Не вдається інсталювати сервера глобального каталогу на контролері домену, в ОС Windows

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3063705
У цій статті описано проблему, яка перешкоджає успішній інсталяції сервера глобального каталогу на контролері домену. Ця проблема виникає, у середовищі Windows Server 2003 або Windows 2000. Щоб вирішити цю проблему, можна перевірити Звіт діагностики з контролера домену. exe (dcdiag.exe), в журналі, мережні порти та запис А бізнес-партнера DNS.

Ознака 1

Після того, як буде втрачено господаря операцій (також відомий як господаря операцій або FSMO) виникають помилки в Exchange Server роль господаря операцій і глобального каталогу. У цьому випадку вам скористатися перевагою всі операції володаря ролі за винятком господаря іменування домену, і з'являється наступним чином:
гнучкого одиночного господаря операцій обслуговування: захопити господар іменування доменів
Спроба безпечного передавання іменування гнучкого одиночного господаря ОПЕРАЦІЙ, перш ніж захоплення домену.
помилка з ldap_modify_sW 0x35 (53 (бажаючи виконання).
Розширений протокол IMAP у LDAP, є 0000214B: SvcErr: DSID - 032107C 5, проблема 5003
LL_NOT_PERFORM) дані 0

Під Вільний час 0x214b Win32 Помилка повертається, це може означати, підключення, LDAP або про помилку передавання ролі, залежно від того, код помилки. У цьому випадку заборонено роль захоплення.

Примітка DSA, налаштовані на серверах глобального каталогу, як має бути домену іменування роль господаря операцій.

Після цього ви переглянути, видалення не існує дочірніх доменів. Проте цієї інтерактивні елементи, що така помилка:
Виберіть операцію цілі: q
видалення метаданих: виберіть операцію призначення
Виберіть операцію призначення: список доменів
Знайти 3 domain(s)
0 - DC =domainComponent, DC = com
1 - DC =domainComponent, DC =domainComponent, DC = com
2 - DC =domainComponent, DC =domainComponent, DC = com
Виберіть операцію цілі: вибрати домен 2
Сайт - CN =За промовчанням ім'я сайт, CN = Sites, CN = Configuration, DC =domainComponent, DC = com
Домен - DC =domainComponent, DC =domainComponent, DC = com
Немає поточний сервер
Немає поточного контексту іменування
Виберіть операцію цілі: q
видалення метаданих: видалення вибраного домену.
Помилка з DsRemoveDsDomainW 0x20ab (перехресного посилання для вказаного іменування продовження
розширення не знайдено.)
метадані очищення:


Ви намагаєтеся видалити запис А бізнес-партнера Sev та MA дочірніх доменів, за у Видалення не існує домен, з Ntdsutil.exe, створює "DsRemoveDsDomainW протокол IMAP про помилку" помилка. Однак не можна видалити запис А бізнес-партнера в ADSIEdit через помилку "передачі було повертається із сервера".

Не вдається змінити глобального каталогу розміщення вимоги та реклама часу, але глобального каталогу не буде інстальовано на рядовому сервері.

Ознака 2

Настроювання сервера під керуванням Windows 2000 або контролера домену Windows Server 2003 як сервер глобального каталогу, установіть прапорець, щоб у CN = NTDS параметр об'єкт. Проте на контролері домену не може реклами самого сервера глобального каталогу та наступні події заносяться до кожні 30 хвилин.

Подія з Ідентифікатором: 1559
Джерело події: Реплікація NTDS
Тип події: інформаційні
Опис: Запит було зроблено, щоб зробити це DSA на глобальний каталог (GC).

Примітка Стати є сервером глобального каталогу, сервер, має містити лише для читання копію всіх розділів на підприємстві. Цей сервер має провести копію, DC = дитини, DC = корінь, DC = com розділ. Однак, це не так. Таким чином, на контролері домену не інстальовано на сервері глобального каталогу, доки ця умова.

Ця проблема може виникнути, якщо засіб перевірки узгодженості знань (КСС) не працює або його не можна створити репліку розділ тому, що всі його джерела вниз. У цьому випадку реєструється така подія KCC помилки:

Подія з Ідентифікатором: 1578
Джерело події: Реплікація NTDS
Тип події: інформаційні
Опис: Сприяння сервера до сервера глобального каталогу, відкладено через те, що розділ розміщення вимог не задовольняється.

Примітка З KCC повторить спробу запит на додавання репліки.

Параметр використовують для керування, як виключно каталогу, забезпечує розділ розміщення вимог. Параметр розміщуються в цьому підрозділі реєстру:
Розділ розміщення HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global-каталог

Рівні наведені нижче:
  • Рівень 0: Розміщення вимоги
  • Рівень 1: принаймні один розділ лише для читання, на сайті додані до KCC
  • Рівень 2: принаймні один розділ на сайті повністю синхронізації
  • Рівень 3: Всі доступні лише для читання розділи сайту, доданий KCC, (принаймні один синхронізації)
  • Рівень 4: Всі розділи сайту повністю синхронізації
Примітка Підвищення рівня, зокрема, вимоги нижніх рівнів. До поточного розміщення є 4. Цей сервер наразі на рівні 0.

Подія з Ідентифікатором: 1110
Джерело події: Реплікація NTDS
Тип події: інформаційні
Опис: Сприяння сервера до сервера глобального каталогу, буде відкладено протягом 30 хвилин. Таким чином, що потрібно розділів можна підготувати перед тим, як це поширюється глобального каталогу, ця затримка не потрібні. Операції, які відбудуться в цей Вільний час, включають KCC, виконується для створення нового топології, всі розділи лише для читання на підприємстві, які додавалися до сервера а також вміст цих розділів, що реплікацію доступної на цьому комп'ютері.

Якщо потрібно, щоб негайно інсталювати глобального каталогу, без виконання ця умова, значення реєстру параметр DWORD з 0 в цьому підрозділі реєстру:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global з каталогу затримка реклами (в секундах)

глобальний каталог встановленої наступної спроби перевірити передумови. Це значення можна також створити максимальну кількість секунд до DSA буде чекати перед інсталяцією сервера глобального каталогу.

Подія, яка приблизно такого вигляду реєструється, кожні 15 хвилин.

Подія з Ідентифікатором: 1265
Джерело події: NTDS KCC
Тип події: інформаційні
Опис: Спроба встановити зв'язок з параметрами реплікації

Розділ: DC = дитини, DC = корінь, DC = com
Джерело DSA DN: CN = NTDS
Настройки, CN = WIN2K, DC, CN = Servers, CN = Default-First-Site-Name, CN = Sites, CN = Configuration, DC = корінь, DC = com
Джерело DSA-адреса: DSAaddress.root.com
Між сайт транспортування, (у разі наявності): помилка состояния:

DSA операцію неможливо продовжити через неможливість перегляду DNS.

Примітка Опис помилки, можуть відрізнятися. запис А 1265 події та KCC не вдається створити посилання реплікації. Операція також можуть не зі статусом, приблизно одну або декілька таких дій:
  • DSA операцію неможливо продовжити через неможливість перегляду DNS. Ми, має вирішити проблему з DNS.
  • Сервер RPC недоступний. Вказує, як правило, проблема з підключенням до мережі. Перевірте, якщо цільовий DC в автономному режимі або порт в мережі заблоковано.
  • Ім'я учасника хибне. Перевірте захищений канал між вихідного та цільового контролерів домену.
Такі помилки протокол IMAP з'являється кожної години:

Подія з Ідентифікатором: 1126
Джерело події: NTDS загальні
Тип події: інформаційні
Опис: Не вдається встановити підключення до глобального каталогу

Подія 1559
Тип події: інформація
Джерело події: Реплікація NTDS
Категорія події: Глобального каталогу.
Подія з Ідентифікатором: 1559
Дата: Дата
Час: Вільний час
Користувач: Ім'я _ користувача
Комп'ютер: Ім'я сервера
Опис: Контролера домену на локальному вибрано буде сервера глобального каталогу. контролер домену не приймають лише для читання копії такий розділ каталогу.

Каталог розділ:
DC = корінь, DC = com <DN path="" of="" missing="" partition="">

</DN>
контролер домену як умова стає є сервером глобального каталогу, має містити лише для читання копії всіх розділів каталог, в лісі. Ця подія, виникає тому, що засіб перевірки узгодженості знань (КСС) завдання не завершено або контролера домену не може створити репліку розділ каталогу через недоступні джерело-контролери домену. Спроба додати репліку виникне знову далі KCC інтервал.

Подія 1578
Тип події: інформація
Джерело події: Реплікація NTDS
Категорія події: Глобального каталогу.
Подія з Ідентифікатором: 1578
Дата: Дата
Час: Вільний час
Користувач: Ім'я _ користувача
Комп'ютер: Ім'я сервера
Опис: Просування на локальний контролер домену для сервера глобального каталогу, відкладено через те, що розділ розміщення вимоги до каталогу не виконується. Заповнення необхідність рівня і поточного домену контролер рівня наведено нижче.

