域控制器的问题,大家看看......

域名为server.com, 以前没有问题.现在服务器上打开"Active Directory 用户和计算机" 时出现以下对话框. 怎么回事啊, 怎样解决?是不是你的域控制器在安装的时候出什么错了，或

域名为server.com, 以前没有问题.

现在服务器上打开"Active Directory 用户和计算机" 时出现以下对话框. 怎么回事啊, 怎样解决?

是不是你的域控制器在安装的时候出什么错了，或者是指定的不正确呢？

在微软的网站上终于找到了解决方法. 就在下面其中某个地方,:),因为我觉得这章太好了, 所以就全copy 过来了. 呵呵!

__________________________________________________________

第11章 分支机构环境的疑难解答指南

部署与操作指南

摘要

本章概述了诊断、了解和解决大型 Active Directory™ 目录服务分支机构部署中可能出现的问题所要执行的步骤。

目录

简介

TCP/IP 和 DNS 配置

active directory 复制疑难解答

“没有入站邻居”的疑难解答

复制错误的疑难解答

后援规划

FRS 疑难解答

非权威性 FRS 恢复

总结

简介

本章提供的信息可帮助您解决在 Active Directory™ 目录服务环境下可能产生的任何问题。本章所含的信息并非特定于分支机构环境，而是可以用来排除任何类型 Active Directory 部署中的 Active Directory 故障。

资源需求

需要下列小组中的成员来执行本章中的疑难解答任务：

Microsoft® Windows® 2000 Active Directory 管理

基础结构管理

网络管理

准备事项

除了贵单位的规划和最终部署的配置之外，还需要参考完整的《分支机构部署规划指南》以及《分支机构部署和操作指南》的前几章。此外，建议准备一份 Microsoft Windows 2000 Resource Kit，特别是其中的“TCP/IP Core Networking Guide”。

注意事项

必须了解网络疑难解答的基本知识，包括 ipconfig 、ping 、arp 和 nslookup 等工具以及“事件查看器”的用法。

排除任何网络故障的首要任务是正确地识别问题。在 Active Directory 的大型分支机构部署中，技术上的分布式和分层性质可能使问题诊断更具挑战性。为了有助于进行疑难解答，必须了解各种技术存在于分层结构中的什么地方，如下图所示：

不稳定或不正确的配置会给上图所示的某些分层带来问题。要成功排除这些故障，必须从最底层开始分析，逐层向上，直到所有问题解决为止。

TCP/IP 和 DNS 配置

Active Directory 要求传输控制协议/Internet 协议 (TCP/IP) 及关联服务（如“域名系统”）必须正确运行。其前提是必须正确配置 Internet 协议 (IP) 和 DNS ，让 Active Directory 得以正确运行，特别是必须正确配置下列参数：

IP 地址和子网掩码

默认网关

首选和备用 DNS 服务器的 IP 地址

DNS 转发器

DNS 的可用性直接影响 Active Directory 的可用性。DNS 提供 Active Directory 所用的名称空间和名称解析机制，因此，每一台计算机都必须有适当 DNS 服务器的正确 IP 地址。

本地 DNS 服务器也必须正确配置。它应当具有其客户端所在的 DNS 名称空间的授权，而且 DNS 服务器服务本身也应正确配置并正常运行。

TCP/IP 和 DNS 疑难解答所需的工具如下：

ipconfig

ping

arp

nslookup

本文假定您熟悉这些工具。有关使用这些工具的详细信息，请参阅 Microsoft Windows 2000 Resource Kit 随附的“TCP/IP Core Networking Guide”第 3 章“疑难解答”。

active directory 复制疑难解答

在 TCP/IP 和 DNS 配置成功经过检查之后，还要检查 Active Directory 是否正常运行。只有确定 Active Directory 可正常运行后，才能开始进行文件复制服务 (FRS) 和组策略的疑难解答。检查两个复制伙伴之间 Active Directory 复制状态所用的主要工具是“副本管理”工具，或叫 Repadmin 。

Repadmin 包括在 Windows 2000 随附的“支持工具”中，它有许多开关参数，可以让管理员检查域控制器所用的复制伙伴，并显示和修正复制配置。其中有很多开关参数将在复制作业的疑难解答中使用。这里我们将列出常见的复制错误事件，并介绍如何使用 Repadmin 来分析和更正这些错误。

检查复制伙伴

在进行复制错误疑难解答时，最好能了解某个特定域控制器的复制伙伴是谁以及每一个复制伙伴的复制状态，这可以通过使用 repadmin /showreps 命令来实现。其输出会显示“入站邻居”部分中的复制伙伴，以及三个命名上下文（域、架构和配置）中每一个的复制状态。

