Forum IT Tranquillo

Ciao,

sto riscontrando numerosi errori su un BDC3:

UpdateRefs non riuscito con codice WERR_DS_DRA_ACCESS_DENIED/NT 0xc0002105 per 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done).

Ho un ADBDC1 corretto con il ruolo fsmo sul secondo BDC2, che punta correttamente anche ad ADBDC1. Anche il BDC3 (quello con i problemi) punta correttamente ad ADBDC1.


Questo errore si verifica ogni volta. Non riesco a capirne il motivo da diversi secondi e le mie ricerche su internet non hanno prodotto alcun risultato che mi indirizzi verso una soluzione convincente. Avete qualche suggerimento?
Grazie in anticipo,
cordiali saluti,
Eric

Ciao Eric,

Eric ha scritto: ↑20 ottobre 2018 - 8:01 Ho molti errori su un BDC3

Si ricorda che è meglio evitare nomi di server AD come PDC e BDC. In Active Directory, tutti i RWDC (ovvero i DC che non sono RODC) sono considerati uguali; non esistono DC primari o DC di backup. Con i ruoli FSMO, alcuni DC sono effettivamente più uguali di altri (per parafrasare George Orwell), ma la distinzione PDC/BDC non esiste come in NT4.

Con il concetto di RODC, Microsoft ha ricreato un equivalente del concetto di BDC.

Eric ha scritto: ↑20 ott 2018 - 08:01 UpdateRefs non riuscito con WERR_DS_DRA_ACCESS_DENIED/NT codice 0xc0002105 per 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)

Ho un ADBDC1 corretto con il ruolo fsmo sul secondo BDC2. Il ruolo FSMO punta correttamente ad ADBDC1 e poi a BDC3 (quello che ha (Problemi) punta chiaramente ad ADBDC1.

Questo errore si verifica ogni secondo; non capisco il motivo e le ricerche su internet non hanno prodotto nulla che mi indirizzi verso una soluzione praticabile. Avete qualche idea?

I ruoli FSMO sono raramente la causa di un problema. Se solo la partizione DomainDnsZones causa un problema, la soluzione migliore è declassarla e poi ricongiungerla. Per farlo, è sufficiente arrestare Samba, pulire la directory /var/lib/samba (in seguito sarà necessario ricreare la directory vuota /var/lib/samba/private), quindi eseguire `samba-tool domain demote --remove-other-dead-server=BDC3` su ADBDC1.

Sinceramente,

Denis

Ciao,
grazie mille per il tuo aiuto.

Ciao Eric,

Eric ha scritto: ↑
20 ottobre 2018, 8:01
Ho molti errori su un BDC3.

Come promemoria, è meglio evitare nomi di server AD come PDC e BDC. Infatti, in Active Directory, tutti i RWDC (ovvero i DC che non sono RODC) sono tutti uguali; non esiste un DC primario e un DC di backup. Con i ruoli FSMO, ci sono effettivamente DC che sono più uguali di altri (per parafrasare G. Orwell), ma non c'è distinzione PDC/BDC come in NT4.

Con il concetto di RODC, Microsoft ha ricreato un equivalente del concetto di BDC.

Eric ha scritto: ↑
20 ottobre 2018, 08:01
UpdateRefs non riuscito con WERR_DS_DRA_ACCESS_DENIED/NT codice 0xc0002105 per 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)

Ho un ADBDC1 corretto con il ruolo fsmo sul secondo BDC2. Il ruolo FSMO punta correttamente ad ADBDC1 e poi a BDC3 (quello con il problema (problemi) punta effettivamente ad ADBDC1.

Questo errore si verifica ogni secondo; non capisco il motivo e le ricerche su Internet non hanno prodotto nulla che mi indirizzi verso una soluzione praticabile. Avete qualche idea?

I ruoli FSMO sono molto raramente la fonte di un problema. Se solo la partizione DomainDnsZones sta causando il problema, la soluzione migliore è declassarla e riaggiungerla. Per declassarla, è sufficiente arrestare Samba, pulire la directory /var/lib/samba (in seguito sarà necessario ricreare la directory vuota /var/lib/samba/private), quindi eseguire `samba-tool domain demote --remove-other-dead-server=BDC3` su ADBDC1.


Ulteriori chiarimenti sull'ultima parte?
Per il remoto, è sufficiente arrestare Samba, pulire la directory /var/lib/samba (in seguito sarà necessario ricreare la directory vuota /var/lib/samba/private (in seguito). Questa operazione viene eseguita su BDC3? Quindi lo ricollego al dominio puntandolo ad ADBDC1.
Non ho ben compreso la differenza.



Mi scuso per l'utilizzo dei nomi BDC; è più semplice per tutti nel reparto.

Cordiali saluti
,
Eric.

Ciao Eric,

chiamaci in ufficio al numero +33240975755. Temo che non riceverai l'assistenza di cui hai bisogno per il tuo problema e sospetto che tu sia un'organizzazione di dimensioni piuttosto grandi, che quindi meriterebbe supporto tramite canali dedicati.

Il mio presentimento è che tu stia affrontando problemi residui da un aggiornamento da un sistema Samba3-NT4 di oltre 10 anni fa a Samba-AD senza alcuna pulizia, il che è comprensibile dato che una tale pulizia è difficile da documentare in modo affidabile.

Infatti, Samba3-NT4, come Windows NT, era molto permissivo e queste tecnologie consentivano sia un buon lavoro creativo che uno meno buono. Samba-AD, che replica il comportamento di MSAD, consente molta meno creatività; è più rigido e il suo funzionamento è quindi più sicuro. Nel complesso, questo è un aspetto positivo e questa rigidità avvantaggia tutti. Questa storia può quindi causare effetti collaterali indesiderati se hai oggetti vecchi e non conformi che stai trasferendo in Active Directory dopo un aggiornamento.

Con Microsoft Active Directory, la creatività un tempo consentita con NT4 è stata progressivamente limitata con MSAD2000, poi 2003, 2008 e così via. In questo caso, tra un vecchio Samba3-NT4, seppur aggiornato ma ancora in modalità NT4, e Samba-AD, si compie un enorme salto generazionale; è necessario molto più rigore per garantire un funzionamento corretto fin da subito. Noi di TIS abbiamo maturato questa esperienza.

Cordiali saluti,

Vincent C.