Заповнення необхідність рівень: 6
Рівень на контролері домену: 4

Каталог розділу заповнення необхідність рівень визначає, такий підрозділ реєстру:
Розділ розміщення HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global-каталог

Подія 1801
Якщо ввімкнути діагностичне журналювання для до знань узгодженість перевірки (КСС) на рівні 1, реєструється така подія: тип події: інформація
Джерело події: NTDS KCC
Категорія події: перевірка узгодженості знань
Подія з Ідентифікатором: 1801
Дата: Дата
Час: Вільний час
Користувач: Ім'я _ користувача
Комп'ютер: Ім'я сервера
Опис: Перевірку узгодженості знань не буде створювати топології для розділу, DC = домен, DC = com, тому що знання в розділі objectGuid має не репліковано на цей контролер домену.

Крім того, діагностичного журналу контролера домену, цей контролер домену не проходить тест реклами а також стверджують, що його не реклами себе як сервер глобального каталогу. Для запуску домену контролер діагностики перевіряйте, введіть таку команду в командному рядку та натисніть клавішу Enter:
також DcDiag /v

Проблема 3

Розглянемо таку ситуацію:
  • Ви маєте двох контролерів домену: або батьківський контролер домену та контролера домену в дочірньому домені.
  • Контролери домену аварійно завершувати роботу таким чином, необхідно відновити їх.
  • Отримати дочірнього домену в автономному режимі.
У цьому випадку неможливо інсталювати сервера глобального каталогу на будь-який контролерів доменів. Деякі посилання дочірній домен в служби доменів служба Active Directory (AD DS) існує. Крім того, до журналу подій записується така подія:

Ідентифікатор події: 1126 не вдається встановити підключення до глобального каталогу.

----- DCDIAG ----Starting test: KnowsOfRoleHoldersRole Schema Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Domain Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgWarning: CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org is the Domain Owner, but is deleted.Role PDC Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Rid Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Infrastructure Update Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org......................... HBP failed test KnowsOfRoleHolders
Під Вільний час спроби видалення об'єкта загублений домену з служба Active Directory Diagnostic Tool (Ntdsutil.exe), з'являється таке протокол IMAP про помилку:
Помилка-DsRemoveDsDomainW 0x20ab

Коли ви скористатися перевагою домену роль власника і господар схеми і спробуйте видалити дочірньому домені, з Ntdsutil.exe, з'являється таке протокол IMAP про помилку:

Dsremovedsdomainw помилка з кодом 0x2077

Ntdsutil.exe показує, загублені дочірнього домену об'єкт разом з "DEL: GUID." Під Вільний час очищення або змінити значення атрибута NCName, для об'єкта загублений, з'являється таке протокол IMAP про помилку:

Не можна змінити атрибут, тому, що він належить системи.

Ознака 4

Контролери домену не рекламують себе як Глобальні каталоги. Підключення через порт 3268 буде неможливо.

У засобі перегляду подій відображається такі події:

Ім'я журналу: Служба каталогів
Джерело: Microsoft-Windows-ActiveDirectory_DomainService
Дата: Дата
Подія з Ідентифікатором: 1655
Категорія завдання: Глобального каталогу.
Рівень: попередження
Ключові слова: класичний
Користувач: Ім'я _ користувача
Комп'ютер: Ім'я сервера
Опис: Спроба служби доменів служба Active Directory для спілкування з наступних глобального каталогу, і спроби було відхилено.
Глобальний каталог: \\ifa-dc02...

Ім'я журналу: Служба каталогів
Джерело: Microsoft-Windows-ActiveDirectory_DomainService
Дата: Дата
Подія з Ідентифікатором: 1864
Завдання, категорії: реплікація
Рівень: помилка
Ключові слова: класичний
Користувач: Ім'я _ користувача
Комп'ютер: Ім'я сервера
Опис: Це такий каталог розділу на цей сервер каталогів, стан реплікації.
Розділ каталогу: CN = Configuration

Цей сервер каталогів не отримав реплікації відомості кілька серверів в каталозі нещодавно. Показано кількість серверів каталогів і складається з таких інтервали:
Більше 24 години: 2
Більше тижня: 2
Більше одного місяця: 2
Більше двох місяців: 2
Більше, ніж за Вільний час життя: 2
Вільний час життя (дні): 180
Сервери каталогів, не відтворювати своєчасно, можуть виникати проблеми. Вони можуть пропустити зміни пароля і не автентифікації. Контролера домену, який не було репліковано в за Вільний час життя можуть втратити видалення деяких об'єктів, і він може бути автоматично заблоковано майбутніх реплікації поки не узгоджені.

