none
'LDAP server is unavailable' error when preparing AD for Exchange 2016 Install RRS feed

  • 问题

  • 1. DC有2008R2,2012R2,2016,林和域的功能级别都是2008R2。所有DC都是GC。

    2. WS2016补丁最新,Exchange2016是最新的CU。

    3. 准备升级Exchange 2010到 2016。

    4. Telnet WS2008R2 & 2012R2的DC的3268是OK,WS2016 DC的3268不通。

    3. 在WS2016的AD上进行架构扩展,出现如下错误:LDAP server is unavailable;在WS2012R2上扩展架构OK。PS:在WS2016上扩展架构的时候,FSMO都在2016上;在2012R2上扩展架构的时候,FSMO都在2012R2上。

    请问,如何解决,谢谢

    2020年8月23日 1:58

答案

全部回复

  • 尊敬的客户,您好!

    感谢您在Technet论坛发帖。

    根据我们的描述,WS2008R2 & 2012R2的DC的3268是OK,WS2016 DC的3268不通。根据官方文档,3268端口需要开放。请确保开放WS2016 DC上的3268端口。

    具体信息请参考:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)?redirectedfrom=MSDN

    如有问题,请随时联系我们。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月24日 6:43
  • Hi Hannah

    现在的主要问题点在于,在AD上扩展Exchange架构的时候,提示“LDAP服务器不可用”

    2020年8月24日 7:17
  • 尊敬的客户,您好!

    感谢您的回复。

    关于此报错“LDAP服务器不可用”,我对此进行了搜索,根据搜索结果来说,DC上需要开放389,3268等端口。根据我们的描述,WS2008R2 & 2012R2的DC的3268是OK,并且在WS2012R2上扩展架构是OK的。但是WS2016 DC的3268不通,且无法在此扩展架构。

    所以我们初步推测,可能是因为端口问题。建议我们先开放2016DC上的3268端口,看看问题是否可以得到解决。

    在此提供搜索的信息,我们可以作为参考:
    https://social.technet.microsoft.com/Forums/lync/en-US/400e0c54-d3e0-42d5-8729-93e87ed30985/got-quotthe-ldap-server-is-unavailablequot-error-when-installing-exchange-2013-cu8?forum=exchangesvrdeploy

    感谢您的理解和支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月24日 9:22
  • Hi Hannah

    我在测试环境里(DC=WS2016,林和域的功能级别都是2008R2),同样无法telnet DC的3268端口,但是可以扩展AD架构。在生产环境里则无法扩展。

    你之前链接里的问题,我用生产环境的情况进行回答

    1. Your Exchange server is joined to the domain    --是,和WS2016DC是相同的域
    2. There are no firewalls between the Exchange server and the domain controllers    --没有Windows防火墙
    3. Check that your Exchange server can route traffic to the domain controllers    --通,可以ping,可以telnet 389,所有的DC都可以。
    4. Check DNS resolution. You should be able to ping domain.local and have it respond with the IP of a domain controller. Also, use nslookup to confirm that you can retrieve the IPs of your domain controllers.    --可以NSLOOKUP
    5. Ensure that you have a domain controller and global catalog in the site that you are installing Exchange    --所有的DC都是GC
    6. Ensure that you are running Exchange setup as a domain user    --使用的是 域管理员 账户
    7. Ensure that you are running Exchange setup as a user which is a member of Schema Admins and Enterprise Admins    --使用的是 域管理员 账户,在Schema Admins组里。
    8. Ensure that the Schema master FSMO role is in the same AD site as the Exchange server if you are upgrading or installing a new version of Exchange    --是,在同一个AD站点里,将FSMO切换至其他DC也是相同情况
    9. Check that you meet the Exchange requirements for network and directory servers    --符合EX2016的需求。https://docs.microsoft.com/en-us/Exchange/plan-and-deploy/system-requirements?view=exchserver-2016

    2020年8月24日 14:33
  • Hi,您好!

