现象:两台DC,GC(PDC)(172.16.1.7)上面创建的用户DC(172.16.1.9)不能正常同步,DC上面创建的用户GC能够同步,同时发现文件服务器(172.16.1.12)有些机器不能正常访问(不能找到最近创建的AD域帐号),提示共享无权限。另外新创建的域帐号无法登录MOSS系统。
日志:
事件类型: 错误
事件来源: NTDS Replication
事件种类: 复制
事件 ID: 2042
日期: 2014-4-2
事件: 17:22:09
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: MOSS
描述:
此计算机与命名的源计算机上一次复制后的时间间隔太长。 与此源的复制间隔时间已经超过 tombstone 生存时间。 与该源的复制已经停止。
不允许继续复制的原因是删除的对象在这两台计算机上的 视图可能不同。源计算机可能仍然保留了在此计算机上已经 被删除的(并垃圾收集的)对象的副本。如果允许复制,源计算机可能返回 已经删除的对象。
上一次成功复制的时间:
2000-03-06 20:08:48
源调用 ID:
071df6c8-f6b8-071d-0100-000000000000
源名称:
ca51b9ad-184c-488b-8945-3a2343197dc2._msdcs.siviton.local
Tombstone 生存时间(天):
180
复制操作已经失败。
用户操作:
确定两台计算机中哪一台已经从林断开并过期。 您有三个选择:
1. 降级或重新安装断开的计算机。
2. 使用 "repadmin /removelingeringobjects" 工具来删除不一致的已删除对象, 然后继续复制。
3. 继续复制。可能导致不一致的已删除对象。您可以通过使用下列注册表项来继续复制。一旦系统复制了一次,强烈建议您删除该项以重新设置保护。
注册表项:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplication With Divergent and Corrupt Partner
有关更多信息,请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 错误
事件来源: NTDS Replication
事件种类: 复制
事件 ID: 1864
日期: 2014-4-2
事件: 14:06:02
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: MOSS
描述:
这是本地域控制器上下列目录分区的复制状态。
目录分区:
DC=siviton,DC=local
本地域控制器最近没有收到来自一系列域控制器的复制信息。 显示了域控制器的数量,分成如下时间间隔。
超过 24 小时:
1
超过一周:
1
超过一个月:
1
超过两个月:
1
超过 tombstone 生存时间:
1
Tombstone 生存时间(天):
180
没有及时复制的域控制器可能遇到错误。它可能丢失密码 更改并且无法通过身份验证。没有在 tombstone 生存时间内 复制的 DC 可能丢失一些对象的删除,因此可能在将来的复制 中自动被阻塞,直到它重新协调。
要用名称识别域控制器,请安装installation CD 上包含 的支持工具并运行 dcdiag.exe。
您也可以用支持工具 repadmin.exe来显示林内域控制器的 复制延迟。命令是 "repadmin /showvector/latency
有关更多信息,请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心
分析:
原因:用dcdiag命令在GC上没有问题,在DC上发现墓碑时间问题,可以确定是墓碑时间超过默认的180天造成的。
排查步骤:
1. 确认DC可以联系GC,使用NSlookup 解析GC 的SRV记录。
以下是微软官网解析方法:http://support.microsoft.com/?id=816587
Nslookup 是一个命令行工具,它显示的信息可以用来诊断域名系统 (DNS) 的基础结构。
要使用 Nslookup 来验证 SRV 记录,请按照下列步骤操作:
1. 在 DNS 上,单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入cmd。
3. 键入nslookup,然后按 Enter。
4. 键入set type=all,然后按 Enter。
5. 键入_ldap._tcp.dc._msdcs.Domain_Name,其中Domain_Name为域名,然后按 Enter。
Nslookup 将返回显示为以下格式的一个或多个 SRV 服务位置记录,其中,Server_Name为域控制器的主机名,Domain_Name为域控制器所属的域,Server_IP_Address为域控制器的 Internet 协议 (IP) 地址
2. 检查DC系统版本是否一致,是否为server2003 sp1以下版本,不同版本的tombstone时间不一致。
3. 在长时间没有复制的DC上运行net time [url=file://\\PDC_IP]\\PDC_IP[/url],使DC的时间与PDC同步。 Net time \\172.16.1.7
4. 确认权威域控制器(就是正常的DC)我的是172.16.1.7 在172.16.1.7上运行:
repadmin /removelingeringobjects moss.siviton.local ca51b9ad-184c-488b-8945-3a2343197dc2 dc=siviton,dc=local /advisorymode
查看GC GUID的方法如下:
repadmin /showrepl
此步骤是标记延迟复制的DC
#####备份两台DC的注册表##########
5. “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
\Strict Replication Consistency” 检查该项值设置为1
6. 然后在两台DC上都进行如下操作:
运行regedit,找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplication With Divergent and Corrupt Partner,将这个键值设置为1。
如果没有,需要手动新建AllowReplication With Divergent and Corrupt Partner,类型为DW(双字节值)。
在做完以上操作后,重启DC,查看DC的复制情况
7. 验证:用dcdiag 验证发现已经没有提示tombstone 超时;在GC上创建用户DC上可以同步,在DC上创建用户GC上也可以同步。在文件服务器172.16.1.12上面刷新策略 gpupdate /force 后可以找到最新添加的域帐号,同时在MOSS上登录正常。
验证OK后将Allow Replication With Divergent and Corrupt Partner,这个键值重新设置为0