|
上一篇讲到了怎么进行AD健康检查,这篇主要列举几个AD排错的例子
日志名称: Directory Service 来源: Microsoft-Windows-ActiveDirectory_DomainService 日期: 2013/8/18 20:19:22 事件 ID: 1864 任务类别: 复制 级别: 错误 关键字: 经典 用户: ANONYMOUS LOGON 计算机: DC01.contoso.com 描述: 此为该目录服务器上下列目录分区的复制状态。 目录分区: DC=ForestDnsZones,DC=contoso,DC=com 此目录服务器最近尚未接收到来自一系列目录服务器的复制信息。 显示了目录服务器的数量,分成以下时间间隔。 超过 24 小时:5 超过一周:2 超过一个月:1 超过两个月:0 超过 tombstone 生存时间:0 Tombstone 生存时间(天):180 没有及时复制的目录服务器可能会遇到错误。它们可能会错过更改密码,并且无法进行身份验证。未在 tombstone 生存时间内复制的 DC 可能会错过对一些对象的删除,因此可能在将来的复制中自动被阻止,直到它进行协调。 解决办法 1.改HKLM\System\CurrentControlSet\Services\NTDS\Parameters,将"Allow Replication With Divergent and Corrupt Partner"的值设置为1。 2. 在修改了注册表键值后,重启。 3. 打开“Active Directory站点和服务”,强制复制所有DC。 a. 打开Active Directory 站点和服务/Sites/包含复制目录信息时需要经由的连接的站点/Servers/需要强行复制的服务器/NTDS 设置 b. 在详细信息窗格中,右键单击您要复制目录信息时借助的连接,然后单击“立即复制副本”。 4. 在DC的命令提示符下输入“repadmin /showrepl”,检查DC之间的复制是否正常。 2、有A、B两台win2003域服务器,B相当于备份域服务器,手动执行从A到B的AD复制副本动作,出现如下提示。A、B服务器均能访问对方,DNS解析应该正常,但A与B的AD数据已经不同步了。
http://support.microsoft.com/?id=816587 b、在长时间没有复制的DC上运行net time /set /y,使DC的时间与PDC同步。 c、在长时间没有开机的DC上运行以下命令: repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition /advisory mode 注:ServerName为长时间没有开机的DC的DNS名称,ServerGUID为DC的GUID名称,DirectoryPartition为分区名称,类似DC=example,DC=com。 确定DC的GUID请运行以下命令 repadmin /showrepl ServerName d、运行Regedit.exe 编辑注册表,定位到以下位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 编辑Strict Replication Consistency,改为1。 注意:在对注册表进行操作前,应先备份注册表,“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。
e、然后在两台DC上都进行如下操作: 运行regedit,找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner,将这个键值设置为1。 如果没有,请您手动新建Allow Replication With Divergent and Corrupt Partner,类型为DW(双字节值)。 在做完以上操作后,重启DC,查看DC的复制情况。
f、重启两台DC后复制正常
|
|
|
来自: xiaozhuang > 《域控排障》
