none
域控DC与全局目录GC无法同步复制的疑难问题----求助 RRS feed

  • 问题

  • 现生产运行环境中各有一台主域控(22)和辅助域控(33),经长时间正常运行中无意间出现主域控和辅助域控角色已作更改(即DC为33,GC为22),导致当客户端登录到AD时提示“用户名或密码不正确”;为避免影响正常办公,最后采取了FSMO的转移(transfer)和抢占(seize),事前通过netdom query fsmo查看五种角色全部在GC(22)中,尔后经过多次转移(出现错误现象)和抢占,FSMO最终转移到DC(33)中。但是当关闭GC(22)后,重新启动客户端再次登录时问题依然出现--“用户名或密码不正确”和“无法找到指定的域控”,针对以上现象,问题综述如下:

    1、导致DC与GC角色转换的原因有哪些?最好多多列举可能性

    2、目前DC的数据可以完全同步到GC,为何GC的数据无法同步到DC,其产生的原因有哪些?

    3、FSMO已经全部转移至DC(33)中,为何关闭GC后,客户端的问题依旧出现,其原因是?

    4、如何才能实现DC与GC间的同步?----重要!!!

    备注:22、33表示AD的IP地址,请求各位的帮助,颇感为谢!!!若方便,可与我联系:QQ:411476377 MSN:zhx20082008@hotmail.com

    以下内容是通过dcdiag在DC(33)和GC(22)上所获取的信息,供分析:


    目录服务器诊断


    正在执行初始化设置:

       正在尝试查找主服务器...

       主服务器 = LSAD1

       * 已识别的 AD 林。
       服务器 SHLSKJ 上的 Ldap 搜索功能属性搜索失败,返回值 = 81
       检查 DC 是正在使用 FRS 还是 DFSR 时出错。错误:

       Win32 Error 81由于这个错误,VerifyReferences、FrsEvent 和 DfsrEvent 测试可能会失败。

       服务器 WIN-RN6MGO9Q23N 上的 Ldap 搜索功能属性搜索失败,返回值 = 81
       检查 DC 是正在使用 FRS 还是 DFSR 时出错。错误:

       Win32 Error 81由于这个错误,VerifyReferences、FrsEvent 和 DfsrEvent 测试可能会失败。

       服务器 LS 上的 Ldap 搜索功能属性搜索失败,返回值 = 81
       检查 DC 是正在使用 FRS 还是 DFSR 时出错。错误:

       Win32 Error 81由于这个错误,VerifyReferences、FrsEvent 和 DfsrEvent 测试可能会失败。

       已完成收集初始化信息。


    正在进行所需的初始化测试

      
       正在测试服务器: Default-First-Site-Name\LSAD1

          开始测试: Connectivity

             ......................... LSAD1 已通过测试 Connectivity

    正在执行主要测试

      
       正在测试服务器: Default-First-Site-Name\LSAD1

          开始测试: Advertising

             ......................... LSAD1 已通过测试 Advertising

          开始测试: FrsEvent

             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
             ......................... LSAD1 已通过测试 FrsEvent

          开始测试: DFSREvent

             ......................... LSAD1 已通过测试 DFSREvent

          开始测试: SysVolCheck

             ......................... LSAD1 已通过测试 SysVolCheck

          开始测试: KccEvent

             ......................... LSAD1 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             ......................... LSAD1 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             ......................... LSAD1 已通过测试 MachineAccount

          开始测试: NCSecDesc

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有

                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:

             DC=ForestDnsZones,DC=landsea,DC=cn
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有

                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:

             DC=DomainDnsZones,DC=landsea,DC=cn
             ......................... LSAD1 没有通过测试 NCSecDesc

          开始测试: NetLogons

             ......................... LSAD1 已通过测试 NetLogons

          开始测试: ObjectsReplicated

             ......................... LSAD1 已通过测试 ObjectsReplicated

          开始测试: Replications

            

             [Replications Check,LSAD1] 最近的复制尝试失败:

                从 LSAD2 到 LSAD1

                命名上下文: DC=landsea,DC=cn

                复制生成一个错误(8606):

                没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除域垃圾收集。

                失败发生在 2012-07-17 08:58:14。

                上次成功发生在 2012-07-17 07:43:13。

                自从上次成功已发生 70 次失败。

             ......................... LSAD1 没有通过测试 Replications

          开始测试: RidManager

             ......................... LSAD1 已通过测试 RidManager

          开始测试: Services

             ......................... LSAD1 已通过测试 Services

          开始测试: SystemLog

             ......................... LSAD1 已通过测试 SystemLog

          开始测试: VerifyReferences

             ......................... LSAD1 已通过测试 VerifyReferences

      
      
       正在 ForestDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... ForestDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... ForestDnsZones 已通过测试 CrossRefValidation

      
       正在 DomainDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... DomainDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... DomainDnsZones 已通过测试 CrossRefValidation

      
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

    ------------------------------------------------------------------------------------


    目录服务器诊断


    正在执行初始化设置:

       正在尝试查找主服务器...

