درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
امیرحسین کریم پور
امتیاز: 180392
رتبه:5
11
510
631
5722
امیرحسین کریم پور ، مدیر ارشد وب سایت TOSINSO ، متخصص شبکه ، تخصص در حوزه سیستم عامل های کلاینت و سرور مایکروسافت و سرویس های مربوطه ، سیستم عامل لینوکس و ... سابقه همکاری و فعالیت در سازمان های مختلف در قالب پروژه ، مشاوره ، تدریس و رفع اشکال ، علاقه مند به حوزه امنیت اطلاعات و تست نفوذ سنجی ... پروفایل کاربر

آموزش برطرف کردن مشکلات Active Directory Replication - قسمت پنجم

تاریخ 3 ماه قبل
نظرات 0
بازدیدها 79
سلام خدمت دوستان و کاربران عزیز وب سایت توسیسنو. در این مطلب با ادامه آموزش برطرف کردن مشکلات Active Directory Replication در خدمت شما عزیزان هستیم. در این مطلب می خواهیم نحوه برطرف کردن یکی دیگر از خطا های رایج بوجود آمده هنگام فرآیند Replication را به شما آموزش دهیم. در قسمت قبلی این آموزش نحوه برطرف کردن خطای شماره 8606 را به شما آموزش دادیم حال به سراغ برطرف کردن شماره خطای 8453 میرویم ...


برطرف کردن خطای شماره 8453 در Active Directory Replication


در مقاله قبل در مورد برطرف کردن مشکل Active Directory Replication که در آن دامین کنترلر قادر به پیدا کردن دامین کنترلر های دیگر در شبکه نبود بصورت مفصل صحبت کردیم و این مشکل را برطرف کردیم. حالا در این مقاله به برطرف کردن خطای 8453 که در آن دامین کنترلر ما میتواند دامین کنترلر های دیگر را در شبکه ببیند اما نمیتواند با آن ها Replication داشته باشد میپردازیم. برای مثال فرض کنید که دامین کنترلر ChildDC2 (که یک RODC هست) که در واقع در Child Domain می باشد خود را به عنوان Global Catalog Server به سایر دامین کنترلر ها در شبکه Advertise نمی کند. برای مشاهده وضعیت دامین کنترلر ChildDC2 دستور زیر را در ChildDC2 اجرا کنید :
Repadmin /showrepl childdc2 > Repl.txt
همانطور که مشاهده می کنید خروجی دستور به فایل Repl.txt منتقل می شود. حالا اگر فایل Repl.txt را باز کنید خروجی شبیه زیر را میبینید :
Boulder\ChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
  WARNING: Not advertising as a global catalog
در این فایل اگر به دقت به قسمت Inbound Neighbors نگاه کنید خواهید دید که DC=treeroot,DC=tosinso,DC=com partition is missing زیرا این دامین کنترلر Replicate نکرده است. اگر به بالای فایل نگاه کنید خطای زیر را خواهید دید :
Source: Boulder\TRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
   Replication access was denied
Naming Context: DC=treeroot,DC=tosinso,DC=com
این خطا بیانگر این است که دامین کنترلر ChildDC2 قادر به اضافه کردن Replication link به Treeroot partition نیست. حالا اگر به تصویر زیر نگاه کنید میبینید که با Event ID شماره 1926 در Event Viewer دامین کنترلر ChildDC2 این خطا ثبت و ضبط شده است.

آموزش برطرف کردن مشکلات Active Directory Replication - قسمت پنجم


حالا در این گونه مواقع باید مواردی که مربوط به مشکلات امنیتی است را شناسایی کنید. برای این کار از ابزار dcdiag استفاده می کنیم. دستور زیر را اجرا کنید :
Dcdiag /test:checksecurityerror
در تصویر زیر قسمتی از خروجی دستور فوق را مشاهده می کنید :

آموزش برطرف کردن مشکلات Active Directory Replication - قسمت پنجم


همانطور که در تصویر فوق مشاهده می کنید ارور 8453 دریافت شده است زیرا گروه Enterprise Read-Only Domain Controllers مجوز Replicating Directory Changes permission را ندارد. برای حل این مشکل باید این Permission را به Treeroot partition بدهیم. برای انجام این کار موارد زیر را انجام دهید :

1. در دامین کنترلر TRDC1 کنسول TRDC1 را باز کنید.
2. روی DC=treeroot,DC=tosinso,DC=com راست کلیک کنید و Properties را انتخاب کنید.
3. به تب Security بروید.
4. به Permission های این پارتیشن به دقت نگاه کنید. توجه کنید که Entry ای برای گروه Enterprise Read-Only Domain Controllers وجود ندارد.
5. روی گزینه Add کلیک کنید.
6. در قسمت Enter the object names to select تایپ کنید ROOT\Enterprise Read-Only Domain Controllers
7. روی دکمه Check Names کلیک کنید و سپس روی دکمه OK کلیک کنید.
8. در قسمت Permissions for Enterprise Read-Only Domain Controllers تیک چک باکس های زیر را بردارید :
Read
Read domain password & lockout policies
Read Other domain parameters
9. تیک چک باکس پرمیژن Replicating Directory Changes را بزنید. تصویر زیر را ببینید.

آموزش برطرف کردن مشکلات Active Directory Replication - قسمت پنجم


10. حالا بصورت دستی باید سرویس KCC یا Knowledge Consistency Checker را مجبور کنیم تا Inbound Replication را برای دامین کنترلر ChildDC2 با دستور زیر Recalculate کند :
Repadmin /kcc childdc2
در نتیجه این دستور Treeroot partition مجددا اضافه می شود.

نتیجه گیری : Replication در Active Directory بسیار ضروری است و حل مشکلات Replication یکی از مهم ترین کار هایی است که باید در اولویت کار یک ادمین شبکه مایکروسافتی قرار بگیرد و نحوه رفع اشکال آنرا باید بلد باشد. همانطور که دیدید زمانیکه Replication بین Domain Controller ها به درستی انجام نشود Object ها در دامین کنترلر ها یکسان سازی نمی شوند. انجام نشدن صحیح فرآیند Replication در اکتیودایرکتوری باعث مشکلاتی نظیر Authentication یا احراز هویت نیز می شود. مشکلات Replication ممکن است بلافاصله ظاهر نشوند. بنابراین اگر شما فرآیند Replication را در اکتیودایرکتوری Monitor نکنید و یا در وهله های زمانی مشخصی آنرا چک نکنید ممکن است مشکل زمانی خودش را نشان دهد که حتی فکرش را هم نمی کردید. پس توصیه من به شما این است که در اکتیودایرکتوری مشکلات Replication را حتما حتما حتما جدی بگیرید. امیدوارم از این سری آموزش ها استفاده کافی را برده باشید. امیدوارم مورد توجه شما قرار گرفته باشد.


نویسنده : امیرحسین کریم پور
منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی میباشد
برچسب ها
ردیف عنوان
1 آموزش برطرف کردن مشکلات Active Directory Replication - قسمت دوم
2 آموزش برطرف کردن مشکلات Active Directory Replication - قسمت اول
3 آموزش برطرف کردن مشکلات Active Directory Replication - قسمت سوم
4 آموزش برطرف کردن مشکلات Active Directory Replication - قسمت چهارم
5 آموزش برطرف کردن مشکلات Active Directory Replication - قسمت پنجم
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید