域名為server.com, 以前沒有問題.現(xiàn)在服務(wù)器上打開"Active Directory 用戶和計(jì)算機(jī)" 時(shí)出現(xiàn)以下對(duì)話框. 怎么回事啊, 怎樣解決?是不是你的域控制器在安裝的時(shí)候出什么錯(cuò)了，或

域名為server.com, 以前沒有問題.

現(xiàn)在服務(wù)器上打開"Active Directory 用戶和計(jì)算機(jī)" 時(shí)出現(xiàn)以下對(duì)話框. 怎么回事啊, 怎樣解決?

是不是你的域控制器在安裝的時(shí)候出什么錯(cuò)了，或者是指定的不正確呢？

在微軟的網(wǎng)站上終于找到了解決方法. 就在下面其中某個(gè)地方,:),因?yàn)槲矣X得這章太好了, 所以就全copy 過(guò)來(lái)了. 呵呵!

__________________________________________________________

第11章 分支機(jī)構(gòu)環(huán)境的疑難解答指南

部署與操作指南

摘要

本章概述了診斷、了解和解決大型 Active Directory™ 目錄服務(wù)分支機(jī)構(gòu)部署中可能出現(xiàn)的問題所要執(zhí)行的步驟。

目錄

簡(jiǎn)介

TCP/IP 和 DNS 配置

active directory 復(fù)制疑難解答

“沒有入站鄰居”的疑難解答

復(fù)制錯(cuò)誤的疑難解答

后援規(guī)劃

FRS 疑難解答

非權(quán)威性 FRS 恢復(fù)

總結(jié)

簡(jiǎn)介

本章提供的信息可幫助您解決在 Active Directory™ 目錄服務(wù)環(huán)境下可能產(chǎn)生的任何問題。本章所含的信息并非特定于分支機(jī)構(gòu)環(huán)境，而是可以用來(lái)排除任何類型 Active Directory 部署中的 Active Directory 故障。

資源需求

需要下列小組中的成員來(lái)執(zhí)行本章中的疑難解答任務(wù)：

Microsoft® Windows® 2000 Active Directory 管理

基礎(chǔ)結(jié)構(gòu)管理

網(wǎng)絡(luò)管理

準(zhǔn)備事項(xiàng)

除了貴單位的規(guī)劃和最終部署的配置之外，還需要參考完整的《分支機(jī)構(gòu)部署規(guī)劃指南》以及《分支機(jī)構(gòu)部署和操作指南》的前幾章。此外，建議準(zhǔn)備一份 Microsoft Windows 2000 Resource Kit，特別是其中的“TCP/IP Core Networking Guide”。

注意事項(xiàng)

必須了解網(wǎng)絡(luò)疑難解答的基本知識(shí)，包括 ipconfig 、ping 、arp 和 nslookup 等工具以及“事件查看器”的用法。

排除任何網(wǎng)絡(luò)故障的首要任務(wù)是正確地識(shí)別問題。在 Active Directory 的大型分支機(jī)構(gòu)部署中，技術(shù)上的分布式和分層性質(zhì)可能使問題診斷更具挑戰(zhàn)性。為了有助于進(jìn)行疑難解答，必須了解各種技術(shù)存在于分層結(jié)構(gòu)中的什么地方，如下圖所示：

不穩(wěn)定或不正確的配置會(huì)給上圖所示的某些分層帶來(lái)問題。要成功排除這些故障，必須從最底層開始分析，逐層向上，直到所有問題解決為止。

TCP/IP 和 DNS 配置

Active Directory 要求傳輸控制協(xié)議/Internet 協(xié)議 (TCP/IP) 及關(guān)聯(lián)服務(wù)（如“域名系統(tǒng)”）必須正確運(yùn)行。其前提是必須正確配置 Internet 協(xié)議 (IP) 和 DNS ，讓 Active Directory 得以正確運(yùn)行，特別是必須正確配置下列參數(shù)：

IP 地址和子網(wǎng)掩碼

默認(rèn)網(wǎng)關(guān)

