none
事件 ID: 1126 Active Directory 域服务无法建立与全局编录的连接。 RRS feed

  • 问题

  • 请教一下,出现这个错误是什么情况?

    -------------------------------------------------------------------------

    日志名称:          Directory Service
    来源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            2017/8/11 9:41:08
    事件 ID:         1126
    任务类别:          全局编录
    级别:            错误
    关键字:           经典
    用户:            ANONYMOUS LOGON
    计算机:           Server-D.wellsigned.com
    描述:
    Active Directory 域服务无法建立与全局编录的连接。

    其他数据
    错误值:
    8430 目录服务遇到一个内部故障。
    内部 ID:
    3200db0

    用户操作:
    确保在林中有可用的全局编录,并且可以从此域控制器访问。 可以使用 nltest 实用工具来诊断此问题。
    事件 Xml:
    < Event xmlns="">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
        <EventID Qualifiers="49152">1126</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>18</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2017-08-11T01:41:08.711749700Z" />
        <EventRecordID>13802</EventRecordID>
        <Correlation />
        <Execution ProcessID="512" ThreadID="648" />
        <Channel>Directory Service</Channel>
        <Computer>Server-D.wellsigned.com</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>3200db0</Data>
        <Data>8430</Data>
        <Data>目录服务遇到一个内部故障。</Data>
      </EventData>
    < /Event>

    2017年8月11日 8:26

答案

  • 您好 xudavid

    >>请教一下,您提到的Clean Up Server Metadata,具体是什么操作?

    对服务器上的元数据进行清除,参考以下的链接操作:

    Clean Up Server Metadata

    https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx

    >>有2个DNS服务器在运行,一个名为SERVER-F, 另外一个名为SERVER-F.WELLSIGNED.COM。查看里面的各项内容,都是一样的。

    您指的是zone吗?通常一台DC是不会出现两台DNS的,您可以截图上传我给您确认下问题,如果是zone的话,可以把名为server-f的区域删除掉。

    如果论坛中无法上传图片的话,您可以把图片上传到onedrive中,把链接分享给我。

    https://onedrive.live.com/

    另外,如果回复对您有帮助的话,建议您把回复标记为答复,方便论坛中其他相同的用户快速找到答案。

    同时如果问题有任何进展,您可以在贴下进行更新。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2017年8月23日 8:08
  • 您好 xudavid

    从图片中看到,SERVER-F区域属于未加入到域之前安装的,可以进行删除的。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 xudavid 2017年8月25日 7:22
    2017年8月25日 7:06

全部回复

  • 您好 xudavid

    您目前是什么系统版本?在出现这个问题之前,有做过什么操作么?

    1.首先请检查出现报错的这台DC的网络连通性

    2.运行 nltest 命令测试DC和全局编录之间的连通性:

    nltest /server:serverName /dsgetdc:domainName /gc /force

    3.确保林中至少配置了一个全局编录

    4.确保NTDS的服务在全局目录上运行

    5.通过全局目录服务端口测试连通性

    详细的步骤,请按照链接中的步骤进行排查:

    Event ID 1126 — Global catalog verification

    https://technet.microsoft.com/en-us/library/cc756476%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    当选择一个域控制器来维护全局编录时,所升级的域控制器上 KCC 使用自行建立承载要求的分区的域控制器的连接对象来源。这些源域控制器可能包括现有中的全局编录的目录林或域控制器承载驻留在其目录林中每个域分区的可写副本。每个域分区的内容然后入站是由 KCC 的从源域控制器复制的。内容将被复制到新升级的全局编录通过现有的或新创建的连接链接。

    孤立的域将会阻止域控制器完成复制。域控制器不能自己公布为全局编录服务器在完成复制之前。

    详细的信息您可以参考以下的链接:

    提升为全局编录服务器的域控制器的疑难解答

    https://support.microsoft.com/zh-cn/help/910204/troubleshooting-problems-with-promoting-a-domain-controller-to-a-globa

    Best Regards,

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月14日 6:37
  • 你好 Candy,

    我的系统是

    PDC server-d  2008R2

    BDC server-f  2012R2

    出这个问题前,是因为突然发现server-d上的DNS服务不能正常解析,然后一时兴起,把server-d上的DNS角色删除了。然后就发生这个问题。

    目前,PDC和BDC是可以互相Ping通的(IP和名称都可以),在server-d上nltest看起来也是正常的,如下:

    c:\Users\administrator.WELLSIGNED>nltest /server:server-d /dsgetdc:wellsigned/gc /force
        DC:\\SERVER-D
        地址:\\192.168.0.33
        Dom Guid:b90ba3e7-d52d-444c-8046-4f61bac426ba
        Dom 名称:WELLSIGNED
        林名称:wellsigned.com
       DC 站点名称:Default-First_Site-Name
    我们的站点名称:Default-First_Site-Name
           标志:PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
    此命令成功完成

    另外,今天上午还发生server-f上的DNS服务器各种报错(事件ID4013、ID4015)。后来还发生DNS错误ID4000,DNS不能解析。然后根据知识库文章ID2751452分别在server-f和server-d上用netdom resetpwd重置了serverd上的密码,分别重启后,server-f上的DNS恢复解析。但是两台DC之间还是不能复制AD。

    最奇怪的是明明server-d上的DNS服务器角色已经删除了,但是在server-d上运行dnslint,得到如下结果:

    DNSLint Report

    System Date: Tue Aug 15 14:20:37 2017

    Command run:

    dnslint /ad 192.168.0.33 /s 192.168.0.33

    Root of Active Directory Forest:

        wellsigned.com

    Active Directory Forest Replication GUIDs Found:

    DC: SERVER-D
    GUID: f9b466b9-13e0-4bdb-875b-cf007eb4c328

    DC: SERVER-F
    GUID: a687fcb6-de20-46b1-ae04-ef524c096b29


    Total GUIDs found: 2
    The following 1 DNS servers were checked for records related to AD forest replication:

    DNS server: server-d
    IP Address: 192.168.0.33
    UDP port 53 responding to queries: YES
    TCP port 53 responding to queries: Not tested
    Answering authoritatively for domain: YES

    This DNS server may be a root server as it answered authoritatively,
    but DNS records for the specified domain did not exist on the server.

    SOA record data from server:
    Authoritative name server: Unknown
    Hostmaster: Unknown
    Zone serial number: Unknown
    Zone expires in: Unknown
    Refresh period: Unknown
    Retry delay: Unknown
    Default (minimum) TTL: Unknown

    Alias (CNAME) and glue (A) records for forest GUIDs from server:

    Total number of CNAME records found on this server: 0

    Total number of CNAME records missing on this server: 2

    Total number of glue (A) records this server could not find: 0

    CNAME records for forest GUIDs missing on server:
    GUID: f9b466b9-13e0-4bdb-875b-cf007eb4c328._msdcs.wellsigned.com
    DC: SERVER-D

    GUID: a687fcb6-de20-46b1-ae04-ef524c096b29._msdcs.wellsigned.com
    DC: SERVER-F


    Notes:
    One or more zone files may have expired
    SOA record data was unavailable and/or missing on one or more DNS servers

    At least one CNAME record for an AD forest GUID was missing from a DNS server

    Legend: warning, error

    DNSLint developed by Tim Rains

    请问下一步应该怎么排查问题?

    Thanks & best regards,

    xudavid

    xudavid







    2017年8月15日 6:45
  • 您好 xudavid

    请运行DCDIAG的命令查看是否还有另外的报错。若有的话,请把报错PO上来供排错分析。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月16日 9:24
  • 你好Candy,

    今天发现Server-d上不再显示ID:1126 “Active Directory 域服务无法建立与全局编录的连接”这个错误了。于是在Server-d上重新添加了DNS角色,DNS服务未报错,可以正常运行了。

    但是两台服务器之间还是无法进行AD复制,无论在server-d或者server-f上的站点和服务中,手动执行复制,都会返回错误信息:“在尝试同步从域控制器SERVER-D到域控制器SERVER-F的命名上下文wellsigned.com时出现如下错误:目标主要名称不正确”。此操作不能继续。

    在Server-d上以管理员身份执行Dcdiag.exe,返回结果如下:


    目录服务器诊断

    正在执行初始化设置:

       正在尝试查找主服务器...