    非常感谢您的反馈和提供详细的信息。

    1,针对此报错信息,我这边再次进行搜索研究。大部分的相似案例表明,此报错是因为schema master所在的DC不是GC导致的。根据我们的描述,我们生产环境中所有的DC都是GC。建议我们这边再次检查确认下是否所有的DC都是GC。

    2,如有可能的话,在生产环境中,我们尝试开放DC的3268端口,测试下是否可以解决此问题。根据我的经验和理解,开放此端口更有利于我们判断此问题。

    请参考相似案例:
    https://social.technet.microsoft.com/Forums/en-US/0d3bde79-da3f-4377-b231-c7367ac9ea09/exchange-2016-cu3-setup-failure?forum=Exch2016SD

    https://social.technet.microsoft.com/Forums/exchange/en-US/022f6b21-a43d-43a7-8467-4bab3b75354f/exchange-2013-sp1-cu11-install-fails-active-directory-response-the-ldap-server-is-unavailable?forum=exchangesvrgeneral

    https://social.technet.microsoft.com/Forums/ie/en-US/0c64738d-ca03-463d-8ee3-8d1d7fae74bc/problems-running-exchange-2013-cu5-preparead-on-schema-master-in-empty-root-doamin?forum=exchangesvrdeploy

    https://social.technet.microsoft.com/Forums/en-US/aafd99d5-818d-4fa3-842a-0bcbfa8d9901/error-when-installing-cu5?forum=exchangesvrdeploy

    3,我们提到使用的账户是域管理员账户,在Schema Admins组里。请确认此账户也在Enterprise Admins组里。

    更多信息,我们可以参考:
    https://docs.microsoft.com/en-us/exchange/plan-and-deploy/prepare-ad-and-domains?view=exchserver-2019

    4,我们还提到将FSMO迁移到其他的DC,还是无法扩展架构。根据搜索,有三方的文档表明,通过迁移schema master角色到另外一台DC上可以解决此问题。

    三方文档参考:
    https://mikerodionov.com/2017/02/installing-exchange-2016/

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。

    我们这边主要集中处理AD活动目录相关的问题。对于exchange方面的知识,很抱歉我们不是很专业。但是我这边会尽力帮忙处理。感谢您的理解和支持。
    希望上述的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2020年8月25日 6:55
  • Hi,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月28日 2:32
  • Hi Hannah

    下面是我做DCDIAG的结果,

    ==========================

     Testing server: Default-First-Site-Name\DC01

          Starting test: Advertising

             The DC DC01 is advertising itself as a DC and having a DS.
             The DC DC01 is advertising as an LDAP server
             The DC DC01 is advertising as having a writeable directory
             The DC DC01 is advertising as a Key Distribution Center
             The DC DC01 is advertising as a time server
             Warning: DC01 has not finished promoting to be a GC.

             Check the event log for domains that cannot be replicated.

             Warning: DC01 is not advertising as a global catalog.

             Check that server finished GC promotion.

             Check the event log on server that enough source replicas for the GC are available.

    2020年8月28日 7:34
  • Hi,

    感谢您的反馈。

    1,我们可以打开AD站点和服务,检查下DC是否是GC,如下图。



    2,另外我们的环境中是有3台DC,是吗?可以运行以下命令检查下DC间复制是否正常。

    repadmin /showrepl * /csv >C:\showrepl.csv (在任意DC上运行,将检查所有DC的复制状态)
    repadmin /showrepl >c:\showrepl.txt (在每个DC上运行,将检查单个DC的复制状态)
    repadmin /replsum >c:\replsum.txt (在每个DC上运行,将检查单个DC的复制状态)

    3,请问,我们的生产环境中可以开放3268端口吗?端口3268用于专门针对全局编录的查询。 发送到端口3268的LDAP请求可用于在整个林中搜索对象。我们可以开放3268端口,然后待AD复制完成后,在运行上述的命令,查看是否还有任何报错。

