In tutti i domini Active directory ci deve essere almeno un Global Catalog. Esso ha una strettissima relazione con la replica dell’Active Directory. Può capitare che nel registro degli eventi “Servizio Replica File” compaiano errori aventi origine “NtFrs” e codice 13568: il set di repliche SysVol è nello stato JRNL_WRAP_ERROR.
Per risolvere la cosa ho trovato una cura peggiore del male. Non la svelerò, ma vi dirò cosa è successo circa due ore dopo che ho lasciato la sede del cliente convinto di aver risolto l’errore.
Ricevo una telefonata di un utente che non riesce più a loggarsi al dominio, lamentando messaggi di errore che non ho mai sentito prima. Appena riesco a collegarmi in remoto, mi accorgo che neppure l’account amministrativo è in grado di accedere al server via servizi terminal.
Ritorno dal cliente appena posso, ed effettivamente la situazione è grave: “Impossibile ottenere il nome del controller di dominio nella rete”. Eventid 1054, source Userenv. Sul controller di dominio.
E qui comincio a sudare.
Meno male che ho lasciato la macchina loggata ma bloccata, altrimenti non avrei avuto la minima possibilità. Nessun client è in grado di loggarsi alla rete, e l’ouput di dcdiag avverte che ci sono problemi al Netlogon, e che risulta impossibile recuperare il nome del Global Catalog.
Controllo meglio e non credo ad i miei occhi: le share Netlogon e Sysvol sono sparite!
Ok, panico. Panico totale.
A questo punto lo scenario migliore che ho davanti è: backup totale termonucleare globale, controller di dominio rasato e reinstallato, restore dei dati, rejoin al dominio di tutti i client. Per motivi troppo lunghi da spiegare non ci sono altri DC in questa rete.
Rassegnato, metto un nastro nuovo e lancio il backup.
Mentre aspetto decido di fare un respiro profondo, fare mente locale e riapprocciare il problema.
Mi accorgo che la presunta cura che avevo usato ha deciso di rasare a zero le share suddette; per fortuna ne ha lasciato una copia in una cartella lì vicino. Le sposto, ripristino i permessi del file system e i permessi della condivisione. Rilancio dcdiag, adesso è rimasto l’errore più grave: manca il Global Catalog.
Dopo una lunga ricerca nella Knowledge Base di Microsoft trovo finalmente questo articolo. In pratica si forza un particolare DC come autoritativo per il set di repliche di Sysvol.
Ci rifletto un po’ e ci provo.
Ho avuto fortuna: tutto si rimette a funzionare. Il GC viene trovato, gli errori spariscono ed i client riescono a loggarsi.
Già che ci sono faccio un backup del System State, non si sa mai.
Ho trascorso due ore terribili.
Related posts
Mentre aspetto decido di fare un respiro profondo, fare mente locale e riapprocciare il problema.
Questa e’ in genere una delle soluzioni piu’ valdie…
Complimenti per il sangue freddo !
Max
ed io che credevo che i problemi li generasse solo samba 2.2 …
Andrea, non ho capito molto di quanto hai scritto, ma mi hai messo un panico addosso! Sono appena uscito da una giornata che mi ha lasciato qualche pensiero per la testa e devo dire che la tua storia non mi ha aiutato
Comunque, complimenti per il sangue freddo e per l’approccio che alla fine è sempre il migliore: un bel respiro e via alla riflessione.
Che situazione da incubo! Io rammento quella volta che ho perso due ore (o forse più) per configurare e mettere in sicurezza un server web con Windows 2000 Server, quando ho avuto la bella pensata di disabilitare (sì, letto bene, disabilitare) il servizio relativo all’RPC… ed erano le ore 20:00, con la prospettiva di dover rifare tutto!
Dopo aver sudato freddo, sono riuscito a trovare sul Web un metodo per ritornare alla situazione precedente, e a cenare ad un orario umano… anche a me in quel caso è andata bene!
lo dico sempre… SEMPRE lasciare un client loggato e bloccato come punto di accesso per gli utenti indesiderati muniti di dischetto spazza-pwd per macchine windows…
:P
Ciao Andrea,
grazie a te, a questa tua esperienza, al fatto che l’hai resa pubblica, grazie naturalemnte a Google, io ho trascorso solo 10 minuti terribili.
Special thanks!
Ciao Andrea, ho avuto la stessa traumatica esperienza e il tuo blog è stato il mio punto di partenza, grazie! Mi domando però: i valori di registro modificati devono essere riportati al loro stato originale? Sia tu che Microsoft non riportate niente in proposito. Parlo della chiave BurFlags (sotto HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative\Sets di replica GUID), ossia quella impostata a D4 per il DC principale e D2 per gli altri domain controller. La reimposto a 0?