none
一域多站点的域控的复制延迟问题 RRS feed

  • 问题

  • 有3台域控建立的一域多站点,一台主域控ORPCS12,一台辅域控ORPCS9,还有另外一个站点的域控ORPCS11,现在主域控ORPCS12的用户信息能够复制到另外2台域控,但是另外2台域控不能复制到主域控ORPCS12,手动复制也不行

    下面的报错

    主域控上

    C:\Users\administrator.ORPC>repadmin /showreps
    Default-First-Site-Name\ORPCS12


    源: Default-First-Site-Name\ORPCS9
    ******* 自 2014-08-08 12:56:16 起连续失败 1 次
    上一个错误: 8457 (0x2109):
                目标服务器目前拒绝复制请求。

    命名上下文: DC=orpc,DC=intranet
    源: Default-First-Site-Name\ORPCS9
    ******* 警告: 发生错误,KCC 无法添加此副本链接。

    命名上下文: CN=Configuration,DC=orpc,DC=intranet
    源: Default-First-Site-Name\ORPCS9
    ******* 警告: 发生错误,KCC 无法添加此副本链接。

    命名上下文: CN=Schema,CN=Configuration,DC=orpc,DC=intranet
    源: Default-First-Site-Name\ORPCS9
    ******* 警告: 发生错误,KCC 无法添加此副本链接。

    源: xinzhuang\ORPCS11
    ******* 自 2014-08-08 12:56:16 起连续失败 1 次
    上一个错误: 8457 (0x2109):
                目标服务器目前拒绝复制请求。

    命名上下文: DC=orpc,DC=intranet
    源: xinzhuang\ORPCS11
    ******* 警告: 发生错误,KCC 无法添加此副本链接。

    命名上下文: CN=Configuration,DC=orpc,DC=intranet
    源: xinzhuang\ORPCS11
    ******* 警告: 发生错误,KCC 无法添加此副本链接。

    ==================================================================================

    ORPCS11和ORPCS9上有这个

         

    此为该目录服务器上下列目录分区的复制状态。 

    目录分区:
    DC=DomainDnsZones,DC=orpc,DC=intranet 

    此目录服务器最近尚未接收到来自一系列目录服务器的复制信息。 显示了目录服务器的数量,分成以下时间间隔。 

    超过 24 小时:

    超过一周:

    超过一个月:

    超过两个月:

    超过 tombstone 生存时间:

    Tombstone 生存时间(天):
    60 

    没有及时复制的目录服务器可能会遇到错误。它们可能会错过更改密码,并且无法进行身份验证。未在 tombstone 生存时间内复制的 DC 可能会错过对一些对象的删除,因此可能在将来的复制中自动被阻止,直到它进行协调。 

    若要使用名称识别目录服务器,请使用 dcdiag.exe 工具。 
    也可以使用支持工具 repadmin.exe 来显示目录服务器的 复制延迟。命令是 "repadmin /showvector /latency <partition-dn>"。

         

    此为该目录服务器上下列目录分区的复制状态。 

    目录分区:
    DC=ForestDnsZones,DC=orpc,DC=intranet 

    此目录服务器最近尚未接收到来自一系列目录服务器的复制信息。 显示了目录服务器的数量,分成以下时间间隔。 

    超过 24 小时:

    超过一周:

    超过一个月:

    超过两个月:

    超过 tombstone 生存时间:

    Tombstone 生存时间(天):
    60 

    没有及时复制的目录服务器可能会遇到错误。它们可能会错过更改密码,并且无法进行身份验证。未在 tombstone 生存时间内复制的 DC 可能会错过对一些对象的删除,因此可能在将来的复制中自动被阻止,直到它进行协调。 

    若要使用名称识别目录服务器,请使用 dcdiag.exe 工具。 
    也可以使用支持工具 repadmin.exe 来显示目录服务器的 复制延迟。命令是 "repadmin /showvector /latency <partition-dn>"。

         

