Klonování řadič domény selže a vytvoří duplicitní DC klonovat v roce 2012 Windows Server

Překlady článku Překlady článku
ID článku: 2742970
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Zvažte následující scénář:
  • Použijte funkci v počítači se systémem Windows Server 2012 klonování virtualizované řadič domény.
  • Použijte automatické přidělování adres IP.
  • Zkuste klonovat řadič domény (DC).
V tomto scénáři není původní DC klonovat a spustí normálně. Však druhý řadič domény je vytvořen není klon zdrojového řadiče domény, ale je přesný duplikát zdrojového řadiče domény. Přestože tento druhý řadič domény služby aktivně požadavky, ji nereplikuje spolehlivě změny služba Active Directory Domain Services (služba AD DS), odchozí nebo příchozí, při obou DCs jsou spuštěny současně. Obě DCs umožňují místní změny služba AD DS.

Příčina

Tento problém může dojít z následujících důvodů:
  • DcCloneConfig.xml soubor, který jste vytvořili v průběhu operace klonování není v jednom z následujících místech:
    • Pracovní adresář DSA
    • %systemroot%\ntds
    • Zápisu vyměnitelných médií, na kořenové úrovni jednotky
  • Soubor DcCloneConfig.xml je na vhodných místech, ale restartování zdrojového počítače před spuštěním operace klonování. Tato akce způsobila systému DcCloneConfig.xml soubor přejmenovat pomocí časové razítko. Systém přijal tuto akci zabránit náhodnému klonování, protože ID generace VM nezměnil.

Řešení

Chcete-li vyřešit tento problém, postupujte takto.

Poznámky
  • V následujícím postupu se používají následující pojmy a příklady:
    • Dc1.corp.contoso.com – "nový nebo stávající řadič domény": neduplicitní DC, v prostředí již existuje, nebo který byl povýšen jako součást tohoto procesu oprav
    • Dc2.corp.contoso.com – "Původní zdrojový řadič domény": řadič domény, který byl zkopírován aby klon
    • Dc2.corp.contoso.com – "Duplikát řadiče domény": DC, neprovedlo klonovat z původního řadiče domény, ale to je nyní identickou kopii
  • Tyto kroky musíte spustit z příkazového řádku s vyššími oprávněními v době, kdy jste přihlášeni jako člen skupiny Domain Admins. Zjednodušit obnovení, jsou především na stejný server DNS odkazuje všech řadičů domény.
  • Před zahájením tohoto postupu, zkontrolujte, že jste vědět (nebo nastavit) heslo režimu opravy adresářových služeb na původní zdrojový řadič domény pomocí nástroje ntdsutil.exe příkaz s možností nastavit heslo dsrm .
  1. Na původní zdrojový řadič domény spusťte následující příkazy například:
    bcdedit.exe/set dsrepair bezpečný režim

    Nástroj Shutdown.exe /s /t 0
    Poznámka: Tyto příkazy ukončit původního zdrojového řadiče domény. DC pak spustí v režimu Opravit DS. Tím je zajištěno, že pokud kdykoli před dokončením těchto kroků je omylem restartovat řadič domény, nemáte restartovat postup od začátku.
  2. Duplicitní DC řádně restartujte pomocí následující příklad:
    shutdown.exe /r /t 0
  3. Služba Netlogon na řadiči domény duplicitní pozastavení pomocí následující příklad:
    Nástroj SC.exe pozastavit netlogon
    Poznámka: Tento příkaz zabrání dalšímu automatické umístění duplicitní DC uživatelům a počítačům.
  4. Místně zakážete příchozí replikaci služba AD DS na duplicitní DC pomocí následující příklad:
    / Options Repadmin.exe <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    Například následující příkaz:
    / Options Repadmin.exe DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    Poznámka: Tento příkaz zabrání další aktualizace provádějí duplicitní DC z dalších řadičů domény.
  5. Volitelné: Pokud již nemáte třetí "stávající DC" (to znamená, že jste se pokusili klonovat pouze řadiče domény v doméně), musí podporovat nové DC řádně ve stejné doméně AD a web jako duplicitní DC. Pokud nebyl duplikovat existující řadič domény v této doméně, můžete tento krok přeskočte.
  6. Pokud provádíte krok 5, přesvědčte se, zda má partnerství příchozí replikaci z duplicitních DC DC nové nebo existující. V případě potřeby vytvořte připojení ručně pomocí příkazu DsSites.msc nebo repadmin.exe /addrepsto . Ověřte, zda duplicitní DC nakonfigurována replikace místně spuštěním následujícího příkazu na duplicitní DC úspěšně odchozí s novou nebo existující řadiče domény:
    / Showrepl Repadmin.exe<new dc="" name=""></new>
    Například následující příkaz:
    dc1.corp.contoso.com/showrepl Repadmin.exe
    Důležité Nové nebo existující řadič domény musí mít připojení k příchozí replikace z duplicitních DC, než můžete pokračovat na další krok.

