Risoluzione dei problemi di replica di Active Directory
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Provare l'agente virtuale: aiuta a identificare e a risolvere rapidamente i problemi di replica comuni di Active Directory.
I problemi di replica di Active Directory possono avere diverse origini. Ad esempio, problemi di DNS (Domain Name System), problemi di rete o problemi di sicurezza possono causare un errore della replica di Active Directory.
La parte restante di questo articolo descrive gli strumenti e la metodologia generale per risolvere gli errori di replica di Active Directory. I seguenti argomenti secondari descrivono i sintomi, le cause e le modalità per risolvere errori di replica specifici:
Introduzione e risorse per la risoluzione dei problemi di replica di Active Directory
Un errore di replica in ingresso o in uscita causa un'incoerenza degli oggetti Active Directory che rappresentano topologia di replica, pianificazione di replica, controller di dominio, utenti, computer, password, gruppi di sicurezza, appartenenze a gruppi e Criteri di gruppo tra controller di dominio. L'incoerenza della directory e l'errore di replica causano errori operativi o risultati incoerenti, a seconda del controller di dominio contattato per l'operazione e possono impedire l'applicazione di Criteri di gruppo e le autorizzazioni di controllo di accesso. Active Directory Domain Services (AD DS) dipende dalla connettività di rete, dalla risoluzione dei nomi, dall'autenticazione e dall'autorizzazione, dal database di directory, dalla topologia di replica e dal motore di replica. Quando la causa radice di un problema di replica non è immediatamente evidente, determinare la causa tra le tante possibili richiede l'eliminazione sistematica delle cause probabili.
Per uno strumento basato sull'interfaccia utente per monitorare gli errori di replica e diagnosi, scaricare ed eseguire lo strumento Assistente supporto e ripristino di Microsoft.
È disponibile un documento completo che descrive come utilizzare lo strumento Repadmin per la risoluzione dei problemi di replica di Active Directory, vedere Monitoraggio e risoluzione dei problemi di replica di Active Directory tramite Repadmin.
Per informazioni sul funzionamento della replica di Active Directory, vedere i riferimenti tecnici seguenti:
- Documentazione tecnica sul modello di replica di Active Directory
- Documentazione tecnica sulla topologia di replica di Active Directory
Consigli per le soluzioni di eventi e strumenti
Idealmente, gli eventi rossi (Errore) e gialli (Avviso) nel registro eventi di Directory Service suggeriscono il vincolo specifico che sta causando il fallimento della replica nel controller di dominio di origine o di destinazione. Se il messaggio dell'evento suggerisce i passaggi per una soluzione, provare la procedura descritta nell'evento. Lo strumento Repadmin e altri strumenti di diagnostica forniscono anche informazioni che consentono di risolvere gli errori di replica.
Per informazioni dettagliate sull'uso di Repadmin per la risoluzione dei problemi di replica, vedere Monitoraggio e risoluzione dei problemi relativi alla replica di Active Directory tramite Repadmin.
Escludere interruzioni intenzionali o errori hardware
A volte si verificano errori di replica a causa di interruzioni intenzionali. Ad esempio, quando si risolvono i problemi di replica di Active Directory, escludere prima di tutto le disconnessioni intenzionali e gli errori hardware o gli aggiornamenti.
Disconnessioni intenzionali
Se gli errori di replica vengono segnalati da un controller di dominio che tenta la replica con un controller di dominio compilato in un sito di staging ed è attualmente offline in attesa della distribuzione nel sito di produzione finale (un sito remoto, ad esempio una succursale), è possibile tenere conto di tali errori di replica. Per evitare di separare un controller di dominio dalla topologia di replica per periodi prolungati, causando errori continui fino a quando il controller di dominio non viene riconnesso, è consigliabile aggiungere tali computer inizialmente come server membri e usare il metodo install from media (IFM) per installare Active Directory Domain Services (AD DS). È possibile utilizzare lo strumento della riga di comando Ntdsutil per creare supporti di installazione da archiviare nei supporti rimovibili (CD, DVD o altri supporti) e spedire al sito di destinazione. Quindi, è possibile usare il supporto di installazione per installare Active Directory Domain Services nei controller di dominio del sito, senza usare la replica.
Errori hardware o aggiornamenti
Se si verificano problemi di replica a causa di un errore hardware (ad esempio, errore di una scheda madre, di un sottosistema disco o di un disco rigido), inviare una notifica al proprietario del server in modo che il problema hardware possa essere risolto.
Anche gli aggiornamenti periodici dell'hardware possono causare l'interruzione del servizio dei controller di dominio. Assicurarsi che i proprietari del server abbiano un buon sistema per comunicare in anticipo tali interruzioni.
Configurazione firewall
Per impostazione predefinita, le Remote Procedure Call (RPC) di replica di Active Directory avvengono in modo dinamico su una porta disponibile attraverso l'RPC Endpoint Mapper (RPCSS) sulla porta 135. Assicurarsi che Windows Firewall con sicurezza avanzata e altri firewall siano configurati correttamente per consentire la replica. Per informazioni su come specificare la porta per la replica di Active Directory e le impostazioni della porta, vedere l'articolo 224196 nella Microsoft Knowledge Base.
Per informazioni sulle porte usate dalla replica di Active Directory, vedere Strumenti e impostazioni della replica di Active Directory.
Per informazioni sulla gestione della replica di Active Directory sui firewall, vedere Replica di Active Directory su firewall.
Risposta a un errore di un server obsoleto che esegue Windows 2000 Server
Se un controller di dominio che esegue Windows 2000 Server non funziona per un periodo di tempo superiore rispetto al numero di giorni nella durata di rimozione definitiva, la soluzione è sempre la stessa:
- Spostare il server dalla rete aziendale a una rete privata.
- Rimuovere Active Directory o reinstallare il sistema operativo.
- Rimuovere i metadati del server da Active Directory in modo che l'oggetto server non possa essere riattivato.
È possibile usare uno script per pulire i metadati del server nella maggior parte dei sistemi operativi Windows. Per informazioni sull'uso di questo script, vedere Rimuovere i metadati del controller di dominio Active Directory.
Per impostazione predefinita, gli oggetti di configurazione NTDS eliminati vengono ripristinati automaticamente per 14 giorni. Pertanto, se i metadati del server non vengono rimossi (usare Ntdsutil o lo script indicato in precedenza per eseguire la pulizia dei metadati), verranno reintegrati nella directory e verranno eseguiti tentativi di replica. In questo caso, la replica non può essere eseguita nel controller di dominio mancante e l'errore viene registrato in modo permanente.
Cause radice
Se si escludono disconnessioni intenzionali, gli errori hardware e i controller di dominio Windows 2000 obsoleti, il resto dei problemi di replica ha quasi sempre una delle seguenti cause:
- Connettività di rete: è possibile che non sia disponibile una connessione di rete o che le impostazioni di rete non siano configurate correttamente.
- Risoluzione dei nomi: gli errori di configurazione DNS sono una causa comune degli errori di replica.
- Autenticazione e autorizzazione: i problemi di autenticazione e autorizzazione causano errori di “accesso negato” quando un controller di dominio tenta di connettersi al partner di replica.
- Database della directory (archivio): il database della directory potrebbe non essere in grado di elaborare le transazioni in modo sufficientemente rapido per mantenere il passo con i timeout della replica.
- Motore di replica: se le pianificazioni della replica tra siti sono troppo brevi, le code di replica potrebbero essere troppo grandi per essere elaborate nel tempo richiesto dalla pianificazione della replica in uscita. In questo caso, la replica di alcune modifiche può essere bloccata potenzialmente all'infinito, tanto da superare la durata della rimozione definitiva.
- Topologia di replica: i controller di dominio devono avere collegamenti tra siti in Active Directory Domain Services che eseguono il mapping a connessioni WAN (Wide Area Network) o VPN (Virtual Private Network) reali. Se si creano oggetti in Active Directory Domain Services per la topologia di replica che non sono supportati dalla topologia del sito effettiva della rete, la replica che richiede la topologia non configurata correttamente avrà esito negativo.
Approccio generale alla risoluzione dei problemi
Usare l'approccio generale seguente per risolvere i problemi di replica:
Monitorare l'integrità della replica ogni giorno oppure usare Repadmin.exe per recuperare lo stato della replica ogni giorno.
Tentare di risolvere eventuali errori segnalati in modo tempestivo usando i metodi descritti nei messaggi di evento e in questa guida. Se il software potrebbe causare il problema, disinstallare il software prima di continuare con altre soluzioni.
Se nessuno dei metodi noti consente di risolvere il problema che impedisce il buon esito della replica, rimuovere Active Directory Domain Services dal server, quindi reinstallarlo. Per altre informazioni sulla reinstallazione di Active Directory Domain Services, vedere Rimozione di un controller di dominio.
Se non è possibile rimuovere Active Directory Domain Services quando il server è connesso alla rete, usare uno dei seguenti metodi per risolvere il problema:
- Forzare la rimozione di Active Directory Domain Services in modalità di ripristino servizi directory (DSRM), pulire i metadati del server, quindi reinstallare Active Directory Domain Services.
- Reinstallare il sistema operativo e ricompilare il controller di dominio.
Per altre informazioni sulla rimozione forzata di Active Directory Domain Services, vedere Forzare la rimozione di un controller di dominio.