       * 正在验证本地计算机 Server-D 是否为目录服务器。
       主服务器 = Server-D

       * 正在连接到服务器 Server-D 上的目录服务。

       * 已识别的 AD 林。
       Collecting AD specific global data
       * 正在收集站点信息。

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=wellsigned,DC=com,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded
       Iterating through the sites
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
       Getting ISTG and options for the site
       * 正在标识所有服务器。

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=wellsigned,DC=com,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers
       Getting information for the server CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=SERVER-F,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * 标识所有 NC 交叉引用。

       * 找到 2 DC。正在测试其中的 1。

       已完成收集初始化信息。


    正在进行所需的初始化测试

      
       正在测试服务器: Default-First-Site-Name\SERVER-D

          开始测试: Connectivity

             * Active Directory LDAP Services Check
             Determining IP4 connectivity
             * Active Directory RPC Services Check
             ......................... SERVER-D 已通过测试 Connectivity

    正在执行主要测试

      
       正在测试服务器: Default-First-Site-Name\SERVER-D

          开始测试: Advertising

             The DC SERVER-D is advertising itself as a DC and having a DS.
             The DC SERVER-D is advertising as an LDAP server
             The DC SERVER-D is advertising as having a writeable directory
             The DC SERVER-D is advertising as a Key Distribution Center
             The DC SERVER-D is advertising as a time server
             The DS SERVER-D is advertising as a GC.
             ......................... SERVER-D 已通过测试 Advertising

          用户请求忽略的测试: CheckSecurityError

          用户请求忽略的测试: CutoffServers

          开始测试: FrsEvent

             * 文件复制服务事件日志测试
             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
             发生了一个警告事件。EventID: 0x800034C4

                生成时间: 08/21/2017   06:57:37

                事件字符串:

                文件复制服务有困难启用复制: 从 SERVER-F 到 SERVER-D 为 c:\windows\sysvol\domain 用 DNS 名称 server-f.wellsigned.com。FRS 将继续重试。

                 以下是您看到此警告的一些原因。

                

                 [1] FRS 不能从此计算机正确解析此 DNS 名称 server-f.wellsigned.com。

                 [2] FRS 不在 server-f.wellsigned.com 上运行。

                 [3] Active Directory 域服务里此副件的拓扑信息还没有复制到所有域控制器。

                

                 这个事件纪录消息将每个连接出现一次。问题解决后,您将看到另一个事件日志消息, 它表明连接被建立。

             ......................... SERVER-D 已通过测试 FrsEvent

          开始测试: DFSREvent

             The DFS Replication Event Log.
             跳过该测试,因为服务器正在运行 FRS。

             ......................... SERVER-D 已通过测试 DFSREvent

          开始测试: SysVolCheck

             * 该文件复制服务 SYSVOL 已准备好测试
             文件复制服务的 SYSVOL 已就绪
             ......................... SERVER-D 已通过测试 SysVolCheck

          开始测试: KccEvent

             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... SERVER-D 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             Role Schema Owner = CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
             Role Domain Owner = CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
             Role PDC Owner = CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
             Role Rid Owner = CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com
             ......................... SERVER-D 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             Checking machine account for DC SERVER-D on DC SERVER-D.
             * SPN found :LDAP/Server-D.wellsigned.com/wellsigned.com
             * SPN found :LDAP/Server-D.wellsigned.com
             * SPN found :LDAP/SERVER-D
             * SPN found :LDAP/Server-D.wellsigned.com/WELLSIGNED
             * SPN found :LDAP/f9b466b9-13e0-4bdb-875b-cf007eb4c328._msdcs.wellsigned.com
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/f9b466b9-13e0-4bdb-875b-cf007eb4c328/wellsigned.com
             * SPN found :HOST/Server-D.wellsigned.com/wellsigned.com
             * SPN found :HOST/Server-D.wellsigned.com
             * SPN found :HOST/SERVER-D
             * SPN found :HOST/Server-D.wellsigned.com/WELLSIGNED
             * SPN found :GC/Server-D.wellsigned.com/wellsigned.com
             ......................... SERVER-D 已通过测试 MachineAccount

          开始测试: NCSecDesc

             * Security Permissions check for all NC's on DC SERVER-D.
             The forest is not ready for RODC. Will skip checking ERODC ACEs.
             * 安全权限检查

               CN=Schema,CN=Configuration,DC=wellsigned,DC=com
                (Schema,Version 3)
             * 安全权限检查

               CN=Configuration,DC=wellsigned,DC=com
                (Configuration,Version 3)
             * 安全权限检查

