24
2024
05
15:13:47

Active Directory 复制问题疑难解答

Active Directory 复制问题疑难解答

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

试用我们的虚拟代理 - 它可以帮助你快速识别和修复常见的 Active Directory 复制问题。

Active Directory 复制问题可能是由多种原因引起的。 例如,域名系统 (DNS) 问题、网络问题或安全问题都可能导致 Active Directory 复制失败。

本文的其余部分介绍了修复 Active Directory 复制错误的工具和常规方法。 以下子主题描述了症状、原因以及如何解决具体的复制错误:

Active Directory 复制简介及其故障排除资源

入站或出站复制失败会导致代表复制拓扑、复制计划、域控制器、用户、计算机、密码、安全组、组成员身份以及组策略的 Active Directory 对象在域控制器之间不一致。 目录不一致和复制失败会导致操作失败或结果不一致(具体取决于为执行该操作而联系的域控制器),并可能会阻止应用组策略和访问控制权限。 Active Directory 域服务 (AD DS) 依赖于网络连接、名称解析、身份验证和授权、目录数据库、复制拓扑和复制引擎。 当复制问题的根本原因并不明显时,在许多可能的原因中确定原因需要系统地消除可能的原因。

要使用基于 UI 的工具来帮助监视复制和诊断错误,请下载并运行 Microsoft 支持和恢复助手工具

有关介绍如何使用 Repadmin 工具排查 Active Directory 复制问题的综合性文档,请参阅使用 Repadmin 监视和排查 Active Directory 复制问题

有关 Active Directory 复制工作原理的信息,请参阅以下技术参考:

事件和工具解决方案建议

理想情况下,目录服务事件日志中的红色(错误)和黄色(警告)事件会暗示导致源或目标域控制器上发生复制失败的特定限制。 如果事件消息建议了解决方案步骤,请尝试事件中所述的步骤。 Repadmin 工具和其他诊断工具还会提供可帮助你解决复制失败的信息。

有关使用 Repadmin 排查复制问题的详细信息,请参阅使用 Repadmin 监视和排查 Active Directory 复制问题

排除有意的中断或硬件故障

复制错误有时是因为有意的中断而发生的。 例如,在排查 Active Directory 复制问题时,请先排除有意断开连接和硬件故障或升级的因素。

有意断开连接

如果某个域控制器尝试使用另一个域控制器进行复制,且后者已在过渡站点中构建、当前处于脱机状态并等待被部署到最终生产站点(远程站点,如分支机构)中,因而该域控制器(前者)报告复制错误,那么,你可以据此判断这些复制错误的原因。 为避免长时间将域控制器与复制拓扑分离(这会导致在域控制器重新连接之前持续出现错误),请考虑一开始将此类计算机添加为成员服务器,并使用从媒体安装 (IFM) 方法来安装 Active Directory 域服务 (AD DS)。 可以使用 Ntdsutil 命令行工具创建安装媒体,然后将其存储在可移动媒体(CD、DVD 或其他媒体)中并寄送给目标场地。 然后,可以使用安装媒体在场地中的域控制器上安装 AD DS,而无需使用复制。

硬件故障或升级

如果硬件故障(例如主板、磁盘子系统或硬盘驱动器故障)导致复制问题,请通知服务器所有者解决硬件问题。

定期硬件升级也可能导致域控制器停止运行。 确保服务器所有者有一个良好的系统可以提前传达此类服务中断问题。

防火墙配置

默认情况下,Active Directory 复制远程过程调用 (RPC) 是通过端口 135 上的 RPC 终结点映射程序 (RPCSS) 动态发生的。 确保正确配置了带高级安全性的 Windows 防火墙和其他防火墙来实现复制。 有关为 Active Directory 复制指定端口和端口设置的信息,请参阅 Microsoft 知识库中的文章 224196

有关 Active Directory 复制使用的端口的信息,请参阅 Active Directory 复制工具和设置

有关通过防火墙管理 Active Directory 复制的信息,请参阅通过防火墙进行 Active Directory 复制

应对运行 Windows 2000 Server 的已过时服务器的故障

如果运行 Windows 2000 Server 的域控制器的故障持续时间超过逻辑删除生存期的天数,则解决方法始终相同:

  1. 将服务器从企业网络转移到专用网络。

  2. 强制删除 Active Directory 或重新安装操作系统。

  3. 从 Active Directory 中删除服务器元数据,使服务器对象无法恢复。

可以使用脚本来清理大多数 Windows 操作系统上的服务器元数据。 有关如何使用此脚本的信息,请参阅删除 Active Directory 域控制器元数据

默认情况下,已删除的 NTDS 设置对象会自动复原并保留 14 天。 因此,如果不删除服务器元数据(使用 Ntdsutil 或前面提到的脚本执行元数据清理),则服务器元数据将在目录中恢复,这会提示进行复制尝试。 在这种情况下,由于无法使用丢失的域控制器进行复制,因此将永久记录错误。

