現象:兩臺DC,GC(PDC)(172.16.1.7)上面創建的用戶DC(172.16.1.9)不能正常同步,DC上面創建的用戶GC能夠同步,同時發現文件服務器(172.16.1.12)有些機器不能正常訪問(不能找到最近創建的AD域帳號),提示共享無權限。另外新創建的域帳號無法登錄MOSS系統。
日誌:
事件類型: 錯誤
事件來源: NTDS Replication
事件種類: 複製
事件 ID: 2042
日期: 2014-4-2
事件: 17:22:09
用戶: NT AUTHORITY\ANONYMOUS LOGON
計算機: MOSS
描述:
此計算機與命名的源計算機上一次複製後的時間間隔太長。 與此源的複製間隔時間已經超過 tombstone 生存時間。 與該源的複製已經停止。
不允許繼續複製的原因是刪除的對象在這兩臺計算機上的 視圖可能不同。源計算機可能仍然保留了在此計算機上已經 被刪除的(並垃圾收集的)對象的副本。如果允許複製,源計算機可能返回 已經刪除的對象。
上一次成功複製的時間:
2000-03-06 20:08:48
源調用 ID:
071df6c8-f6b8-071d-0100-000000000000
源名稱:
ca51b9ad-184c-488b-8945-3a2343197dc2._msdcs.siviton.local
Tombstone 生存時間(天):
180
複製操作已經失敗。
用戶操作:
確定兩臺計算機中哪一臺已經從林斷開並過期。 您有三個選擇:
1. 降級或重新安裝斷開的計算機。
2. 使用 "repadmin /removelingeringobjects" 工具來刪除不一致的已刪除對象, 然後繼續複製。
3. 繼續複製。可能導致不一致的已刪除對象。您可以通過使用下列註冊表項來繼續複製。一旦系統複製了一次,強烈建議您刪除該項以重新設置保護。
註冊表項:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplication With Divergent and Corrupt Partner
有關更多信息,請參閱在http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。
事件類型: 錯誤
事件來源: NTDS Replication
事件種類: 複製
事件 ID: 1864
日期: 2014-4-2
事件: 14:06:02
用戶: NT AUTHORITY\ANONYMOUS LOGON
計算機: MOSS
描述:
這是本地域控制器上下列目錄分區的複製狀態。
目錄分區:
DC=siviton,DC=local
本地域控制器最近沒有收到來自一系列域控制器的複製信息。 顯示了域控制器的數量,分成如下時間間隔。
超過 24 小時:
1
超過一週:
1
超過一個月:
1
超過兩個月:
1
超過 tombstone 生存時間:
1
Tombstone 生存時間(天):
180
沒有及時複製的域控制器可能遇到錯誤。它可能丟失密碼 更改並且無法通過身份驗證。沒有在 tombstone 生存時間內 複製的 DC 可能丟失一些對象的刪除,因此可能在將來的複製 中自動被阻塞,直到它重新協調。
要用名稱識別域控制器,請安裝installation CD 上包含 的支持工具並運行 dcdiag.exe。
您也可以用支持工具 repadmin.exe來顯示林內域控制器的 複製延遲。命令是 "repadmin /showvector/latency <partition-dn>"。
有關更多信息,請參閱在http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心
分析:
原因:用dcdiag命令在GC上沒有問題,在DC上發現墓碑時間問題,可以確定是墓碑時間超過默認的180天造成的。
排查步驟:
1. 確認DC可以聯繫GC,使用NSlookup 解析GC 的SRV記錄。
以下是微軟官網解析方法:http://support.microsoft.com/?id=816587
Nslookup 是一個命令行工具,它顯示的信息可以用來診斷域名系統 (DNS) 的基礎結構。
要使用 Nslookup 來驗證 SRV 記錄,請按照下列步驟操作:
1. 在 DNS 上,單擊“開始”,然後單擊“運行”。
2. 在“打開”框中,鍵入cmd。
3. 鍵入nslookup,然後按 Enter。
4. 鍵入set type=all,然後按 Enter。
5. 鍵入_ldap._tcp.dc._msdcs.Domain_Name,其中Domain_Name爲域名,然後按 Enter。
Nslookup 將返回顯示爲以下格式的一個或多個 SRV 服務位置記錄,其中,Server_Name爲域控制器的主機名,Domain_Name爲域控制器所屬的域,Server_IP_Address爲域控制器的 Internet 協議 (IP) 地址
2. 檢查DC系統版本是否一致,是否爲server2003 sp1以下版本,不同版本的tombstone時間不一致。
3. 在長時間沒有複製的DC上運行net time [url=file://\\PDC_IP]\\PDC_IP[/url],使DC的時間與PDC同步。 Net time \\172.16.1.7
4. 確認權威域控制器(就是正常的DC)我的是172.16.1.7 在172.16.1.7上運行:
repadmin /removelingeringobjects moss.siviton.local ca51b9ad-184c-488b-8945-3a2343197dc2 dc=siviton,dc=local /advisorymode
查看GC GUID的方法如下:
repadmin /showrepl
此步驟是標記延遲複製的DC
#####備份兩臺DC的註冊表##########
5. “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
\Strict Replication Consistency” 檢查該項值設置爲1
6. 然後在兩臺DC上都進行如下操作:
運行regedit,找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplication With Divergent and Corrupt Partner,將這個鍵值設置爲1。
如果沒有,需要手動新建AllowReplication With Divergent and Corrupt Partner,類型爲DW(雙字節值)。
在做完以上操作後,重啓DC,查看DC的複製情況
7. 驗證:用dcdiag 驗證發現已經沒有提示tombstone 超時;在GC上創建用戶DC上可以同步,在DC上創建用戶GC上也可以同步。在文件服務器172.16.1.12上面刷新策略 gpupdate /force 後可以找到最新添加的域帳號,同時在MOSS上登錄正常。
驗證OK後將Allow Replication With Divergent and Corrupt Partner,這個鍵值重新設置爲0