Active Directory 复写问题

《Active Directory 复写问题》由会员分享，可在线阅读，更多相关《Active Directory 复写问题（9页珍藏版）》请在装配图网上搜索。

1、Active Directory 複寫問題Active Directory 複寫問題可能有幾種不同的原因。例如，DNS 問題或站台組態不正確都可能導致 Active Directory 複寫作業失敗。表 2.7 顯示可能代表 Active Directory 複寫有問題的常見事件，以及問題的根本原因和解決方案等資訊。表 2.7 代表 Active Directory 複寫問題的事件 事件 根本原因 解決方案Net Logon 事件識別碼 5805電腦帳戶無法驗證，通常是由於同一電腦名稱有數個實例，或者電腦名稱沒有複寫到每個網域控制站。如果沒有發現電腦名稱具有多個實例，則請參考 Verify R

2、eplication is Functioning，確認包含電腦帳戶的網域能夠進行複寫作業。NTDS 事件識別碼 1083複製的物件會顯示在本機網域控制站複寫夥伴的 Active Directory 中，所以更新該物件是不可能的。請參閱本手冊的Troubleshooting Directory Data Problems。NTDS 事件識別碼 1265複寫因為訊息文字中所述的原因而失敗。使用 Repadmin.exe 進一步識別問題，並使用表 x.x 根據 Repadmin.exe 所產生的訊息判斷應該採取的行動。 如果事件訊息指出 DNS 對應失敗或無法使用 RPC 伺服器，請參閱本手冊的T

3、roubleshooting Active DirectoryRelated DNS Problems。如果事件訊息指出目標帳戶名稱不正確，請對 GUID 差異進行疑難排解。如果事件訊息指出用戶端和伺服器之間有時間差異，請從 PDC 模擬器同步化複寫作業。NTDS 事件識別碼 1311這項錯誤會發生在Active Directory 站台及服務中的複寫組態資訊沒有正確反映出網路的實體拓樸時。請對NTDS 事件識別碼 1311進行疑難排解。NTDS 事件識別碼 1388這項錯誤通常是由中斷網域控制站過久而造成的延遲物件產生。如果網域控制站沒有同時做為全域目錄伺服器，請參閱Remove Linge

4、ring Objects from an Outdated Writable Domain Controller。 如果網域控制站同時做為全域目錄伺服器使用，請參閱Remove Lingering Objects from a Global Catalog Server。NTDS 事件識別碼 1645當複寫夥伴的NTDS 設定物件的 GUID 不符合在該複寫夥伴電腦物件的服務主要名稱(SPN) 屬性中定義的 GUID，現有的複寫連結上就會發生這項錯誤。請對 GUID 差異進行疑難排解。SceCli 事件識別碼 1202在一或多個群組原則物件 (GPO) 中的使用者帳戶不能解析為安全性識別碼 (

5、SID)。這項錯誤可能是由於在 GPO 的使用者權限指派或受限群組子目錄中參考了輸入錯誤或已刪除的使用者帳戶。請對SceCli 事件識別碼 1202進行疑難排解。疑難排解複寫問題的一般方針如果要識別 Active Directory 複寫問題，請使用 repadmin /showreps 指令。表 2.8 顯示這個指令所產生的錯誤訊息，以及問題的根本原因和解決方案等資訊。表 2.8 Repadmin /Showreps 錯誤訊息 Repadmin 錯誤 根本原因 解決方案沒有輸入的芳鄰。如果由 repadmin /showreps 指令所產生輸出的輸入芳鄰區段中沒有顯示項目，則網域控制站無法與

6、其他的網域控制站建立複寫連結。請參閱Troubleshoot No Inbound Neighbors Repadmin.exe Error。拒絕存取。兩個網域控制站間有複寫連結，但是無法正確執行複寫。請參閱Troubleshoot Access Denied Replication Errors。上一次嘗試 時失敗，出現目標帳戶名稱錯誤的訊息。這項問題可能與連線、DNS 或驗證問題相關。 如果是 DNS 錯誤，則本機網域控制站無法解析複寫夥伴的 GUIDDNS 名稱。請參閱Troubleshooting Active Directory - Related DNS Problems。 另請參