    根据官网文章,AD DS中需要开放的端口就有3268。如果此端口不通的话,会对AD环境有影响。如之前所述,为了更好的排查问题,可以在生产环境中开放3268端口。

    感谢您的理解和支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月31日 6:29
  • 在父域contoso下面有bcc的子域,经常性的网络链接不好,会出现问题。DC01、WSUS、WSUS5,FS05都是父域的DC,Contoso_AD_Pro01-04都是子域的DC。

    -------------

    1. 在ADSS里,所有的服务器均勾选有GC

    2. showrepl.csv

    -----------------------------------------------------------

    showrepl.txt

    Repadmin: running command /showrepl against full DC localhost

    Default-First-Site-Name\DC01

    DSA Options: IS_GC 

        WARNING:  Not advertising as a global catalog.

    -------


    Source: Default-First-Site-Name\FS05

    ******* 1 CONSECUTIVE FAILURES since 2020-08-31 15:10:50

    Last error: 8464 (0x2110):

                Synchronization attempt failed because the destination DC is currently waiting to synchronize new partial attributes from source. This condition is normal if a recent schema change modified the partial attribute set. The destination partial attribute set is not a subset of source partial attribute set.



    Source: Default-First-Site-Name\WSUS3

    ******* 1 CONSECUTIVE FAILURES since 2020-08-31 15:09:30

    Last error: 8464 (0x2110):

                Synchronization attempt failed because the destination DC is currently waiting to synchronize new partial attributes from source. This condition is normal if a recent schema change modified the partial attribute set. The destination partial attribute set is not a subset of source partial attribute set.



    Naming Context: DC=bcc,DC=contoso,DC=com,DC=cn

    Source: Default-First-Site-Name\WSUS3

    ******* WARNING: KCC could not add this REPLICA LINK due to error.



    Source: Default-First-Site-Name\WSUS

    ******* 1 CONSECUTIVE FAILURES since 2020-08-31 15:09:30

    Last error: 8464 (0x2110):

                Synchronization attempt failed because the destination DC is currently waiting to synchronize new partial attributes from source. This condition is normal if a recent schema change modified the partial attribute set. The destination partial attribute set is not a subset of source partial attribute set.



    Naming Context: DC=bcc,DC=contoso,DC=com,DC=cn

    Source: Default-First-Site-Name\WSUS

    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    ---------------------------------

    replsum.txt

    Source DSA          largest delta    fails/total %%   error

     DC01                  25m:37s    0 /  20    0  

     FS05              01h:07m:57s    0 /  17    0  

     WSUS              01h:10m:39s    0 /  17    0  

     WSUS3             01h:24m:55s    0 /  17    0  

    Experienced the following operational errors trying to retrieve replication information:

              58 - contoso_AD_PRO01.bcc.contoso.com.cn

              58 - contoso-AD-PRO02.bcc.contoso.com.cn

              58 - contoso_AD_PRO03.bcc.contoso.com.cn

              58 - contoso-AD-PRO04.bcc.contoso.com.cn

    ---------------------------

    3. 3268端口是开放的。



    2020年8月31日 7:52
  • 您好,

    感谢您的回复。

    根据showrepl复制报告,有8464复制状态。

    在扩展架构或向部分属性集(PAS)添加新属性后,通常会看到Active Directory复制状态8464。 此消息指出复制暂时延迟。 PAS完成更新过程后,Active Directory复制状态8464消失。因为这是PAS同步的标准部分,所以通常不需要解决步骤。 如果此复制状态在环境中持续了一个星期以上,我们可以参考以下文章中的“更多信息”进行排错。

    Active Directory replication error 8464: Synchronization attempt failed
    https://support.microsoft.com/en-us/help/3001248/active-directory-replication-error-8464-synchronization-attempt-failed

