DC cloning ล้มเหลว และสร้างเทอร์ซ้ำกัน DC เวอร์ที่ไม่ใช่ลอกแบบใน Windows Server 2012

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2742970
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

พิจารณาสถานการณ์สมมติต่อไปนี้:
  • คุณสามารถใช้ควบคุมโดเมน Virtualized cloning ลักษณะการทำงานบนคอมพิวเตอร์ที่กำลังเรียกใช้ Windows Server 2012
  • คุณใช้การกำหนดที่อยู่ IP โดยอัตโนมัติ
  • คุณได้พยายามที่ลอกแบบตัวควบคุมโดเมน (DC)
ในสถานการณ์สมมตินี้ ไม่มีการลอกแบบ DC ต้นฉบับ และจะเริ่มทำงานตามปกติ อย่างไรก็ตาม DC แบบที่สองถูกสร้างขึ้นนั่นคือไม่โคลนของ DC ต้นทาง แต่ มีสำเนาที่ถูกต้องของ DC ต้นทาง ถึงแม้ว่า DC นี้สองได้บริการที่ร้องขอ จะไม่เชื่อถือจำลองการเปลี่ยนแปลงของบริการการโดเมนไดเรกทอรีที่ใช้งานอยู่ (AD DS) ขาออก หรือขาเข้า เมื่อ DCs ทั้งสองกำลังทำงานอยู่ในเวลาเดียวกัน นอกจากนี้ DCs ทั้งสองอนุญาตให้เปลี่ยนแปลงการโฆษณา DS ท้องถิ่น

สาเหตุ

ปัญหานี้อาจเกิดขึ้นได้อย่างหนึ่งอย่างใดต่อไปนี้:
  • แฟ้ม DcCloneConfig.xml ที่คุณสร้างขึ้นในระหว่างการดำเนินการ cloning ไม่ได้อยู่ในตำแหน่งที่ตั้งที่เหมาะสมต่อไปนี้อย่างใดอย่างหนึ่ง:
    • ไดเรกทอรีการทำงานของ DSA
    • %systemroot%\NTDS
    • สื่อแบบถอดได้อ่าน/เขียน ในระดับไดรฟ์ราก
  • แฟ้ม DcCloneConfig.xml อยู่ในตำแหน่งที่ตั้งที่เหมาะสมอย่างใดอย่างหนึ่ง แต่คุณเริ่มระบบใหม่คอมพิวเตอร์ต้นทางก่อนที่คุณรันการดำเนินการ cloning การกระทำนี้ทำให้เกิดการเปลี่ยนชื่อแฟ้ม DcCloneConfig.xml โดยใช้การประทับเวลาให้ระบบ ระบบใช้แอคชันนี้เพื่อป้องกันการ cloning โดยไม่ตั้งใจได้เนื่องจาก ID สร้าง VM ไม่เปลี่ยน

การแก้ไข

เมื่อต้องแก้ไขปัญหานี้ ให้ทำตามขั้นตอนเหล่านี้

บันทึกย่อ
  • ในขั้นตอนเหล่านี้ เงื่อนไขและตัวอย่างต่อไปนี้จะใช้:
    • "ที่มีอยู่/สร้างควบคุมโดเมน" DC1.corp.contoso.com: DC ที่ไม่ซ้ำกันมีที่อยู่ในสภาพแวดล้อมอยู่แล้ว หรือที่ถูกเลื่อนขั้นเป็นส่วนหนึ่งของกระบวนการซ่อมแซมนี้
    • "ต้นฉบับแหล่งควบคุมโดเมน" DC2.corp.contoso.com: DC ตัวที่ถูกคัดลอกไปที่ทำให้การโคลน
    • DC2.corp.contoso.com – "ทำซ้ำตัวควบคุมโดเมน": DC ตัวที่ถูกสมมุติให้การลอกแบบจาก DC ต้นฉบับ แต่นั่นคือสำเนาที่เหมือนกันในขณะนี้
  • คุณต้องเรียกใช้ขั้นตอนเหล่านี้จากพร้อมท์คำสั่งในขณะที่คุณเข้าสู่ระบบในฐานะสมาชิกของกลุ่ม Domain Admins เพื่อทำการกู้คืน ใน DCs ทั้งหมดจะถูกบ่งชี้เพื่อให้เซิร์ฟเวอร์ DNS เดียวกันเป็นหลัก
  • ก่อนที่จะเริ่มขั้นตอนเหล่านี้ ให้แน่ใจว่า คุณทราบ (หรือตั้งค่า) รหัสผ่านโหมดซ่อมของบริการไดเรกทอรีบน DC ต้นทางเดิม โดยใช้คำสั่งntdsutil.exeร่วมกับตัวเลือกการตั้งรหัสผ่าน dsrm
  1. บนต้นฉบับ DC ต้นทาง เรียกใช้คำสั่งตัวอย่างต่อไปนี้:
    bcdedit.exe/safeboot dsrepair การตั้งค่า