7、閱Troubleshoot Access Denied Replication Errors。沒有結束點了。這可能是因為沒有其他的結束點可用來建立與複寫夥伴的 TCP 工作階段所造成。 這項錯誤還可能產生在可以聯繫複寫夥伴但其 RPC 介面沒有登錄時。這通常代表網域控制站的 DNS 名稱有登錄，但使用了錯誤的 IP 位址。請使用 Netstat 檢查目前建立的工作階段。如有必要，請釋放 TCP 工作階段。 修正 IP 位址並參閱Troubleshooting Active Directory - Related DNS Problems。LDAP 錯誤 49。網域控制站電腦帳戶可能沒有與金鑰發

8、佈中心(KDC) 同步化。請參閱Troubleshoot Access Denied Replication Errors。 無法對本端主機開啟 LDAP 連線。系統管理工具無法聯繫 Active Directory。請參閱Troubleshooting Active Directory - Related DNS Problems。優先處理了 AD 複寫。具有較高優先權的複寫要求 (例如使用 repadmin /sync 命令而手動產生的要求) 插斷了正在進行的輸入複寫。等待複寫完成。已公佈複寫，正在等待。網域控制站公佈了複寫要求並等待回應。正在從此來源進行複寫。等待複寫完成。上次嘗試 ne

9、ver 成功。KCC 在本機網域控制站和複寫夥伴之間成功地建立了複寫連結，但是因為排程或可能的 Bridgehead 多載，複寫並未發生。 必須在此網域控制站上執行許多積存的輸入複寫作業。 參考 Synchronize Replication from a Source Domain Controller，從來源網域控制站進行同步化複寫。 使用 repadmin /queue 命令檢查佇列中的輸入同步化作業有多少。 如需複寫概念的詳細資訊，請參閱 Windows 2000 Server Resource Kit 中Distributed Systems Guide的Active Directo

10、ry Replication。解決沒有輸入芳鄰的 Repadmin.exe 錯誤當 repadmin /showreps 命令輸出的傳入芳鄰區段中沒有顯示項目時，有下列其中一個條件存在： 沒有指出這個網域控制站應該從哪個網域控制站進行複寫的連線物件存在。 這些連線物件通常都是由 KCC 所建立。不過，在某些環境中，系統管理員會在 KCC 內，關閉用來建立從其他站台的網域控制站輸入複寫的連線物件的功能，而依賴手動連線。 一或多個連線物件存在，但網域控制站無法聯繫來源網域控制站以建立複寫連結。在這種情況下，KCC 每次執行時都會記錄事件 (預設為每 15 分鐘)，並詳細記錄當它嘗試新增複寫連結時發

11、生的錯誤。 請確定在網域控制站和複寫夥伴之間正確建立了連線物件。如果沒有，請建立連線物件。疑難排解沒有輸入芳鄰的程序1.確認連線物件。 2.如果沒有連線物件存在，請參考 Create a Connection Object，建立連線物件。 3.在建立了連線物件後，請參閱Linking Sites for Replication，取得建立站台連結的程序。複寫會在排定時間自動發生。 解決拒絕存取的複寫錯誤這個錯誤指出本機網域控制站在建立複寫連結或嘗試透過現有連結進行複寫時，無法驗證其複寫夥伴。這通常發生於網域控制站已經與網路其他部分中斷了很久，且其電腦帳戶密碼與儲存在其複寫夥伴的 Active D

12、irectory 中的電腦帳戶密碼不同步時。解決拒絕存取複寫錯誤的程序1.使用 dcdiag /test:ntsec 命令，確認直接複寫夥伴的命名內容權限。請參考 Verify Replication is Functioning，確認複寫能夠運作。如果複寫沒有正確運作，則請繼續下一步。 2.確定企業網域控制站群組包含從網路存取這台電腦的權限。如果必須新增這項權限，請確定在進行前該網域已經套用了群組原則。請參考 Verify Replication is Functioning，確認複寫能夠運作。如果複寫沒有正確運作，則請繼續下一步。 3.請參考 Start or Stop a Service