根本原因

如果排除了有意断开连接、硬件故障和已过时 Windows 2000 域控制器的因素,则基本上可以确定,剩余的复制问题与以下根本原因之一有关:

  • 网络连接:网络连接可能不可用,或者网络设置配置不正确。

  • 名称解析:DNS 配置错误是复制失败的常见原因。

  • 身份验证和授权:当域控制器尝试连接到其复制伙伴时,会发生身份验证和授权问题,导致“拒绝访问”错误。

  • 目录数据库(存储):目录数据库可能无法以足够快的速度处理事务,从而导致复制超时。

  • 复制引擎:如果站点间复制计划太短,则复制队列可能会过大,以至于无法在出站复制计划规定的时间里完成。 在这种情况下,某些更改的复制可能会无限期停滞,停滞持续时间甚至可能超过逻辑删除生存期。

  • 复制拓扑:域控制器必须在 AD DS 中具有站点间链接,且这些链接映射到实际广域网 (WAN) 或虚拟专用网络 (VPN) 连接。 如果在 AD DS 中为网络的实际站点拓扑不支持的复制拓扑创建对象,则需要错误配置拓扑的复制将失败。

修复问题的一般方法

使用以下一般方法来修复复制问题:

  1. 每天监视复制运行状况,或使用 Repadmin.exe 每天检索复制状态。

  2. 尝试使用事件消息和本指南中所述的方法及时解决报告的任何故障。 如果软件可能是问题的原因,请先卸载软件,然后继续尝试其他解决方法。

  3. 如果导致复制失败的问题无法通过任何已知方法解决,请从服务器中删除 AD DS,然后重新安装 AD DS。 有关重新安装 AD DS 的详细信息,请参阅取消域控制器授权

  4. 如果在服务器连接到网络时无法正常删除 AD DS,请使用下列方法之一来解决问题:

    • 在目录服务还原模式 (DSRM) 下强制删除 AD DS,清理服务器元数据,然后重新安装 AD DS。

    • 重新安装操作系统,并重新生成域控制器。

有关强制删除 AD DS 的详细信息,请参阅强制删除域控制器

使用 Repadmin 检索复制状态

复制状态是评估目录服务状态的重要方法。 如果复制正常进行而未出错,则可以确定域控制器处于联机状态。 你还可以确定以下系统和服务在正常运行:

  • DNS 基础结构

  • Kerberos 身份验证协议

  • Windows 时间服务 (W32time)

  • Remote procedure call (RPC)(远程过程调用 (RPC))

  • 网络连接

每日使用 Repadmin 监视复制状态,在其中可以运行一个命令来评估林中所有域控制器的复制状态。 该过程将生成一个 .csv 文件,可以在 Microsoft Excel 中将其打开并筛选复制错误。

可以使用以下过程来检索林中所有域控制器的复制状态。

要求

Enterprise Admins 中的成员身份或同等身份是完成此过程所需的最低要求。

工具:

  • Repadmin.exe

  • Excel (Microsoft Office)

为域控制器生成 repadmin /showrepl 电子表格

  1. 以管理员身份打开命令提示符:在“开始”菜单中,右键单击“命令提示符”,然后单击“以管理员身份运行”。 如果出现“用户帐户控制”对话框,请根据需要提供企业管理员凭据,然后单击“继续”。

  2. 在命令提示符下键入以下命令,然后按 ENTER:repadmin /showrepl * /csv > showrepl.csv

  3. 打开 Excel。

  4. 单击“Office”按钮,单击“打开”,导航到“showrepl.csv”,然后单击“打开”。

  5. 隐藏或删除列 A 以及“传输类型”列,如下所示:

  6. 选择要隐藏或删除的列。

    • 若要隐藏该列,请右键单击它,然后单击“隐藏”。

    • 若要删除该列,请右键单击选定的列,然后单击“删除”。

  7. 选择列标题行下方的第 1 行。 在“视图”选项卡上单击“冻结窗格”,然后单击“冻结顶部行”。

  8. 选择整个电子表格。 在“数据”选项卡上单击“筛选”。

  9. 在“上次成功时间”列中单击向下箭头,然后单击“升序排序”。

  10. 在“源 DC”列中单击筛选器向下箭头,指向“文本筛选器”,然后单击“自定义筛选器”。

  11. 在“自定义自动筛选”对话框的“显示行位置”下,单击“不包含”。 在相邻的文本框中,键入 del 以从视图中消除已删除域控制器的结果。

  12. 对“上次失败时间”列重复步骤 11,但使用不相等的值,然后键入值 0。

  13. 解决复制失败问题。

对于林中的每个域控制器,该电子表格会显示源复制伙伴、上次复制时间,以及每个命名上下文(目录分区)上次发生复制失败的时间。 通过在 Excel 中使用自动筛选,可以仅查看正常的域控制器、发生故障的域控制器或者最旧或最新域控制器的复制运行状况,并可以查看成功复制的复制伙伴。