               DC=wellsigned,DC=com
                (Domain,Version 3)
             ......................... SERVER-D 已通过测试 NCSecDesc

          开始测试: NetLogons

             * Network Logons Privileges Check
             Verified share \\SERVER-D\netlogon
             Verified share \\SERVER-D\sysvol
             ......................... SERVER-D 已通过测试 NetLogons

          开始测试: ObjectsReplicated

             SERVER-D is in domain DC=wellsigned,DC=com
             Checking for CN=SERVER-D,OU=Domain Controllers,DC=wellsigned,DC=com in domain DC=wellsigned,DC=com on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com in domain CN=Configuration,DC=wellsigned,DC=com on 1 servers
                Object is up-to-date on all servers.
             ......................... SERVER-D 已通过测试 ObjectsReplicated

          用户请求忽略的测试: OutboundSecureChannels

          开始测试: Replications

             * Replications Check
             * Replication Latency Check
                CN=Schema,CN=Configuration,DC=wellsigned,DC=com
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC). 
                CN=Configuration,DC=wellsigned,DC=com
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC). 
                DC=wellsigned,DC=com
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC). 
             ......................... SERVER-D 已通过测试 Replications

          开始测试: RidManager

             * Available RID Pool for the Domain is 4603 to 1073741823
             * Server-D.wellsigned.com is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 3103 to 3602
             * rIDPreviousAllocationPool is 3103 to 3602
             * rIDNextRID: 3114
             ......................... SERVER-D 已通过测试 RidManager

          开始测试: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: NtFrs
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... SERVER-D 已通过测试 Services

          开始测试: SystemLog

             * The System Event log test
             Found no errors in "System" Event log in the last 60 minutes.
             ......................... SERVER-D 已通过测试 SystemLog

          用户请求忽略的测试: Topology

          用户请求忽略的测试: VerifyEnterpriseReferences

          开始测试: VerifyReferences

             系统对象参考(serverReference)

             CN=SERVER-D,OU=Domain Controllers,DC=wellsigned,DC=com 和

             CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com

             上的反向链接正确。
             系统对象参考(serverReferenceBL)

             CN=SERVER-D,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=wellsigned,DC=com

             和

             CN=NTDS Settings,CN=SERVER-D,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=wellsigned,DC=com

             上的反向链接正确。
             系统对象参考(frsComputerReferenceBL)

             CN=SERVER-D,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=wellsigned,DC=com

             和 CN=SERVER-D,OU=Domain Controllers,DC=wellsigned,DC=com 上的反向链接正确。
             ......................... SERVER-D 已通过测试 VerifyReferences

          用户请求忽略的测试: VerifyReplicas

      
          用户请求忽略的测试: DNS

          用户请求忽略的测试: DNS

      
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

      
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

      
       正在 wellsigned

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... wellsigned 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... wellsigned 已通过测试 CrossRefValidation

      
       正在 wellsigned.com

        上运行企业测试
          用户请求忽略的测试: DNS

          用户请求忽略的测试: DNS

          开始测试: LocatorCheck

             GC 名称: \\Server-D.wellsigned.com

             Locator Flags: 0xe00033fd
             PDC Name: \\Server-D.wellsigned.com
             Locator Flags: 0xe00033fd
             Time Server Name: \\Server-D.wellsigned.com
             Locator Flags: 0xe00033fd
             Preferred Time Server Name: \\Server-D.wellsigned.com
             Locator Flags: 0xe00033fd
             KDC Name: \\Server-D.wellsigned.com
             Locator Flags: 0xe00033fd
             ......................... wellsigned.com 已通过测试 LocatorCheck

          开始测试: Intersite

             正在跳过站点 Default-First-Site-Name,该站点位于给定命令 行参数提供的范围之外。
             ......................... wellsigned.com 已通过测试 Intersite

    同时,发现在Server-f的事件记录中,持续出现Kerberos错误ID4:如下

    Kerberos 客户端收到了来自服务器 server-d$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 RPCSS/SERVER-D.wellsigned.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(WELLSIGNED.COM)与客户端域(WELLSIGNED.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。

    还发现在Server-f的事件记录中,持续出现DCOM错误ID10028:

    DCOM无法使用任何配置的协议与计算机SERVER-D.wellsigned.com进行通讯;请求人PID 8ac(c:\windows\system32\ServerManager.exe)。

    请问下一步如何排查?

