locked
AD 之間無法複寫 RRS feed

  • 問題

  • 我有兩台DC 可是她們之間無法複寫DNS 及 AD目錄

    在 SYSVOL 開始共用的最近 24 小時之內,發生警告或錯誤事件。 SYSVOL 複寫失敗的問題,可能導致群組原則問題。

             發生警告事件。EventID: 0x800034C4
                產生時間: 11/23/2016   11:35:49
                事件字串:
                檔案複寫服務無法使用 DNS 名稱 DCPIE.xxx.com.tw 啟動 c:\windows\sysvol\domain  從 DCPIE 到 DCPIE1 的複寫。FRS 將繼續重試。
                可能是由下列原因導致。

                [1] FRS 無法從這台電腦正確解析 DNS 名稱 DCPIE.xxx.com.tw。
                [2] DCPIE.xxx.com.tw 上並未執行 FRS。
                [3] 這個複本在 Active Directory 網域服務上的拓撲資訊尚未 複寫到所有網域控制站上。

                這個事件記錄檔訊息會在每次連線時出現一次,在問題 解決之後,您會看到其他的事件記錄檔訊息,指出連線已經 建立。

     發生警告事件。EventID: 0x80000785
                產生時間: 11/23/2016   19:54:28
                事件字串:
                嘗試為以下可寫入的目錄分割建立複寫連結時失敗。

                目錄分割:
                DC=ForestDnsZones,DC=xxx,DC=com,DC=tw
                來源目錄服務:
                CN=NTDS Settings,CN=DCPIE,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xxx,DC=com,DC=tw
                來源目錄服務位址:
                f96c0ac2-5abf-4e2a-b3ee-9d3c69ab6da0._msdcs.xxx.com.tw
                站台間傳輸 (如果有的話):


                必須先修正此問題,否則這個目錄服務將無法以來源目錄服務進行複寫。

                使用者動作
                檢查來源目錄服務是否可以存取或網路連線是否可供使用。

                其他資料
                錯誤值:
                2148074274 目標主體名稱不正確。

     * The System Event log test
             發生錯誤事件。EventID: 0x40000004
                產生時間: 11/23/2016   19:06:19
                事件字串:
                Kerberos 用戶端從伺服器 dcpie$ 收到 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱為 cifs/dcpie.xxx.com.tw
    。這表示目標伺服器無法解密用戶端所提供的票證。當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時
    ,就會發生此情形。請確定目標 SPN 已在 (且僅在) 伺服器所使用的帳戶上登錄。當目標服務為目標服務帳戶使用的密碼與 Kerberos
    金鑰發佈中心 (KDC) 所擁有之目標服務帳戶的密碼不同時,也會發生此情形。請確定伺服器上的服務與 KDC 皆已更新為使用正確的密碼
    。若伺服器名稱不是完整合格名稱,且目標網域 (xxx.COM.TW) 與用戶端網域 (xxx.COM.TW) 不同,請檢查這兩個網域中
    是否有同名的伺服器帳戶,或是使用完整合格名稱來識別該伺服器。
             發生錯誤事件。EventID: 0x40000004

    2016年11月23日 下午 01:05

解答

  • 您好,

    假設目前您的樹系及網域層級是Windows Server 2003的話,

    建議您將此兩台DC3 and DC4 dcpromo降級為網域成員伺服器.

    然後,將DC1 成為五大角色+GC and DC2 也成為GC

    最後,可將Exchange 的網域控制站指定DC1 or 使用域設的網域控制站即可.

    另外,伺服器及DHCP的DNS主要IP改為DC1 IP,次要IP改為DC2 IP.

    提供您參考,

    希望對您有所幫助

    謝謝.  

    • 已標示為解答 Jerry.Hong 2016年12月6日 上午 02:39
    2016年11月24日 上午 07:51
  • 如果有四台,會建議先用微軟 AD Replication Status 工具檢查複寫,
    找出四台中哪一台是異常的,
    再將其異常的強制移除

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 Jerry.Hong 2016年12月6日 上午 02:39
    2016年11月24日 上午 08:26
    版主

所有回覆

  • 發生或發現這個狀況前,有做過什麼事情?
    譬如 DC 是虛擬機器,然後做過快照還原?

    如果 AD 環境只有兩台 DC,假設名稱為 DC01 及 DC02,
    建議先找出五大角色是在哪一台身上,
    若查出是在 DC01 上,
    就請把「非」五大角色的那台 DC02 直接離線,
    再從具有五大角色的那台 DC01 強制把另一台 DC02 相關資訊移除,
    移除方式可以參考保哥這篇文章
    如何移除 Active Directory 中已經不存在的網域主控站資料

    另外,正確來說,AD 是指網域 (Active Directory),
    DC 才是指網域控制站 (Domain Controller)
    所以標題的 AD 間會以為是兩個網域,
    希望未來能正確使用名稱 :)


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年11月23日 下午 02:21
    版主
  • 您好,

    如果這台DC上還有其他的FSMO角色,

    參考 http://support.microsoft.com/kb/255504/zh-tw Seize 到其他的DC

    再參考 http://support.microsoft.com/kb/216498/en-us 移除有問題的DC

    再重新安裝、Promo 。

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 Eric Mok 2016年11月24日 上午 04:41
    • 已取消標示為解答 Eric Mok 2016年11月24日 上午 04:41
    2016年11月24日 上午 02:32
  • 很不好意思,我總共是4台分別為DC1(2008)、 DC2(2008) 、DC3+DHCP(SERVER2003)、DC4 exchange+DC  已經把五大角色轉移到DC1(2008)主機 以上全是虛擬機  但是其中 DC1 無法複寫到 DC3及DC4 不知道應該如何解決

    因為現在DC1無法複寫資料到 DC4 及DC3 所以信件使用者無法新增


    2016年11月24日 上午 05:20
  • 您好,

    假設目前您的樹系及網域層級是Windows Server 2003的話,

    建議您將此兩台DC3 and DC4 dcpromo降級為網域成員伺服器.

    然後,將DC1 成為五大角色+GC and DC2 也成為GC

    最後,可將Exchange 的網域控制站指定DC1 or 使用域設的網域控制站即可.

    另外,伺服器及DHCP的DNS主要IP改為DC1 IP,次要IP改為DC2 IP.

    提供您參考,

    希望對您有所幫助

    謝謝.  

    • 已標示為解答 Jerry.Hong 2016年12月6日 上午 02:39
    2016年11月24日 上午 07:51
  • 如果有四台,會建議先用微軟 AD Replication Status 工具檢查複寫,
    找出四台中哪一台是異常的,
    再將其異常的強制移除

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 Jerry.Hong 2016年12月6日 上午 02:39
    2016年11月24日 上午 08:26
    版主