       主服务器 = LSAD2

       * 已识别的 AD 林。
       已完成收集初始化信息。


    正在进行所需的初始化测试

      
       正在测试服务器: Default-First-Site-Name\LSAD2

          开始测试: Connectivity

             ......................... LSAD2 已通过测试 Connectivity

    正在执行主要测试

      
       正在测试服务器: Default-First-Site-Name\LSAD2

          开始测试: Advertising

             ......................... LSAD2 已通过测试 Advertising

          开始测试: FrsEvent

             ......................... LSAD2 已通过测试 FrsEvent

          开始测试: DFSREvent

             ......................... LSAD2 已通过测试 DFSREvent

          开始测试: SysVolCheck

             ......................... LSAD2 已通过测试 SysVolCheck

          开始测试: KccEvent

             发生了一个警告事件。EventID: 0x80000786

                生成时间: 07/17/2012   08:53:13

                事件字符串: 尝试用下列参数建立与只读目录分区的复制链接时失败。


             发生了一个警告事件。EventID: 0x80000786

                生成时间: 07/17/2012   08:53:45

                事件字符串: 尝试用下列参数建立与只读目录分区的复制链接时失败。


             ......................... LSAD2 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             ......................... LSAD2 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             ......................... LSAD2 已通过测试 MachineAccount

          开始测试: NCSecDesc

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有

                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:

             DC=ForestDnsZones,DC=landsea,DC=cn
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有

                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:

             DC=DomainDnsZones,DC=landsea,DC=cn
             ......................... LSAD2 没有通过测试 NCSecDesc

          开始测试: NetLogons

             ......................... LSAD2 已通过测试 NetLogons

          开始测试: ObjectsReplicated

             ......................... LSAD2 已通过测试 ObjectsReplicated

          开始测试: Replications

             [Replications Check,LSAD2] 最近的复制尝试失败:

                从 WIN-RN6MGO9Q23N 到 LSAD2

                命名上下文: DC=ForestDnsZones,DC=landsea,DC=cn

                复制生成一个错误(1256):

                远程系统不可用。有关网络疑难解答,请参阅 Windows 帮助。

                失败发生在 2012-07-17 08:43:13。

                上次成功发生在 2012-05-26 13:47:46。

                自从上次成功已发生 1600 次失败。

             [WIN-RN6MGO9Q23N] DsBindWithSpnEx() 失败,错误为 1722,

             RPC 服务器不可用。.
             [Replications Check,LSAD2] 最近的复制尝试失败:

                从 SHLSKJ 到 LSAD2

                命名上下文: DC=ForestDnsZones,DC=landsea,DC=cn

                复制生成一个错误(1256):

                远程系统不可用。有关网络疑难解答,请参阅 Windows 帮助。

                失败发生在 2012-07-17 08:43:34。

                上次成功发生在 2012-05-26 13:47:46。

                自从上次成功已发生 1600 次失败。

             [SHLSKJ] DsBindWithSpnEx() 失败,错误为 1722,

             RPC 服务器不可用。.
             [Replications Check,LSAD2] 最近的复制尝试失败:

                从 WIN-RN6MGO9Q23N 到 LSAD2

                命名上下文: CN=Schema,CN=Configuration,DC=landsea,DC=cn

                复制生成一个错误(8524):

                由于 DNS 查找故障,DSA 操作无法进行。

                失败发生在 2012-07-17 08:44:05。

                上次成功发生在 2012-05-26 13:47:46。

                自从上次成功已发生 1600 次失败。

                未在一个或多个 DNS 服务器上注册基于 guid 的 DNS 名称

                819121bb-b153-4b0a-b274-c0dcd7d044b5._msdcs.landsea.cn

                。

             [Replications Check,LSAD2] 最近的复制尝试失败:

                从 SHLSKJ 到 LSAD2

                命名上下文: CN=Schema,CN=Configuration,DC=landsea,DC=cn

                复制生成一个错误(1722):

                RPC 服务器不可用。

                失败发生在 2012-07-17 08:44:26。

                上次成功发生在 2012-05-26 13:47:46。

                自从上次成功已发生 1601 次失败。

                源仍然关机。请检查该计算机。

             [Replications Check,LSAD2] 最近的复制尝试失败:

                从 WIN-RN6MGO9Q23N 到 LSAD2

                命名上下文: CN=Configuration,DC=landsea,DC=cn

                复制生成一个错误(8524):

                由于 DNS 查找故障,DSA 操作无法进行。

                失败发生在 2012-07-17 08:58:13。

                上次成功发生在 2012-05-26 13:47:46。

                自从上次成功已发生 1602 次失败。

                未在一个或多个 DNS 服务器上注册基于 guid 的 DNS 名称

                819121bb-b153-4b0a-b274-c0dcd7d044b5._msdcs.landsea.cn

                。

             [Replications Check,LSAD2] 最近的复制尝试失败:

                从 SHLSKJ 到 LSAD2

                命名上下文: CN=Configuration,DC=landsea,DC=cn

                复制生成一个错误(1722):