    之前dcdiag中警告:DC01尚未promote为GC。根据以下官方文档,可能涉及到复制问题。涉及到复制问题的话,首先需要确认复制问题的根本原因,然后解决该问题。而这个复制问题可能就是因为复制延迟导致的。

    https://support.microsoft.com/en-us/help/910204/troubleshooting-problems-with-promoting-a-domain-controller-to-a-globa

    建议我们先等等,待复制状态8464消失后,我们再检查下问题是否都能解决。到时候再有任何问题的话,我们在具体分析。感谢您的理解和支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月31日 8:33
  • Hi Hannah

    这个问题我发现至少半个月了,最长可能有半年多

    2020年8月31日 15:24
  • Hi 您好,

    根据之前提供的官网文档,如果此复制状态持续了一个星期以上,我们可以参考文档中的“更多信息”进行排查。

    https://support.microsoft.com/en-us/help/3001248/active-directory-replication-error-8464-synchronization-attempt-failed


    感谢您的理解和支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月1日 7:22
  • Hi Hannah

    这个是在 注册表 里修改,还是在ADSI里修改?位置在哪,还请告知,谢谢

    2020年9月1日 8:16
  • Hi,

    感谢您的回复。

    上述提供的文章“more information”中,
    1,阐述了8464产生的原因
    2,如何检查AD复制状态8464,
    3,如何确定目标DC。在如何确定目标DC中,首先,我们必须确定哪些GC具有更新的PAS。这是我们使用的repadmin.exe命令:
    repadmin /showattr gc: dc = corp,dc = contoso,dc = com /gc /atts:partialattributeset >pas_domain.txt

    *由于在以上命令中指定了“ dc = corp,dc = contoso,dc = com”,因此它将转储“ Corp”域分区的PAS。

    以下命令将用于转储“分支”域分区的PAS:
    “ repadmin / showattr gc:dc =分支机构,dc = corp,dc = contoso,dc = com / gc / atts:partialattributeset> partialattributeset-Branches.txt”

    其次需要PAS中所有属性的列表。 这对于确定当前计数很有用。 运行以下命令以将结果导出到pas.txt文件:
    repadmin /showattr fsmo_schema: ncobj:schema: /filter:"(ismemberofpartialattributeset=TRUE)" /subtree /atts:dn >pas.txt

    4,接下来就是分析pas_domain.txt和pas.txt。
    5,目录服务事件日志。为全局编录事件启用诊断日志记录,需要在注册表中修改。
    6,部分属性同步中的复制状态周期。详细信息,我们可以参考之前提供的文档。

    可以尝试此解决方法:设置复制连接,禁用入站和出站复制,并强制复制:
    1.创建与已设置了更新的部分属性的DC的手动复制连接(除非您已与此DC建立连接)。



    2. 在新建的复制连接,右击选择“立即复制”。



    我们可以尝试上述方法,如有任何问题,请随时联系我们。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月2日 7:53
  • 1.  下面是pas.txt里的内容,只截取了开头一小部分,我看了下,大部分都是Exchange相关的信息

    Repadmin: running command /showattr against full DC WSUS3.contoso.com.cn

    DN: CN=Service-Instance-Version,CN=Schema,CN=Configuration,DC=contoso,DC=com,DC=cn

    DN: CN=ms-Exch-IMAP-OWA-URL-Prefix-Override,CN=Schema,CN=Configuration,DC=contoso,DC=com,DC=cn

    DN: CN=ms-Exch-Ews-Enabled,CN=Schema,CN=Configuration,DC=contoso,DC=com,DC=cn

    DN: CN=ms-Exch-Dirsync-Authority-Metadata,CN=Schema,CN=Configuration,DC=contoso,DC=com,DC=cn

    DN: CN=Service-Principal-Name,CN=Schema,CN=Configuration,DC=contoso,DC=com,DC=cn

    2. pas_domain里的内容

    还请帮忙看下命令是否正确,输出的内容提示:

    Repadmin: running command /showattr against full DC DC01.contoso.com.cn                Must specify a Naming Context.