首選和備用 DNS 服務(wù)器的 IP 地址

DNS 轉(zhuǎn)發(fā)器

DNS 的可用性直接影響 Active Directory 的可用性。DNS 提供 Active Directory 所用的名稱空間和名稱解析機(jī)制，因此，每一臺(tái)計(jì)算機(jī)都必須有適當(dāng) DNS 服務(wù)器的正確 IP 地址。

本地 DNS 服務(wù)器也必須正確配置。它應(yīng)當(dāng)具有其客戶端所在的 DNS 名稱空間的授權(quán)，而且 DNS 服務(wù)器服務(wù)本身也應(yīng)正確配置并正常運(yùn)行。

TCP/IP 和 DNS 疑難解答所需的工具如下：

ipconfig

ping

arp

nslookup

本文假定您熟悉這些工具。有關(guān)使用這些工具的詳細(xì)信息，請(qǐng)參閱 Microsoft Windows 2000 Resource Kit 隨附的“TCP/IP Core Networking Guide”第 3 章“疑難解答”。

active directory 復(fù)制疑難解答

在 TCP/IP 和 DNS 配置成功經(jīng)過(guò)檢查之后，還要檢查 Active Directory 是否正常運(yùn)行。只有確定 Active Directory 可正常運(yùn)行后，才能開始進(jìn)行文件復(fù)制服務(wù) (FRS) 和組策略的疑難解答。檢查兩個(gè)復(fù)制伙伴之間 Active Directory 復(fù)制狀態(tài)所用的主要工具是“副本管理”工具，或叫 Repadmin 。

Repadmin 包括在 Windows 2000 隨附的“支持工具”中，它有許多開關(guān)參數(shù)，可以讓管理員檢查域控制器所用的復(fù)制伙伴，并顯示和修正復(fù)制配置。其中有很多開關(guān)參數(shù)將在復(fù)制作業(yè)的疑難解答中使用。這里我們將列出常見的復(fù)制錯(cuò)誤事件，并介紹如何使用 Repadmin 來(lái)分析和更正這些錯(cuò)誤。

檢查復(fù)制伙伴

在進(jìn)行復(fù)制錯(cuò)誤疑難解答時(shí)，最好能了解某個(gè)特定域控制器的復(fù)制伙伴是誰(shuí)以及每一個(gè)復(fù)制伙伴的復(fù)制狀態(tài)，這可以通過(guò)使用 repadmin /showreps 命令來(lái)實(shí)現(xiàn)。其輸出會(huì)顯示“入站鄰居”部分中的復(fù)制伙伴，以及三個(gè)命名上下文（域、架構(gòu)和配置）中每一個(gè)的復(fù)制狀態(tài)。

案例信息

在本文檔的示例中，分支機(jī)構(gòu)域名是 branches.corp.hay-buv.com ，根域名是 corp.hay-buv.com ，而分支機(jī)構(gòu)域控制器是 BODC1.branches.corp.hay-buv.com ，位于 BOSite1 站點(diǎn)。其復(fù)制伙伴是 BH1.branches.corp.hay-buv.com ，位于 HubSite 站點(diǎn)。 branches.corp.hay-buv.com 的PDC 模擬器是 Hubdc1.branches.corp.hay-buv.com 。

Repadmin 工具

如果復(fù)制正確運(yùn)行，可在下面的示例中看到 repadmin /showreps 命令的輸出。（請(qǐng)注意，加在右邊的注解會(huì)告訴您命令運(yùn)行到此處時(shí)所提供的信息，這些文本有時(shí)候會(huì)折到下一行首）。

repadmin /showreps

BOSite1BODC1 <-- 站點(diǎn)名稱和計(jì)算機(jī)

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2 <-- Globally unique 本地計(jì)算機(jī) NTDS 設(shè)置對(duì)象的全局唯一標(biāo)識(shí)符 (GUID)

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ====================================== DC=branches,DC=corp,DC=hay-buv,DC=com <-- 域命名上下文的復(fù)制鏈接

