none
AD DFS Error RRS feed

  • 问题

  • 查看事件查看器发现错误,执行dcdiag /v  

      开始测试: DFSREvent

             The DFS Replication Event Log. 
             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。 
             发生了一个警告事件。EventID: 0x80001396

                生成时间: 04/21/2016   00:00:21

                事件字符串:

                由于出现错误,DFS 复制服务将停止 与复制组 Domain System Volume 的伙伴 12DDC 通讯。该服务 将定期重试该连接。 

                 

                其他信息: 

                错误: 9036 (暂停以进行备份或还原) 

                连接 ID: 38FA84D7-EB12-4FC1-8B68-AEE9AB0D58DA 

                复制组 ID: D9E3EFAA-D9F5-4192-B216-EAA03F2C58CA

             ......................... dc 已通过测试 DFSREvent

          开始测试: SysVolCheck

             * 该文件复制服务 SYSVOL 已准备好测试 
             文件复制服务的 SYSVOL 已就绪 
             ......................... dc 已通过测试 SysVolCheck

    日志名称:          DFS Replication
    来源:            DFSR
    日期:            2016/4/16 11:33:35
    事件 ID:         5014
    任务类别:          无
    级别:            警告
    关键字:           经典
    用户:            暂缺
    计算机:           dc.test.com
    描述:
    由于出现错误,DFS 复制服务将停止 与复制组 Domain System Volume 的伙伴 db 通讯。该服务 将定期重试该连接。 

    其他信息: 
    错误: 1726 (远程过程调用失败。) 
    连接 ID: 38FA84D7-EB12-4FC1-8B68-AEE9AB0D58DA 
    复制组 ID: D9E3EFAA-D9F5-4192-B216-EAA03F2C58CA

     
    2016年4月21日 9:33

答案

  • 您好!

    感谢您的回复。

    请尝试启动dfsr服务:
    net start dfsr

    并将其设置为自动启动,同时检查与该服务相关联的服务是否正常设置并启动。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月27日 8:31
    版主

全部回复

  • 您好!

    从你的报错来看是由于DFS的复制错误,造成域控制器之间的SYSVOL文件夹未能同步。请尝试以下方法:

    定位到以下注册表位置:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\MigratingSysVols

    检查并手动把域控制器们的Local State状态改为00start状态),并且重启这些域控制器。

    :请在修改注册表前进行备份。

    更多信息请参考以下文档:

    SYSVOL Migration States

    http://technet.microsoft.com/zh-cn/library/dd641052(v=ws.10).aspx  

    Verifying the State of SYSVOL Migration
    http://technet.microsoft.com/zh-cn/library/dd639789(v=ws.10).aspx

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月22日 5:51
    版主
  •  

    你好,常识你说的修改注册表后,出现下列错误。

    开始测试: KccEvent

             * The KCC Event log test
             发生了一个警告事件。EventID: 0x80000B46

                生成时间: 04/25/2016   08:55:47

                事件字符串:

                通过将目录服务器配置为拒绝不请求签名(完整性验证)的 SASL (协商式、 Kerberos、NTLM 或摘要式) LDAP 绑定和在明 文(非 SSL/TLS 加密)连接上执行的 LDAP 简单绑定,可以显著增强此服务器的安全性。即使没有任何客户端使用这 样的绑定,将该服务器配置为拒绝此类绑定也将提高此服务器的安全性。 



                某些客户端可能当前依赖于非 SSL/TLS 连接上的未签名 SASL 绑定或 LDAP 简单绑定,如果进行此配置更改,则这些客户端将停 止工作。如果发生这样的绑定,为帮助识别这些客户端,此目录服务器将每 24 小时记录一次摘要事件,显示发生此 类绑定的数量。建议将那些客户端配置为不使用此类绑定。 如果长时间未发现这样的事件,则建议将该服务 器配置为拒绝此类绑定。 



                有关如何对服务器进行此配置更改的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkID=87923。 



                你可以启用其他日志,以便在每次客户端进行这样的绑定时记录一个事件,其中包括有关进行该绑定的具体客户端的 信息。若要执行此操作,请将“LDAP 界面事件”事件日志类别 的设置提升至级别 2 或更高。

             发生了一个警告事件。EventID: 0x80000B46

                生成时间: 04/25/2016   09:03:35

                事件字符串:

                通过将目录服务器配置为拒绝不请求签名(完整性验证)的 SASL (协商式、 Kerberos、NTLM 或摘要式) LDAP 绑定和在明 文(非 SSL/TLS 加密)连接上执行的 LDAP 简单绑定,可以显著增强此服务器的安全性。即使没有任何客户端使用这 样的绑定,将该服务器配置为拒绝此类绑定也将提高此服务器的安全性。 



                某些客户端可能当前依赖于非 SSL/TLS 连接上的未签名 SASL 绑定或 LDAP 简单绑定,如果进行此配置更改,则这些客户端将停 止工作。如果发生这样的绑定,为帮助识别这些客户端,此目录服务器将每 24 小时记录一次摘要事件,显示发生此 类绑定的数量。建议将那些客户端配置为不使用此类绑定。 如果长时间未发现这样的事件,则建议将该服务 器配置为拒绝此类绑定。 



