ内にある、《Directory Service もしくは ディレクトリ サービス》と《DFS Replication》ログをそれぞれ確認します。
(イベント表示が全くない場合は、SYSVOL_DFSR(SYSVOL) 共有や Netlogon 共有は問題なくできています。共有の確認は net share コマンド で行います。
//////////////////////////////////////////////////////////
《Directory Service もしくは ディレクトリ サービス》
イベントID:1394 Active Directory ドメイン サービス データベースの更新を妨げていたすべての問題が解決しました。 Active Directory ドメイン データベースへの新規更新に成功しています。Net Logon サービスが再開されました。
イベントID:1869 Active Directory ドメイン サービスにより、次のサイトでグローバル カタログが検出されました。
グローバル カタログ:
\\ns3.nekoprint.mobi
サイト:
Default-First-Site-Name
《DFS Replication》SYSVOL_DFSR 共有の場合。
イベントID:1210 DFS レプリケーション サービスは、レプリケーション要求を受信する RPC リスナーを 正常にセットアップしました。
イベントID:1206 DFS レプリケーション サービスは、ドメイン コントローラー ns2.nekoprint.mobi に正常に接続し、 構成オブジェクトにアクセスできました。
イベントID:5004 DFS レプリケーション サービスは、レプリケーション グループ Domain System Volume の パートナー NS2 との着信接続を正常に確立しました。
《ファイル レプリケーション サービス》SYSVOL 共有の場合。
イベントID:13516 ファイル レプリケーション サービスが、これ以上、コンピューター NS2 がドメイン コントローラー になるのを妨げなくなりました。システム ボリュームは正しく初期化されて、 システム ボリュームが SYSVOL として共有される準備が 完了したという通知を Netlogon サービスが受けました。
//////////////////////////////////////////////////////////
上記のイベントが最終的に出ていれば成功です。