Replikeringsfel i Lync Server Central Management Store

Symptom

Om du lägger till, flyttar eller uppdaterar Lync Server-serverroller kan filreplikeringsprocessen för Central Management Store (CMS) misslyckas. I följande scenarier beskrivs några olika typer av CMS-filreplikeringsfel som kan inträffa under olika omständigheter.

Scenario 1

När cms-filreplikering mellan Lync Server-frontendservern som är värd för Lync Server File Transfer Agent-tjänsten och de interna gränssnitten i Lync Server Edge-poolen misslyckas på grund av problem med nätverksdirigering loggas följande Lync Server-felhändelse:

Log Name:   Lync Server
Source:        LS File Transfer Agent Service
Date:          dd/mm/yyyy hh:mm:ss AM|PM
Event ID:      1017
Task Category: (1121)
Level:         Error
Keywords:  Classic
User:          N/A
Computer:      server01.contoso.net
Description:
File transfer failed for some replica machines. Microsoft Lync Server, File Transfer Agent will continuously attempt to replicate to these machines.
While this condition persists, configuration changes will not be delivered to these replica machines.

Replica file transfer failures: sever05.contoso.com: Https destination unavailable.

Cause: Possible issues with transferring files to the replicas listed above.

Resolution: Check the accessibility of file shares or https web services listed above.

Scenario 2

När CMS-filreplikering mellan Lync Server-frontendservern som är värd för Lync Server File Transfer Agent Service och de interna gränssnitten i Lync Server Edge-poolen misslyckas på grund av problem med certifikatkonfiguration loggas följande Lync Server-felhändelse:

Log Name:      Lync Server
Source:        LS File Transfer Agent Service
Date:          dd/mm/yyyy hh:mm:ss
Event ID:      1015
Task Category: (1121)
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      server01.contoso.com
Description:
File transfer failed. Microsoft Lync Server, File Transfer Agent will continuously attempt to transfer the files.

Reason: Unable to match host/cluster against certificate, host=server05.contoso.com, cluster=server05.contoso.com, CNn=server05.contoso.com, OU=Certificates, OU=Server, O=<Organization name>.

Cause: Microsoft Lync Server, Replica Replicator Agent presented an invalid certificate.

Resolution: Ensure that the certificate configured for Microsoft Lync Server, Replica Replicator Agent is valid.

Scenario 3

Följande Lync Server-felhändelse loggas när Den Lync Server 2010 FE-server som är värd för Lync Server File Transfer Agent-tjänsten inte har den behörighet som krävs för att komma åt den xds-replika resursen som finns på en Lync Server-rollserver.

Log Name:      Lync Server
Source:        LS File Transfer Agent Service
Date:          dd/mm/yyyy hh:mm:ss AM|PM
Event ID:      1034
Task Category: (1121)
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      server01.contoso.com
Description:
Microsoft Lync Server, File Transfer Agent service encountered an error while accessing a file share and will continuously attempt to access this file share until this issue is resolved. While this condition persists, replication to replica machines might not occur.

Access denied. (\\server02.contoso.com\xds-replica\from-master\data.zip)

Cause: Possible issues with file share permissions. This can occur if the computer hosting the file share has outdated cached credentials for the computer that is trying to access the file share.

Resolution: For details about how to resolve file share permission issues, see the product documentation

Orsak

Scenario 1

Lync Server Master File Transfer-tjänsten på Lync Server-frontservern överför en kopia av CMS-kopians information till Lync Server Replicator Agent-tjänsten genom att använda TCP-port 4443 i det interna gränssnittet i en Lync Server Edge-server i Lync Server Edge-serverpoolen. Den här filöverföringsprocessen kan misslyckas om:

  • Den interna brandväggen för perimeternätverket som är värd för Lync Server Edge-serverpoolen är inte konfigurerad för att tillåta filöverföringar med hjälp av utgående TCP-port 4443.
  • Nätverksroutning mellan Lync Server-frontend-servern och det interna gränssnittet i en Lync Server Edge-server i Lync Server Edge-serverpoolen är felaktigt konfigurerat.

Scenario 2

Tjänsten Lync Server-replikatoragent som finns på Lync Server-frontendservern kan inte upprätta en förtroenderelation med tjänsten Lync Server Replicator Agent som finns på Lync Server Edge-servrarna på grund av en ogiltig certifikatkonfiguration.

Scenario 3

Lync Server File Transfer Agent Service på Lync Server-frontend-servern kan inte slutföra Kerberos-autentiseringsprocessen som krävs för att säkert överföra en kopia av CMS-kopian av information till en eller flera Lync Server-rollservrar. Det här problemet kan uppstå när den xds-replikmapp som finns på Lync Server-fjärrservern saknar standardåtkomstkontrollposter (ACE) i åtkomstkontrolllistan (ACL).