Uso di Repadmin per recuperare lo stato della replica
Lo stato della replica è un modo importante per valutare lo stato di servizio della directory. Se la replica funziona senza errori, significa che esiste un controller di dominio online. Inoltre, è noto che i seguenti sistemi e servizi funzionano:
- Infrastruttura DNS
- Protocollo di autenticazione Kerberos
- Servizio Ora di Windows (W32time)
- Remote procedure call (RPC)
- Connettività di rete
Usare Repadmin per monitorare lo stato della replica ogni giorno eseguendo un comando che valuta lo stato di replica di tutti i controller di dominio nella foresta. La procedura genera un file .csv che può essere aperto in Microsoft Excel e filtrato per individuare gli errori di replica.
È possibile utilizzare la procedura seguente per recuperare lo stato di replica di tutti i controller di dominio nella foresta.
Requisiti
Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Enterprise Admins, o equivalente.
Strumenti:
- Repadmin.exe
- Excel (Microsoft Office)
Generare un foglio di calcolo repadmin /showrepl per i controller di dominio
Aprire un prompt dei comandi come amministratore: nel menu Start fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, specificare le credenziali Enterprise Admins, se necessario, e quindi fare clic su Continua.
Nel prompt dei comandi digitare il comando seguente e quindi premere INVIO:
repadmin /showrepl * /csv > showrepl.csvAprire Excel.
Fare clic sul pulsante Office, fare clic su Apri, passare a showrepl.csv e quindi fare clic su Apri.
Nascondere o eliminare la colonna A e la colonna Tipo di trasporto, come indicato di seguito:
Selezionare una colonna che si desidera nascondere o eliminare.
- Per nascondere la colonna, fare clic con il pulsante destro del mouse sulla colonna e quindi scegliere Nascondi.
- Per eliminare la colonna, fare clic con il pulsante destro del mouse sulla colonna selezionata e quindi scegliere Elimina.
Selezionare la riga 1 sotto la riga dell'intestazione di colonna. Nella scheda Visualizzazione fare clic su Blocca riquadri e quindi su Blocca riga superiore.
Selezionare l'intero foglio di calcolo. Nella scheda Dati fare clic su Filtro.
Nella colonna Ora ultima riuscita fare clic sulla freccia giù e quindi fare clic su Ordina crescente.
Nella colonna Controller di dominio di origine fare clic sulla freccia verso il basso del filtro, scegliere Filtri di testo e quindi fare clic su Filtro personalizzato.
Nella finestra di dialogo Filtro automatico personalizzato, in Mostra righe in cui, fare clic su Non contiene. Nella casella di testo adiacente digitare
delper eliminare dalla visualizzazione i risultati per i controller di dominio eliminati.Ripetere il passaggio 11 per la colonna Ora ultimo errore, ma usare il valore non è uguale a e digitare il valore 0.
Risolvere gli errori di replica.
Per ogni controller di dominio nella foresta, il foglio di calcolo mostra il partner di replica di origine, l'ora dell'ultima esecuzione della replica e l'ora in cui si è verificato l'ultimo errore di replica per ogni contesto di denominazione (partizione della directory). Usando il filtro automatico in Excel, è possibile visualizzare l'integrità della replica solo per i controller di dominio funzionanti, i controller di dominio con errori o i controller di dominio meno o più aggiornati. Inoltre, è possibile visualizzare i partner di replica che vengono replicati correttamente.
Problemi di replica e soluzioni
I problemi di replica vengono segnalati nei messaggi di evento e in vari messaggi di errore che si verificano quando un'applicazione o un servizio tenta un'operazione. Idealmente, questi messaggi vengono raccolti dall'applicazione di monitoraggio o quando si recupera lo stato della replica.
La maggior parte dei problemi di replica viene identificata nei messaggi di evento registrati nel registro eventi del servizio directory. I problemi di replica possono anche essere identificati sotto forma di messaggi di errore nell’output del comando repadmin /showrepl.
Messaggi di errore repadmin /showrepl che indicano problemi di replica
Per identificare i problemi di replica di Active Directory, usare il comando repadmin /showrepl, come descritto nella sezione precedente. La tabella seguente mostra i messaggi di errore generati da questo comando, le cause principali degli errori e i collegamenti agli argomenti che forniscono soluzioni per gli errori.