    Thanks & best regards,

    XuDavid

    2017年8月21日 7:36
  • 您好 XuDavid,

    根据我的研究,您目前出现的AD复制问题是由于PDC上AD集成的DNS被删除了,理论上重新在PDC上安装AD集成的DNS,通常可以解决,但是由于环境等因素的原因,实际上并不一定可以成功。

    您可以通过以下链接中的步骤进行一个AD复制的troubleshooting:

    Identifying and Solving Active Directory Replication Problems


    http://windowsitpro.com/active-directory/identifying-and-solving-active-directory-replication-problems

    请注意:此网站非微软托管,不保证信息的准确性。

    个人经验建议比较简单的方法是:将PDC上的FSMO转移到BDC上,然后server-d重新demote并且promote为DC。这样在您提升的过程中,就会重新进行一步步的勾选安装AD集成的DNS(是否选择安装DNS取决于您的需求)。如果server-d要重新转换为PDC的话,重新转移FSMO即可。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月21日 10:04
  • 您好 Candy,

    刚才尝试从server-d的cmd运行repadmin进行强制同步,居然成功了:

    Repadmin/KCC
    Repadmin: 针对所有 DC localhost 运行命令 /kccDefault-First-Site-Name当前 站点选项: (none)成功完成对 localhost 的一致性检查。

    repadmin/syncall /force
    回拨消息: 正在进行以下复制:    从: a687fcb6-de20-46b1-ae04-ef524c096b29._msdcs.wellsigned.com    到: f9b466b9-13e0-4bdb-875b-cf007eb4c328._msdcs.wellsigned.com回拨消息: 已成功完成以下复制:    从: a687fcb6-de20-46b1-ae04-ef524c096b29._msdcs.wellsigned.com    到: f9b466b9-13e0-4bdb-875b-cf007eb4c328._msdcs.wellsigned.com回拨消息: SyncAll 已完成。SyncAll 已终止,未出现错误。

    但是图形界面从站点和服务里手工“立即复制”,还是显示“目标主要名称不正确”。

    在server-d上运行Dcdiag:

    目录服务器诊断

    正在执行初始化设置:

       正在尝试查找主服务器...

       主服务器 = Server-D

       * 已识别的 AD 林。
       已完成收集初始化信息。


    正在进行所需的初始化测试

      
       正在测试服务器: Default-First-Site-Name\SERVER-D

          开始测试: Connectivity

             ......................... SERVER-D 已通过测试 Connectivity

    正在执行主要测试

      
       正在测试服务器: Default-First-Site-Name\SERVER-D

          开始测试: Advertising

             ......................... SERVER-D 已通过测试 Advertising

          开始测试: FrsEvent

             SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
             ......................... SERVER-D 已通过测试 FrsEvent

          开始测试: DFSREvent

             ......................... SERVER-D 已通过测试 DFSREvent

          开始测试: SysVolCheck

             ......................... SERVER-D 已通过测试 SysVolCheck

          开始测试: KccEvent

             ......................... SERVER-D 已通过测试 KccEvent

          开始测试: KnowsOfRoleHolders

             ......................... SERVER-D 已通过测试 KnowsOfRoleHolders

          开始测试: MachineAccount

             ......................... SERVER-D 已通过测试 MachineAccount

          开始测试: NCSecDesc

             ......................... SERVER-D 已通过测试 NCSecDesc

          开始测试: NetLogons

             ......................... SERVER-D 已通过测试 NetLogons

          开始测试: ObjectsReplicated

             ......................... SERVER-D 已通过测试 ObjectsReplicated

          开始测试: Replications

             ......................... SERVER-D 已通过测试 Replications

          开始测试: RidManager

             ......................... SERVER-D 已通过测试 RidManager

          开始测试: Services

             ......................... SERVER-D 已通过测试 Services

          开始测试: SystemLog

             ......................... SERVER-D 已通过测试 SystemLog

          开始测试: VerifyReferences

             ......................... SERVER-D 已通过测试 VerifyReferences

      
      
       正在 Schema

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Schema 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Schema 已通过测试 CrossRefValidation

      
       正在 Configuration

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... Configuration 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... Configuration 已通过测试 CrossRefValidation

