Устранение неполадок с ошибкой репликации AD 8477: был размещен запрос на репликацию; ожидание ответа

Устранение неполадок с ошибкой репликации AD 8477: был размещен запрос на репликацию; ожидание ответа

В этой статье описывается проблема, из-за которой репликации Active Directory не удается с ошибкой 8477: "Был размещен запрос на репликацию; ждем ответа".

Применяется к: Windows Server 2012 R2 Исходный номер КБ: 2758780

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь в связи с проблемой, задайте вопрос Community.

Симптомы

В этой статье описываются симптомы, причины и действия по устранению неполадок, связанные с устранением ошибки репликации Active Directory 8477: "Был размещен запрос на репликацию; ждем ответа".

Симптомы, рассмотренные в этой статье, обычно связаны с возникновением события 8477, однако могут также наблюдаться и с другими событиями, связанными с медленной или задержкой репликации. При устранении таких проблем необходимо учитывать все факторы, которые могут вызвать задержки репликации, и соответствующим образом устранять их.

Выход из repadmin.exe/showreps/verbose может сообщить о сбойной попытке репликации с ошибкой 8477 . "Запрос репликации был опубликован; ожидание ответа"

DC=Contoso,DC=com Default-First-Site-Name\DomainController через RPC GUID объекта DSA: <source DCs ntds settings object object guid> Адрес: <source DCs ntds settings object object guid>._msdcs.Contoso.Com Вызов DSA: <source DCs NTDS DB invocation id> DO_SCHEDULED_SYNCS ДЛЯ ЗАПИСИ COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS ПРЕДВАРИТЕЛЬНО USNs: 1158544/OU, 111052/PU Последняя попытка @ <Date Time> была отложена по обычной причине, результат 8477 (0x211d): Был размещен запрос на репликацию; ждем ответа. Последний успех @ <Date Time>

Выход из repadmin.exe/очереди может сообщать о большом количестве входящие запросы на репликацию в очереди и о беспрецедентно длительном выполнении

Repadmin /queue repadmin running command/queue against server localhost

Очередь содержит 26 элементов. Текущая задача начала выполняться в <Date Time>. Задание выполняется в течение 86 минут 12 секунд.

[6485] Enqueued <Date Time> at priority 590 СИНХРОНИЗАЦИЯ ИЗ ИСТОЧНИКА NC DC=Contoso,DC=com DC Default-First-Site-Name\DomainController GUID объекта DC <source DCs ntds settings object object guid> Транспортный надстройка <source DCs ntds settings object object guid>DC ._msdcs.Contoso.com ASYNCHRONOUS_OPERATION ПЕРИОДИЧЕСКИЕ ЗАПИСИ NEVER_NOTIFY ПРЕДВАРИТЕЛЬНО

Возникновение события 8477, когда входящие запросы репликации находятся в очереди, обычно наблюдается после заранее поставленной задачи репликации. Это событие указывается событием 8461 . Операция репликации была предочертана.

При использовании dcdiag.exe инициализация недавно продвигаемого контроллера домена может быть отложена в ожидании завершения начальной синхронизации

Диагностика сервера Directory

Выполнение начальной установки: Попытка найти домашний сервер. Домашний сервер = DomainController Служба каталогов в DomainController еще не завершила инициализацию. Чтобы служба каталогов была синхронизирована, она должна попытка начальной синхронизации по крайней мере с одной репликой этого домен сервера, который можно записать. Он также должен получать сведения об избавлении от rid Держатель FSMO. Служба каталогов не сигнализирует о событии, которое позволяет другим службам знаю, что он готов принимать запросы. Такие службы, как Key Центр рассылки, межсезонная служба обмена сообщениями и NetLogon не будут рассмотрим эту систему как подходящий контроллер домена. * Идентифицирован лес AD. Готовое сбор начальной информации. Служба каталогов на BOULDERDC01 не завершила инициализацию. Чтобы служба каталогов была синхронизирована, она должна попытка начальной синхронизации по крайней мере с одной репликой этого домен сервера, который можно записать. Он также должен получать сведения об избавлении от rid Держатель FSMO. Служба каталогов не сигнализирует о событии, которое позволяет другим службам знаю, что он готов принимать запросы. Такие службы, как Key Центр рассылки, межсезонная служба обмена сообщениями и NetLogon не будут рассмотрим эту систему как подходящий контроллер домена. Готовое сбор начальной информации.