    shutdown.exe /s /t 0
    หมายเหตุ คำสั่งเหล่านี้ปิดอยู่กับ DC ต้นทางเดิม DC แล้วเริ่มทำงานในโหมดการซ่อมแซม DS ซึ่งช่วยให้มั่นใจว่า ถ้า DC โดยไม่ตั้งใจได้เริ่มต้นในเวลาใด ๆ ก่อนที่คุณทำตามขั้นตอนเหล่านี้ให้เสร็จสมบูรณ์ คุณไม่จำเป็นต้องเริ่มการทำงานของกระบวนการตั้งแต่เริ่มต้น
  2. เริ่มต้นอย่างสิ้นเชิงใหม่ DC ซ้ำ โดยใช้คำสั่งตัวอย่างต่อไปนี้:
    shutdown.exe /r /t 0
  3. หยุดบริการ Netlogon บน DC ซ้ำกัน โดยใช้คำสั่งตัวอย่างต่อไปนี้:
    netlogon จะหยุดชั่วคราว sc.exe นั้น
    หมายเหตุ คำสั่งนี้ป้องกันตำแหน่งที่ตั้งโดยอัตโนมัติของ DC ซ้ำกันโดยผู้ใช้และคอมพิวเตอร์เพิ่มเติม
  4. ปิดการใช้ภายในงานโฆษณา DS ขาเข้าที่จำลองแบบบน DC ซ้ำกัน โดยใช้คำสั่งตัวอย่างต่อไปนี้:
    นอกจากนั้น /options <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    ตัวอย่างเช่น เรียกใช้คำสั่งต่อไปนี้:
    นอกจากนั้นการ /options DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    หมายเหตุ คำสั่งนี้ป้องกันไม่ให้โปรแกรมปรับปรุงที่เพิ่มเติมจากการถูกทำซ้ำ DC จาก DCs อื่น ๆ
  5. หรือไม่ก็ได้: ถ้าคุณยังไม่มีที่สาม "DC ที่มีอยู่" (นั่นคือ คุณพยายามลอกแบบ DC เท่านั้นที่อยู่ในโดเมน), คุณต้องเลื่อนระดับ DC แบบใหม่อย่างสิ้นเชิงในโดเมนเดียวกันของโฆษณาและไซต์เป็น DC ซ้ำกัน ถ้ามี DC ที่มีอยู่ในโดเมนนี้ถูกทำซ้ำ ข้ามขั้นตอนนี้
  6. ถ้าคุณทำขั้นตอนที่ 5 โปรดตรวจสอบให้แน่ใจว่า DC ใหม่ หรือที่มีอยู่มีพาร์ตเนอร์ชิพในการจำลองแบบขาเข้าจาก DC ซ้ำกัน ถ้าจำเป็น ใช้คำสั่งDsSites.mscหรือ/addrepsto นอกจากนั้นเมื่อต้องสร้างการเชื่อมต่อด้วยตนเอง ตรวจสอบว่า DC ซ้ำถูกกำหนดค่าการจำลองแบบขาออกเรียบร้อยแล้วกับ DC ใหม่ หรือที่มีอยู่ โดยการรันคำสั่งต่อไปนี้บน DC ซ้ำกันภายในเครื่อง:
    นอกจากนั้น /showrepl<new dc="" name=""></new>
    ตัวอย่างเช่น เรียกใช้คำสั่งต่อไปนี้:
    นอกจากนั้น /showrepl dc1.corp.contoso.com
    สิ่งสำคัญ DC ใหม่ หรือที่มีอยู่ต้องมีการเชื่อมต่อการจำลองแบบขาเข้าจาก DC ซ้ำก่อนที่จะดำเนินการขั้นตอนต่อไป

    ยังสามารถใช้เป็นอาร์กิวเมนต์ของ /repsto เพื่อตรวจสอบการเชื่อมต่อการจำลองแบบขาออกจาก DC ซ้ำกันภายในไซต์เดียวกัน หรือ เพื่อตรวจสอบว่า มีการกำหนดค่าการแจ้งเตือนการเปลี่ยนแปลงบน inter-site การเชื่อมโยง
  7. บน DC ซ้ำ กำหนดค่าไฟร์วอลล์ Windows มีความปลอดภัยขั้นสูง (หรือไฟร์วอลล์ของบริษัทอื่น) โดยการตั้งค่ากฎขาเข้าสำหรับพอร์ตต่าง ๆ ต่อไปนี้เมื่อต้องการ บล็อก:
    • พอร์ต 138 และ 445 (ผ่านทาง TCP และ UDP)
    • พอร์ต 389 และ 636 (ผ่าน TCP)
    ตัวอย่างเช่น เรียกใช้คำสั่งต่อไปนี้:
    ไฟร์วอลล์ advfirewall netsh.exe เพิ่มชื่อกฎ = "MSFT บล็อก LDAP ใน" การโพรโทคอล = tcp dir =ใน localport =การดำเนินการที่ 389 =บล็อก