13、，在本機網域控制站上停止 KDC。 4.請參考 Purge the ticket cache，在本機網域控制站上清除票證快取。 5.確認網域控制站位於網域控制站組織單位 (OU) 中、預設的網域控制站 GPO 有連結到該 OU，且這個網域的從網路存取這台電腦原則是有效的。 6.請參考 Reset the Computer Account Password on the PDC Emulator，在 PDC 模擬器上重設電腦的帳戶密碼。 7.將複寫夥伴的網域命名內容與 PDC 模擬器同步化。 8.如果 repadmin /showreps 命令顯示沒有複寫夥伴，請參閱本手冊的Linking Si

14、tes for Replication一節，取得建立複寫連結的程序。 9.請參考 Synchronize Replication from a Source Domain Controller，從來源網域控制站進行同步化複寫。 10.請參考 Start or Stop a Service，在本機網域控制站上啟動 KDC。 11.如果得到新的拒絕存取錯誤訊息，您必須參考 Create a Temporary Connection Link for Replication Partners 在網域控制站和其複寫夥伴之間，針對命名內容建立暫時的連線連結。 解決 GUID 差異網域控制站與其複寫夥伴建

15、立複寫連結時，會在其 Active Directory 中尋找其複寫夥伴NTDS 設定物件的 GUID。接著網域控制站會檢查該 GUID 是否符合其複寫夥伴的電腦物件 ServicePrincipalName 中的複寫 SPN。如果不符合，便無法建立複寫連結，且網域控制站會在目錄服務事件記錄檔中記錄事件。當網域控制站已從 Active Directory 用手動方式移除，之後又在該網域控制站上重新安裝了 Active Directory 時，就可能發生這種情況。在重新安裝 Active Directory 後，網域控制站會取得NTDS 設定物件的新 GUID，並照其建立新的複寫 SPN。解決

16、GUID 差異的程序1.識別複寫夥伴的 GUID。如果傳回數個項目，這就是錯誤的來源。其中一個項目是由複寫夥伴上的 Active Directory 初始安裝所造成。如果從網域控制站移除 Active Directory 時沒有執行Active Directory 安裝精靈，然後又在該網域控制站上重新安裝 Active Directory，則新的NTDS 設定物件 (用新的 GUID) 會建立並複寫到這個網域控制站。在這種情況下，請判斷哪一個NTDS 設定物件具有正確的 GUID，並刪除錯誤的NTDS 設定物件。 2.請確認根 DNS 伺服器上沒有建立錯誤NTDS 設定物件的 DNS 記錄。請

17、參考 Verify DNS Records，為 ._msdcs. 確認 DNS 記錄。確認 . 只有一個 DNS 記錄具有正確的 GUID。如果有數個記錄，則請刪除錯誤的記錄。 3.如果前述的步驟只顯示出一個具有正確 GUID 的NTDS 設定物件，請參考 Verify an SPN，為針對本機網域控制站的複寫夥伴確認 SPN。如果該名稱不存在或包含的 GUID 不符合其複寫夥伴，則它一定是在本機網域控制站的 Active Directory 中建立的。如果該名稱存在，但 GUID 不同，則必須對其修改，使其符合正確的 GUID。 如果要進行這項作業，請在本機網域控制站上執行 ADSI Edi

18、t 或 LDP。在複寫夥伴電腦物件的 ServicePrincipalName 多值屬性中找出 SPN (CN=,OU=Domain Controllers,DC=dom1,DC=company,DC=com)，並將複寫 SPN 變更為正確的值。 4.請參考 Verify Replication is Functioning，確認複寫能夠運作。 疑難排解 RPC 伺服器的問題執行下列任何的伺服器工作時，可能會接到錯誤指出 RPC 伺服器無法使用： 複寫 Winlogon 啟用信任的關係 與網域控制站連線 與信任網域連線 使用者驗證 基於下列原因，可能會發生RPC 伺服器無法使用錯誤： DNS

19、問題 時間同步化問題 RPC 服務沒有執行 網路連線問題 疑難排解 RPC 伺服器問題的程序1.如果要識別和解決 DNS 問題，請參閱Troubleshooting Active Directory - Related DNS Problems。 2.如果要識別和解決時間同步化的問題，請參閱Troubleshooting Windows Time Service Problems。 3.如果 RPC 服務沒有執行，請參考 Start or Stop a Service，啟動 RPC 服務。如果 RPC 服務正在執行，請參考 Start or Stop a Service，停止和啟動 RPC 服