                RPC 服务器不可用。

                失败发生在 2012-07-17 08:58:34。

                上次成功发生在 2012-05-26 13:47:46。

                自从上次成功已发生 1602 次失败。

                源仍然关机。请检查该计算机。

             ......................... LSAD2 没有通过测试 Replications

          开始测试: RidManager

             ......................... LSAD2 已通过测试 RidManager

          开始测试: Services

             ......................... LSAD2 已通过测试 Services

          开始测试: SystemLog

             发生了一个警告事件。EventID: 0x8000001C

              

                生成时间: 07/17/2012   08:58:35

                事件字符串:

                阻止端口“SWITCHPORT-SM-33E364CA-065B-4C0F-B9F1-1DEF34E62F77-0-1”使用 MAC 地址“3C-4A-92-79-01-CA”,因为它已固定到端口“SWITCHPORT-SM-33E364”。

             发生了一个警告事件。EventID: 0x8000001C

                生成时间: 07/17/2012   08:58:35

                事件字符串:

                阻止端口“SWITCHPORT-SM-33E364CA-065B-4C0F-B9F1-1DEF34E62F77-0-1”使用 MAC 地址“3C-4A-92-79-01-CA”,因为它已固定到端口“SWITCHPORT-SM-33E364”。

             ......................... LSAD2 已通过测试 SystemLog

          开始测试: VerifyReferences

             ......................... LSAD2 已通过测试 VerifyReferences

      
      
       正在 ForestDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... ForestDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... ForestDnsZones 已通过测试 CrossRefValidation

      
       正在 DomainDnsZones

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... DomainDnsZones 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... DomainDnsZones 已通过测试 CrossRefValidation

      
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

      
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

      
       正在 landsea

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... landsea 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... landsea 已通过测试 CrossRefValidation

      
       正在 landsea.cn

        上运行企业测试
          开始测试: LocatorCheck

             ......................... landsea.cn 已通过测试 LocatorCheck

          开始测试: Intersite

             ......................... landsea.cn 已通过测试 Intersite

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

      
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

      
       正在 landsea

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... landsea 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... landsea 已通过测试 CrossRefValidation

      
       正在 landsea.cn

        上运行企业测试
          开始测试: LocatorCheck

             警告: DcGetDcName(GC_SERVER_REQUIRED) 调用失败,错误为 1355

             无法找到全局编录服务器 - 所有 GC 都已关机。

             ......................... landsea.cn 没有通过测试 LocatorCheck

          开始测试: Intersite

             ......................... landsea.cn 已通过测试 Intersite

     -


    2012年7月17日 1:09

全部回复

  • 您好!

    我们建议您先根据以下步骤进行排错:

    1. 检查DNS设置。

    a. 运行ipconfig /all 检查TCP/IP协议的配置是否正确,请把主DNS服务器指向PDC,辅助DNS服务器指向其它的DC

    b. 确认在DNS服务器上启用了动态更新。

    c. 在所有的DNS服务器上执行以下命令:

    ipconfig  /flushdns

    ipconfig  /registerdns

    2. 确认在所有出现该错误信息的DC上,Intersite messaging 服务为“已启动”状态。

    3. 停用site link bridging

    a. 打开“Active Directory站点和服务”,依次点击“Sites\Inter-Site Transports\IP

    b. 右键点击“IP——“属性”,取消“为所有站点链接搭桥”选项,点击“确定”。

    c. 在“Sites\Inter-Site Transports\SMTP”中,重复以上的步骤。

    d. 观察该问题是否依然存在。

    4. 使用活动目录用户站点和服务来手动同步DC
    a. 打开“Active Directory 站点和服务
    b. 在控制台树中,单击强制复制所有的服务器的“NTDS 设置。 具体的位置如下:
    Active Directory 站点和服务/Sites/包含复制目录信息时需要经由的连接的站点/Servers/需要强行复制的服务器/NTDS 设置
    c.在详细信息窗格中,右键单击您要复制目录信息时借助的连接,然后单击立即复制

    如果以上步骤未能找出问题所在,请检查系统日志和应用程序日志,把相关错误事件的具体信息贴到论坛中来,包括事件ID、事件类型和事件描述。

    如果我的建议有什么不清楚的地方,请您回复。感谢您的支持!


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年7月18日 8:43
    版主
  • 您好,按照您提供的方法经操作后问题依然出现,当我对site间强制复制时出现如下错误提示:
    在尝试同步从域控制器LSAD2到域控制器LS的命令上下文landsea.cn时出现如下错误:没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除或垃圾收集。此操作不能继续。“

    请各位大侠帮忙解决。颇感为谢!!!

    最后有一点疑问:取消“为所有站点链接搭桥”选项时是在DC和GC上都操作吗?

    期待您的答复。

    2012年7月19日 9:45
  • 哈,这是一个典型的不适合通过论坛方式沟通解决的问题,步骤和变数太多了,确实属于复杂问题,建议开个微软技术支持去做吧,花点钱,省点时间和精力。
    2012年7月19日 10:08
  • 请求各位大侠帮忙一下,谢谢。
    2012年7月20日 2:02