    ไฟร์วอลล์ advfirewall netsh.exe เพิ่มชื่อกฎ = "MSFT บล็อก LDAPS ใน" การโพรโทคอล = tcp dir =ใน localport =การดำเนินการที่ 636 =บล็อก

    ไฟร์วอลล์ advfirewall netsh.exe เพิ่มชื่อกฎ = "MSFT บล็อก SMB ใน" การโพรโทคอล = tcp dir =ใน localport =การดำเนินการที่ 445 =บล็อก

    ไฟร์วอลล์ advfirewall netsh.exe เพิ่มชื่อกฎ = "MSFT บล็อก NB DG ใน" การโพรโทคอล = tcp dir =ใน localport =การดำเนินการที่ 138 =บล็อก
    หมายเหตุ ขั้นตอนนี้ป้องกันไม่ให้ผู้ใช้ที่เพิ่มเติมมาที่โปรแกรมปรับปรุงบน DC ซ้ำผ่านโพรโทคอ DS โฆษณาทั่วไป
  8. ตรวจสอบให้แน่ใจว่า ทั้งหมดที่ค้างอยู่รอการเปลี่ยนแปลงจำลองจาก DC ซ้ำกับ DC ใหม่ หรือที่มีอยู่แล้ว เมื่อต้องการทำเช่นนี้ ใช้คำสั่งต่อไปนี้บน DC ซ้ำกันภายในเครื่องเพื่อให้แน่ใจว่า การเปลี่ยนแปลงทั้งหมดได้ถูกจำลองแบบขาออกจากโดเมนตั้งชื่อ ตั้ง ชื่อการตั้งค่าคอนฟิก และบริบทการตั้งชื่อ DNS

    หมายเหตุ จำเป็นต้องใช้ DSA GUID ที่แสดง โดยคำสั่ง repadmin ในขั้นตอนที่ 6 ในคำสั่งเหล่านี้
    นอกจากนั้น /showchanges ที่<new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    ตัวอย่างเช่น เรียกใช้คำสั่งต่อไปนี้:
    นอกจากนั้น dc การ dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f /showchanges = corp, dc = contoso, dc = com

    นอกจากนั้น /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn =การตั้งค่าคอนฟิก dc = corp, dc = contoso, dc = com

    นอกจากนั้น /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    นอกจากนั้น /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    หมายเหตุ เมื่อทำการจำลองแบบทั้งหมดจะยังคงซิงค์กัน ค่าสถิติสำหรับเขตข้อมูลวัตถุและแอตทริบิวต์ทั้งหมดจะเป็น "0" (ศูนย์) ถ้าคุณเอาออกในอาร์กิวเมนต์ /statistics คุณสามารถดูเฉพาะวัตถุและแอตทริบิวต์ที่ค้างอยู่รอการจำลองแบบ
  9. ใช้คอนโซลการจัดการนโยบายกลุ่มสแน็ปอิน (Gpmc.msc) ใน GPMC.msc 2012 เซิร์ฟเวอร์ของ Windows เพื่อให้แน่ใจว่า การเปลี่ยนแปลงทั้งหมด SYSVOL ได้จำลองจาก DC ซ้ำกันหุ้นใหม่ หรือที่มีอยู่แล้วส่วน DC เมื่อต้องการทำเช่นนี้ คลิก สถานะ แท็บในสแนปอิน และจากนั้น ตรวจสอบเนื้อหาของแท็บ

    บันทึกย่อ
    • ตั้งค่า DC ซ้ำกันเป็นพื้นฐาน
    • ถ้าเซิร์ฟเวอร์ทั้งหมดเรียกใช้การติดตั้งเซิร์ฟเวอร์หลัก ใช้ GPMC จากไคลเอนต์ Windows 8 ที่มี Microsoft ระยะไกล Server จัดการเครื่องมือ (RSAT) ติดตั้ง
    • หากเซิร์ฟเวอร์อยู่ออกซิงค์ การตรวจสอบให้แน่ใจว่าก่อนที่จะดำเนินการขั้นตอนถัดไปที่ ขาดหายไปในการปรับปรุงถูกจำลองแบบจาก DC อื่น ในกรณีนี้ โปรแกรมปรับปรุงจะเป็นการเปลี่ยนแปลงนโยบายกลุ่มที่เกิดขึ้นหลังจากการจำลองแบบขาเข้าถูกปิดใช้งานบนเซิร์ฟเวอร์นี้ในขั้นตอนที่ 4
  10. ป้องกันไม่ให้ซ้ำ DC เคยเริ่มต้นอีกครั้งเป็นซ้ำ เมื่อต้องการทำเช่นนี้ ปิด DC ซ้ำ สำรองข้อมูลของดิสก์สำหรับการเก็บข้อมูลที่ปลอดภัย อย่างสิ้นเชิง และละทิ้งเครื่องเสมือนและของดิสก์แล้ว
  11. ตรวจสอบให้แน่ใจว่า DC ใหม่ หรือที่มีอยู่ได้ถูกจำลองแบบที่ซ้ำกัน DC ทต่าง ๆ ที่ขาออกไปที่ DCs อื่น ๆ