20、務。 4.請參考 Verify Network Connectivity，確認網路連線並解決任何問題。 解決 NTDS 事件識別碼 1311 問題當Active Directory 站台及服務中的複寫組態資訊沒有正確反映網路實體拓樸時，即發生NTDS 事件識別碼 1311。知識一致性檢查程式(KCC) 會建構並維護 Active Directory 的複寫拓樸。為了執行這項作業，KCC 會檢查所有位於樹系中的命名內容的加總，以及站台、站台連結及連結成本的系統管理員定義限制。 在網域控制站或站台之間複寫 Active Directory 網域、結構描述或全域目錄命名內容，都會導致事件識別碼 13

21、11。這種情況可能是下列原因造成： 在網路上啟用了站台連結橋接 (該網路在以 KCC 連結所連接的不同站台中不支援在兩個網域控制站之間使用實體網路連線)。 站台連結中沒有包含一或多個站台。 站台連結包含所有站台，但站台連結之間並不互連。這種情況稱為無關聯的站台連結。 一或多個網域控制站離線。 Bridgehead 網域控制站有連線，但是當這些控制站嘗試在 Active Directory 站台之間複寫所需的命名內容時，錯誤便會發生。 系統管理員定義的偏好 Bridgehead 維持連線狀態，但沒有裝載所需的命名內容。 系統管理員正確地定義了偏好的 Bridgehead，但這些伺服器目前是離線狀

22、態。 Bridgehead 伺服器多載，其原因可能是伺服器大小不夠、太多分支站台嘗試從相同的中樞網域控制站複寫變更，或者站台連結或連線物件的排程過於頻繁。 KCC 已建立替代路徑來解決站台間的連線失敗，但仍會每隔 15 分鐘持續重試失敗的連線。 解決 NTDS 事件識別碼 1311 問題的程序1.判斷是否樹系中持有站台間拓樸產生器 (ISTG，Intersite Topology Generator) 角色的所有的網域控制站都記錄了事件識別碼 1311，或是只有站台特定的網域控制站才有記錄。 a.首先，請使用 Ldp.exe 搜尋下列屬性，以找出 ISTG 角色持有者。 Base DN:CN=

23、Sites,CN=Configuration,DC=ForestRootDomainName,DC=ComFilter:(cn=NTDS Site Settings)Scope:SubtreeAttributes:interSiteTopologyGeneratorb.檢查樹系中所有 (或至少檢查相當數量) 的 ISTG 角色持有者的目錄服務事件記錄檔，以判斷事件的範圍。 如果 ISTG 角色持有者仍持續記錄事件識別碼 1311，請繼續下一步驟。 2.如果要解決樹系中的 Active Directory 複寫失敗問題，請參閱本手冊的Troubleshooting Active Director

24、y Replication Problems。如果 ISTG 角色持有者仍持續記錄事件識別碼 1311，請繼續下一步驟。 3.判斷是否啟用了站台連結橋接功能及網路是否可成功傳遞。如果下列條件為真，則 Active Directory 啟用了站台連結橋接功能： 在 Active Directory 站台及服務 中選取 IP 傳輸及 Simple Mail Transfer Protocol (SMTP) 傳輸的 橋接所有的站台連結 核取方塊。 下列 DN 路徑的 IP 傳輸及 SMTP 傳輸的 Options 屬性是 NULL 或設為 0 (零)：CN=IP,CN=Inter-Site Tran

25、sports,CN=Sites,CN=Configuration,DC= 以及 CN=SMTP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=。 如果要判斷兩個站台之間是否存在可成功傳遞的網路連線，請聯絡網路管理員或 Active Directory 程式設計師。如果在無法成功傳遞的環境中啟用了站台連結橋接，則解決方法有兩種：一者將網路設定為可成功傳遞；二者則是停用站台連結橋接功能，然後建立必要的站台連結和站台連結橋接器。如需建立站台連結的詳細資訊，請參閱本手冊的Linking Sites for Replication。請等待樹系