    此为该目录服务器上下列目录分区的复制状态。 

    目录分区:
    CN=Configuration,DC=orpc,DC=intranet 

    此目录服务器最近尚未接收到来自一系列目录服务器的复制信息。 显示了目录服务器的数量,分成以下时间间隔。 

    超过 24 小时:

    超过一周:

    超过一个月:

    超过两个月:

    超过 tombstone 生存时间:

    Tombstone 生存时间(天):
    60 

    没有及时复制的目录服务器可能会遇到错误。它们可能会错过更改密码,并且无法进行身份验证。未在 tombstone 生存时间内复制的 DC 可能会错过对一些对象的删除,因此可能在将来的复制中自动被阻止,直到它进行协调。 

    若要使用名称识别目录服务器,请使用 dcdiag.exe 工具。 
    也可以使用支持工具 repadmin.exe 来显示目录服务器的 复制延迟。命令是 "repadmin /showvector /latency <partition-dn>"。

    ORPCS11上

        


    知识一致性检查器(KCC)检测到下列目录分区的问题。 

    目录分区:
    DC=DomainDnsZones,DC=orpc,DC=intranet 

    没有足够的站点连接信息用于 KCC 创建跨越树复制拓扑。或者具有此目录分区的一个或多个目录服务器无法复制目录分区信息。这可能缘于目录服务无法访问。 

    用户操作 
    执行下列操作之一: 
    - 发行足够的站点连接信息以做便 KCC 可以确定此目录能够到达此站点的路由。这是首选项。 
    - 添加从包含另一站点内的同一目录分区的目录服务到包含此目录分区的目录服务的连接对象。 

    ===========================================================

                 

    此计算机与命名的源计算机上一次复制的时间间隔太长。 与此源的复制间隔时间已超过 tombstone 生存时间。 与此源的复制已停止。

     不允许继续复制的原因是两个 DS 上可能包含延迟 对象。已从 Active Directory 域服务分区删除并垃圾收集的对象,如果 仍存在于相同域的其他 DS 的可写分区中,或林中其他域的全局编录服务器的只读分区中, 则被称作“延迟对象”。如果允许本地目标 DS 与源 DS 复制,这些可能的 延迟对象将在本地 Active Directory 域服务数据库中重新创建。

    上一次成功复制的时间:
    2014-02-08 20:48:21 
    源目录服务器的调用 ID:
    432a4c74-5f37-4143-b7c7-a9522f65de7d 
    源目录服务器的名称:
    E4308EB2-D03A-4DD8-A9C3-23E84E12F51B._msdcs.orpc.intranet 
    tombstone 生存时间(天):
    60 

    复制操作已失败。


    用户操作:
      从此错误恢复的操作计划可在 http://support.microsoft.com/?id=314282 找到。

     如果源 DC 和目标 DC 都是 Windows Server 2003 DC,则安装包含在安装 CD 中的支持工具。 若要查看要删除但实际上不执行删除 操作的对象,请运行 “repadmin /removelingeringobjects <源 DC> <目标 DC DSA GUID> <NC> /ADVISORY_MODE”。 源 DS 上的事件日志将枚举所有延迟对象。若要从源域控制器删除延迟对象,请运行 “repadmin /removelingeringobjects <源 DC> <目标 DC DSA GUID> <NC>”。

     如果源 DC 或目标 DC 是 Windows 2000 Server DC,则可 在 http://support.microsoft.com/?id=314282 找到有关如何删除 源 DC 上的延迟对象的更多信息,或从 Microsoft 支持专家获得这些信息。

     如果需要 Active Directory 域服务复制立即执行(不计成本)且没有 时间删除延迟对象,通过将以下注册表项设置为非零值来启用复制:

    注册表项:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner

     共享公共分区的 DC 之间的复制错误可能导致 DC 之间的用户 和计算机帐户、信任关系、他们的密码、安全组、安全组成员 关系和其他 Active Directory 域服务配置数据不同,这将影响登录、 查找相关对象和执行其他关键操作。解决复制错误后, 这些不一致将立即解决。未能在 tombstone 生存时间内入站复制删除的 对象的 DC 将保持不一致,除非管理员手动从每个本地 DC 删除延迟对象。此外,设置此注册表项后复制可能继续被阻止, 取决于是否立即找到延迟对象。


    其他用户操作:

    强制降级或重新安装断开连接的 DC。


    2014年8月8日 6:29

全部回复

  • 我用了repadmin /removelingeringobjects <源 DC> <目标 DC DSA GUID> <NC>

    处理了一些有问题的对象

    PS,复制延迟已超过墓碑时间

    还是不能复制唉!!