Lösning

Gör så här innan du använder något av stegen som listas i Scenario 1, Scenario 2 och Scenario 3:

  1. Öppna Lync Server Management Shell.

  2. Ange följande Lync Server PowerShell-cmdlet:

    Get-CsManagementStoreReplicationStatus -CentralManagementStoreStatus
    
  3. Granska resultaten för Get-CsManagementStoreReplicationStatusPowerShell cmdleten.

  4. Ange följande Lync Server PowerShell-cmdlet:

    Invoke-CsManagementStoreReplication
    
  5. Skriv in följande Lync Server PowerShell-cmdlet igen:

    Get-CsManagementStoreReplicationStatus -CentralManagementStoreStatus
    
  6. Granska resultaten för Get-CsManagementStoreReplicationStatus PowerShell-cmdleten.

Med de här anvisningarna ser du vilka Lync Server-serverroller som inte kan delta i CSM-replikeringsprocessen.

Anteckning

Listan ActiveReplicas som returneras av Lync Server PowerShell-kommandovisningen trunkeras till 128 byte och kanske inte hela listan med Get-CsManagementStoreReplicationStatus -CentralManagementStore ActiveReplicas visas.

Scenario 1

För att felsöka routningsproblemet med TCP-port 4443 som beskrivs i avsnittet Symptom, följer du dessa steg för att hitta problemets ursprung.

Kontrollera att tjänsten Lync Server Replicator Agent-tjänsten på Lync Server Edge-servern körs:

Använda Server 2008 eller Server 2008 R2

  1. Klicka på Start på konsolen för Lync Server Edge Server, klicka på Kör och skriv services.msc och klicka sedan på OK.

Använda Server 2012

  1. Tryck på Funktionstangenten i Windows för att komma åt startsidan

  2. Klicka på panelen Administrationsverktyg för att hitta services.msc

  3. Dubbelklicka på noden services.msc
    Använda stegen nedan för att granska statusen för tjänsten Lync Server Replicator Agent

  4. Leta reda på tjänsten Lync Server Replicator Agent i listan över tjänster.

  5. Om tjänsten Lync Server Replicator Agent stoppas högerklickar du på den och klickar sedan på Starta.
    Kontrollera att perimeternätverkets interna brandvägg är konfigurerad för att tillåta utgående TCP-port 4443-trafik till var och en av de interna gränsgränssnitten för Lync Server Edge-serverpoolen.

Mer information om portkonfigurationer för perimeternätverkskonfigurationen för Lync Server finns på följande Microsoft-webbplats:

Portsammanfattning för Single Consolidated Edge

Använd Windows Telnet-klienten för att testa vägen från Lync Server-frontendservern till det interna gränssnittet för var och en av Lync Server Edge-servrarna i Lync Server Edge Server-poolen med hjälp av TCP 4443.

Använda Server 2008 eller Server 2008 R2

  1. På en Microsoft Windows Server-baserad dator som är värd för Lync Server-frontend-tjänsterna klickar du på Start, klickar på Kör och skriver cmd.exe klickar sedan på OK.

Använda Server 2012

  1. Tryck på Funktionstangenten i Windows för att komma åt startsidan
  2. Högerklicka på startsidan och klicka sedan på panelen Alla appar
  3. Klicka på windows kommandotolk

Använd stegen nedan för att testa routning mellan Lync Server-frontend-servrarna och det interna gränssnittet i det interna gränssnittet i Lync Server Edge-serverpoolen:

  1. Ange följande kommandorad i kommandotolken för att testa routning mellan Lync Server-frontend-servern och varje internt gränssnitt i Lync Server Edge Server(er) i Lync Server Edge-serverpoolen:

    telnet <ip address of the Lync Server Edge server internal interface> 4443
    
  2. En blinkande markör i det övre vänstra hörnet i kommandotolken visar en lyckad anslutning till den fjärranslutna tjänst för Lync Server-replikreplikatoragent genom att använda TCP-port 4443.