    /Repsto argument lze také určit odchozí replikaci připojení z duplicitních řadiče domény ve stejné síti nebo k určení, zda je oznámení o změně konfigurován propojení mezi sítěmi.
  7. Na duplicitní DC konfigurujte nastavením příchozí pravidla pro následující porty pro bránu Windows Firewall s pokročilým zabezpečením (nebo brány firewall jiného výrobce) blok:
    • Porty 138 a 445 (přes TCP a UDP)
    • Porty 389 a 636 (protokol TCP)
    Například spusťte následující příkazy:
    Netsh.exe advfirewall firewall add rule name = "MSFT block LDAP" protocol = tcp dir = v Místní_port = 389 akce = block

    Netsh.exe advfirewall firewall add rule name = "MSFT block LDAPS" protocol = tcp dir = v Místní_port = 636 akce = block

    Netsh.exe advfirewall firewall add rule name = "MSFT block SMB" protocol = tcp dir = v Místní_port = 445 akce = block

    Netsh.exe advfirewall firewall add rule name = "MSFT block NB GŘ" protocol = tcp dir = v Místní_port = 138 akce = block
    Poznámka: Tento krok zabrání uživatelům pocházející z dalších aktualizací na duplicitní DC prostřednictvím společného služba AD DS protokolů.
  8. Ujistěte se, že všechny čekající změny replikovány z duplicitní DC do nové nebo existující řadiče domény. To provedete pomocí příkazu na duplicitní DC místně Ujistěte se, že všechny změny replikovány odchozí z názvů domény, konfigurace pojmenování a kontextů názvů DNS.

    Poznámka: Tyto příkazy je požadována DSA GUID, který je zobrazen v příkazu repadmin v kroku 6.
    Repadmin.exe /showchanges <new xisting="" dc="" name=""> <naming context=""> </naming><Duplicate dc="" dsa="" guid="">/Statistics </Duplicate> </new>
    Například spusťte následující příkazy:
    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = konfigurace, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    Poznámka: Při synchronizaci replikace pro všechny statistiky hodnotu pro pole objektů a atributy budou "0" (nula). Pokud odeberete argument/Statistics, uvidíte zvláštní objekty a atributy čekající replikace.
  9. Pomocí modulu snap-in konzoly MMC Zásady skupiny (Gpmc.msc) v systému Windows Server 2012 GPMC.msc ujistěte, že všechny změny SYSVOL byly replikovány z duplicitních DC partnerovi nové nebo existující řadič domény. To provedete klepnutím Stav Karta v modulu snap-in a prohlédněte si kartu obsah.

    Poznámky
    • Nastavte jako základní duplicitní DC.
    • Všechny servery spuštění instalace Server Core, pomocí konzoly GPMC z klienta Windows 8 se Microsoft Server pro správu nástroje Vzdálenou instalaci.
    • Pokud servery-sync, ujistěte se, než budete pokračovat k dalšímu kroku, že chybějící aktualizace replikovány z jiného řadiče domény. V tomto případě by aktualizace Zásady skupiny změny, které byly provedeny po příchozí replikace byla zakázána na tomto serveru v kroku 4.
  10. Někdy spuštění jako duplicitní zabráníte duplicitní DC. Řádné ukončení duplicitní DC, zálohujte své disky pro úschovu a potom zrušit virtuálního počítače a jeho disků.
  11. Ujistěte se, že má nové nebo existující řadiče domény replikovány všechny duplicitní DC aktualizace, které jsou odchozí jiný řadič domény.