      
       正在 wellsigned

        上运行分区测试
          开始测试: CheckSDRefDom

             ......................... wellsigned 已通过测试 CheckSDRefDom

          开始测试: CrossRefValidation

             ......................... wellsigned 已通过测试 CrossRefValidation

      
       正在 wellsigned.com

        上运行企业测试
          开始测试: LocatorCheck

             ......................... wellsigned.com 已通过测试 LocatorCheck

          开始测试: Intersite

             ......................... wellsigned.com 已通过测试 Intersite

    我还发现一个奇怪的问题,在server-d上运行nltest,

    nltest/dclist
    获得域“wellsigned”中 DC 的列表(从“\\SERVER-D”中)。
        SERVER-D.wellsigned.com [PDC]  [DS] 站点: Default-First-Site-Name
        server-f.wellsigned.com        [DS] 站点: Default-First-Site-Name
    此命令成功完成

    但是运行无论是运行

    nltest/SC_QUERY:wellsigned

    或者
    nltest/SC_VERIFY:wellsigned

    都会出错:

    I_NetLogonControl 失败: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    看起来一定是DNS服务哪里有问题,你有什么建议吗? (我在server-d上有很多共享文件夹,权限设置比较繁杂,所以暂时不能把server-d降级。同时,因为现在存在的DNS问题,FSMO没法正常传送到server-f上,要做的话只能强制夺取)。

    2017年8月22日 6:19
  • 您好 xudavid

    从您目前出现的报错来看,PDC上DNS的删除已经很可能影响到PDC的performance。常规的排错也不一定能够解决这个情况。

    个人还是建议以下的方案: 用seize 来进行强制夺取,将server-d上的FSMO强制夺取到server-f上>server-d重新demote>做一个Clean Up Server Metadata(保证环境中没有PDC的存在)>将server-d重新promote为DC,从server-d的cmd运行repadmin进行强制同步,检查server-d和server-f之间的复制

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月22日 6:49
  • 您好 Candy,

    感谢回复。等我把共享文件都复制到Server-f后,按照您的建议尝试一下。请教一下,您提到的Clean Up Server Metadata,具体是什么操作?

    Thanks & best regards,

    Xu David 

    PS. 顺便请教另外一个问题:我发现在Server-f的DNS管理器里,有2个DNS服务器在运行,一个名为SERVER-F, 另外一个名为SERVER-F.WELLSIGNED.COM。查看里面的各项内容,都是一样的。是不是因为SERVER-F是在我把它加入到域(或者提升到BDC)之前安装的,而SERVER-F.WELLSIGNED.COM是提升为BDC后的?

    我是不是可以把名为SERVER-F的这个删除掉?(现在不敢轻易下手了,生怕又搞出什么毛病来,呵呵)

    2017年8月23日 2:35
  • 您好 xudavid

    >>请教一下,您提到的Clean Up Server Metadata,具体是什么操作?

    对服务器上的元数据进行清除,参考以下的链接操作:

    Clean Up Server Metadata

    https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx

    >>有2个DNS服务器在运行,一个名为SERVER-F, 另外一个名为SERVER-F.WELLSIGNED.COM。查看里面的各项内容,都是一样的。

    您指的是zone吗?通常一台DC是不会出现两台DNS的,您可以截图上传我给您确认下问题,如果是zone的话,可以把名为server-f的区域删除掉。

    如果论坛中无法上传图片的话,您可以把图片上传到onedrive中,把链接分享给我。

    https://onedrive.live.com/

    另外,如果回复对您有帮助的话,建议您把回复标记为答复,方便论坛中其他相同的用户快速找到答案。

    同时如果问题有任何进展,您可以在贴下进行更新。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2017年8月23日 8:08
  • 您好 Candy,

    感谢答复。

    >>有2个DNS服务器在运行,一个名为SERVER-F, 另外一个名为SERVER-F.WELLSIGNED.COM。查看里面的各项内容,都是一样的。

    请看截图:

    https://1drv.ms/f/s!Ahl8L49g1dL_cTI1S13TlccS5Fk是不是可以把SERVER-F的区域删除掉?

    Best regards,

    Xudavid

    2017年8月24日 8:22
  • 您好 xudavid

    从图片中看到,SERVER-F区域属于未加入到域之前安装的,可以进行删除的。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 xudavid 2017年8月25日 7:22
    2017年8月25日 7:06