复制问题和解决方法

复制问题会在事件消息中报告,并且会在应用程序或服务尝试操作时出现的各种错误消息中报告。 理想情况下,这些消息将由监视应用程序收集,或者在你检索复制状态时收集。

目录服务事件日志中记录的事件消息中标识了大部分的复制问题。 复制问题也可能以 repadmin /showrepl 命令输出中的错误消息的形式进行标识。

指示复制问题的 repadmin /showrepl 错误消息

若要识别 Active Directory 复制问题,请如上一部分所述使用 repadmin /showrepl 命令。 下表显示了此命令生成的错误消息、错误的根本原因,以及提供错误解决方法的主题的链接。

Repadmin 错误根本原因解决方案
自此服务器上次复制所经过的时间已超过逻辑删除生存期。某个域控制器针对命名的源域控制器的入站复制失败的时间较长,已足以使某个删除超过逻辑删除生存期、被复制并从 AD DS 垃圾回收。事件 ID 2042:自此计算机复制起已过太久
没有入站邻居。如果 repadmin /showrepl 生成的输出的“入站邻居”部分中未显示任何项目,则域控制器无法与另一个域控制器建立复制链接。解决复制连接性问题(事件 ID 1925)
访问被拒绝。两个域控制器之间存在复制链接,但由于身份验证失败,无法正确执行复制。解决复制安全问题
上次于 <日期 - 时间> 的尝试失败,并显示“目标帐户名称不正确”。此问题可能与连接、DNS 或身份验证问题相关。 如果这是 DNS 错误,则本地域控制器无法解析其复制伙伴的基于全局唯一标识符 (GUID) 的 DNS 名称。修复复制 DNS 查找问题(事件 ID 1925、2087、2088)、修复复制安全问题、修复复制连接问题(事件 ID 1925)
LDAP 错误 49。域控制器计算机帐户可能未与密钥分发中心 (KDC) 同步。解决复制安全问题
无法打开与本地主机的 LDAP 连接管理工具无法访问 AD DS。解决复制 DNS 查找问题(事件 ID 1925、2087、2088)
Active Directory 复制已被抢占。入站复制的进度已由更高优先级的复制请求(例如使用 repadmin /sync 命令手动生成的请求)中断。等待复制完成。 此信息性消息指示操作正常。
复制请求已发布,正在等待答复。域控制器发布了一个复制请求并正在等待答复。 正在从此源复制。等待复制完成。 此信息性消息指示操作正常。

下表列出了可能指示 Active Directory 复制出现问题的常见事件,以及问题的根本原因和提供问题解决方法的主题的链接。

事件 ID 和源根本原因解决方案
1311 NTDS KCCAD DS 中的复制配置信息不能准确反映网络的物理拓扑。解决复制拓扑问题(事件 ID 1311)
1388 NTDS 复制严格的复制一致性无效,并且已将延迟对象复制到域控制器。修复复制延迟对象问题(事件 ID 1388、1988、2042)
1925 NTDS KCC尝试为可写目录分区建立复制链接失败。 此事件的原因根据具体的错误而异。修复复制连接问题(事件 ID 1925)、修复复制 DNS 查找问题(事件 ID 1925、2087、2088)
1988 NTDS 复制本地域控制器试图从本地域控制器上不存在的源域控制器复制对象,因为该对象可能已被删除并且已进行垃圾回收。 在解决此问题之前,不会继续使用此合作伙伴对该目录分区进行复制。修复复制延迟对象问题(事件 ID 1388、1988、2042)
2042 NTDS 复制此合作伙伴在 tombstone 生存期内没有进行复制,因此无法继续进行复制。修复复制延迟对象问题(事件 ID 1388、1988、2042)
2087 NTDS 复制AD DS 无法将源域控制器的 DNS 主机名解析为 IP 地址,因此复制失败。解决复制 DNS 查找问题(事件 ID 1925、2087、2088)
2088 NTDS 复制AD DS 无法将源域控制器的 DNS 主机名解析为 IP 地址,但复制成功。解决复制 DNS 查找问题(事件 ID 1925、2087、2088)
5805 网络登录计算机帐户无法完成身份验证,原因通常是存在同一计算机名的多个实例,或计算机名无法复制到每个域控制器。解决复制安全问题

有关复制概念的详细信息,请参阅 Active Directory 复制技术

后续步骤

有关详细信息,包括特定于错误代码的支持文章,请参阅支持文章:如何排查常见的 Active Directory 复制错误




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/6332.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: