Κλωνοποίηση ελεγκτή Τομέα αποτυγχάνει και δημιουργεί ένα διπλότυπο DC κλωνοποιηθεί 2012 διακομιστή των Windows

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 2742970
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Εξετάστε το ακόλουθο σενάριο:
  • Μπορείτε να χρησιμοποιήσετε τον ελεγκτή τομέα εικονικά διαμορφωμένη συστοιχία κλωνοποίηση δυνατότητα σε έναν υπολογιστή που εκτελεί Windows Server 2012.
  • Χρησιμοποιήστε την αυτόματη εκχώρηση διευθύνσεων IP.
  • Προσπαθήστε να κλωνοποιήσει έναν ελεγκτή τομέα (DC).
Σε αυτό το σενάριο, το αρχικό ελεγκτή Τομέα δεν είναι κλωνοποιηθεί και ξεκινά κανονικά. Ωστόσο, ένα δεύτερο ελεγκτή Τομέα δημιουργείται δηλαδή δεν κλώνος του ελεγκτή Τομέα προέλευσης, αλλά είναι ακριβές αντίγραφο του ελεγκτή Τομέα προέλευσης. Παρόλο που αυτό δεύτερο ελεγκτή Τομέα υπηρεσιών ενεργά αιτήσεις, αυτό δεν αξιόπιστα αναπαραγωγή αλλαγών υπηρεσίες τομέα Active Directory (AD DS), εξερχόμενη είτε εισερχομένων, όταν και οι δύο ελεγκτές τομέα εκτελείται ταυτόχρονα. Επίσης, δύο ελεγκτές τομέα επιτρέπουν τοπικές αλλαγές AD DS.

Αιτία

Αυτό το ζήτημα μπορεί να παρουσιαστεί για έναν από τους παρακάτω λόγους:
  • Το αρχείο DcCloneConfig.xml που δημιουργήσατε κατά τη λειτουργία αντιγραφής δεν είναι μία από τις παρακάτω κατάλληλες θέσεις:
    • Ο κατάλογος εργασίας DSA
    • %systemroot%\NTDS
    • Μέσα αφαιρούμενα ανάγνωσης/εγγραφής, στη ρίζα της μονάδας δίσκου
  • Το αρχείο DcCloneConfig.xml βρίσκεται σε μία από τις κατάλληλες θέσεις, αλλά η επανεκκίνηση του υπολογιστή προέλευσης πριν από την εκτέλεση της λειτουργίας αντιγραφής. Αυτή η ενέργεια προκάλεσε το σύστημα να μετονομάσετε το αρχείο DcCloneConfig.xml χρησιμοποιώντας μια χρονική σήμανση. Το σύστημα διήρκεσε αυτήν την ενέργεια για να αποτρέψετε την τυχαία κλωνοποίηση, επειδή το Αναγνωριστικό VM γενιάς δεν άλλαξε.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, ακολουθήστε τα εξής βήματα.

Σημειώσεις
  • Σε αυτά τα βήματα, χρησιμοποιούνται οι παρακάτω όροι και παραδείγματα:
    • Dc1.Corp.contoso.com – "Δημιουργία/υπάρχοντα ελεγκτή τομέα": ένα μη διπλότυπα DC που υπάρχει ήδη στο περιβάλλον ή που προβιβάστηκε ως μέρος αυτής της διαδικασίας επιδιόρθωσης
    • DC2.Corp.contoso.com – "Αρχικό ελεγκτή τομέα προέλευσης": το DC που αντιγράφηκε ώστε ο κλώνος
    • DC2.Corp.contoso.com – "Διπλασιασμός ελεγκτή τομέα": το DC που επρόκειτο να κλωνοποιηθεί από το αρχικό DC αλλά που είναι τώρα ένα πανομοιότυπο αντίγραφο
  • Πρέπει να εκτελέσετε αυτά τα βήματα από μια γραμμή εντολών με αυξημένα δικαιώματα, ενώ έχετε συνδεθεί ως μέλος της ομάδας Domain Admins. Για να απλοποιήσετε αποκατάστασης, όλους τους ελεγκτές τομέα είναι υπογράμμισαν κυρίως στον ίδιο διακομιστή DNS.
  • Πριν να ξεκινήσετε αυτά τα βήματα, βεβαιωθείτε ότι γνωρίζετε (ή σύνολο) κατάσταση λειτουργίας συντήρησης υπηρεσιών καταλόγου κωδικού πρόσβασης στον αρχικό ελεγκτή Τομέα προέλευσης, χρησιμοποιώντας την εντολή ntdsutil.exe με τις επιλογές κωδικού πρόσβασης dsrm σύνολο .
  1. Στην αρχική πηγή DC, εκτελέστε τις ακόλουθες εντολές παράδειγμα:
    bcdedit.exe/set safeboot dsrepair

    Shutdown.exe /s /t 0
    Σημείωση Αυτές οι εντολές τερματίστε την αρχική προέλευση DC. Ο ελεγκτής Τομέα ξεκινά στη συνέχεια σε λειτουργία επιδιόρθωσης DS. Αυτό εξασφαλίζει ότι, αν κατά λάθος την επανεκκίνηση του ελεγκτή Τομέα οποιαδήποτε στιγμή πριν την ολοκλήρωση αυτών των βημάτων, δεν χρειάζεται να ξεκινήσετε πάλι τη διαδικασία από την αρχή.
  2. Ομαλά, ξεκινήστε πάλι το διπλότυπο DC χρησιμοποιώντας το ακόλουθο παράδειγμα εντολής:
    Shutdown.exe /r /t 0
  3. Παύση της υπηρεσίας Netlogon στον ελεγκτή Τομέα διπλότυπες, χρησιμοποιώντας το ακόλουθο παράδειγμα εντολής:
    το Sc.exe παύση netlogon
    Σημείωση Αυτή η εντολή αποτρέπει την περαιτέρω αυτόματη θέση τα διπλότυπα DC από χρήστες και υπολογιστές.
  4. Να απενεργοποιήσετε τοπικά εισερχόμενη αναπαραγωγή AD DS στον ελεγκτή Τομέα διπλότυπες, χρησιμοποιώντας το ακόλουθο παράδειγμα εντολής:
    / Επιλογές Repadmin.exe <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    Για παράδειγμα, εκτελέστε την ακόλουθη εντολή:
    / Επιλογές Repadmin.exe DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    Σημείωση Αυτή η εντολή εμποδίζει που γίνονται από άλλους ελεγκτές τομέα στον ελεγκτή τομέα διπλότυπες περαιτέρω ενημερώσεις.
  5. Προαιρετική: Εάν δεν έχετε ήδη ένα τρίτο "υπάρχοντα ελεγκτή Τομέα" (δηλαδή, προσπαθήσατε να κλωνοποιήσει μόνο ελεγκτή Τομέα που είχε στον τομέα), θα πρέπει να προωθήσετε ένα νέο DC ομαλά στον ίδιο τομέα AD και τοποθεσία ως διπλότυπες ελεγκτή Τομέα. Εάν δεν αντιγράφηκε έναν υπάρχοντα ελεγκτή Τομέα σε αυτόν τον τομέα, παραλείψτε αυτό το βήμα.
  6. Εάν εκτελείτε το βήμα 5, βεβαιωθείτε ότι ο ελεγκτής Τομέα νέο ή υπάρχοντα έχει μια συνεργασία εισερχόμενη αναπαραγωγή από το διπλότυπο DC. Εάν είναι απαραίτητο, χρησιμοποιήστε την εντολή DsSites.msc ή repadmin.exe /addrepsto για να δημιουργήσετε μια μη αυτόματη σύνδεση. Βεβαιωθείτε ότι το διπλότυπο DC έχει ρυθμιστεί για την αναπαραγωγή εξερχόμενων με επιτυχία με το νέο ή υπάρχοντα DC, τοπικά εκτελώντας την ακόλουθη εντολή στον ελεγκτή Τομέα διπλότυπες:
    Repadmin.exe/Showrepl<new dc="" name=""></new>
    Για παράδειγμα, εκτελέστε την ακόλουθη εντολή:
    dc1.corp.contoso.com/Showrepl Repadmin.exe
    Σημαντικό Το νέο ή υπάρχοντα DC πρέπει να έχετε μια σύνδεση εισερχόμενη αναπαραγωγή από το διπλότυπο DC πριν να προχωρήσετε στο επόμενο βήμα.

    Το όρισμα /repsto μπορεί επίσης να χρησιμοποιηθεί για να προσδιορίσετε αναπαραγωγής εξερχόμενες συνδέσεις από το διπλότυπο DC μέσα στην ίδια τοποθεσία, ή για να προσδιορίσετε αν έχει ρυθμιστεί η ειδοποίηση αλλαγής σε συνδέσεις μεταξύ τοποθεσιών.
  7. Στον ελεγκτή Τομέα διπλότυπες, ρυθμίσετε το τείχος προστασίας των Windows με ασφάλεια για προχωρημένους (ή ένα τείχος προστασίας άλλου κατασκευαστή) ορίζοντας τους κανόνες εισερχομένων για τις ακόλουθες θύρες μπλοκ:
    • Θύρες 138 και 445 (μέσω TCP και UDP)
    • Θύρες 389 και 636 (μέσω TCP)
    Για παράδειγμα, εκτελέστε τις ακόλουθες εντολές:
    τείχος προστασίας advfirewall Netsh.exe, προσθέστε το όνομα του κανόνα = "MSFT αποκλεισμός LDAP" πρωτόκολλο = tcp dir = σε τοπική_θύρα = 389 ενέργεια = Αποκλεισμός

    τείχος προστασίας advfirewall Netsh.exe, προσθέστε το όνομα του κανόνα = "MSFT αποκλεισμός LDAPS" πρωτόκολλο = tcp dir = σε τοπική_θύρα = 636 ενέργεια = Αποκλεισμός

    τείχος προστασίας advfirewall Netsh.exe, προσθέστε το όνομα του κανόνα = "MSFT αποκλεισμός SMB" πρωτόκολλο = tcp dir = σε τοπική_θύρα = 445 ενέργεια = Αποκλεισμός

    τείχος προστασίας advfirewall Netsh.exe, προσθέστε το όνομα του κανόνα = "MSFT αποκλεισμός ΓΔ NB" πρωτόκολλο = tcp dir = σε τοπική_θύρα = 138 ενέργεια = Αποκλεισμός
    Σημείωση Αυτό το βήμα εμποδίζει τους χρήστες να καταγωγής περαιτέρω ενημερώσεις στον ελεγκτή Τομέα διπλότυπες μέσω κοινά πρωτόκολλα AD DS.
  8. Βεβαιωθείτε ότι όλες τις εκκρεμείς αλλαγές replicate από διπλές ελεγκτή Τομέα στον νέο ή υπάρχοντα ελεγκτή τομέα. Για να γίνει αυτό, χρησιμοποιήστε την ακόλουθη εντολή στον ελεγκτή Τομέα διπλότυπες τοπικά, για να βεβαιωθείτε ότι έχουν αναπαραχθεί οι αλλαγές όλα τα εξερχόμενα από το ονομασίας τομέα ονομασίας ρύθμισης παραμέτρων και περιβάλλοντα ονομασίας DNS.

    Σημείωση Σε αυτές τις εντολές, απαιτείται το GUID DSA που προβάλλεται μέσω της εντολής repadmin στο βήμα 6.
    Repadmin.exe /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    Για παράδειγμα, εκτελέστε τις ακόλουθες εντολές:
    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = configuration, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    Σημείωση Όταν όλα αναπαραγωγής είναι σε συγχρονισμό, η τιμή στατιστικά στοιχεία για τα πεδία όλων των αντικειμένων και χαρακτηριστικών θα είναι "0" (μηδέν). Εάν καταργήσετε το όρισμα /statistics, μπορείτε να δείτε τα συγκεκριμένα αντικείμενα και τα χαρακτηριστικά που εκκρεμούν αναπαραγωγής.
  9. Χρησιμοποιήστε το συμπληρωματικό πρόγραμμα κονσόλας διαχείρισης πολιτικής ομάδας (Gpmc.msc) στο Windows Server 2012 GPMC.msc για να βεβαιωθείτε ότι όλες τις αλλαγές του SYSVOL έχουν αναπαραχθεί από το διπλότυπο DC από συνεργάτη νέο ή υπάρχοντα DC. Για να το κάνετε αυτό, κάντε κλικ το Κατάσταση στο το συμπληρωματικό πρόγραμμα και μετά εξετάστε τα περιεχόμενα της καρτέλα.

    Σημειώσεις
    • Ορίστε το διπλότυπο DC ως τη γραμμή βάσης.
    • Αν όλοι οι διακομιστές εκτελείται εγκατάσταση Server Core, χρησιμοποιήστε την GPMC από έναν υπολογιστή-πελάτη Windows 8 που έχει Microsoft απομακρυσμένου διακομιστή Εργαλεία διαχείρισης (RSAT) εγκατεστημένα.
    • Εάν οι διακομιστές είναι εκτός συγχρονισμού, βεβαιωθείτε ότι πριν να συνεχίσετε με το επόμενο βήμα αναπαραγωγή των ενημερωμένων εκδόσεων που λείπουν από έναν άλλο ελεγκτή Τομέα. Στην περίπτωση αυτή, οι ενημερωμένες εκδόσεις θα τις αλλαγές πολιτικής ομάδας που έγιναν μετά την εισερχόμενη αναπαραγωγή ήταν απενεργοποιημένη σε αυτόν το διακομιστή στο βήμα 4.
  10. Αποτροπή διπλότυπων ελεγκτή Τομέα τεθεί ποτέ ξανά ως διπλότυπο. Για να γίνει αυτό, ομαλό τερματισμό το διπλότυπο DC, αντίγραφα ασφαλείας των δίσκων για τη φύλαξη, και στη συνέχεια να απορρίψετε την εικονική μηχανή και των δίσκων.
  11. Βεβαιωθείτε ότι ο ελεγκτής Τομέα νέο ή υπάρχοντα έχει αναπαραχθεί όλες τις διπλές DC ενημερώσεις που είναι εξερχόμενο σε άλλους ελεγκτές τομέα.

    Σημείωση Αυτή η ενέργεια διασφαλίζει ότι η διαφορά των αλλαγών που δημιουργήθηκαν στον ελεγκτή Τομέα διπλότυπων δεν είναι πάντα χάνονται στο σύμπλεγμα δομών.
  12. Προαιρετική: Εάν δημιουργήσατε έναν νέο ελεγκτή Τομέα στο βήμα 5, ομαλό υποβιβασμό του νέου ελεγκτή Τομέα.
  13. Ξεκινήστε την αρχική προέλευση DC και συνδεθείτε χρησιμοποιώντας το λογαριασμό διαχειριστή DSRM.
  14. Εκτελέστε τις ακόλουθες εντολές:
    Safeboot/DeleteValue BCDedit.exe

    Shutdown.exe /r /t 0
    Σημείωση Αυτές οι εντολές καταργούν αυτόματης DSRM εκκίνησης σημαία για όλες τις επόμενες επανεκκινήσεις.
  15. Τοπικά ενεργοποίηση εισερχόμενη αναπαραγωγή AD DS στην αρχική πηγή DC χρησιμοποιώντας το ακόλουθο παράδειγμα εντολής:
    / Επιλογές Repadmin.exe <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    Για παράδειγμα, χρησιμοποιήστε την ακόλουθη εντολή:
    / Επιλογές Repadmin.exe DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. Βεβαιωθείτε ότι η νέα αντικείμενα που δημιουργούνται στο περιβάλλον (προς και από την αρχική προέλευση DC) αναπαράγονται σε άλλα υπάρχοντα DC.

Περισσότερες πληροφορίες

Όταν η κλωνοποίηση ενός ελεγκτή Τομέα, ελεγκτή τομέα εικονικά διαμορφωμένη συστοιχία εφαρμόζει διασφαλίσεις δημιουργώντας ένα νέο Αναγνωριστικό ενεργοποίησης και στη συνέχεια Ακύρωση ο τοπικός χώρος συγκέντρωσης RID. Αυτό επιτρέπει το διπλότυπο DC εξακολουθούν να αναπαραγάγετε εισερχομένων και να δημιουργήσετε νέες αρχές ασφαλείας. Ωστόσο, άλλα μετα-δεδομένα διπλότυπες διακομιστή εμποδίζει την εξερχόμενη αναπαραγωγή AD DS και SYSVOL από λειτουργεί μαζί με άλλους ελεγκτές τομέα που βρίσκονται αυτήν τη στιγμή στο περιβάλλον. Μόνο ένα νέο DC που δεν έχει προηγούμενο συσχετισμό με διπλό ελεγκτή Τομέα να επιτρέψετε την εισερχόμενη αναπαραγωγή από το διπλότυπο DC.

Τα βήματα στην ενότητα "Προτεινόμενη αντιμετώπιση" εξασφαλίζει ότι καμία διαφορά αλλαγές χάνονται μόνιμα. Απώλεια Εάν απενεργοποιήσετε το διπλότυπο DC και στη συνέχεια να την απορρίψετε. Εάν ξεκινάτε το διπλότυπο DC και αμέσως παρατηρήσετε ότι είναι πανομοιότυπο, έχετε την επιλογή για να απενεργοποιήσετε το διπλότυπο DC και να απορρίψετε χωρίς να εκτελέσετε τα βήματα σε αυτό το άρθρο. Ωστόσο, πρέπει να γνωρίζετε ότι οι αλλαγές που έγιναν στον ελεγκτή Τομέα διπλότυπες (όπως η πρόσφατη Δημιουργία αντικειμένου, αλλαγές κωδικού πρόσβασης ή τροποποίηση της ιδιότητας μέλους ομάδας) θα χαθούν οριστικά.

Το δυναμικό του για αναπαραγωγή DC υπήρξε αρχή στα Windows 2000. Ωστόσο, Εικονικά 2012 διακομιστή των Windows κάνει αναπαραγωγή DC που είναι πιο πιθανό να προκύψει από το αντίστοιχο σε προηγούμενες εκδόσεις λειτουργικών συστημάτων. Αυτά τα βήματα ισχύουν ακόμα και αν δεν κλωνοποίηση έναν ελεγκτή Τομέα αλλά, αντίθετα, γίνεται προσπάθεια ανάκτησης από ένα διπλότυπο DC (εικονική ή φυσική) που δημιουργήθηκε μέσω κλωνοποίηση δίσκων.

Συνιστούμε σε όλους τους τομείς έχετε περισσότερους από έναν ελεγκτή Τομέα.

Ο κατάλογος εργασίας DSA ορίζεται από την ακόλουθη τιμή REG_SZ στο μητρώο:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters DSA κατάλογος εργασίας

Αναφορές

Για να κάνετε λήψη του απομακρυσμένου διακομιστή διαχείρισης εργαλεία για Windows 8, επισκεφθείτε την ακόλουθη τοποθεσία Web του Κέντρου λήψης της Microsoft:
http://www.Microsoft.com/en-US/Download/Details.aspx?ID=28972
Για περισσότερες πληροφορίες σχετικά με τον τρόπο επαναφοράς του κωδικού πρόσβασης DSRM, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να μεταβείτε στο άρθρο της Γνωσιακής Βάσης της Microsoft:
322672 Τρόπος επαναφοράς του καταλόγου υπηρεσίες επαναφοράς λειτουργίας πρόσβασης του λογαριασμού Administrator στον Windows Server 2003
Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων και αντιμετώπισης εικονικά διαμορφωμένη συστοιχία ελεγκτή τομέα, μεταβείτε στα παρακάτω θέματα του Microsoft TechNet:

Ιδιότητες

Αναγν. άρθρου: 2742970 - Τελευταία αναθεώρηση: Παρασκευή, 14 Σεπτεμβρίου 2012 - Αναθεώρηση: 1.0
Λέξεις-κλειδιά: 
kbmt KB2742970 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 2742970

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com