Під Вільний час спроби підключитися через ldp.exe для контролерів доменів, з'являється таке протокол IMAP про помилку:

Помилка <0x51>: не вдається підключитися до DC01.

</0x51>
Крім того, така помилка виникає, Діагностика Windows контролера домену (dcdiag.exe), у:

Просування на локальний контролер домену для сервера глобального каталогу, відкладено через те, що розділ розміщення вимоги до каталогу не виконується.

Така подія реєструється.

EventID: 0x40000617
Вільний час, що створюється:
Подія рядок: Контролера домену на локальному вибрано буде сервера глобального каталогу. контролер домену не приймають лише для читання копії такий розділ каталогу.
Каталог розділу: DC =

контролер домену як умова стає сервера глобального каталогу, має містити лише для читання копії всіх розділів каталог, в лісі. Ця подія могли б статися перевірки узгодженості знань (КСС) завдання не виконано, або, якщо контролер домену не можна додати до розділу реєстр репліку через недоступні джерело-контролерів домену.

Спроба додати репліку виникне знову далі KCC інтервал.
причина

Причиною ознака 1

Глобальні каталоги, приймають лише для читання копію об'єктів із кожного розділу з домену в лісі. Коли комп’ютер-зразок працюватиме глобального каталогу, KCC, на комп'ютері, що висувається свій розсуд використовує для створення підключення об'єктів із джерелом-контролерів домену. Контролери домену "Джерело", може бути наявні глобальних каталогів, в лісі або контролерів домену, що розділ для записування копії головний кожного домену, який міститься в лісі. Домен, розділи (всі об'єкти і всіх атрибутів), потім вхідної реплікації з джерелом контролерів домену, визначеним KCC, на сервері глобального каталогу через посилання підключення.

Ця проблема може виникнути, якщо на одному або кількох таких умов:
  • Розділ "Настройки" глобального каталогу, що інстальовано та інші контролери домену в лісі, містять перехресне посилання об'єкт, для домену. Проте, контролерів домену для цього домену не існує в лісі.
  • Метадані для вихідного контролеру домену, створеному з KCC у лісі існує, але не є контролером домену, який мешкає в лісі.
  • Вихідного контролеру домену, вибрані KCC, на глобального каталогу, який установлюється, є в автономному режимі або вимкнений.
  • Вихідного контролеру домену, вибрані KCC, на глобального каталогу, який установлюється недоступний через мережу через відсутність мережного підключення (наприклад, посилання на роботу або порт блокування).
  • Вихідний домен, глобальні каталоги зафіксовано з діє як плацдармів, оскільки контролер домену не глобального каталогу неправильно вибрано як на основний маркер створюватиме адміністратор.
  • Глобального каталогу, який установлюється не вдається створити підключення посилання з вибраного вихідного контролеру домену за станом про помилку, у журналі подій.
  • Вихідного контролеру домену не вхідний трафік реплікації через підключення посилання з контролера домену в вибраного джерела через статус запису про помилку в разі журналу.
контролер домену, буде видалено із лісу, але дані, не було очищено. Загублений домену, у лісі, не дозволяє контролера домену з завершення реплікації та рекламної себе як на сервері глобального каталогу. Такі проблеми, може призвести до домені, Загублені:
  • Служби служба Active Directory, буде видалено з на всіх контролерах домену, але досі об'єкт перехресне посилання розділу домену.
  • Каталог розділу, буде видалено з домену, але розділ каталогу буде повторно створено до завершення реплікації. Це призводить до затяжних фантоми, який потім посилається на перехресне посилання на об'єкт.
  • Іменування домену оновлення для цього домену може не досягнуто контролер домену, якому виникла проблема. Або оновлення для домену, який щойно сприяє іменування домену може не зв'язувалися з будь-яких контролерів домену, за межами домену. Це тимчасові неполадки.

Причиною ознака 4

Ця проблема виникає в тому, що дочірній домен не видаляються неправильно з AD DS. Контролери домену не можна виконати реплікацію за допомогою цього дочірнього і не вдається отримати, лише для сторінок репліки розділу домену. Таким чином, вони не рекламують себе як Глобальні каталоги.

Ознака 1 вирішення

Щоб вирішити цю проблему, перегляньте розділ з FSMOROLEOWNER атрибути "CN = розділи, CN = Configuration, CN = домен, CN =" у розділі команду adsiedit. msc.