HubSiteBH1 via RPC <-- 與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 復(fù)制伙伴的 NTDS 設(shè)置對(duì)象的 GUID

復(fù)制伙伴的 NTDS 設(shè)置對(duì)象的 GUID

Last attempt @ 2000-10-15 20:09.57 was successful. <-- 上次復(fù)制的狀態(tài)

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 架構(gòu)命名上下文的復(fù)制鏈接

HubSiteBH1 via RPC <-- 與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 復(fù)制伙伴的 NTDS 設(shè)置對(duì)象的 GUID

與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

Last attempt @ 2000-10-15 19:54.18 was successful. <-- 上次復(fù)制的狀態(tài)

CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 配置命名上下文的復(fù)制鏈接

HubSiteBH1 via RPC <-- 與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 復(fù)制伙伴的 NTDS 設(shè)置對(duì)象的

GUID

與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

Last attempt @ 2000-10-15 19:54.10 was successful . <-- 上次復(fù)制的狀態(tài)

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============ DC=branches,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

檢查復(fù)制失敗

通過(guò)使用 Repadmin 工具，當(dāng) repadmin /showreps 顯示下面的輸出時(shí)，表示檢測(cè)到了復(fù)制失?。?/p>

No inbound neighbors（沒有入站鄰居）

Replication status error（復(fù)制狀態(tài)錯(cuò)誤）

下面我們將分別討論這兩種錯(cuò)誤及其代表意義：

沒有入站鄰居

發(fā)生此錯(cuò)誤時(shí)，Repadmin 工具會(huì)顯示下面的輸出：

BOSite1BODC1

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ======================================

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

此錯(cuò)誤表明出現(xiàn)了下列情況之一：

沒有連接對(duì)象可以指出這個(gè)域控制器應(yīng)該從哪一個(gè)域控制器復(fù)制。

雖有一個(gè)或多個(gè)連接對(duì)象，但是域控制器無(wú)法聯(lián)系源域控制器，因此也無(wú)法創(chuàng)建復(fù)制鏈接。

復(fù)制狀態(tài)錯(cuò)誤

此錯(cuò)誤消息告訴您，在所示的特定命名上下文中與復(fù)制伙伴的復(fù)制失?。豪纾?/p>

DC=branches,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

Last attempt @ 2000-10-16 14:50.05 failed, result 8442:

復(fù)制系統(tǒng)遇到一個(gè)內(nèi)部錯(cuò)誤。

Last success @ (never).

“沒有入站鄰居”的疑難解答

當(dāng)看到“沒有入站鄰居”的輸出時(shí)，首先必須啟動(dòng)“Active Directory 站點(diǎn)和服務(wù)”，看看在域控制器及其復(fù)制伙伴之間是否創(chuàng)建了連接對(duì)象。您可以用鼠標(biāo)右鍵單擊“Active Directory 站點(diǎn)和服務(wù)”，選擇“連接到域控制器”，然后選擇“站點(diǎn)”（“站點(diǎn)”是站點(diǎn)的名稱）、“服務(wù)器”（“服務(wù)器”是服務(wù)器的名稱）和“NTDS 設(shè)置”，以連接到目標(biāo)域控制器。為了有效地進(jìn)行疑難解答，請(qǐng)按下述過(guò)程操作。

如果沒有連接對(duì)象存在，則必須創(chuàng)建一個(gè)。創(chuàng)建的方式如下：

使用“Active Directory 站點(diǎn)和服務(wù)”，以手動(dòng)方式創(chuàng)建連接對(duì)象。

如果啟用了“知識(shí)一致性檢查器”(KCC) 的“站點(diǎn)間拓樸生成器”(ISTG) 功能，就會(huì)自動(dòng)創(chuàng)建連接對(duì)象。