    有下面报错

    =====================================

    尝试建立下列可写目录分区的复制链接时失败。 

    目录分区: 
    CN=Configuration,DC=orpc,DC=intranet 
    源目录服务: 
    CN=NTDS Settings,CN=ORPCS11,CN=Servers,CN=xinzhuang,CN=Sites,CN=Configuration,DC=orpc,DC=intranet 
    源目录服务地址: 
    288b8415-3b7a-44ab-9b47-443d18e84d31._msdcs.orpc.intranet 
    站点间传输(如果有): 
    CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=orpc,DC=intranet 

    此目录服务将无法与源目录服务复制,直到纠正此问题。 

    用户操作 
    验证是否源目录服务可以访问或网络连接性可用。 

    其他数据 
    错误值: 
    8457 目标服务器目前拒绝复制请求。

    =============================

    尝试建立下列可写目录分区的复制链接时失败。 
     
    目录分区: 
    DC=orpc,DC=intranet 
    源目录服务: 
    CN=NTDS Settings,CN=ORPCS9,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=orpc,DC=intranet 
    源目录服务地址: 
    e4308eb2-d03a-4dd8-a9c3-23e84e12f51b._msdcs.orpc.intranet 
    站点间传输(如果有): 
     
     
    此目录服务将无法与源目录服务复制,直到纠正此问题。 
     
    用户操作 
    验证是否源目录服务可以访问或网络连接性可用。 
     
    其他数据 
    错误值: 
    8457 目标服务器目前拒绝复制请求。

    2014年8月8日 6:43
  • 还有我的vpn ipsce连接的另外一个局域网的站点ORPCS9是2014.2.8创建的域控,而ORPCS9和ORPCS12最后一次复制也是这天,是否该服务器建立的有问题没有设置好呢?

    我记得当时设立好辅域控和ORPCS9后没有把dns指向本机ip,而是指向了对面站点的DC

    2014年8月8日 6:52
  • Jimmy你好,

    请在清除了所有的lingering objects 以后,在正常的DC上找到以下注册键值:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters,然后把Allow Replication With Divergent and Corrupt PartnerValue Data改成1,再强制复制

    请在复制成功以后把以上注册表键值改回0.

    下面是一些相关文档供你参考:

    Event ID 2042: It has been too long since this machine replicated

    http://technet.microsoft.com/en-us/library/cc757610(v=WS.10).aspx

    How to troubleshoot intra-site replication failures

    http://support.microsoft.com/kb/249256/en-us

    Amy

    2014年8月11日 4:24
    版主
  • 试过了

    还是不行

    我还重新把ad的站点和服务里面的连接对象重建了,现在在连接对象上面邮件立即复制

    报错,报错信息如下

    请问如何解决

    2014年8月15日 2:36
  • 还有几台客户端不能访问一台文件服务器

    报错如下 

    Kerberos 客户端收到了一个来自服务器 orpcs8$ KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 cifs/orpcs8.orpc.intranet。这表明目标服务器无法解密客户端提供的票证。当不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)时会出现这种情况。请确保目标 SPN 是在(并且仅在)服务器使用的帐户上注册的。当目标服务正在使用目标服务帐户的其他密码而不是 Kerberos 密钥发行中心(KDC)的密码时也会出现这种错误。请确保服务器和 KDC 上的服务均已更新为使用当前密码。如果服务器名称未完全限定,并且目标域(ORPC.INTRANET)与客户端域(ORPC.INTRANET)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

    2014年8月15日 3:17
  • 同站点的服务器可以复制嘛?

    检查一下几个角色服务器看看是否正常。

    2014年8月15日 3:39