这是一个便捷的小窍门,就像你可能希望在阴雨天的时候有一只手杖放在包中备用那样。你可能不会在太多的地方用到它,但是一旦你需要它的时候,它将会被用到。
对于一名活动目录系统管理员来说,最令人挫败的经历之一恐怕就是试着去修复一个非复制的域控制器。但是当它复制到一个目录中,而不是另一个(就像既不在里面也不在外面),这时你真得会很挠头。这种情况会发正在一个新的正在提升的域控制器或者一个已经存在的情况,如果在两个目录中复制都被破坏,你可能要去查看一下坏掉的网络连接或者DNS问题,但是只在一个目录中被破坏的情况是很难去排除的。
注意:所有的复制是内部的。“外部的复制”涉及到从一个域控制器推到另一个域控制器的复制操作。举例来说,如果域控制器1和域控制器2是复制合作者,域控制器1从域控制器2进行内部复制。反过来就是,控制器2从域控制器1进行内部复制。为域控制器1的外部复制涉及到域控制器2从域控制器1拖拉复制。
问题描述
当你创建一个新的域控制器到域中时,这个问题常常能被遇到。通过重新启动,没有任何错误,但是Netlogon和SYSVOL共享再也不会被创建了。然而,这能够在活动的域控制器上出现。提示一个非复制与控制器通常产生错误能够在域控制器诊断(DCdiag)软件中输出显示出来。在Repadmin/showreps报告中,或者通过在DS事务日志中留下错误。其他的指示包括:
-
从最初开始到破坏的域控制器,没有自动的出现连接对象。
-
从破坏的域控制器中,在原有的域控制器工作上复制现在的内部对象。
-
从原有的域控制器中在被破坏的域控制器上复制对象,“命名上下文市在被移动的进程中或者不是从指定的服务器复制的。”
-
检查产生错误的坏掉的域控制器上的复制拓扑操作,“活动目录特性不在缓存中”。
解决方法
很多时候你可能被愿意去执行在坏掉的域控制器上的一个手动降级,并且重提升它。然而,这里有一种非常简单的方法修复这种情况,以我的经验,具有一个高级别的可靠性以及更好的执行手动降级。步骤包括使用Repadmin命令行来添加一个低级别的链接将会允许KCC到接下来产生一个正确的链接对象。
步骤是非常简单的。首先,你需要确认有问题的域控制器,以及一个确认的正常域控制器。在详细的步骤描述中,域控制器1是一个确认的正常域控制器,虽然域控制器2是那个只能从域控制器1种进行内部复制的域控制器,但是域控制器1不能从域控制器2中复制。(当然你需要去将这里的“Corp.net”域名用你自己的域名来代替)。
1.我们要使用Repadmin /add命令行,这需要我们去指到域控制器1和域控制器2的服务器GUID。首先我们需要去确定每一个服务器的“服务器GUID”。通过在每台服务器上运行Repadmin /showreps命令行可以完成这项工作。在这个命令输出中的的第一行指出了“objectGUID”,如下所示:
ATLANTA\ATL-DC01 DSA Options : IS_GC objectGUID : 1388A125-9318-4992-AA53-1A0519E24D0A
objectGUID是在Repadmin/Add命令行中被用到。
2.在这个例子中域名是Corp.net。两个域控制器的服务器GUID是:
在站点和服务管理单元中,找到域控制器2(被损坏的域控制器),并且删除所有的连接对象—用手动或自动的方式。
3.使用位于Windows 2000和Windows 2003 Server CD上的支持工具中的Repadmin命令行组件,创建一个从损坏的域控制器到正常的域控制器的新连接。在这个例子中,域控制器1是一个正常的域控制器,并且从域控制器2到域控制器1是不能进行复制的。
C:\>repadmin /add "cn=configuration,dc=Corp,dc=net" 1388A125-9318-4992-AA53-1A0519E24D0A._msdcs.corp.net A8413FDA-3131-4F0D-AFE0-
C1E110321D25._msdcs.corp.net
注意我们首先(目的地)列出的正常工作的域控制器GUID,以及最后(来源)的被损坏的域控制器GUID。这创建了一个从损坏的域控制器到正常工作的域控制器的连接。
在使用Repadmin/add命令的时候,如果你遇到了8441错误:要命名的名称已存在,连接已存在—继续到下一步。
4.通过刚刚建立的连接来执行一个全面的复制同步:
C:\>repadmin /sync cn=configuration,dc=enterprises,dc=compaq,dc=com DC1 A8413FDA-3131-4F0D-AFE0-C1E110321D25/force /full
在这个例子中,正常运行的域控制器名称被首先(目的地)列出,被损坏的机器(来源)的GUID将会被最后列出。这将会通过刚刚建立的连接强制进行同步。这时,一条成功的提示将会出现。
5.确认复制正常运转。在站点和服务中,检查以确认是否是从被损坏的机器到正常运行的机器(根源)自动的产生连接对象,另外也要确认目前在对象上的复制工作是准确无误的。并且,为每一个域控制器,右键单击NTDS设置对象,找到所有任务—〉检查布局。并确认它是正确执行的。
6.为相关的错误,检查目录服务,系统以及应用事务日志。
为确保复制是正在运行的,在被损坏的机器上创建一个新站点在站点和服务中,并且观察它是否复制到正常工作的域控制器上(记住去集中观察每台机器上的snapin,来确认它是全部地反映)。同时,还要在被损坏的机器上,在用户和计算器snapin中,创建一个用户帐号,并观察它是否能够复制到正常运转的机器上。这是要测试计划和配置命名前后关系(站点创建)和域命名前后关系(用户帐号)。