使用 Mkdsx 腳本。這是在分支機(jī)構(gòu)環(huán)境不同站點(diǎn)的域控制器之間創(chuàng)建連接對(duì)象的最佳方法。有關(guān) Mkdsx 的詳細(xì)信息，請(qǐng)參閱《Active Directory 分支機(jī)構(gòu)規(guī)劃指南》第 3 章“規(guī)劃分支機(jī)構(gòu)環(huán)境的復(fù)制作業(yè)”、《Active Directory 分支機(jī)構(gòu)部署和操作指南》第 4 章“集線站點(diǎn)的預(yù)接移配置”以及《Active Directory 分支機(jī)構(gòu)部署和操作指南》第 7 章“分支機(jī)構(gòu)域控制器的預(yù)交付配置”。

在連接對(duì)象創(chuàng)建之后（或者如果原本就存在），請(qǐng)運(yùn)行 repadmin /kcc。然后域控制器將聯(lián)系其復(fù)制伙伴，并與它們驗(yàn)證自己的身份。這是創(chuàng)建復(fù)制鏈接的必要步驟。

復(fù)制過(guò)程執(zhí)行之后，請(qǐng)?jiān)凇笆录榭雌鳌钡哪夸浄?wù)事件日志中查找下列事件： 事件ID 1264: 已添加了來(lái)自服務(wù)器CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分區(qū) CN=NTDS Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的復(fù)制鏈接。

這個(gè)事件是 KCC 在正確創(chuàng)建復(fù)制鏈接之后記錄的。該事件記錄之后，到了下一個(gè)計(jì)劃好的時(shí)間，就會(huì)自動(dòng)進(jìn)行復(fù)制。您可以利用下列命令，對(duì)本地域控制器的每一個(gè)命名上下文，分別用手動(dòng)方式啟動(dòng)此過(guò)程： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴

GUID> repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴GUID>

如果事件標(biāo)識(shí)符 (ID) 1264 沒有記錄在“事件查看器”中，則表明復(fù)制鏈接未能建立。然后目錄服務(wù)事件日志將記錄事件 ID 1265，說(shuō)明失敗的原因。在這種情況下，請(qǐng)使用與處理運(yùn)行 repadmin /showreps 命令時(shí)產(chǎn)生的錯(cuò)誤所用的相同過(guò)程來(lái)解決。

在運(yùn)行 repadmin /showreps 時(shí)，可能會(huì)顯示多種錯(cuò)誤。這些錯(cuò)誤及其對(duì)應(yīng)的解決機(jī)制將在本章下面部分討論。

復(fù)制錯(cuò)誤的疑難解答

復(fù)制錯(cuò)誤由 repadmin /showreps 的輸出來(lái)顯示。此命令的輸出所顯示的是，各命名上下文中通過(guò)一個(gè)現(xiàn)有復(fù)制鏈接所進(jìn)行的上一個(gè)復(fù)制的狀態(tài)。這些復(fù)制失敗通常不會(huì)記錄在“目錄服務(wù)”事件日志中。

如前一節(jié)所述，復(fù)制錯(cuò)誤是在 KCC 無(wú)法建立一個(gè)與給定復(fù)制伙伴的復(fù)制鏈接時(shí)發(fā)生的。這時(shí)候，repadmin /showreps 不顯示任何信息。您必須在“事件查看器”的“目錄服務(wù)”事件日志中，查看事件 ID 1265 中對(duì)錯(cuò)誤的解釋。

下面我們將討論由事件 ID 1265 所產(chǎn)生的錯(cuò)誤列表以及對(duì)應(yīng)的解決方法列表。

禁止訪問

如果本地域控制器在創(chuàng)建復(fù)制鏈接或嘗試通過(guò)現(xiàn)有鏈接進(jìn)行復(fù)制時(shí)，無(wú)法與復(fù)制伙伴進(jìn)行身份驗(yàn)證，就會(huì)發(fā)生此錯(cuò)誤。這種情況通常是在域控制器與網(wǎng)絡(luò)其余部分?jǐn)嚅_連接較長(zhǎng)一段時(shí)間時(shí)發(fā)生。在這種情形下，計(jì)算機(jī)帳戶密碼可能與存儲(chǔ)在其復(fù)制伙伴的 Active Directory 中的對(duì)應(yīng)值不同。下面我們將討論每一種情況及其對(duì)應(yīng)的輸出。

