登录
Microsoft.com
 
Microsoft
 
 
 

none
域服务器不能同步,新建用户无法登录域 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    环境:

    主域server110.10.1.10    DNS   DHCP 

    备份域server:10.10.1.1   DNS

    备份域server3:10.10.1.5 

    故障:备份域server3 10.10.1.5无法与server,server1同步,但server与server1可以完全同步,DNS解析正常

    现象:新建用户不能登录域,提示密码不对,旧用户登录正常

    SERVER3日志:

    Active Directory 复制发现下列分区中存在的对象已经从 本地域控制器(DC) Active Directory 数据库中删除。 在逻辑删除生存时间过期之前,部分直接或可传递的复制 伙伴没有复制该删除。已经从 Active Directory 分区 删除并垃圾收集的对象,如果仍然存在于同一域中其他 DC 的可写入分区中或林中其他域中的全局编录服务器的 只读分区中,被称作“延迟对象”。
     
     此事件被记录到日志,因为源 DC 包含的延迟对象不存在于 本地 Active Directory 数据库上。此复制被阻止。
     
     解决此问题的最佳方案是标记并删除林中的所有延迟对象,
     
     
    源 DC (传输特定的网络地址):
    6d4f14f3-77e3-4e0d-9344-e4d64a2108bd._msdcs.cx88.com
    对象:
    CN=管理员,OU=XXGLB,OU=cx,DC=cx88,DC=com
    对象 GUID:
    58ade67f-e8b0-4a81-ac93-62a6f596de6f
     
    用户操作:
     
    删除延迟对象:
     
     该操作将从此错误(可以在 http://support.microsoft.com/?id=314282 找到)恢复。
     
     如果源和目标 DC 都是 Windows Server 2003 DC,那么请安装 包含在安装 CD 上的支持工具。要查看实际上不执行删除的 要删除的对象,请运行 "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC> /ADVISORY_MODE"。 源 DC 上的事件日志将枚举所有延迟对象。要从源域控制器删除 延迟对象,请运行 "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC>"。
     
     如果源或域控制器之一是 Windows 2000 Server DC,那么可以 在 http://support.microsoft.com/?id=314282 找到更多有关如何删除 源 DC 上的延迟对象的信息,或从您的 Microsoft 支持专家获得这些信息。
     
     如果需要 Active Directory 复制立即工作(不计成本)并且没有 时间删除延迟对象,请通过取消下列注册表项设置,启用松散复制 一致性:
     
    Registry Key:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
     
     共享公共分区的 DC 之间的复制错误可能导致 DC 之间的用户 和计算机帐户、信任关系、他们的密码、安全组、安全组成员 关系和其他 Active Directory 配置数据不同,这将影响登录、 查找相关对象和执行其他重要操作。一旦解决了复制错误, 这些不一致将解决。未能在逻辑删除生存时间内入站复制删除的 对象的 DC 将保持不一致,除非管理员手动从每一个本地 DC 删除延迟对象。
     
     延迟对象可能被阻止,从而确保林中所有域控制器运行 Active Directory,经由生成树连接拓扑连接, 而且在逻辑 删除生存时间过期之前执行入站复制。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

    SERVER日志:

    此计算机与命名的源计算机上一次复制后的时间间隔太长。 与此源的复制间隔时间已经超过 tombstone 生存时间。 与该源的复制已经停止。
    不允许继续复制的原因是删除的对象在这两台计算机上的 视图可能不同。源计算机可能仍然保留了在此计算机上已经 被删除的(并垃圾收集的)对象的副本。如果允许复制,源计算机可能返回 已经删除的对象。
    上一次成功复制的时间:
    2009-02-02 21:47:30
    源调用 ID:
    03b9f6c8-f6b8-03b9-0100-000000000000
    源名称:
    46ea5395-d96d-4cf6-a995-ab9eacb955bf._msdcs.cx88.com
    Tombstone 生存时间(天):
    60
     
    复制操作已经失败。
     
    用户操作:
     
    确定两台计算机中哪一台已经从林断开并过期。 您有三个选择:
     
    1. 降级或重新安装断开的计算机。
    2. 使用 "repadmin /removelingeringobjects" 工具来删除不一致的已删除对象, 然后继续复制。
    3. 继续复制。可能导致不一致的已删除对象。您可以通过使用下列注册表项来继续复制。 一旦系统复制了一次,强烈建议您删除该项以重新设置保护。
     注册表项:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner


    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

    文件复制服务有困难启用复制: 从 SERVER3 到 SERVER 为 c:\windows\sysvol\domain 用 DNS 名称 server3.cx88.com。FRS 将继续重试。
     以下是您看到此警告的一些原因。
     
     [1] FRS 不能从此计算机正确解析此 DNS 名称 server3.cx88.com。
     [2] FRS 不在 server3.cx88.com 上运行。
     [3] Active Directory 里此副件的拓扑信息还没有复制到所有域控制器。
     
     这个事件纪录消息将每个连接出现一次。问题解决后,您将看到另一个事件日志消息, 它表明连接被建立。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

     

    已经按如下操作过问题依然:

    http://clonginus.spaces.live.com/blog/cns!4050EE91C2181F1C!569.entry

    问:1.SERVER3是文件服务器,如果降域处理,是否影响权限,如果降域失败,能否再重新加域(不重装系统)

    2.不降域或不重装系统的情况下,是否还有其它办法可以解决这个问题

    急!关注中,希望得到各位帮助,谢谢

    2010年5月24日 10:16
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    1。因为server3并不是你的域中唯一一台域控,所以不会影响ACE或者ACL.正常降域不了可以强制降域,不存在严格意义的"失败"的情况.再加域前应该先清理域中的残留信息(使用ntdsutil命令).

    2。你给的链接中就是处理此类问题的最好步骤了,先清理延迟对象,再开启忽略墓碑时间的复制,最后开启严格复制策略,他的第二和第三步顺序应该是颠倒了.

    面帶微笑,春暖花開
    2010年5月24日 12:58
    |
    版主

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    1。因为server3并不是你的域中唯一一台域控,所以不会影响ACE或者ACL.正常降域不了可以强制降域,不存在严格意义的"失败"的情况.再加域前应该先清理域中的残留信息(使用ntdsutil命令).

    2。你给的链接中就是处理此类问题的最好步骤了,先清理延迟对象,再开启忽略墓碑时间的复制,最后开启严格复制策略,他的第二和第三步顺序应该是颠倒了.

    面帶微笑,春暖花開
    2010年5月24日 12:58
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    server 3只是复制出现问题,数据并未崩溃。所以不用重装,强制降级即可。强制降级会丢失尚未复制的对用户、计算机、组、信任关系以及组策略或 Active Directory 配置所做的添加、删除或修改操作。

     

    ---陈陈

    silence-陈陈 您好,我是战士的觉醒专家,希望能帮助您超越自己的能力极限,您需要我的帮助吗?
    2010年5月24日 13:41
    |
  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    1。因为server3并不是你的域中唯一一台域控,所以不会影响ACE或者ACL.正常降域不了可以强制降域,不存在严格意义的"失败"的情况.再加域前应该先清理域中的残留信息(使用ntdsutil命令).

    2。你给的链接中就是处理此类问题的最好步骤了,先清理延迟对象,再开启忽略墓碑时间的复制,最后开启严格复制策略,他的第二和第三步顺序应该是颠倒了.

    面帶微笑,春暖花開


    你好,谢谢你的回复

    请问下,“开启忽略墓碑时间的复制,开启严格复制策略”怎么操作,可以详细点吗?

    还有,清理延迟对象,repadmin /removelingeringobjects 这命令,不太明白,是不是这样:

    repadmin /removelingeringobjects server3.cx88.com  Server3GUID名称 目录分区 /advisory mode

     

    2010年5月24日 13:57
    |
  • Question
    登录进行投票
    0
    登录进行投票

    我用命令repadmin /removelingeringobjects 这样操作

    repadmin /removelingeringobjects server3.cx88.com  Server3GUID名称 DC=cx88,DC=com /advisory mode

    操作完重启三台服务器后,SERVER与SERVER1可以同步SERVER3,但SERVER3还不能同步SERVER与SERVER1,新建用户也可以登录域

     

    问:怎么操作可以让三台服务器都互相同步呢?