                有关如何对服务器进行此配置更改的详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkID=87923。 



                你可以启用其他日志,以便在每次客户端进行这样的绑定时记录一个事件,其中包括有关进行该绑定的具体客户端的 信息。若要执行此操作,请将“LDAP 界面事件”事件日志类别 的设置提升至级别 2 或更高。

             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... dc 已通过测试 KccEvent

    开始测试: RidManager

             * Available RID Pool for the Domain is 2602 to 1073741823
             * dc.test.com is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 1602 to 2101
             * rIDPreviousAllocationPool is 1102 to 1601
             * rIDNextRID: 1570
             * Warning :There is less than 7% available RIDs in the current pool
             ......................... DC 已通过测试 RidManager

          开始测试: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: NtFrs
                无效的服务启动类型: DC上的 NtFrs,当前值为 DISABLED,要求的值为 AUTO_START

                [DC] 上的 NtFrs 服务已停止

             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... DC 没有通过测试 Services

          开始测试: SystemLog

             * The System Event log test
             发生了一个错误事件。EventID: 0x00002720

                生成时间: 04/25/2016   08:54:08

                事件字符串:

                应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为 

                {D63B10C5-BB46-4990-A94F-E40B9D520160}

                、APPID 为 

                {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

                 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。

             发生了一个错误事件。EventID: 0x0000271A

                生成时间: 04/25/2016   08:54:09

                事件字符串:

                服务器 {9BA05972-F6A8-11CF-A442-00A0C90A8F39} 没有在要求的超时时间内向 DCOM 注册。

             发生了一个警告事件。EventID: 0x000727A5

                生成时间: 04/25/2016   08:54:17

                事件字符串:

                WinRM 服务未在侦听 WS-Management 请求。

                

                用户操作

                如果你并非有意停止该服务,请使用下列命令查看 WinRM 配置:

                

                 winrm enumerate winrm/config/listener

             发生了一个警告事件。EventID: 0x000003F6

                生成时间: 04/25/2016   08:56:02

                事件字符串:

                在没有配置的 DNS 服务器响应之后,名称 f900733c-a551-4f8f-9ee1-42d47e5fc9f8._msdcs.test.com 的名称解析超时。

             发生了一个错误事件。EventID: 0xC0FF05DC

                生成时间: 04/25/2016   08:56:14

                事件字符串:

                当访问注册表项 SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration 时,SNMP 服务遇到错误。

             发生了一个警告事件。EventID: 0x00001796

                生成时间: 04/25/2016   08:56:29

                事件字符串:

                Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证。当客户端与此服务器之间第一次使用 NTLM 时,每次启动服务器都会发生此事件。

                 

                NTLM 是一种较弱的身份验证机制。请检查:

                 

                      哪些应用程序正在使用 NTLM 身份验证?

                      是否存在阻止使用更强身份验证(如 Kerberos 身份验证)的配置问题?

                      如果必须支持 NTLM,是否已配置扩展保护?

                 

                有关如何完成这些检查的详细信息,可在 http://go.microsoft.com/fwlink/?LinkId=225699 中找到。

             发生了一个错误事件。EventID: 0x00002720

                生成时间: 04/25/2016   09:01:56

                事件字符串:

                应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为 

                {D63B10C5-BB46-4990-A94F-E40B9D520160}

                、APPID 为 

                {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

                 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。

             发生了一个警告事件。EventID: 0x000727A5

                生成时间: 04/25/2016   09:02:05

                事件字符串:

                WinRM 服务未在侦听 WS-Management 请求。

                

                用户操作

                如果你并非有意停止该服务,请使用下列命令查看 WinRM 配置:

                

                 winrm enumerate winrm/config/listener

             发生了一个警告事件。EventID: 0x000003F6

                生成时间: 04/25/2016   09:03:49

                事件字符串:

                在没有配置的 DNS 服务器响应之后,名称 f900733c-a551-4f8f-9ee1-42d47e5fc9f8._msdcs.test.com 的名称解析超时。

             发生了一个错误事件。EventID: 0xC0FF05DC

                生成时间: 04/25/2016   09:04:01

                事件字符串:

                当访问注册表项 SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration 时,SNMP 服务遇到错误。

             发生了一个警告事件。EventID: 0x00001796

                生成时间: 04/25/2016   09:04:35

                事件字符串:

                Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证。当客户端与此服务器之间第一次使用 NTLM 时,每次启动服务器都会发生此事件。

                 

                NTLM 是一种较弱的身份验证机制。请检查:

                 

                      哪些应用程序正在使用 NTLM 身份验证?

                      是否存在阻止使用更强身份验证(如 Kerberos 身份验证)的配置问题?

                      如果必须支持 NTLM,是否已配置扩展保护?