Выход из dcdiag.exe, описанный выше, является нормальным поведением при продвижении нового контроллера реплики домена в среду. Возникновение 8477 в этом случае должно быть предоставлено время для очистки с помощью обычных циклов репликации до того, как будут рассмотрены или проведены действия по исправлению.

При использовании dcdiag.exe тестовый случай "Репликации" может выдавать предупреждение о ЗАДЕРЖКЕ РЕПЛИКАЦИИ.

Начальный тест: репликации ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ DomainController: в настоящее время продолжается операция репликации Задание выполняется в течение 84 минут и 22 секунд. Репликация новых изменений по этому пути будет отложена. Это нормально для нового подключения или для системы, которая давно не работает. Enqueued <Date Time> at priority 90 OP: СИНХРОНИЗАЦИЯ ИЗ ИСТОЧНИКА NC DC=Contoso,DC=com DSADN <source DCs ntds settings object object guid>

DSA транспортный надстройка <source DCs ntds settings object object guid>._msdcs.Contoso.com . DomainController прошел тестовые репликации

Событие 1580 "Репликация NTDS" может быть в журнале событий службы каталогов Источник событий Код события Строка события Репликация NTDS 1580 Многолетная задача репликации входящие службы домена Active Directory завершилась со следующими параметрами. По иным минутам( минуты): 84 Операция: Синхронизация реплики Параметры: 0x21000051 Параметр 1: DC=Contoso,DC=com Параметр 2: <source DCs ntds settings object object guid> Параметр 3: Параметр 4: Кроме того, при недоступности системы или разделе каталогов в течение длительного периода времени может возникнуть долгосрочная задача репликации. Длительное задание репликации может указывать на большое количество обновлений или ряд сложных обновлений, происходящих в службе исходных каталогов. Ведение этих обновлений в некритичное время может предотвратить задержки репликации. В случае добавления нового раздела каталога в службы домена Active Directory задача репликации является обычной. Это может произойти из-за новой установки, глобального продвижения по каталогу или подключения, порожденного проверкой согласованности знаний (KCC). Дополнительные данные Значение ошибки: Операция выполнена успешно.

Причина

Состояние 8477 (запрос репликации был размещен, ожидание ответа) является информационным и представляет собой нормальную операцию репликации Active Directory, указывающее, что репликация в настоящее время продолжается из источника и еще не применена к реплике базы данных контроллеров домена назначения.

Однако наличие этого события в течение длительного периода может свидетельствовать о проблемах с репликацией Active Directory в контроллере домена назначения. Возможные причины могут включать:

  1. Низкая доступная физическая память, высокая задержка или Low-Bandwidth сетевых ссылок, чрезмерное использование ЦП или диск I/O для объема данных, реплицируемых контроллером домена
  2. Высокая скорость изменений для объектов в службах домена Active Directory (AD DS)
  3. Сторонние утилиты, которые могут препятствовать нормальной функции репликации или задерживать ее.
  4. Большие группы (более 5000 участников), в которых репликация со связанным значением не включена
  5. Недавняя модификация схемы Active Directory, в которой изменено или индексировали большое количество атрибутов схемы

Решение

Исследование ошибки репликации 8477 должно проводиться, по крайней мере на начальном этапе, на контроллере домена назначения в рамках партнерства репликации. В разделе разрешение этой статьи будут рассмотрены методы, которые администратор Active Directory должен использовать для устранения возможных причин ошибки 8477 в разделе "Причина".

Низкая доступная физическая память, высокая задержка или Low-Bandwidth сетевых ссылок, чрезмерное использование ЦП или диск I/O для объема данных, реплицируемых контроллером домена

Контроллеры домена Active Directory должны быть настроены с максимально возможным количеством дополнительных ролей и приложений, в идеале контроллер домена должен быть сервером единой цели, используемым только для запросов на обслуживание и запросов проверки подлинности. При устранении неполадок с производительностью Active Directory часто лучше сначала проанализировать систему для любых дополнительных приложений, служб или задач, которые являются ненужными или избыточными.

В качестве начального шага ИТ-Professional диспетчер задач (и монитор ресурсов, если это необходимо) для общего использования ЦП и памяти, чтобы определить, является ли он нехарактерно высоким или отклоняется от заранее. Если базовых данных не существует, рекомендуемая практика Майкрософт предполагает, что устойчивое и многократное использование ЦП свыше 80% будет считаться высоким и должно быть рассмотрено далее.

