Вопрос кажется простым, но не могу найти на него ответ, потому что везде разбираются тонкости и особенности каких-то конкретных реализаций, а мне нужно общее решение, пока не до деталей.

В общем, есть два офиса, соединенных через туннель (туннель организован через kerio). Соответственно, по туннелю бегает только tcp/ip, никаких широковещательных пакетов.

В одном офисе стоит главный контроллер домена (PDC) и один BDC. В другом офисе BDC. В любом из офисов можно подключить машину к домену, использовать сетевые ресурсы другого офиса - проверка идет без проблем. Но сами контроллеры не синхронихируются. То есть, если сменить пароль пользователя на сервере в одном офисе, для корректной работы нужно сменить его и в другом офисе, иначе будут проблемы с доступом к сетевым ресурсам. Комп, добавленный в домен в одном офисе не появляется в AD в другом офисе и т.п.

Подскажите плиз, как организовать их синхронизацию.

Sergey Orlov Раз разговор зашел об PDC/BDC, то можно узнать у вас стоит домен NT4 или уже AD.
Если NT4, то рекомендую на удаленном BDC добавить в lmhosts строчку
<ip PDC> <netbios PDC> #PRE #DOM:<netbios name domain>
Если AD то настраивайте DNS

Виноват, Я не указал операционку - Server 2003
Впрочем, я упомянул в топпосте, что у меня AD

Dimitry Sibiryakov
А контроллерам они не нужны. Они собратьев находят через DNS. Вот его-то
и мучай. Но начни, конечно, с netdiag, dsdiag на всех контроллерах.
Потом repldiag и, соответственно, логи репликации.


Упс, вы переоценили мои знания :) Я еще раз прошу прощения у сообщества, ибо чайник.

netdiag, dsdiag - это какие-то внешние утилиты?

Dimitry Sibiryakov
ЗЫ: Надеюсь, ты не совершил глупость вроде выставления 127.0.0.1
первичным DNS на контроллерах?..


Гм. А как вообще правильно?
На PDC в качестве DNS (в свойствах TCP/IP) прописан он сам, правда не по 127.0.0.1, а по локальному адресу в сети. А в свойствах самого DNS, поднятого на PDC в "пересылке" указаны уже DNS провайдера.
На BDC в том же офисе в качестве DNS указан PDC
На BDC в другом офисе в качестве DNS указан DNS провайдера. Получается, что он не в курсе, где находятся контроллеры? Прописал ему в качестве второго DNS PDC - это правильно?

Dimitry Sibiryakov
А вот это неправильно. PDC должен быть его первым и единственным
сервером DNS. Хотя... насчёт единственного я не уверен. Возможно,
провайдерский сойдёт в качестве второго на случай недоступности PDC.


Сделал. Репликация не произошла. Куда покурить дальше?

Biz©
поставить support tools с установочного сидюка операционки и пользовать упоминаемые выше утилиты. результат их работы можете выложить здесь для обсуждения. тут же есть и утилита для просмотра состояния репликации на доменах ...

Спасибо, попробую завтра

Biz©вы кста в журналы событий на контроллерах домена вообще не смотрите или забываете указать есть ли вообще и какие именно ошибки имеют место быть ?

Для вас какие-то действия выглядят очевидными, для меня - нет ибо нет никакого опыта. :)

Покурил сообщения. В общем, оказывается я усугубил ситуацию. Репликации у меня нет уже давно (это я сейчас сподобился только наконец попробовать все настроить). Так вот, за то время, пока репликации не было, у меня PDC переехал на другой сервер, а того сервера, который был PDC, сейчас не существует. Удаленный BDC об этом просто не знает и пытается обновиться с сервера, которого нет. Можно ли заставить его обновиться насильно с другого сервера?

Dimitry Sibiryakov
Лично я бы поступил радикально - понизил бы его до рядового сервера,
потом вывел из домена вообще, почистил бы упоминания о нём в AD, а потом
ввёл бы его обратно.


А смогу ли я это сделать в удаленном офисе? Ведь когда я ввожу машину в домен, она еще не знает, где взять любой контроллер домена и я нигде это не указываю, он спрашивает только имя домена, то есть в этом случае, как я понимаю, используется широковещание.

Sergey Orlov
Главное, чтобы был переезд сервака, а не переезд домена, если случилось последнее, то кроме как следовать совету Dimitry Sibiryakov мне кажется у вас нет пути.... Станции-то в удаленном офисе, регистрировались все-таки где, на рядом стоящем серваке или все-таки в головном офисе? Если первое, то геморрой будет...

Станции регистрировались как раз в удаленном офисе, на удаленном BDC.

Про переезд домена не понял. Я просто сменил хозяина операций и еще какого-то там хозяина, а потом понизил бывший PDC до рядового сервера. Это переезд сервака или домена?

===================================

Параллельный вопрос - а может мне в удаленном офисе вообще попробовать обойтись без контроллера домена и вводить машины в домен через основной контроллер? Только как это сделать и какие подводные камни будут во всей этой системе?

Dimitry Sibiryakov
Тогда тебе повезло. Если в DNS на новом сервере нет ссылок на старый
контроллер, то достаточно на удалённом контроллере настроить
использование этого DNS сервера (вместо себя или провайдера) и сбросить
DNS кэш. Потом перезагрузить его и подождать пока они снюхаются и
договорятся


После перезапуска нашел в удаленном сервере следующее сообщение:

It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
Time of last successful replication:
2008-06-20 19:43:59
Invocation ID of source:
0348f6cc-f6bc-0348-a80b-b102607d3402
Name of source:
72c8dc2c-3208-4643-8d0f-d6b504fd109b._msdcs.*******.lan
Tombstone lifetime (days):
60

The replication operation has failed.

User Action:

Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:

1. Demote or reinstall the machine(s) that were disconnected.
2. Use the "repadmin /removelingeringobjects" tool to remove inconsistent deleted objects and then resume replication.
3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it is recommended that you remove the key to reinstate the protection.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner


Я так понимаю, мне надо воспользоваться вторым пунктом... только на какой машине - не понял... ща буду пробовать

Biz©да вычистите просто застрявшие реплики (2) и живите щасливо ... если всё остальное в норме, то сами разберутся кому чего не додадено ...

до переподнятия контроллера еще не добрался, попробовал вычистить - не вышло:

синтаксис:
repadmin /removelingeringobjects mydc.mydomain.lan 72c8dc2c-3308-4643-8d0f-d6b504fd109b dc=mydomain,dc=lan

брал тут

выдал ошибку:
DsReplicaVerifyObjectsW() failed with status 8524 (0x214c):
Can't retrieve message string 8524 (0x214c), error 1815.