無(wú)法建立復(fù)制鏈接

在這種情況下，repadmin /showreps 不顯示任何入站鄰居。當(dāng)然，也就不會(huì)顯示任何錯(cuò)誤。請(qǐng)查看“事件查看器”中的“目錄服務(wù)”事件日志，您會(huì)看到下面的事件： dir>事件ID 1265 嘗試建立一個(gè)用參數(shù) 分區(qū):DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN: CN=NTDS

Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configu

ration,DC=corp,DC=hay-buv,DC=com 源 DSA 地址: 62d85225-76bf-4b46-b929-

25a1bb295f51._msdcs.corp.hay-buv.com 站點(diǎn)間傳輸(如果有的話): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的復(fù)制鏈路失敗，狀態(tài)如下:: 禁止訪問。. 記錄數(shù)據(jù)為狀態(tài)編碼。將重試此操作

復(fù)制失敗并顯示錯(cuò)誤

當(dāng)兩個(gè)域控制器之間有復(fù)制鏈接存在，但復(fù)制卻無(wú)法正確執(zhí)行時(shí)，repadmin /showreps 將顯

示所列的一個(gè)或多個(gè)命名上下文的前一個(gè)復(fù)制的失敗狀態(tài)。這些信息的格式如下：“上一次嘗試 <日期 - 時(shí)間> 失敗”，后面跟著“禁止訪問”這一錯(cuò)誤消息。與建立復(fù)制鏈接失敗不同的是，建立復(fù)制鏈接失敗的原因在“事件查看器”錯(cuò)誤日志中的錯(cuò)誤消息中表明，不會(huì)在事件日志中記錄任何事件。

復(fù)制失敗的解決方法

解決的方法有許多種，具體取決于給定問題的性質(zhì)。下面我們將討論每一種方法。

第一種復(fù)制失敗解決方法

應(yīng)先嘗試下面這一組步驟。您需要停止密鑰發(fā)行中心 (KDC) 服務(wù)，刪除 Kerberos 票證，然后重設(shè)計(jì)算機(jī)密碼。接著需要同步域命名上下文，并確定復(fù)制是否正常進(jìn)行。最后，需要同步每一個(gè)命名上下文。

在本地域控制器上的命令提示符下鍵入“net stop KDC”，以停止 KDC 服務(wù)。如果 KDC 服務(wù)沒有停止，則將其啟動(dòng)狀態(tài)設(shè)置為“停用”，然后重新啟動(dòng)。

打開命令提示符，并鍵入下列命令，在域 PDC 模擬器上重設(shè)計(jì)算機(jī)帳戶的密碼： netdom resetpwd /server: /userd:<域>?ministrator /passwordd:*

這時(shí)會(huì)出現(xiàn)下列輸出： 本地計(jì)算機(jī)的帳戶密碼已成功重設(shè)。命令成功完成。

如果命令失敗，出現(xiàn)“登錄失敗，目標(biāo)帳戶名稱不正確”的錯(cuò)誤，表示該域控制器可能不在“域控制器”組織單位中。

同步和檢查復(fù)制

您可以在命令提示符下鍵入下列命令，以將復(fù)制伙伴的域命名上下文與 HUBDC1 PDC 模擬器進(jìn)行同步： repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com <集線服務(wù)器>

這將強(qiáng)制進(jìn)行計(jì)算機(jī)帳戶的復(fù)制。

通過(guò)使用下列命令，輸出中會(huì)顯示 HUBDC1 PDC 模擬器 NTDS 設(shè)置對(duì)象的 GUID （顯示為 ObjectGUID ）： repadmin /showreps < Hubdc1 PDC 模擬器的名稱>

如果本地域控制器的復(fù)制伙伴本身不是 HUBDC1 PDC 模擬器的復(fù)制伙伴，則此命令將會(huì)失敗。在這種情況下，您可以在命令提示符下使用下列命令，以在復(fù)制伙伴和 HUBDC1 PDC 模擬器之間以手動(dòng)方式創(chuàng)建一個(gè)復(fù)制鏈接。 repadmin /add <域 NC> <復(fù)制伙伴 FQDN> /u:<域>?ministrator /pw:*