Атрибут вказує на такий старий Господар іменування домену:
CN =commonName, CN =commonName, CN = Servers, CN = Default-First-Site-Name, CN = Sites, CN = Configuration, DC =domainComponent, DC = com

Змінити до об'єкта NTDS параметри в таких новий Господар іменування домену:
CN =commonName, CN =commonName, CN = Servers, CN = Default-First-Site-Name, CN = Sites, CN = Configuration, DC =domainComponent, DC = com

Після цього можна видалити об'єкти дочірнього домену під ADSIedit і глобального каталогу, це поширюється. Діагностика Windows контролера домену (dcdiag.exe) також виходить чиста та редагування Exchange атрибутів та дозволи.

Вирішення ознака 2

Увага! Пропозиція реєстру, у випадку 1578 попереджає, що, не слід вмикати обмежених розміщення рівень штучно прискорити глобального каталогу, підвищення. корпорація Майкрософт рекомендує, вирішити проблему реплікація служби каталогів, тому глобального каталогу буде автоматично поширюється. Щоб вирішити цю проблему, спочатку визначити, чи є у вас виникають затримку реплікації, чи існує насправді загублений домені лісу середовища.

Якщо є загублений домену, NTDS KCC подій 1265 в журналі служби каталогів. Ця подія дає змогу визначити причину неполадки реплікації на тому самому розділі доменів. Переконайтеся, що доцільно підключення до мережі і є немає мережні порти, заблоковано, такі як TCP 135. Перевірте запис А бізнес-партнера DNS і переконайтеся, що зареєстровані запис А бізнес-партнера SRV хоста і все добре і чистої. Якщо сміття запис А бізнес-партнера, очистити їх.

Після реплікації між контролерами домену, буде передано працює правильно, і підтвердити дійсно те, що є загублений домену, за допомогою Ntdsutil.exe утиліти очищення об'єкта загублений домену. Якщо контролер домену, загублені об'єкта для цього домену, можна також видалити об'єкт контролера домену. Щоб видалити загублений домену, в AD DS, див. Як видалити загублений Домени з служба Active Directory..

Якщо контролер домену, загублені об'єкт не вирішено, загублені домену, спочатку видалити об'єкт контролера домену. Щоб отримати додаткові відомості див. Видалення даних служба Active Directory Після невдалого домену зниження ролі контролера.

Вирішення проблема 3

Щоб тимчасово усунути цю проблему, запустіть повернення (DSR) режим прямого сервера та натисніть для виконання аналізу fix семантичне даних. По закінченні виправлення працює, його повідомляє про помилку:

відсутність subrefs, виявлені

Якщо перезапустити у звичайному режимі, ще не можна видалити об'єкт до значення атрибута NCName, для зміни до батьківського домену. Після цього контролера домену оголошує себе, є сервером глобального каталогу і сервера Exchange server.

Вирішення проблема 4

Щоб вирішити цю проблему, див. у Як видалити метадані на сервері за допомогою служба Active Directory - користувачі й комп'ютери.
Додаткові відомості
Після інсталяції сервера глобального каталогу на сервері, на контролері домену, а обліковий запис А комп'ютера а також відомості про схему реплікується на сервері глобального каталогу, події, код 1119 може бути записано служби каталогів увійти на контролері домену. Опис події зазначається, що комп’ютер-зразок зараз реклама себе як сервер глобального каталогу.

Щоб переконатися, що господар іменування доменів є сервером глобального каталогу, виконайте такі дії:
  1. У командному рядку введіть nltest /dsgetdc: ім'я _ домену /server: ім'я _ сервера, і натисніть клавішу Enter.
  2. Переконайтеся, що, реклама сервер глобального Каталогу позначки.
Наприклад, після введення команди, з'являється протокол IMAP приблизно такого вигляду, коли глобального Каталогу прапор присутня:
DC: \ \Ім'я _ сервера
Адреса: \ \IP-адреса
DOM Guid:
DOM ім'я: Ім'я _ домену
Ім'я лісу: Domain_name.com
DC ім'я: За промовчанням ім'я сайт
Наш сайт ім'я: За промовчанням ім'я сайт
Прапори: PDC глобального Каталогу DS LDAP KDC TIMESERV для ЗАПИСУ DNS_FOREST CLOSE_SITE
Команду успішно завершено

Примітка Nltest. exe входить до складу засобів підтримки Windows 2000. Для інсталяції засобів підтримки Windows 2000, відкрийте каталог вхідних повідомлень, базова підтримка на компакт-диск Windows 2000 та запустіть програму інсталяції. Крім того, вам необхідно увійти до системи як учасник групи адміністраторів інсталювати ці засоби.

Попередження. Цю статтю переведено автоматично

Thuộc tính

ID Bài viết: 3063705 - Xem lại Lần cuối: 06/26/2015 05:52:00 - Bản sửa đổi: 1.0

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3063705 KbMtuk
Phản hồi