none
windows server 2012 AD dcdiag诊断的问题

    问题

  • 您好,版主!

    我的AD服务器通过dcdaig诊断后,发现了不健康的信息,以下是详细的信息,烦请帮忙分析一下原因并給出解决方案,谢谢!

    目录服务器诊断

    正在执行初始化设置:

       正在尝试查找主服务器...

       * 正在验证本地计算机 gt 是否为目录服务器。 
       主服务器 = gt

       * 正在连接到服务器 gt 上的目录服务。

       * 已识别的 AD 林。 
       Collecting AD specific global data 
       * 正在收集站点信息。

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=gt,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded 
       Iterating through the sites 
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local
       Getting ISTG and options for the site
       * 正在标识所有服务器。

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=gt,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers 
       Getting information for the server CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=gt-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=gt-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * 标识所有 NC 交叉引用。

       * 找到 3 DC。正在测试其中的 1。

       已完成收集初始化信息。


    正在进行所需的初始化测试

       
       正在测试服务器: Default-First-Site-Name\gt

          开始测试: Connectivity

             * Active Directory LDAP Services Check
             Determining IP4 connectivity 
             * Active Directory RPC Services Check
             ......................... gt 已通过测试 Connectivity



    正在执行主要测试

       
       正在测试服务器: Default-First-Site-Name\gt

          开始测试: Advertising

             The DC gt is advertising itself as a DC and having a DS.
             The DC gt is advertising as an LDAP server
             The DC gt is advertising as having a writeable directory
             The DC gt is advertising as a Key Distribution Center
             The DC gt is advertising as a time server
             The DS gt is advertising as a GC.
             ......................... gt 已通过测试 Advertising

          用户请求忽略的测试: CheckSecurityError

          用户请求忽略的测试: CutoffServers

          开始测试: FrsEvent

             * 文件复制服务事件日志测试 
             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。 
             发生了一个警告事件。EventID: 0x800034C4

                生成时间: 09/28/2016   12:53:45

                事件字符串:

                文件复制服务有困难启用复制: 从 DC-2012 到 gt 为 c:\windows\sysvol\domain 用 DNS 名称 dc-2012.gt.local。FRS 将继续重试。 

                 以下是你看到此警告的一些原因。 

                 

                 [1] FRS 不能从此计算机正确解析此 DNS 名称 dc-2012.gt.local。 

                 [2] FRS 不在 dc-2012.gt.local 上运行。 

                 [3] Active Directory 域服务里此副件的拓扑信息还没有复制到所有域控制器。 

                 

                 这个事件纪录消息将每个连接出现一次。问题解决后,你将看到另一个事件日志消息, 它表明连接被建立。

             发生了一个警告事件。EventID: 0x800034C4

                生成时间: 09/28/2016   13:11:19

                事件字符串:

                文件复制服务有困难启用复制: 从 DC-2012 到 gt 为 c:\windows\sysvol\domain 用 DNS 名称 dc-2012.gt.local。FRS 将继续重试。 

                 以下是你看到此警告的一些原因。 

                 

                 [1] FRS 不能从此计算机正确解析此 DNS 名称 dc-2012.gt.local。 

                 [2] FRS 不在 dc-2012.gt.local 上运行。 

                 [3] Active Directory 域服务里此副件的拓扑信息还没有复制到所有域控制器。 

                 

                 这个事件纪录消息将每个连接出现一次。问题解决后,你将看到另一个事件日志消息, 它表明连接被建立。

             ......................... gt 已通过测试 FrsEvent

          开始测试: DFSREvent

             The DFS Replication Event Log. 
             跳过该测试,因为服务器正在运行 FRS。

             ......................... gt 已通过测试 DFSREvent

          开始测试: SysVolCheck

             * 该文件复制服务 SYSVOL 已准备好测试 
             文件复制服务的 SYSVOL 已就绪 
             ......................... gt 已通过测试 SysVolCheck

          开始测试: KccEvent

             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... gt 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             Role Schema Owner = CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local
             Role Domain Owner = CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local
             Role PDC Owner = CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local
             Role Rid Owner = CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local
             ......................... gt 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             Checking machine account for DC gt on DC gt.
             * SPN found :LDAP/gt.gt.local/gt.local
             * SPN found :LDAP/gt.gt.local
             * SPN found :LDAP/gt
             * SPN found :LDAP/gt.gt.local/gtDC
             * SPN found :LDAP/81dda243-6514-4cce-be05-54160d07ef13._msdcs.gt.local
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/81dda243-6514-4cce-be05-54160d07ef13/gt.local
             * SPN found :HOST/gt.gt.local/gt.local
             * SPN found :HOST/gt.gt.local
             * SPN found :HOST/gt
             * SPN found :HOST/gt.gt.local/gtDC
             * SPN found :GC/gt.gt.local/gt.local
             ......................... gt 已通过测试 MachineAccount

          开始测试: NCSecDesc

             * Security Permissions check for all NC's on DC gt.
             * 安全权限检查

               DC=ForestDnsZones,DC=gt,DC=local
                (NDNC,Version 3)
             * 安全权限检查

               DC=DomainDnsZones,DC=gt,DC=local
                (NDNC,Version 3)
             * 安全权限检查

               CN=Schema,CN=Configuration,DC=gt,DC=local
                (Schema,Version 3)
             * 安全权限检查

               CN=Configuration,DC=gt,DC=local
                (Configuration,Version 3)
             * 安全权限检查

               DC=gt,DC=local
                (Domain,Version 3)
             ......................... gt 已通过测试 NCSecDesc