此復(fù)制鏈接的創(chuàng)建將在 HUBDC1 PDC 模擬器和復(fù)制伙伴之間，自動(dòng)觸發(fā)域命名上下文的復(fù)制。上述過(guò)程執(zhí)行之后，本地域控制器的計(jì)算機(jī)帳戶就應(yīng)當(dāng)與其復(fù)制伙伴同步了?，F(xiàn)在這兩個(gè)域控制器之間的復(fù)制可以正常運(yùn)行了。

如果要檢查復(fù)制是否正常運(yùn)行，請(qǐng)?jiān)诿钐崾痉骆I入下列命令： Repadmin /showreps

如果輸出結(jié)果中出現(xiàn)復(fù)制伙伴連接，就表示一切運(yùn)行正常。如果命令輸出空白，請(qǐng)?jiān)诿钐崾痉骆I入 repadmin /kcc。域控制器將聯(lián)系其對(duì)應(yīng)的復(fù)制伙伴，驗(yàn)證自己的身份，以創(chuàng)建復(fù)制鏈接。然后在“目錄服務(wù)”事件日志中查找下列事件： 事件ID 1264 : 已添加了來(lái)自服務(wù)器 CN=Configuration,DC=corp,DC=hay-buv,DC=com的分區(qū)

Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configurati

on,DC=corp,DC=hay-buv,DC=com的復(fù)制鏈接。

這個(gè)事件是 KCC 在正確創(chuàng)建復(fù)制鏈接之后記錄的。此事件記錄之后，只要到了下一個(gè)計(jì)劃好的時(shí)間，就會(huì)自動(dòng)進(jìn)行復(fù)制。如果未記錄此事件，請(qǐng)檢查錯(cuò)誤消息，并參閱本章中相關(guān)章節(jié)。

同步每一個(gè)命名上下文

在復(fù)制鏈接成功創(chuàng)建之后，請(qǐng)使用下列相關(guān)命令來(lái)同步每一個(gè)命名上下文。

“架構(gòu)”命名上下文最小，因此最先使用。這樣才能在最快的時(shí)間內(nèi)確認(rèn)操作是否成功。請(qǐng)?jiān)诿钐崾痉骆I入下列命令，以同步本地域控制器上的架構(gòu)命名上下文： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴 GUID>

在命令提示符下鍵入下列命令，也可以觸發(fā)配置和域命名上下文的復(fù)制： repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴 GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴 GUID>

如果 repadmin /sync 命令因發(fā)生新的錯(cuò)誤而失敗，請(qǐng)參閱本章中的相關(guān)章節(jié)，以解決新識(shí)別的問題。

如果 repadmin /sync 命令成功，repadmin /showreps 應(yīng)不顯示任何錯(cuò)誤。請(qǐng)?jiān)诒镜赜蚩刂破髦匦聠?dòng) KDC 服務(wù)，方法是在命令提示符下鍵入下列命令： net start kdc

第二種復(fù)制失敗解決方法

此方法是在本地域控制器及其命名上下文的復(fù)制伙伴之間創(chuàng)建一個(gè)臨時(shí)鏈接。如果在運(yùn)行 repadmin /kcc 時(shí)出現(xiàn)新的禁止訪問情況并記錄了新的事件 ID 1265，或者如果 repadmin /sync 失敗并顯示另一個(gè)“禁止訪問”消息時(shí)，就可以采用這個(gè)方法。要?jiǎng)?chuàng)建此鏈接，請(qǐng)執(zhí)行下列步驟：

如果是配置命名上下文，請(qǐng)?jiān)诿钐崾痉骆I入下列命令： repadmin /add <配置 NC> <本地 DC FQDN> <復(fù)制伙伴 FQDN> /u:?ministrator /pw:*

如，您可以在 BODC1 上輸入： repadmin /add CN=Configuration,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches?ministrator /pw:*

