FARIDOS DESK

Тексты ошибок:
It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.;

"The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime"

"...the directory service cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime"

Контроллеры домена не реплицируются долгое время, которое задано системой по умолчанию обычно 60 дней(tombstone lifetime). Причиной этому могут быть разница во времени у контроллеров, разрыв безопасного канала для лепликации между контроллерами(рассмотрено ниже), из-за отсутствия репликации по той иной причине налчиие устаревших объектов на одном из контроллеров домена(рассмотрено ниже).

Сброс безопасных каналов между контроллерами домена:

Server1 - Главный контроллер(PDC)
Server2 - Дочерний контроллер

1. Остановить службу Key Distribution Center (KDC) на Server2. Для этого, откройте выполните(Win + R) net stop KDC.
2. Запустите Kerbtray.exe. Вы можете запустить его выполнив(Win + R) c:\program files\resource kit\kerbtray.exe. Если получите ошибку об отсутсвии такого файла, вам необходимо установить windows resource kit tools для вашей системы и в консоли запустить kerbtray.exe
После запуска, вы увидете зеленую иконку в правом нижнем углу вашего экрана, в области уведомлений.
3. Нажмите правую клавишу мыши на иконке и выберите Purge Tickets. Вы получите уведомление о завершении.
4. Теперь необходимо сбросить пароль контроллера домена на Server1.

Для этого зайдите в командную строку и выполните:
netdom /resetpwd /server:server2 /userd:domain.com\administrator /passwordd:password
5. Далее синхронизируйте контроллеры домена, для этого в командной строке введите:
repadmin /syncall, и нажмите Enter.
6. Теперь надо запустить службу которую мы ранее остановили, для этого выполните net start KDC на Server2.

Проверьте репликацию командой: repadmin /showrepl

Удаление устаревших объектов с контроллеров домена:
1. Выполняем regedit находим ветку HKEY_Local_Machine ---> System --- > Current Control Set --- > Services ----> NTDS --- > Parameters
Меняем значение Strict replication Consistency на "0"
2. Включаем репликацию с разорванными контроллерами, находим dword "Allow Replication With Divergent and Corrupt Partner", если его нет, создаем DWORD, называем его Allow Replication With Divergent and Corrupt Partner и придаем значение "1" (Проделываем данную операцию на всех контроллерах где получаем ошибку 2041 и 2042)
3. Проверяем наличие устаревших объектов выполнив в командной строке:

repadmin /removelingeringobjects <имя_целевого_КД> <GUID_исходного_КД> <раздел_LDAP> /advisory_mode.

В качестве параметров команды введите следующие значения.
Имя_целевого_КД — имя узла контроллера домена, который предполагается использовать для удаления устаревших объектов. Например, если требуется удалить устаревшие объекты из контроллера домена DC1 в домене contoso.com, для параметра <имя_целевого_КД>

GUID_исходного_КД — выполните команду repadmin /showrepl имя_заслуживающего_доверие_КД |more, где имя_заслуживающего_доверие_КД — имя узла контроллера домена, который выбирается в качестве заслуживающего доверие. Введите первый отображаемый GUID объекта DSA в качестве параметра <GUID_исходного_КД>. Или Start --> DNS ---> Forward Lookup Zones --> _msdcs.ваш домен. И в разделе name увидите ваш GUID, напротив нужного контроллера домена.

Раздел_LDAP — имя целевого раздела протокола LDAP. Например, если устаревшие объекты находятся в разделе домена contoso.com, для параметра <раздел_LDAP>

Пример команды для определения устаревших объектов: repadmin /removelingeringobjects dc1.contoso.com 4a8717eb-8e58-456c-995a-c92e4add7e8e dc=contoso,dc=com /advisory_mode

4. При выполнении данной команды с параметром /advisory_mode, мы пока не удаляем никакин объекты, а увидим их в собитиях под кодом 1388 или 1988.
Для выполения удаления выполните команду без параметра /advisory_mode. В событиях вы получите сообщение о удалении с кодом 1939, 1937.

5. Выполняем данные операции ко всем контроллерам где могут быть устаревшие данные

6. Проверяем репликацию командой: repadmin /showrepl

7. Возвращаем все данные реестра в первоначальное состояние