案例信息

在本文档的示例中，分支机构域名是 branches.corp.hay-buv.com ，根域名是 corp.hay-buv.com ，而分支机构域控制器是 BODC1.branches.corp.hay-buv.com ，位于 BOSite1 站点。其复制伙伴是 BH1.branches.corp.hay-buv.com ，位于 HubSite 站点。 branches.corp.hay-buv.com 的PDC 模拟器是 Hubdc1.branches.corp.hay-buv.com 。

Repadmin 工具

如果复制正确运行，可在下面的示例中看到 repadmin /showreps 命令的输出。（请注意，加在右边的注解会告诉您命令运行到此处时所提供的信息，这些文本有时候会折到下一行首）。

repadmin /showreps

BOSite1BODC1 <-- 站点名称和计算机

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2 <-- Globally unique 本地计算机 NTDS 设置对象的全局唯一标识符 (GUID)

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ====================================== DC=branches,DC=corp,DC=hay-buv,DC=com <-- 域命名上下文的复制链接

HubSiteBH1 via RPC <-- 与复制伙伴进行复制的复制状态

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 复制伙伴的 NTDS 设置对象的 GUID

复制伙伴的 NTDS 设置对象的 GUID

Last attempt @ 2000-10-15 20:09.57 was successful. <-- 上次复制的状态

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 架构命名上下文的复制链接

HubSiteBH1 via RPC <-- 与复制伙伴进行复制的复制状态

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 复制伙伴的 NTDS 设置对象的 GUID

与复制伙伴进行复制的复制状态

Last attempt @ 2000-10-15 19:54.18 was successful. <-- 上次复制的状态

CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 配置命名上下文的复制链接

HubSiteBH1 via RPC <-- 与复制伙伴进行复制的复制状态

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 复制伙伴的 NTDS 设置对象的

GUID

与复制伙伴进行复制的复制状态

Last attempt @ 2000-10-15 19:54.10 was successful . <-- 上次复制的状态

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============ DC=branches,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

检查复制失败

通过使用 Repadmin 工具，当 repadmin /showreps 显示下面的输出时，表示检测到了复制失败：

No inbound neighbors（没有入站邻居）

Replication status error（复制状态错误）

下面我们将分别讨论这两种错误及其代表意义：

没有入站邻居

发生此错误时，Repadmin 工具会显示下面的输出：

BOSite1BODC1

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ======================================

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

此错误表明出现了下列情况之一：

没有连接对象可以指出这个域控制器应该从哪一个域控制器复制。

虽有一个或多个连接对象，但是域控制器无法联系源域控制器，因此也无法创建复制链接。

复制状态错误

此错误消息告诉您，在所示的特定命名上下文中与复制伙伴的复制失败：例如：

DC=branches,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

Last attempt @ 2000-10-16 14:50.05 failed, result 8442:

复制系统遇到一个内部错误。

Last success @ (never).

“没有入站邻居”的疑难解答

当看到“没有入站邻居”的输出时，首先必须启动“Active Directory 站点和服务”，看看在域控制器及其复制伙伴之间是否创建了连接对象。您可以用鼠标右键单击“Active Directory 站点和服务”，选择“连接到域控制器”，然后选择“站点”（“站点”是站点的名称）、“服务器”（“服务器”是服务器的名称）和“NTDS 设置”，以连接到目标域控制器。为了有效地进行疑难解答，请按下述过程操作。

如果没有连接对象存在，则必须创建一个。创建的方式如下：

使用“Active Directory 站点和服务”，以手动方式创建连接对象。

如果启用了“知识一致性检查器”(KCC) 的“站点间拓朴生成器”(ISTG) 功能，就会自动创建连接对象。

使用 Mkdsx 脚本。这是在分支机构环境不同站点的域控制器之间创建连接对象的最佳方法。有关 Mkdsx 的详细信息，请参阅《Active Directory 分支机构规划指南》第 3 章“规划分支机构环境的复制作业”、《Active Directory 分支机构部署和操作指南》第 4 章“集线站点的预接移配置”以及《Active Directory 分支机构部署和操作指南》第 7 章“分支机构域控制器的预交付配置”。

在连接对象创建之后（或者如果原本就存在），请运行 repadmin /kcc。然后域控制器将联系其复制伙伴，并与它们验证自己的身份。这是创建复制链接的必要步骤。

复制过程执行之后，请在“事件查看器”的目录服务事件日志中查找下列事件： 事件ID 1264: 已添加了来自服务器CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分区 CN=NTDS Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链接。

这个事件是 KCC 在正确创建复制链接之后记录的。该事件记录之后，到了下一个计划好的时间，就会自动进行复制。您可以利用下列命令，对本地域控制器的每一个命名上下文，分别用手动方式启动此过程： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <复制伙伴

GUID> repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <复制伙伴GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com computername <复制伙伴GUID>