Устранение неполадок с высоким уровнем использования ЦП на контроллере домена — устранение неполадок с высоким использованием ЦП на контроллере домена

Что касается использования диска, то в контроллерах домена Active Directory наиболее активными файлами в системе должны быть файлы Ntds.dit и edb.log. Чтобы определить, действительно ли это так, необходимо провести ведение журнала производительности и анализ (как по приведенной ниже).

Низкая пропускная способность, высокая задержка или загруженность сетевых подключений также могут привести к ошибке 8477 для контроллеров домена Active Directory. Метрики данных сетевой производительности должны собираться из контроллера домена с использованием монитора производительности, сетевого монитора или других таких средств. Инструкции по мониторингу и измерению трафика репликации подробно описаны в трафике репликации Active Directory.

Для Windows Server 2003 на основе контроллеров домена: ИТ-Professional использовать монитор производительности с счетчиками процессора, физического диска, сетевого интерфейса и служб каталогов, чтобы определить и изучить проблемы производительности в системе. Вместо этого советник по производительности сервера может снизить сложность анализа показателей производительности, полученных в мониторе производительности. Этот инструмент является бесплатным скачиванием и будет рассматривать ЦП, сеть, память и диск I/O, предоставляя подробные сведения об общем использовании и определении того, являются ли данные производительности пустыми, нормальными или потенциально проблематичными.

Для Windows Server 2008 и более основанных контроллеров домена: Монитор производительности Windows Server 2008 и более поздней части включает ключевые функции советника производительности сервера прямо из окна. В наборе системных наборов данных набор диагностики Active Directory, как и советник по производительности сервера, создает отчет с ключевыми метриками для исследования производительности Active Directory и предупреждает о нехарактерном поведении контроллеров домена Active Directory. Любые предупреждения включены в верхней части отчета, пример которого приведен ниже:

WARNING Симптом: Система испытывает чрезмерную нагрузку Причина: Доступная память в системе является низкой. Подробные сведения: Общая физическая память в системе не способна обрабатывать нагрузку. Решение: Обновление физической памяти или снижение нагрузки на систему Связанные: Диагностика памяти Симптом: На серверах каталогов наиболее активными файлами должны быть Ntds.dit и Edb.log. В этом случае C:\Windows\NTDS\ntds.dit имеет самый высокий показатель I/O (84,622 операции/сек).

Высокая скорость изменений для объектов в службах домена Active Directory (AD DS)

В занятой среде Active Directory может произойти большое количество изменений в объектах между каждой запланированной репликацией. Если это ожидается в среде, все аспекты инфраструктуры организаций должны быть надлежащим образом размером, чтобы облегчить эффективную репликацию.

В случае, если ИТ-администратор не ожидает большого количества изменений и получает ошибку 8477, необходимо определить, какие изменения происходят в среде и ожидаются ли они или являются результатом проблемы с приложением или службой. Эффективным средством для выполнения этой задачи является определение того, какие объекты изменяются с помощью атрибута uSNChanged, самое высокое значение uSNChanged для определенного контроллера домена представляет High-Watermark USN.

Запуск repadmin/showreps/verbose в отношении контроллера домена с отображаемой событием 8477 покажет текущее High-Watermark и последует /OU:

DC=Contoso,DC=com Default-First-Site-Name\DomainController через RPC GUID объекта DSA: <source DCs ntds settings object object guid> Адрес: <source DCs ntds settings object object guid>._msdcs.Contoso.Com Вызов DSA: <source DCs NTDS DB invocation id> DO_SCHEDULED_SYNCS ДЛЯ ЗАПИСИ COMPRESS_CHANGES NO_CHANGE_NOTIFICATIONS ПРЕДВАРИТЕЛЬНО USNs: 1158544/OU, 111052/PU Последняя попытка @ <Date Time> была отложена по обычной причине, результат 8477 (0x211d): Был размещен запрос на репликацию; ждем ответа. Последний успех @ <Date Time>

В зависимости от количества происходящих изменений самое высокое значение USN в контроллере домена может быстро приумножаться, чтобы определить объекты, которые обновляются, предполагается, что в партнере репликации источника ниже будет работать команда для соответствующего контекста именования:

Repadmin /showattrDomainControllerNameDC=Contoso,DC=com /subtree /filter:"(uSNChanged>=highestcommitedusn)" /atts:objectclass

Конкретные приложения или службы, такие как Exchange служба обновления получателей, могут регулярно вносить изменения в атрибуты Active Directory и, возможно, потребуется настроить, если в результате трафик репликации неуправляем.