    Anteckning

    För Microsoft Windows Vista, Windows Server 2008 och senare versioner av Windows Server-operativsystem krävs installation av Telnet-klienten. Mer information om hur du installerar Telnet-klienten finns på Microsofts webbplats:

    Installera Telnet-klient

  3. Utför steg 1 till 6 som tidigare listades i början av avsnittet Upplösning.

Anteckning

Vissa leverantörer av belastningsfördelning har specifika konfigurationer för TCP-port 4443 för tjänsten Lync Server Replicator Agent i Lync Edge-poolens interna gränssnitt. Mer information finns i följande Microsoft TechNet-dokumentation:

Infrastruktur kvalificerad för Microsoft Lync

Scenario 2

För att felsöka det certifikatrelaterade problemet som beskrivs i avsnittet Symptom kan snapin-modulen med Windows Server-certifikat användas för att analysera problemet. Använd följande TechNet-information för att lägga till snapin-modulen för certifikat i en MMC och granska certifikatinformationen:

Lägga till snapin-modulen för certifikat i en MMC

Anteckning

Se till att du använder instruktionerna som heter – Så här lägger du till snapin-modulen Certifikat i en MMC för ett datorkonto

Lync Server front end-serverpoolen och Lync Server Edge-serverpoolen måste dela samma PKI-lösning. Den utfärdar en certifikatutfärdaresserver som tillhandahåller servercertifikaten och den matchande rotcertifikatlösningen för Certifikatutfärdare för Lync Server-frontendserverpoolen måste tillhandahålla servercertifikaten och den matchande rotcertifikatlösningen för Certifikatutfärdare för var och en av de interna gränssnitten för Lync Server Edge som hör till Lync Server Edge-serverpoolen.

Använd följande steg för att säkerställa att var och en av de Lync Server Edge-servrar som ingår i en Lync Server Edge-serverpool är värd för ett servercertifikat som innehåller den privata nyckeln för certifikatet:

  1. Lägg till snapin-modulen för certifikat.

  2. Använd följande TechNet-information för att visa allmän information om det servercertifikat som används för att autentisera de interna gränssnitten för Lync Server Edge-servrar som tillhör Lync Server Edge-serverpoolen:

    Fliken Allmänt

  3. Certifikatinformationen på fliken Allmänt i dialogrutan Certifikat bör vara "Du har en privat nyckel tilldelad till certifikatet". Om den här raden saknas i certifikatinformationen kan du läsa avsnittet "Exportera certifikatet med den privata nyckeln för Edge-servrar i en pool" i följande TechNet-artikel för mer information om hur du felsöker problemet:

    Fliken Information

  4. Använd steg 1 till 6 som tidigare listades i början av avsnittet Upplösning.

Scenario 3

Så här felsöker du varför filöverföringsagenttjänsten för Lync Server inte kan komma åt de mappar som visas under mappen RTCReplicaRoot på den fjärrbaserade Lync Server-rollservern som nämns i avsnittet Symptom:

Använda Server 2008 eller Server 2008 R2

  1. På en Microsoft Windows Server-baserad dator som är värd för Lync Server-frontend-tjänsterna klickar du på Start, klickar på Kör och skriver explore.exe klickar sedan på OK.

Använda Server 2012

  1. Tryck på Funktionstangenten i Windows för att komma åt startsidan

  2. Klicka på panelen utforskaren i Windows
    Använd stegen nedan för att utvärdera Åtkomstkontrollista (ACL) för xds-replikresursen på den fjärranslutna Lync Server-rollservern:

  3. Använd Utforskaren för att hitta <local drive> den :\RTCReplicaRoot\xds-replica share på Lync Server-rollservern som beskrivs som Access Denied i LS File Transfer Agent Service Event ID 1034 som visas som Scenario 3 i avsnittet Symptom.

  4. För första åtkomst till den delade xds-replica mappen krävs lokal administratörsägarskap för NTFS-behörigheter.

  5. Högerklicka på mappen xds-replica och välj sedan Egenskaper.

  6. Klicka på Fortsätt på fliken Säkerhet.

  7. Klicka på fliken Ägare och sedan på Redigera.

  8. Välj den lokala administratörsrollen och klicka sedan på alternativet Ersätt ägare för underbehållare och objekt.

  9. Klicka på OK när dialogrutan egenskaper för xds-replica är stängd.

  10. Högerklicka på mappen xds-replica och välj sedan Dela.

  11. Klicka på alternativet Ändra delningsbehörigheter i dialogrutan Fildelning.

  12. Kontrollera att det lokala säkerhetskontot för RTC Local Config Replicator läggs till i dialogrutan Fildelningsbehörigheter för ACL med medägare eller läs-/skrivbehörigheter. Klicka på Dela och sedan på Klar.

  13. Använd snapin-modulen Active Directory - användare och datorer för att se till att Windows Active Directory-datorkontot för Den Lync-klientserver som är värd för CMS-rollen är medlem i Windows-säkerhetsgruppen RTCUniversalConfigReplicator.

  14. Öppna verktyget Active Directory - användare och datorer från konsolen på en Windows Server-baserad dator som är värd för rollen Active Directory Domain Services

  15. Leta reda på säkerhetsgruppen RTCUniversalConfigReplicator Windows, högerklicka på den och klicka sedan på Egenskaper.

