现象:两台DCGC(PDC)172.16.1.7)上面创建的用户DC172.16.1.9)不能正常同步,DC上面创建的用户GC能够同步,同时发现文件服务器(172.16.1.12)有些机器不能正常访问(不能找到最近创建的AD域帐号),提示共享无权限。另外新创建的域帐号无法登录MOSS系统。

 

 

日志:

事件类型:      错误

事件来源:      NTDS Replication

事件种类:      复制

事件 ID: 2042

日期:             2014-4-2

事件:             17:22:09

用户:             NT AUTHORITY\ANONYMOUS LOGON

计算机:   MOSS

描述:

此计算机与命名的源计算机上一次复制后的时间间隔太长。 与此源的复制间隔时间已经超过 tombstone 生存时间。 与该源的复制已经停止。

不允许继续复制的原因是删除的对象在这两台计算机上的 视图可能不同。源计算机可能仍然保留了在此计算机上已经 被删除的(并垃圾收集的)对象的副本。如果允许复制,源计算机可能返回 已经删除的对象。

上一次成功复制的时间:

2000-03-06 20:08:48

源调用 ID:

071df6c8-f6b8-071d-0100-000000000000

源名称:

ca51b9ad-184c-488b-8945-3a2343197dc2._msdcs.siviton.local

Tombstone 生存时间():

180

 

复制操作已经失败。

 

用户操作:

 

确定两台计算机中哪一台已经从林断开并过期。 您有三个选择:

 

1. 降级或重新安装断开的计算机。

2. 使用 "repadmin /removelingeringobjects" 工具来删除不一致的已删除对象, 然后继续复制。

3. 继续复制。可能导致不一致的已删除对象。您可以通过使用下列注册表项来继续复制。一旦系统复制了一次,强烈建议您删除该项以重新设置保护。

 注册表项:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplication With Divergent and Corrupt Partner

 

 

有关更多信息,请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

 

事件类型:      错误

事件来源:      NTDS Replication

事件种类:      复制

事件 ID: 1864

日期:             2014-4-2

事件:             14:06:02

用户:             NT AUTHORITY\ANONYMOUS LOGON

计算机:   MOSS

描述:

这是本地域控制器上下列目录分区的复制状态。

 

目录分区:

DC=siviton,DC=local

 

本地域控制器最近没有收到来自一系列域控制器的复制信息。 显示了域控制器的数量,分成如下时间间隔。

 

超过 24 小时:

1

超过一周:

1

超过一个月:

1

超过两个月:

1

超过 tombstone 生存时间:

1

Tombstone 生存时间():

180

 没有及时复制的域控制器可能遇到错误。它可能丢失密码 更改并且无法通过身份验证。没有在 tombstone 生存时间内 复制的 DC 可能丢失一些对象的删除,因此可能在将来的复制 中自动被阻塞,直到它重新协调。

 

要用名称识别域控制器,请安装installation CD 上包含 的支持工具并运行 dcdiag.exe

您也可以用支持工具 repadmin.exe来显示林内域控制器的 复制延迟。命令是 "repadmin /showvector/latency "

 

有关更多信息,请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心

 

 

 

分析:

原因:用dcdiag命令在GC上没有问题,在DC上发现墓碑时间问题,可以确定是墓碑时间超过默认的180天造成的。

 

排查步骤:

1.       确认DC可以联系GC,使用NSlookup 解析GC SRV记录。
以下是微软官网解析方法:http://support.microsoft.com/?id=816587

Nslookup 是一个命令行工具,它显示的信息可以用来诊断域名系统 (DNS) 的基础结构。
要使用 Nslookup 来验证 SRV 记录,请按照下列步骤操作:

1.       DNS 上,单击开始,然后单击运行

2.      打开框中,键入cmd

3.      键入nslookup,然后按 Enter

4.      键入set type=all,然后按 Enter

5.      键入_ldap._tcp.dc._msdcs.Domain_Name,其中Domain_Name为域名,然后按 Enter

Nslookup 将返回显示为以下格式的一个或多个 SRV 服务位置记录,其中,Server_Name为域控制器的主机名,Domain_Name为域控制器所属的域,Server_IP_Address为域控制器的 Internet 协议 (IP) 地址

 

2.       检查DC系统版本是否一致,是否为server2003 sp1以下版本,不同版本的tombstone时间不一致。

3.       在长时间没有复制的DC上运行net time [url=file://\\PDC_IP]\\PDC_IP[/url],使DC的时间与PDC同步。 Net time \\172.16.1.7

4.      确认权威域控制器(就是正常的DC)我的是172.16.1.7   172.16.1.7上运行:
repadmin    /removelingeringobjects  moss.siviton.local   ca51b9ad-184c-488b-8945-3a2343197dc2 dc=siviton,dc=local /advisorymode
查看GC GUID的方法如下:

      repadmin /showrepl
此步骤是标记延迟复制的DC 

#####备份两台DC的注册表##########

5.      “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
\Strict Replication Consistency” 检查该项值设置为1

6.      然后在两台DC上都进行如下操作:
运行regedit,找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplication With Divergent and Corrupt Partner,将这个键值设置为1
如果没有,需要手动新建AllowReplication With Divergent and Corrupt Partner,类型为DW(双字节值)。
在做完以上操作后,重启DC,查看DC的复制情况

7.      验证:用dcdiag 验证发现已经没有提示tombstone 超时;在GC上创建用户DC上可以同步,在DC上创建用户GC上也可以同步。在文件服务器172.16.1.12上面刷新策略 gpupdate /force 后可以找到最新添加的域帐号,同时在MOSS上登录正常。

验证OK后将Allow Replication With Divergent and Corrupt Partner,这个键值重新设置为