                 

                有关如何完成这些检查的详细信息,可在 http://go.microsoft.com/fwlink/?LinkId=225699 中找到。

             ......................... DC 没有通过测试 SystemLog

          用户请求忽略的测试: Topology

          用户请求忽略的测试: VerifyEnterpriseReferences

          开始测试: VerifyReferences

             系统对象参考(serverReference)

             CN=DC,OU=Domain Controllers,DC=test,DC=com 和

             CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

             上的反向链接正确。 
             系统对象参考(serverReferenceBL)

             CN=DC,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=test,DC=com
             和

             CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

             上的反向链接正确。 
             一些与 DC DC 相关的对象存在问题: 
                [1] 问题: 缺少要求的数值

                 基本对象: CN=DC,OU=Domain Controllers,DC=test,DC=com

                 基本对象描述: “DC 帐户对象”

                 值对象属性名称: frsComputerReferenceBL

                 值对象描述: “SYSVOL FRS 成员对象”

                 建议操作: 请参阅知识库文章: Q312862

                 
             ......................... DC 没有通过测试 VerifyReferences

          用户请求忽略的测试: VerifyReplicas

       
          用户请求忽略的测试: DNS

          用户请求忽略的测试: DNS

       

                                                                                  

    2016年4月25日 1:16
  • 建议看一下复制伙伴状态

    repadmin /showrepl和repadmin /replsum

    2016年4月25日 6:14

  • Repadmin: 针对所有 DC localhost 运行命令 /showrepl

    Default-First-Site-Name\dc

    DSA 选项: IS_GC 

    站点选项: (none)

    DSA 对象 GUID: 4cfc9e32-510f-45ec-90ab-5b6d0a99cbac

    DSA 调用 ID: 4cfc9e32-510f-45ec-90ab-5b6d0a99cbac



    ==== 入站邻居 ===========================================



    DC=test,DC=co

        Default-First-Site-Name\12dc 通过 RPC

            DSA 对象 GUID: f900733c-a551-4f8f-9ee1-42d47e5fc9f8

            上次在 2016-04-25 15:02:23 的尝试成功。



    CN=Configuration,DC=test,DC=co

        Default-First-Site-Name\12dc 通过 RPC

            DSA 对象 GUID: f900733c-a551-4f8f-9ee1-42d47e5fc9f8

            上次在 2016-04-25 15:00:01 的尝试成功。



    CN=Schema,CN=Configuration,DC=test,DC=co

        Default-First-Site-Name\12dc 通过 RPC

            DSA 对象 GUID: f900733c-a551-4f8f-9ee1-42d47e5fc9f8

            上次在 2016-04-25 15:00:01 的尝试成功。



    DC=DomainDnsZones,DC=test,DC=co

        Default-First-Site-Name\12dc 通过 RPC

            DSA 对象 GUID: f900733c-a551-4f8f-9ee1-42d47e5fc9f8

            上次在 2016-04-25 15:00:25 的尝试成功。



    DC=ForestDnsZones,DC=test,DC=co

        Default-First-Site-Name\12dc 通过 RPC

            DSA 对象 GUID: f900733c-a551-4f8f-9ee1-42d47e5fc9f8

            上次在 2016-04-25 15:00:28 的尝试成功。

    复制摘要开始时间: 2016-04-25 15:04:37



    正在开始用于复制摘要的数据收集,此操作可能需要一段时间:

      .....





    源 DSA              最大增量         失败/总数 %%     错误

     12Dc                    04m:36s    0 /   5    0  

     DC             06h:06m:05s    1 /   5   20  (1722) RPC 服务器不可用。





    目标 DSA            最大增量         失败/总数 %%     错误

     12Dc               06h:06m:06s    1 /   5   20  (1722) RPC 服务器不可用。

     DC               04m:36s    0 /   5    0  


    2016年4月25日 7:05
  • 为了避免DC主机坏状态同步到额外域控,我暂时关闭dc主机通信,额外域控承担服务
    2016年4月25日 7:07
  • 您好!

    请问在做了相应修改的尝试之后,有无重启问题DC?

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月26日 9:24
    版主
  • 您好,谢谢你的回复。

    这边修改后我重启了DC,这边我手动强制同步后,以上大部分报错已消失,还有以下两处报错。

      开始测试: Services

                无效的服务启动类型: dc 上的 NtFrs,当前值为 DISABLED,要求的值为 AUTO_START

                [dc] 上的 NtFrs 服务已停止

             ......................... dc 没有通过测试 Services

          开始测试: SystemLog

             ......................... dc 已通过测试 SystemLog

          开始测试: VerifyReferences

             一些与 DC dc 相关的对象存在问题: 
                [1] 问题: 缺少要求的数值

                 基本对象: CN=dc,OU=Domain Controllers,DC=test,DC=com

                 基本对象描述: “DC 帐户对象”

                 值对象属性名称: frsComputerReferenceBL

                 值对象描述: “SYSVOL FRS 成员对象”

                 建议操作: 请参阅知识库文章: Q312862

                 
             ......................... dc 没有通过测试 VerifyReferences

    2016年4月27日 1:55
  • 您好!

    感谢您的回复。

    请尝试启动dfsr服务:
    net start dfsr

    并将其设置为自动启动,同时检查与该服务相关联的服务是否正常设置并启动。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年4月27日 8:31
    版主