  16. Klicka på fliken Medlem.

  17. Kontrollera att Windows Active Directory-datorkontot för Lync Server-frontendservern som är värd för CMS-rollen läggs till i medlemslistan. Klicka på OK.

  18. Använd steg 1 till 6 som tidigare listades i början av avsnittet Upplösning

Mer information

Detaljerad information om hur Lync Server hanterar replikeringstjänster finns i följande lista med TechNet-artiklar om ämnet:

Lync Server CMS-filreplikeringsprocessen använder TCP 445 som målport för sina klient-/serverbegäranden för åtkomst till delade replikmappar. SMB-protokollet (Server Message Block) används för att säkerställa säker kommunikation för varje klient-/serveranslutning som används för replikering av filreplikering.

Översikt över servermeddelandeblock

Här följer en sammanfattning av hur behörigheter tillämpas och sedan används för att skydda åtkomsten till xds-master-mappen och undermappar för Lync Server Enterprise Edition:

  • Första publiceringen av en Lync Server-topologi skapar 1-CentralMgmt-1\CMSFileStore-mapparna under FileStore-resursen för Lync Server-frontend-poolen.

  • CMSFileStore-mappen har säkerhetsgruppen RTCUniversalConfigReplicator tillagd i sin delnings-ACL med motsvarande deltagarbehörigheter.

  • XDS-master-mappen och undermapparna som används i CMS-replikeringsprocessen läggs till i CMSFileStore-mappen när den första Lync-server frontend-servern läggs till i poolen.

  • Dessa mappar ärver behörigheterna för Windows-säkerhetsgruppen RTCUniversalConfigReplicator när de skapas.

  • CMSFileStore-mappen ser till att säkerhetsgruppen RTCUniversalConfigReplicator läggs till i dess NTFS ACL med ändra, & kör, listmappinnehåll, läs- och skrivbehörigheter.

  • Windows Active Directory-datorkontot för Lync-frontendservern som är värd för CMS-rollen blir medlem i RTCUniversalConfigReplicator Windows-säkerhetsgruppen.

  • Den första Lync Server-frontendservern läggs också till i poolen för att hantera CMS-replikeringsprocessen med hjälp av tjänsterna Lync Server Master Replicator Agent, Lync Server File Transfer Agent och Lync Server Replicator Agent services.
    Här är en kort sammanfattning av hur behörigheter tillämpas och sedan används för att skydda åtkomsten till mappen xds-master och undermappar för Lync Server Standard Edition:

  • Första publiceringen av en Lync Server-topologi skapar 1-CentralMgmt-1\CMSFileStore-mapparna under FileStore-resursen för Lync Server-frontend-poolen.

  • CMSFileStore-mappen har säkerhetsgruppen RTCUniversalConfigReplicator tillagd i sin delnings-ACL med motsvarande deltagarbehörigheter.

  • CMSFileStore-mappen ser till att säkerhetsgruppen RTCUniversalConfigReplicator läggs till i dess NTFS ACL med ändra, & kör, listmappinnehåll, läs- och skrivbehörigheter.

  • CMSFileStore-mappen kommer att ha lokal säkerhetsgrupp för RTC-konfigurationsreplikator tillagd i sin delnings-ACL med deltagarbehörigheter.

  • CMSFileStore-mappen kommer att ha lokal säkerhetsgrupp för RTC-konfigurationsreplikator tillagd i sin NTFS ACL med Ändra, & kör, Listmappinnehåll, Läs, Skriv-behörigheter.

  • XDS-master-mappen och undermapparna som används i CMS-replikeringsprocessen läggs till i CMSFileStore-mappen när den första Lync-frontendservern läggs till i poolen.

  • Mappen xds-master och undermapparna som används i CMS-replikeringsprocessen ärver behörigheterna för Windows-säkerhetsgruppen RTCUniversalConfigReplicator och den lokala säkerhetsgruppen RTC Local Config Replicator när de skapas.

  • Windows Active Directory-datorkontot för Lync-frontendservern som är värd för CMS-rollen blir medlem i RTCUniversalConfigReplicator Windows-säkerhetsgruppen.

  • RtCUniversalConfigReplicator Windows-säkerhetsgruppen, NT SERVICE\FTA, NT SERVICE\MASTER och NT SERVICE\REPLICA lokala tjänster blir medlemmar i den lokala säkerhetsgruppen för RTC-lokal konfigurationsreplikator. Detta garanterar säker åtkomst till den lokala CMSFileStore-mappen.

  • Den första Lync-frontendservern läggs också till i poolen för att hantera CMS-replikeringsprocessen med hjälp av tjänsterna Lync Server Master Replicator Agent, Lync Server File Transfer Agent och Lync Server Replicator Agent.

Behöver du fortfarande hjälp? Gå till Microsoft Community.