    SERVER3日志:

    Active Directory 复制发现下列分区中存在的对象已经从 本地域控制器(DC) Active Directory 数据库中删除。 在逻辑删除生存时间过期之前,部分直接或可传递的复制 伙伴没有复制该删除。已经从 Active Directory 分区 删除并垃圾收集的对象,如果仍然存在于同一域中其他 DC 的可写入分区中或林中其他域中的全局编录服务器的 只读分区中,被称作“延迟对象”。
     
     此事件被记录到日志,因为源 DC 包含的延迟对象不存在于 本地 Active Directory 数据库上。此复制被阻止。
     
     解决此问题的最佳方案是标记并删除林中的所有延迟对象,
     
     
    源 DC (传输特定的网络地址):
    6d4f14f3-77e3-4e0d-9344-e4d64a2108bd._msdcs.cx88.com
    对象:
    CN=管理员,OU=XXGLB,OU=cx,DC=cx88,DC=com
    对象 GUID:
    58ade67f-e8b0-4a81-ac93-62a6f596de6f
     
    用户操作:
     
    删除延迟对象:
     
     该操作将从此错误(可以在 http://support.microsoft.com/?id=314282 找到)恢复。
     
     如果源和目标 DC 都是 Windows Server 2003 DC,那么请安装 包含在安装 CD 上的支持工具。要查看实际上不执行删除的 要删除的对象,请运行 "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC> /ADVISORY_MODE"。 源 DC 上的事件日志将枚举所有延迟对象。要从源域控制器删除 延迟对象,请运行 "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC>"。
     
     如果源或域控制器之一是 Windows 2000 Server DC,那么可以 在 http://support.microsoft.com/?id=314282 找到更多有关如何删除 源 DC 上的延迟对象的信息,或从您的 Microsoft 支持专家获得这些信息。
     
     如果需要 Active Directory 复制立即工作(不计成本)并且没有 时间删除延迟对象,请通过取消下列注册表项设置,启用松散复制 一致性:
     
    Registry Key:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
     
     共享公共分区的 DC 之间的复制错误可能导致 DC 之间的用户 和计算机帐户、信任关系、他们的密码、安全组、安全组成员 关系和其他 Active Directory 配置数据不同,这将影响登录、 查找相关对象和执行其他重要操作。一旦解决了复制错误, 这些不一致将解决。未能在逻辑删除生存时间内入站复制删除的 对象的 DC 将保持不一致,除非管理员手动从每一个本地 DC 删除延迟对象。
     
     延迟对象可能被阻止,从而确保林中所有域控制器运行 Active Directory,经由生成树连接拓扑连接, 而且在逻辑 删除生存时间过期之前执行入站复制。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持

    2010年5月26日 7:00
    |
  • Question
    登录进行投票
    0
    登录进行投票
    请确定GUID为6d4f14f3-77e3-4e0d-9344-e4d64a2108bd的这台域控到底是哪一台域控后,再在它上面使用清除延迟对象的命令。
    面帶微笑,春暖花開
    2010年5月26日 7:52
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    GUID为6d4f14f3-77e3-4e0d-9344-e4d64a2108bd的这台域控是server1.cx88.com,我是不是要在这台域控删除这个GUID,是否还要在其它域控删除?

    目前情况:备份域SERVER与主域SERVER1能正常同步,DNS解析正确,但不能与SERVER3同步

    执行清除延迟对象的命令,在三台域清理SERVER3的GUID后,SERVER3能复制到SERVER与SERVER1,但反过来不行

     

    SERVER3服务不能启动:File Replication Service    Windows Internet Name Service (WINS)

    WinHTTP Web Proxy Auto-Discovery Service

    怎么样能启动这些服务?

     

    在SERVER3运行

    C:\>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\SERVER3
    DC Options: (none)
    Site Options: (none)
    DC object GUID: 46ea5395-d96d-4cf6-a995-ab9eacb955bf
    DC invocationID: f9332bb6-e6a3-40cc-b05a-73263dcb6b4b

    ==== INBOUND NEIGHBORS ======================================

    DC=cx88,DC=com
        Default-First-Site-Name\SERVER1 via RPC
            DC object GUID: 6d4f14f3-77e3-4e0d-9344-e4d64a2108bd
            Last attempt @ 2010-05-28 08:54:15 failed, result 8606 (0x219e):
                没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除域
    垃圾收集。
            18049 consecutive failure(s).
            Last success @ 2010-05-17 15:05:58.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:54:27 failed, result 8606 (0x219e):
                没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除域
    垃圾收集。
            13583 consecutive failure(s).
            Last success @ 2010-05-17 15:05:12.