如果事件标识符 (ID) 1264 没有记录在“事件查看器”中，则表明复制链接未能建立。然后目录服务事件日志将记录事件 ID 1265，说明失败的原因。在这种情况下，请使用与处理运行 repadmin /showreps 命令时产生的错误所用的相同过程来解决。

在运行 repadmin /showreps 时，可能会显示多种错误。这些错误及其对应的解决机制将在本章下面部分讨论。

复制错误的疑难解答

复制错误由 repadmin /showreps 的输出来显示。此命令的输出所显示的是，各命名上下文中通过一个现有复制链接所进行的上一个复制的状态。这些复制失败通常不会记录在“目录服务”事件日志中。

如前一节所述，复制错误是在 KCC 无法建立一个与给定复制伙伴的复制链接时发生的。这时候，repadmin /showreps 不显示任何信息。您必须在“事件查看器”的“目录服务”事件日志中，查看事件 ID 1265 中对错误的解释。

下面我们将讨论由事件 ID 1265 所产生的错误列表以及对应的解决方法列表。

禁止访问

如果本地域控制器在创建复制链接或尝试通过现有链接进行复制时，无法与复制伙伴进行身份验证，就会发生此错误。这种情况通常是在域控制器与网络其余部分断开连接较长一段时间时发生。在这种情形下，计算机帐户密码可能与存储在其复制伙伴的 Active Directory 中的对应值不同。下面我们将讨论每一种情况及其对应的输出。

无法建立复制链接

在这种情况下，repadmin /showreps 不显示任何入站邻居。当然，也就不会显示任何错误。请查看“事件查看器”中的“目录服务”事件日志，您会看到下面的事件： dir>事件ID 1265 尝试建立一个用参数 分区:DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN: CN=NTDS

Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configu

ration,DC=corp,DC=hay-buv,DC=com 源 DSA 地址: 62d85225-76bf-4b46-b929-

25a1bb295f51._msdcs.corp.hay-buv.com 站点间传输(如果有的话): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链路失败，状态如下:: 禁止访问。. 记录数据为状态编码。将重试此操作

复制失败并显示错误

当两个域控制器之间有复制链接存在，但复制却无法正确执行时，repadmin /showreps 将显

示所列的一个或多个命名上下文的前一个复制的失败状态。这些信息的格式如下：“上一次尝试 <日期 - 时间> 失败”，后面跟着“禁止访问”这一错误消息。与建立复制链接失败不同的是，建立复制链接失败的原因在“事件查看器”错误日志中的错误消息中表明，不会在事件日志中记录任何事件。

复制失败的解决方法

解决的方法有许多种，具体取决于给定问题的性质。下面我们将讨论每一种方法。

第一种复制失败解决方法

应先尝试下面这一组步骤。您需要停止密钥发行中心 (KDC) 服务，删除 Kerberos 票证，然后重设计算机密码。接着需要同步域命名上下文，并确定复制是否正常进行。最后，需要同步每一个命名上下文。

在本地域控制器上的命令提示符下键入“net stop KDC”，以停止 KDC 服务。如果 KDC 服务没有停止，则将其启动状态设置为“停用”，然后重新启动。

打开命令提示符，并键入下列命令，在域 PDC 模拟器上重设计算机帐户的密码： netdom resetpwd /server: /userd:<域>�ministrator /passwordd:*

这时会出现下列输出： 本地计算机的帐户密码已成功重设。命令成功完成。

如果命令失败，出现“登录失败，目标帐户名称不正确”的错误，表示该域控制器可能不在“域控制器”组织单位中。

同步和检查复制

您可以在命令提示符下键入下列命令，以将复制伙伴的域命名上下文与 HUBDC1 PDC 模拟器进行同步： repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com <集线服务器>

这将强制进行计算机帐户的复制。

通过使用下列命令，输出中会显示 HUBDC1 PDC 模拟器 NTDS 设置对象的 GUID （显示为 ObjectGUID ）： repadmin /showreps < Hubdc1 PDC 模拟器的名称>

如果本地域控制器的复制伙伴本身不是 HUBDC1 PDC 模拟器的复制伙伴，则此命令将会失败。在这种情况下，您可以在命令提示符下使用下列命令，以在复制伙伴和 HUBDC1 PDC 模拟器之间以手动方式创建一个复制链接。 repadmin /add <域 NC> <复制伙伴 FQDN> /u:<域>�ministrator /pw:*

此复制链接的创建将在 HUBDC1 PDC 模拟器和复制伙伴之间，自动触发域命名上下文的复制。上述过程执行之后，本地域控制器的计算机帐户就应当与其复制伙伴同步了。现在这两个域控制器之间的复制可以正常运行了。