26、中最長的複寫間隔兩倍的時間長度。如果 ISTG 角色持有者仍持續記錄事件識別碼 1311，請繼續下一步驟。 注意 依照預設，站台連結橋接是啟用的。為了達到最佳實務的效果，請在可成功傳遞的網路上啟用站台連結橋接功能。 4.使用 repadmin /showism 命令確認站台連結中定義了所有站台。此命令的輸出會為每個站台顯示三個號碼的字串 (以逗號分隔)。這些號碼代表 :。具有 值的字串代表可能遺失了站台連結。如果是這種情況，請參閱本手冊的連結站台以進行複寫，取得建立複寫連結的程序。如果 ISTG 角色持有者仍持續記錄事件識別碼 1311，請繼續下一步驟。 5.偵測並移除偏好的 Bridgehe

27、ad。以手動方式選取 Bridgehead 伺服器可能會造成事件識別碼 1311，建議系統管理員不要以手動方式選取 Bridgehead 伺服器。如果要搜尋偏好的 Bridgehead 伺服器，請參考 View the List of Preferred Bridgehead Servers，檢視偏好 Bridgehead 伺服器的清單。如果有任何偏好的 Bridgehead 伺服器，請將它們從 Active Directory 站台及服務 中移除，並等待樹系中最長的複寫間隔兩倍的時間長度。如果 ISTG 角色持有者仍持續記錄事件識別碼 1311，請繼續下一步驟。 6.如果 KCC 處於保持連

28、線模式，請刪除連線，並等待樹系中最長的複寫間隔兩倍的時間長度。 解決 SceCli 事件識別碼 1202 問題如果應用程式事件記錄檔中出現SceCli 事件識別碼 1202，代表 Active Directory 複寫可能出現問題 - 特別是如果這個訊息的錯誤文字包含錯誤 1332(0x534) 或錯誤 1332(0x6fc) 的 Win32 錯誤碼。對十六進位的程式碼進行此事件的疑難排解時，程序是相同的。解決 SceCli 事件識別碼 1202 問題的程序1.請藉由變更登錄機碼 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersio

29、nWinLogonGPExtensions 啟用 winlogon.log 的記錄功能。這會在 %systemroot%securitylogs 資料夾中建立 winlogon.log 檔案。 警告 登錄編輯程式會略過標準保護，而允許可能會損壞系統、或甚至導致需要重新安裝 Windows 的設定。如果必須編輯登錄，請先備份系統狀態。如需備份系統狀態的詳細資訊，請參閱本手冊的Active Directory Backup and Restore。 2.搜尋 winlogon.log 檔案中的錯誤。在命令提示處輸入下列命令並按下 ENTER： FIND /I error %SYSTEMROOT%s

30、ecuritylogswinlogon.log這會顯示導致問題的帳戶。請判斷為何該帳戶會導致這個問題 (例如，帳戶輸入錯誤、帳戶已刪除或套用了錯誤的原則)。如果判斷需要從原則移除此帳戶，請繼續進行下一步驟，判斷要變更哪一個原則及設定。 3.如果要找出哪一個設定包含有問題的帳戶，請在命令提示處輸入下列命令並按下 ENTER： Find /I %systemroot%securitytemplatespoliciesgpt*.*這會顯示 GPO (內含導致問題的設定) 的快取範本。請檢視該範本，並搜尋以 GPOPath= 開頭的行以及需要變更的原則的 GUID。 4.將問題 GPO 的 GUID

31、對應到它的好記名稱。使用 Windows 2000 Server Resource Kit 的 Gpresults.exe 工具，從產生事件的電腦取得大量的輸出。搜尋上述步驟中所識別的 GUID 的結果。 如果在 Gpresults.exe 工具的輸出中找不到 GUID，請使用 Search.vbs。請在命令提示處輸入下列命令並按下 ENTER： Search.vbs LDAP:/CN=Policies,CN=System,DC=,DC= /C:(ojbectClass=groupPolicyContainer) /P:name,displayName5.根據需要修復或修改 GPO。 2004-01-05 From Homelan MIS皓斌 製表人員:建達 ver:1.0