上一篇讲到了怎么进行AD健康检查,这篇主要列举几个AD排错的例子
1、事件代码1864错误
日志名称: Directory Service
来源: Microsoft-Windows-ActiveDirectory_DomainService
日期: 2013/8/18 20:19:22
事件 ID: 1864
任务类别: 复制
级别: 错误
关键字: 经典
用户: ANONYMOUS LOGON
计算机: DC01.contoso.com
描述:
此为该目录服务器上下列目录分区的复制状态。
目录分区:
DC=ForestDnsZones,DC=contoso,DC=com
此目录服务器最近尚未接收到来自一系列目录服务器的复制信息。 显示了目录服务器的数量,分成以下时间间隔。 超过 24 小时:5 超过一周:2 超过一个月:1 超过两个月:0 超过 tombstone 生存时间:0 Tombstone 生存时间(天):180
没有及时复制的目录服务器可能会遇到错误。它们可能会错过更改密码,并且无法进行身份验证。未在 tombstone 生存时间内复制的 DC 可能会错过对一些对象的删除,因此可能在将来的复制中自动被阻止,直到它进行协调。
解决办法
1.改HKLM\System\CurrentControlSet\Services\NTDS\Parameters,将"Allow Replication With Divergent and Corrupt Partner"的值设置为1。
2. 在修改了注册表键值后,重启。
3. 打开“Active Directory站点和服务”,强制复制所有DC。
a. 打开Active Directory 站点和服务/Sites/包含复制目录信息时需要经由的连接的站点/Servers/需要强行复制的服务器/NTDS 设置
b. 在详细信息窗格中,右键单击您要复制目录信息时借助的连接,然后单击“立即复制副本”。
4. 在DC的命令提示符下输入“repadmin /showrepl”,检查DC之间的复制是否正常。
2、有A、B两台win2003域服务器,B相当于备份域服务器,手动执行从A到B的AD复制副本动作,出现如下提示。A、B服务器均能访问对方,DNS解析应该正常,但A与B的AD数据已经不同步了。
a、首先确认这个DC是否能够联系上GC,使用NSlookup命令来尝试解析GC的SRV记录,具体方法请参考:
http://support.microsoft.com/?id=816587
b、在长时间没有复制的DC上运行net time /set /y,使DC的时间与PDC同步。
c、在长时间没有开机的DC上运行以下命令:
repadmin
/removelingeringobjects ServerName ServerGUID DirectoryPartition /advisory mode
注:ServerName为长时间没有开机的DC的DNS名称,ServerGUID为DC的GUID名称,DirectoryPartition为分区名称,类似DC=example,DC=com。
确定DC的GUID请运行以下命令
repadmin /showrepl
ServerName
d、运行Regedit.exe
编辑注册表,定位到以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
编辑Strict Replication
Consistency,改为1。
注意:在对注册表进行操作前,应先备份注册表,“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft
不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。
e、然后在两台DC上都进行如下操作:
运行regedit,找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow
Replication With Divergent and Corrupt Partner,将这个键值设置为1。
如果没有,请您手动新建Allow
Replication With Divergent and Corrupt Partner,类型为DW(双字节值)。
在做完以上操作后,重启DC,查看DC的复制情况。
f、重启两台DC后复制正常
实战AD+Exchange升级系列之AD排错(二)