| Errore repadmin | Causa radice | Soluzione |
|---|---|---|
| Il tempo trascorso dall'ultima replica con questo server ha superato la durata della rimozione definitiva. | Un controller di dominio non è riuscito a eseguire la replica in ingresso con il controller di dominio di origine per un periodo di tempo tale che un’eliminazione è stata marcata per la rimozione definitiva, replicata e sottoposta a Garbage Collection da Active Directory Domain Services. | ID evento 2042: è trascorso troppo tempo dalla replica del computer |
| Nessun vicino in ingresso. | Se nella sezione "Vicini in ingresso" dell'output generato da repadmin/showrepl non sono presenti elementi, il controller di dominio non è riuscito a stabilire collegamenti di replica con un altro controller di dominio. | Correzione dei problemi di connettività della replica (ID evento 1925) |
| Accesso negato. | Esiste un collegamento di replica tra due controller di dominio, ma la replica non può essere eseguita correttamente a causa di un errore di autenticazione. | Correzione dei problemi di sicurezza della replica |
| Ultimo tentativo alla <data: ora> non riuscito con messaggio "Nome account di destinazione non corretto". | Questo problema può essere correlato a problemi di connettività, DNS o autenticazione. Se si tratta di un errore DNS, il controller di dominio locale non è riuscito a risolvere il nome DNS basato sull'identificatore univoco globale (GUID) del partner di replica. | Correzione dei problemi di ricerca DNS della replica (ID evento 1925, 2087, 2088) Correzione dei problemi di sicurezza della replica Correzione dei problemi di connettività della replica (ID evento 1925) |
| Errore LDAP 49. | L'account computer del controller di dominio potrebbe non essere sincronizzato con il Centro distribuzione chiavi (KDC). | Correzione dei problemi di sicurezza della replica |
| Non è possibile aprire la connessione LDAP all'host locale | Lo strumento di amministrazione non è riuscito a contattare Active Directory Domain Services. | Correzione dei problemi relativi alla ricerca DNS della replica (ID evento 1925, 2087, 2088) |
| La replica di Active Directory è stata annullata. | Lo stato di avanzamento della replica in ingresso è stato interrotto da una richiesta di replica con priorità più alta, ad esempio una richiesta generata manualmente con il comando repadmin /sync. | Attendere il completamento della replica. Questo messaggio informativo indica il normale funzionamento. |
| Replica pubblicata, in attesa. | Il controller di dominio ha inviato una richiesta di replica ed è in attesa di una risposta. La replica è in corso da questa origine. | Attendere il completamento della replica. Questo messaggio informativo indica il normale funzionamento. |
Nella tabella seguente sono elencati gli eventi comuni che potrebbero indicare problemi con la replica di Active Directory, oltre alle cause principali dei problemi e ai collegamenti agli argomenti che forniscono soluzioni per i problemi.
| ID evento e origine | Causa principale | Soluzione |
|---|---|---|
| 1311 NTDS KCC | Le informazioni di configurazione della replica in Active Directory Domain Services non riflettono in modo accurato la topologia fisica della rete. | Correzione dei problemi di topologia di replica (ID evento 1311) |
| Replica NTDS 1388 | Non è in vigore la coerenza di replica rigorosa e un oggetto persistente è stato replicato nel controller di dominio. | Correzione dei problemi degli oggetti residui di replica (ID eventi 1388, 1988, 2042) |
| 1925 NTDS KCC | Il tentativo di stabilire un collegamento di replica per una partizione di directory scrivibile non è riuscito. Questo evento può avere cause diverse, a seconda dell'errore. | Correzione dei problemi di connettività della replica (ID evento 1925) Correzione dei problemi di ricerca DNS della replica (ID evento 1925, 2087, 2088) |
| Replica NTDS 1988 | Il controller di dominio locale ha tentato di replicare un oggetto da un controller di dominio di origine non presente nel controller di dominio locale perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection. La replica della partizione della directory con questo partner non continuerà finché la situazione non sarà risolta. | Correzione dei problemi degli oggetti residui di replica (ID eventi 1388, 1988, 2042) |
| Replica NTDS 2042 | La replica non è stata eseguita con questo partner per una durata di rimozione definitiva e la replica non può continuare. | Correzione dei problemi degli oggetti residui di replica (ID eventi 1388, 1988, 2042) |
| Replica NTDS 2087 | Active Directory Domain Services non ha risolto il nome host DNS del controller di dominio di origine in un indirizzo IP e la replica non è riuscita. | Correzione dei problemi relativi alla ricerca DNS della replica (ID evento 1925, 2087, 2088) |
| Replica NTDS 2088 | Active Directory Domain Services non ha risolto il nome host DNS del controller di dominio di origine in un indirizzo IP, ma la replica è riuscita. | Correzione dei problemi relativi alla ricerca DNS della replica (ID evento 1925, 2087, 2088) |
| 5805 Accesso rete | Un account computer non è riuscito a eseguire l'autenticazione, che in genere è causato da più istanze dello stesso nome computer o dal nome del computer che non viene replicato in ogni controller di dominio. | Correzione dei problemi di sicurezza della replica |
Per altre informazioni sui concetti relativi alla replica, vedere Tecnologie di replica di Active Directory.
Passaggi successivi
Per altre informazioni, inclusi gli articoli di supporto specifici per i codici di errore, vedere l'articolo: Come risolvere gli errori comuni di replica di Active Directory