    Poznámka: Touto akcí zajistíte, že delta změn, které byly vytvořeny duplicitní DC nejsou trvale ztraceny v doménové struktuře.
  12. Volitelné: Nový řadič domény vytvořený v kroku 5, snížit úroveň řádně nový řadič domény.
  13. Spustit původní zdroj DC a přihlaste se pomocí účtu správce režimu obnovení adresářových služeb.
  14. Spusťte následující příkazy:
    Bcdedit.exe/deletevalue bezpečný režim

    Shutdown.exe /r /t 0
    Poznámka: Tyto příkazy odebrat příznak automatického spuštění DSRM pro všechny následné restartování.
  15. Místně povolte příchozí replikaci služba AD DS původního zdrojového řadiče domény pomocí následující příklad:
    / Options Repadmin.exe <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    Použijte například následující příkaz:
    / Options Repadmin.exe DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. Ujistěte se, že nové objekty vytvořené v prostředí (do a z původního zdrojového řadiče domény) jsou replikovány na všechny existující řadič domény.

Další informace

Pokud můžete klonovat řadič domény, implementuje virtualizované řadič domény vytvořením nové číslo ID vyvolání a potom znehodnotili místní fondu RID ochranná opatření. Díky duplikované DC pokračovat k replikaci příchozích a vytvořit nové zaregistrované objekty zabezpečení. Jiná metadata duplicitní server však brání odchozí replikace z práce s jiný řadič domény, které jsou aktuálně v prostředí služba AD DS a SYSVOL. Pouze nové DC, která nemá žádnou předchozí spojitost s duplicitní DC můžete povolit příchozí replikaci z duplicitních DC.

Kroky v části "Řešení" zajistit trvale ztraceny žádné delta změny. Tato ztráta dojde k vypnutí duplicitní DC a ji vypustit. Start duplicitní DC a oznámení ihned je duplicitní, máte možnost vypnout duplicitní DC a zrušit bez provedení kroků v tomto článku. Upozorňujeme však, že bude trvale ztraceny všechny změny provedené v duplicitních řadiči domény (například nedávné vytvoření objektu změn hesla nebo změna členství ve skupinách).

Začátek v systému Windows 2000 existuje potenciální duplikace DC. V systému Windows Server 2012 DC však bude DC duplikace pravděpodobnější než v dřívějších verzích operačních systémů. Tyto kroky jsou použitelné i v případě, že je řadič domény nelze klonovat ale místo toho pokusí obnovit z duplicitních DC (virtuální nebo fyzický) vytvořených pomocí klonování disku.

Doporučujeme, aby všechny domény více než jeden řadič domény.

Pracovní adresář DSA je definováno v registru následující hodnotu REG_SZ:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters Pracovní adresář DSA

Odkazy

Stahování vzdáleného serveru pro správu nástroje pro Windows 8, navštivte následující web služby Stažení softwaru:
http://www.microsoft.com/en-us/download/details.aspx?ID=28972
Další informace o tom, jak heslo DSRM, klepněte na následující číslo článku znalostní báze Microsoft Knowledge Base, přejděte na:
322672 Obnovení adresářové služby obnovení režimu heslo účtu Administrator v systému Windows Server 2003
Další informace o konfiguraci a řešení virtualizované řadiče domény naleznete následující témata Microsoft TechNet:
Úvod k virtualizaci (služba AD DS) služba Active Directory Domain Services (úroveň 100)

Virtualizované domény Řadič technické informace (úroveň 300)

Vlastnosti

ID článku: 2742970 - Poslední aktualizace: 14. září 2012 - Revize: 1.0
Klíčová slova: 
kbmt KB2742970 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 2742970

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com