Сторонние утилиты, которые могут препятствовать нормальной функции репликации или задерживать ее.

Сторонние приложения следует настраивать и настраивать с учетом наилучших методов производительности и поддержки. Некоторые приложения, если не настроены на применение лучших методов для Active Directory Performance, могут повлиять на нормальную функцию контроллера домена Active Directory.

Приложения примечание включают (но не ограничиваются):

а. Программное обеспечение для сканирования вирусов б. Агенты мониторинга c. Приложения синхронизации и управления удостоверениями г) Резервное программное обеспечение и агенты Рекомендации по проверке вирусов для Enterprise компьютеров, которые в настоящее время поддерживаются версиями Windows

Большие группы (более 5000 участников), в которых репликация со связанным значением не включена

Репликация связанных значений недоступна в лесах Windows 2000 Server. Так как исходное обновление должно быть записано в одной транзакции базы данных, а практическое ограничение для одной транзакции — 5000 значений, членство более 5000 значений не поддерживается в каталоге 2000 Windows Server Active Directory. Группа такого размера представляет собой ограничение как для операции записи базы данных, необходимой для записи изменения атрибута такого размера, так и для передачи такого объема данных по сети. Это отличается в лесах на уровне Windows 2003 или более высоком функциональном уровне, где включена репликация с привязанной стоимостью (LVR) для членов группы.

При обновлении домена с функционального уровня 2000 членство любых перевозимой группы считается устаревшим и по-прежнему может вызывать проблемы с репликацией:

Леса перед функциональным уровнем 2003 г. должны разделять группы на более мелкие группы, которые не превышают 5000 участников. Можно также использовать групповое вложение, предоставляя приложения и службы с помощью групп.

Леса на функциональном уровне 2003 г. могут удалять и восстанавливать членов группы, чтобы сделать их с поддержкой LVR. Со временем, когда принципы безопасности добавляются и удаляются из групп, участники медленно включены для записи LVR: События 1479 и 1519 также обычно регистрируются в журнале событий службы каталогов, когда крупные группы вызывают проблемы с репликацией и задержки.

С помощью repadmin/showobjmeta устаревшие члены группы могут быть определены и преобразованы в LVR включено членов, если это необходимо для решения проблемы, эти пользователи обозначаются "Тип" значения LEGACY:

repadmin /showobjmeta DomainControllerName "CN=Administrators,CN=Builtin,DC=Contoso,DC=Com"

3 записи. Тип Атрибут последний мод время, зародив DSA Loc.USN Org.USN Ver ======= ============ ============= ================= ======= ======= === Отличительное имя ============================= PRESENT member <Date Time> Default-First-Site-Name\DomainController 8203 8203 1 CN=Administrator,CN=Users,DC=Contoso,DC=Com Present member <Date Time> Default-First-Site-Name\DomainController 12398 12398 1 CN=Enterprise, CN=Users,DC=Contoso,DC=Com PRESENT member <Date Time> Default-First-Site-Name\DomainController 12378 12378 1 АДМИНИСТРАТОРЫ CN=Domain, CN=Users,DC=Contoso,DC=Com <Date Time> Участник LEGACY По умолчанию—имя первого сайта\DomainController 198458 198458 1 CN=mjordan,CN=Users,DC=Contoso,DC=Com

Недавняя модификация схемы Active Directory, в которой изменено или индексировали большое количество атрибутов схемы

Определения атрибутов хранятся в объектах attributeSchema в разделе каталога схемы. Изменения атрибутовSchema блокируют другую репликацию до тех пор, пока не будут сделаны изменения схемы. Во время репликации всех разделов каталогов, кроме раздела каталога схемы, система репликации сначала проверяет, согласованы ли версии схемы источника и контроллеры домена назначения. Если версии не являются одинаковыми, репликация другого раздела каталога будет перенесена до синхронизации раздела каталога схемы.

Изменение схемы с помощью LDIFDE или настраиваемых бинарных проектов, включенных в приложения (то есть Microsoft Exchange, Operations Manager и так далее), может добавить индексные атрибуты в раздел каталога схемы. В зависимости от размера обновления задержки репликации могут быть вызваны в больших базах данных.

В таких случаях состояние 8477 может отображаться как переходная проблема, и следует ожидать самоуладания после успешной репликации обновлений схемы с более высоким приоритетом и всех остальных репликационных изменений в каталоге.

📎📎📎📎📎📎📎📎📎📎