如果要检查复制是否正常运行，请在命令提示符下键入下列命令： Repadmin /showreps

如果输出结果中出现复制伙伴连接，就表示一切运行正常。如果命令输出空白，请在命令提示符下键入 repadmin /kcc。域控制器将联系其对应的复制伙伴，验证自己的身份，以创建复制链接。然后在“目录服务”事件日志中查找下列事件： 事件ID 1264 : 已添加了来自服务器 CN=Configuration,DC=corp,DC=hay-buv,DC=com的分区

Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configurati

on,DC=corp,DC=hay-buv,DC=com的复制链接。

这个事件是 KCC 在正确创建复制链接之后记录的。此事件记录之后，只要到了下一个计划好的时间，就会自动进行复制。如果未记录此事件，请检查错误消息，并参阅本章中相关章节。

同步每一个命名上下文

在复制链接成功创建之后，请使用下列相关命令来同步每一个命名上下文。

“架构”命名上下文最小，因此最先使用。这样才能在最快的时间内确认操作是否成功。请在命令提示符下键入下列命令，以同步本地域控制器上的架构命名上下文： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <复制伙伴 GUID>

在命令提示符下键入下列命令，也可以触发配置和域命名上下文的复制： repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <复制伙伴 GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com computername <复制伙伴 GUID>

如果 repadmin /sync 命令因发生新的错误而失败，请参阅本章中的相关章节，以解决新识别的问题。

如果 repadmin /sync 命令成功，repadmin /showreps 应不显示任何错误。请在本地域控制器重新启动 KDC 服务，方法是在命令提示符下键入下列命令： net start kdc

第二种复制失败解决方法

此方法是在本地域控制器及其命名上下文的复制伙伴之间创建一个临时链接。如果在运行 repadmin /kcc 时出现新的禁止访问情况并记录了新的事件 ID 1265，或者如果 repadmin /sync 失败并显示另一个“禁止访问”消息时，就可以采用这个方法。要创建此链接，请执行下列步骤：

如果是配置命名上下文，请在命令提示符下键入下列命令： repadmin /add <配置 NC> <本地 DC FQDN> <复制伙伴 FQDN> /u:�ministrator /pw:*

如，您可以在 BODC1 上输入： repadmin /add CN=Configuration,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches�ministrator /pw:*

如果是架构命名上下文，请在命令提示符下键入下列命令： repadmin /add <架构 NC> <本地 DC FQDN> <复制伙伴 FQDN> /u:<域>�ministrator /pw:*

例如，您可以在 BODC1 上输入： repadmin /add CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches�ministrator /pw:*

如果是域命名上下文，请在命令提示符下键入下列命令： repadmin /add <域 NC> <本地 DC FQDN> <复制伙伴 FQDN> /u:<域>�ministrator /pw:*

例如，您可以在 BODC1 上输入： repadmin /add DC=branches,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches�ministrator /pw:*

如果成功，所有这些命令均应返回下列结果： One-way replication from source:HubDC1.branches.corp.hay-buv.com to dest:BODC1.branches.corp.hay-buv.com established.

注意：如果 KCC 在进行此过程期间启动，而且没有对应的连接对象存在，此命令将会失败。如果发生这种情形，KCC 将删除没有对应连接对象存在的任何复制链接。因此您应首先确定是否有连接对象存在。

注意：这些命令因为要触发对应的命名上下文的复制，因此可能需要很长时间来完成。所有命名上下文都必须正确复制。如果一个复制被抢先，请重新运行命令，直到成功完成为止，否则可能再此出现“禁止访问”的错误。

验证是否成功

可以使用前面所用的方法，来检查操作是否成功。请在命令提示符下运行 repadmin /showreps。如果此命令的输出没有显示任何对应的复制伙伴，请在命令提示符下运行 repadmin /kcc，然后在“事件查看器”的“目录服务”事件日志中查找事件 ID 1264。

接着用 repadmin /showreps 触发架构命名上下文的复制。请在命令提示符下键入下列命令，在本地 DC 上重新启动 KDC ： net start kdc

如果上述方法成功，到了下一个计划好的时段，这三个命名上下文的复制就会正确进行。在每一个命名上下文复制之后，本地域控制器上的 repadmin /showreps 将显示一个成功状态。

验证服务未知

当两个域控制器之间有复制链接存在，但复制无法正确运行时，就会发生验证服务未知的错误。如第一节所述，在这种情形中，虽然 repadmin /showreps 显示了入站邻居，但却有一个或多个命名上下文的上一次复制状态返回“上一次尝试 <日期 - 时间> 失败”及“验证服务未知”的错误。这样，没有任何事件记录在事件日志中。

此错误可能会发生在下列一种情况中：

本地域控制器尝试与其复制伙伴建立复制链接，但却失败。在此情形中，repadmin /showreps 没有显示任何入站邻居，因此也无错误描述。如果要查看此错误，请查看记录了下列事件的“目录服务”事件日志： 事件 ID 1265