    CN=Configuration,DC=cx88,DC=com
        Default-First-Site-Name\SERVER1 via RPC
            DC object GUID: 6d4f14f3-77e3-4e0d-9344-e4d64a2108bd
            Last attempt @ 2010-05-28 08:49:23 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:49:26 was successful.

    CN=Schema,CN=Configuration,DC=cx88,DC=com
        Default-First-Site-Name\SERVER1 via RPC
            DC object GUID: 6d4f14f3-77e3-4e0d-9344-e4d64a2108bd
            Last attempt @ 2010-05-28 08:43:48 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:43:48 was successful.

    DC=ForestDnsZones,DC=cx88,DC=com
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:43:48 was successful.
        Default-First-Site-Name\SERVER1 via RPC
            DC object GUID: 6d4f14f3-77e3-4e0d-9344-e4d64a2108bd
            Last attempt @ 2010-05-28 08:43:48 was successful.

    DC=DomainDnsZones,DC=cx88,DC=com
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:43:48 was successful.
        Default-First-Site-Name\SERVER1 via RPC
            DC object GUID: 6d4f14f3-77e3-4e0d-9344-e4d64a2108bd
            Last attempt @ 2010-05-28 08:43:48 was successful.

    Source: Default-First-Site-Name\SERVER1
    ******* 18031 CONSECUTIVE FAILURES since 2010-05-17 15:05:58
    Last error: 8606 (0x219e):
                没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除域
    垃圾收集。

    Source: Default-First-Site-Name\SERVER
    ******* 13566 CONSECUTIVE FAILURES since 2010-05-17 15:05:12
    Last error: 8606 (0x219e):
                没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除域
    垃圾收集。

    在SERVER1运行

     

    C:\>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\SERVER1
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: 6d4f14f3-77e3-4e0d-9344-e4d64a2108bd
    DC invocationID: 369e9efb-2a99-446e-800f-7314cdc69049

    ==== INBOUND NEIGHBORS ======================================

    DC=cx88,DC=com
        Default-First-Site-Name\SERVER3 via RPC
            DC object GUID: 46ea5395-d96d-4cf6-a995-ab9eacb955bf
            Last attempt @ 2010-05-28 08:59:53 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 09:00:19 was successful.

    CN=Configuration,DC=cx88,DC=com
        Default-First-Site-Name\SERVER3 via RPC
            DC object GUID: 46ea5395-d96d-4cf6-a995-ab9eacb955bf
            Last attempt @ 2010-05-28 08:56:43 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:56:43 was successful.

    CN=Schema,CN=Configuration,DC=cx88,DC=com
        Default-First-Site-Name\SERVER3 via RPC
            DC object GUID: 46ea5395-d96d-4cf6-a995-ab9eacb955bf
            Last attempt @ 2010-05-28 08:56:43 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:56:43 was successful.

    DC=ForestDnsZones,DC=cx88,DC=com
        Default-First-Site-Name\SERVER3 via RPC
            DC object GUID: 46ea5395-d96d-4cf6-a995-ab9eacb955bf
            Last attempt @ 2010-05-28 08:56:43 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:56:43 was successful.

    DC=DomainDnsZones,DC=cx88,DC=com
        Default-First-Site-Name\SERVER3 via RPC
            DC object GUID: 46ea5395-d96d-4cf6-a995-ab9eacb955bf
            Last attempt @ 2010-05-28 08:56:43 was successful.
        Default-First-Site-Name\SERVER via RPC
            DC object GUID: a0400213-a9cb-4e2e-b9d4-45b3edf723b0
            Last attempt @ 2010-05-28 08:56:43 was successful.


    2010年5月28日 0:47
    |
  • Question
    登录进行投票
    0
    登录进行投票

    问题还没解决,请版主再帮忙

     

    目前出现现象,域用户修改密码,不能登录,在SERVER3新建用户,可以同步到SERVER SERVER1但隶属于的组不能完全同步过去

    2010年6月2日 9:32
    |
  • Question
    登录进行投票
    0
    登录进行投票

    楼主问题解决了吗,现在我遇到同样的问题

    2011年11月16日 2:09
    |