    C:\Windows\system32>repadmin /showattr gc:dc=contoso,dc=com,dc=cn /gc /atts:partialattributeset >C:\pas_domain.txt 

    3. ADSS里,手动复制

    DC01从WSUS,WSUS03,FS05的复制都OK,“Active Directory Domain Services has replicated the connections”

    4.  5.目录服务事件日志。为全局编录事件启用诊断日志记录,需要在注册表中修改。    -----  没有修改

    5. Event Log-> Directory Service里,有几条信息 如下:

    ---------------------------------

    Source: ActiveDirectory_DomainService;Task Category:Global Catalog;Event ID:1110; Level:Information

      

    Promotion of this domain controller to a global catalog will be delayed for the following interval. 

    Interval (minutes):
    30 

    This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.

    ---------------------------------

    Source: ActiveDirectory_DomainService;Task Category:Global Catalog;Event ID:1578; Level:Information

         

    Promotion of the local domain controller to a global catalog has been delayed because the directory partition occupancy requirements have not been met. The occupancy requirement level and current domain controller level are as follows. 

    Occupancy requirement level:

    Domain controller level:


    The following registry key value defines the directory partition occupancy requirement level. 

    Registry key value:
    HKeyLocalMachine\System\ CurrentControlSet\Services\NTDS\Parameters\Global Catalog Partition Occupancy 

    Higher occupancy requirement levels include the lower levels. The levels are defined as follows: 

    (0) Indicates no occupancy requirement. 
    (1) Indicates at least one read-only directory partition in the site has been added by the Knowledge Consistency Checker (KCC). 
    (2) Indicates at least one directory partition in the site has been fully synchronized. 
    (3) Indicates all read-only directory partitions in the site have been added by the KCC (at least one has been synchronized). 
    (4) Indicates all directory partitions in the site have been fully synchronized. 
    (5) Indicates all read-only directory partitions in the forest have been added by the KCC (at least one has been synchronized). 
    (6) Indicates all directory partitions in the forest have been fully synchronized.

    --------------

    ----------------------------------

    另外还有几个报错,请参考图片

    2020年9月2日 8:51
  • 我装了一个AD复制检查工具,下面是结果,不知道对你是否有帮助。另外,请忽略UPDT这台机器,已关机。目前主要问题出现在DC01上,是WS2016的。

    另外,我刚才在我的测试机上,也搭了个AD,3268的端口也不通,复制也提示有错误。(第二个图是测试环境,可以忽略:1个2008R2 DC + WS2016 DC,无windows防火墙,虚拟网卡直连)

    2020年9月2日 9:31
  • AD复制检查工具 导出的数据,请忽略UPDT和BCC的子域

    2020年9月2日 9:37
  • 您好,

    感谢您的耐心回复。

    AD复制检查工具导出的数据,很抱歉我们这边看的不是很清楚。UPDT这台机器貌似有不少的报错,如果确认不需要的话,建议demote。另外还有两条8464的报错。之前您提供的showrepl.csv报告中能看到4条8464复制状态。是不是环境中有部分8464复制状态消失了?

    鉴于论坛限制,我们不能更清晰清楚地分析我们当前的环境,所以很抱歉我们不能提供针对性的解决方案。如果可以的话,建议我们联系Microsoft客户服务和支持以获得有效的解决方案。
    https://support.microsoft.com/zh-cn/supportforbusiness/productselection

    感谢您的理解和支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月4日 6:30
  • 1. UPDT这台机器可以忽略

    2. AD复制检查工具导出的数据,放大到200%即可看清

    3. AD复制检查工具的截图,第一个是生产环境,第2个是测试环境。


    2020年9月9日 1:48
  • AD复制有问题,ADSI里数据也有问题,改了N多东西才修复
    • 已标记为答案 往往外 2020年12月24日 1:43
    2020年12月24日 1:43