如果是架構(gòu)命名上下文，請(qǐng)?jiān)诿钐崾痉骆I入下列命令： repadmin /add <架構(gòu) NC> <本地 DC FQDN> <復(fù)制伙伴 FQDN> /u:<域>?ministrator /pw:*

例如，您可以在 BODC1 上輸入： repadmin /add CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches?ministrator /pw:*

如果是域命名上下文，請(qǐng)?jiān)诿钐崾痉骆I入下列命令： repadmin /add <域 NC> <本地 DC FQDN> <復(fù)制伙伴 FQDN> /u:<域>?ministrator /pw:*

例如，您可以在 BODC1 上輸入： repadmin /add DC=branches,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches?ministrator /pw:*

如果成功，所有這些命令均應(yīng)返回下列結(jié)果： One-way replication from source:HubDC1.branches.corp.hay-buv.com to dest:BODC1.branches.corp.hay-buv.com established.

注意：如果 KCC 在進(jìn)行此過(guò)程期間啟動(dòng)，而且沒有對(duì)應(yīng)的連接對(duì)象存在，此命令將會(huì)失敗。如果發(fā)生這種情形，KCC 將刪除沒有對(duì)應(yīng)連接對(duì)象存在的任何復(fù)制鏈接。因此您應(yīng)首先確定是否有連接對(duì)象存在。

注意：這些命令因?yàn)橐|發(fā)對(duì)應(yīng)的命名上下文的復(fù)制，因此可能需要很長(zhǎng)時(shí)間來(lái)完成。所有命名上下文都必須正確復(fù)制。如果一個(gè)復(fù)制被搶先，請(qǐng)重新運(yùn)行命令，直到成功完成為止，否則可能再此出現(xiàn)“禁止訪問”的錯(cuò)誤。

驗(yàn)證是否成功

可以使用前面所用的方法，來(lái)檢查操作是否成功。請(qǐng)?jiān)诿钐崾痉逻\(yùn)行 repadmin /showreps。如果此命令的輸出沒有顯示任何對(duì)應(yīng)的復(fù)制伙伴，請(qǐng)?jiān)诿钐崾痉逻\(yùn)行 repadmin /kcc，然后在“事件查看器”的“目錄服務(wù)”事件日志中查找事件 ID 1264。

接著用 repadmin /showreps 觸發(fā)架構(gòu)命名上下文的復(fù)制。請(qǐng)?jiān)诿钐崾痉骆I入下列命令，在本地 DC 上重新啟動(dòng) KDC ： net start kdc

如果上述方法成功，到了下一個(gè)計(jì)劃好的時(shí)段，這三個(gè)命名上下文的復(fù)制就會(huì)正確進(jìn)行。在每一個(gè)命名上下文復(fù)制之后，本地域控制器上的 repadmin /showreps 將顯示一個(gè)成功狀態(tài)。

驗(yàn)證服務(wù)未知

當(dāng)兩個(gè)域控制器之間有復(fù)制鏈接存在，但復(fù)制無(wú)法正確運(yùn)行時(shí)，就會(huì)發(fā)生驗(yàn)證服務(wù)未知的錯(cuò)誤。如第一節(jié)所述，在這種情形中，雖然 repadmin /showreps 顯示了入站鄰居，但卻有一個(gè)或多個(gè)命名上下文的上一次復(fù)制狀態(tài)返回“上一次嘗試 <日期 - 時(shí)間> 失敗”及“驗(yàn)證服務(wù)未知”的錯(cuò)誤。這樣，沒有任何事件記錄在事件日志中。

此錯(cuò)誤可能會(huì)發(fā)生在下列一種情況中：

本地域控制器嘗試與其復(fù)制伙伴建立復(fù)制鏈接，但卻失敗。在此情形中，repadmin /showreps 沒有顯示任何入站鄰居，因此也無(wú)錯(cuò)誤描述。如果要查看此錯(cuò)誤，請(qǐng)查看記錄了下列事件的“目錄服務(wù)”事件日志： 事件 ID 1265