          开始测试: NetLogons

             * Network Logons Privileges Check
             Verified share \\gt\netlogon
             Verified share \\gt\sysvol
             [gt] 用户凭据没有权限执行该操作。

             该测试使用的帐户必须具有该计算机的域的

             网络登录权限。

             ......................... gt 没有通过测试 NetLogons

          开始测试: ObjectsReplicated

             gt is in domain DC=gt,DC=local
             Checking for CN=gt,OU=Domain Controllers,DC=gt,DC=local in domain DC=gt,DC=local on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=gt,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=gt,DC=local in domain CN=Configuration,DC=gt,DC=local on 1 servers
                Object is up-to-date on all servers.
             ......................... gt 已通过测试 ObjectsReplicated

          用户请求忽略的测试: OutboundSecureChannels

          开始测试: Replications

             * Replications Check
             [复制检查,gt] DsReplicaGetInfo(PENDING_OPS, NULL)失败,错误是

             0x2105“复制访问被拒绝。”

             ......................... gt 没有通过测试 Replications

          开始测试: RidManager

             * Available RID Pool for the Domain is 6103 to 1073741823
             * gt.gt.local is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 4103 to 4602
             * rIDPreviousAllocationPool is 4103 to 4602
             * rIDNextRID: 4349
             ......................... gt 已通过测试 RidManager

          开始测试: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
                无法在 gt 上打开 NTDS 服务,错误 0x5 "拒绝访问。"

             * Checking Service: DnsCache
             * Checking Service: NtFrs
             * Checking Service: IsmServ
                无效的服务启动类型: gt 上的 IsmServ,当前值为 DEMAND_START,要求的值为 AUTO_START

                [gt] 上的 IsmServ 服务已停止

             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... gt 没有通过测试 Services

          开始测试: SystemLog

             * The System Event log test
             发生了一个错误事件。EventID: 0xC0001B7A

                生成时间: 09/29/2016   09:52:53

                事件字符串: 服务 360EntClientService 意外停止。这发生了 1 次。

             发生了一个错误事件。EventID: 0xC0001B7A

                生成时间: 09/29/2016   09:52:54

                事件字符串: 服务 主动防御 意外停止。这发生了 1 次。

             ......................... gt 没有通过测试 SystemLog

         

    田辉

    2016年9月29日 2:12

答案

全部回复

  • 补充一下,DC-2012已经从域上删除了。

    田辉

    2016年9月29日 2:13
  • 您好!

    该问题可能是因为残留的域控信息导致,请参考以下文档中提供的步骤进行清理并检查问题是否仍然存在:

    Clean Up Server Metadata

    https://technet.microsoft.com/zh-cn/library/cc816907(v=ws.10).aspx

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月29日 7:52
    版主
  • 您好!

    请问该问题是否已经解决,是否需要进一步的协助?

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月6日 9:33
    版主
  • 您好,版主!

    我损坏的域控制器已经从哉中删除了,现在遇到一个问题,诊断出现了如下的问题,麻烦帮忙分析一下,谢谢!

      [test-dc] 用户凭据没有权限执行该操作。

             该测试使用的帐户必须具有该计算机的域的

             网络登录权限。

             ......................... test-dc没有通过测试 NetLogons

             [复制检查,test-dc] DsReplicaGetInfo(PENDING_OPS, NULL)失败,错误是

             0x2105“复制访问被拒绝。”

             ......................... test-dc 没有通过测试 Replications

                无法在 test-dc 上打开 NTDS 服务,错误 0x5 "拒绝访问。"

                无效的服务启动类型: test-dc 上的 IsmServ,当前值为 DEMAND_START,要求的值为 AUTO_START

                [test-dc] 上的 IsmServ 服务已停止

             ......................... test-dc 没有通过测试 Services

             ......................... test-dc 没有通过测试 SystemLog


    田辉

    2016年10月10日 2:08
  • 您好!

    从报错来看“用户凭据没有权限执行该操作”是由于缺乏权限。请确保使用了Domain administrator credentials运行DCDIAG。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月11日 8:34
    版主
  • 谢谢,版主!

    我用作为管理员运行cmd 输入dcdiag后,关于权限的报错信息已经解决,现在只剩下一个报错信息:

     开始测试: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: NtFrs
             * Checking Service: IsmServ
                无效的服务启动类型: test-dc上的 IsmServ,当前值为 DEMAND_START,要求的值为 AUTO_START

             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... test-dc没有通过测试 Services

      


    田辉

    2016年10月11日 8:59
  • 這應該於域控安裝了某些第三方管理軟件有關。這些軟件修改了關鍵域服務的啟動方式,如果長時間該服務未能運行,將導致域控之間複製失敗。解決方法之一是卸載第三方管理軟件,但需要考慮如果其組織方式是服務器和客戶端,那麼在卸載前,需要仔細評估卸載後,是否影響日常正常運行。最好是先用虛擬機測試一下。另一種變通方法是,將如下命令添加到批處理腳本中

    sc config ismserv start= auto
    sc start ismserv

    start= auto
    等號右側必須保留一個空格然後添加到域域控的 GPO 啟動腳本中,這樣才不會被第三方軟件阻止。

    Folding@Home

    2016年10月11日 11:27
  • 非常感谢,完美解决!!

    田辉

    • 已标记为答案 tianskyyou 2016年10月12日 3:29
    2016年10月12日 3:28
  • 您好!

    很高兴看到您的问题得到解决,能否将您的解决方案分享一下,这样有助于论坛的其他用户遇到此问题时有个参考。

    感谢。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年10月12日 3:36
    版主