    หมายเหตุ การดำเนินการนี้ช่วยให้มั่นใจว่า เดลต้าของการเปลี่ยนแปลงที่ถูกสร้างขึ้นบน DC ซ้ำกันนั้นไม่ใช่ตลอดไปแพ้ฟอเรสต์
  12. หรือไม่ก็ได้: ถ้าคุณได้สร้าง DC แบบใหม่ในขั้นตอนที่ 5 อย่างสิ้นเชิงลด DC ใหม่
  13. เริ่มการทำงานของแหล่งต้นฉบับ DC และเข้าสู่ระบบ โดยใช้แอคเคาท์ผู้ดูแลระบบ DSRM
  14. เรียกใช้คำสั่งต่อไปนี้:
    Bcdedit.exe /deletevalue safeboot

    Shutdown.exe /r /t 0
    หมายเหตุ คำสั่งเหล่านี้เอาค่าสถานะเริ่มต้นระบบ DSRM อัตโนมัติสำหรับการเริ่มระบบใหม่ในเวลาต่อมาทั้งหมด
  15. เปิด DS โฆษณาขาเข้าที่จำลองแบบบน DC ต้นทางต้นฉบับแบบท้องถิ่น โดยใช้คำสั่งตัวอย่างต่อไปนี้:
    นอกจากนั้น /options <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    ตัวอย่างเช่น ใช้คำสั่งต่อไปนี้:
    นอกจากนั้น /options ที่ DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. ตรวจสอบให้แน่ใจว่า วัตถุใหม่ที่สร้างขึ้นในสภาพแวดล้อม (ทั้งเข้า และออก จากแหล่งต้นฉบับ DC) จะถูกจำลองแบบไป DC ที่มีอยู่อื่น

ข้อมูลเพิ่มเติม

เมื่อคุณลอกแบบ DC แบบ ตัวควบคุมโดเมนที่ Virtualized ประมวลผลป้องกัน โดยการสร้าง ID จากการเรียกใหม่และจากนั้น ทำให้พู RID ท้องถิ่น ซึ่งช่วยให้ DC ซ้ำกันที่ดำเนินการจำลองแบบขาเข้า และสร้างการรักษาความปลอดภัยแบบใหม่ อย่างไรก็ตาม ข้อมูลเมตาอื่น ๆ เซิร์ฟเวอร์ซ้ำป้องกันขาออก AD DS และ SYSVOL จำลองจากการทำงานร่วมกับ DCs อื่น ๆ ที่กำลังอยู่ในสภาพแวดล้อม เฉพาะ DC แบบใหม่ที่ยังไม่มีความสัมพันธ์ก่อนหน้านี้กับ DC ซ้ำสามารถจำลองแบบขาเข้าจาก DC ซ้ำกัน

ขั้นตอนในส่วน "การแก้ปัญหา" ให้แน่ใจว่าไม่มีเดลต้าของการเปลี่ยนแปลงสูญหายไปอย่างถาวร ขาดทุนนี้เกิดขึ้นถ้าคุณปิดการ DC ซ้ำ และจากนั้น ทำการยกเลิก ถ้าคุณเริ่มการทำงานซ้ำ DC และคุณสังเกตเห็นทันทีว่า เป็นสำเนา คุณสามารถเลือกที่จะปิดเครื่อง DC ซ้ำ และละทิ้ง โดยไม่มีการดำเนินการตามขั้นตอนในบทความนี้ อย่างไรก็ตาม โปรดทราบว่า การเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นบน DC ซ้ำกัน (เช่นการสร้างวัตถุเมื่อเร็ว ๆ นี้ การเปลี่ยนแปลงรหัสผ่าน หรือปรับเปลี่ยนสมาชิกของกลุ่ม) จะหายไปอย่างถาวร

โอกาสของการทำสำเนา DC ได้มีจุดเริ่มต้นใน Windows 2000 อย่างไรก็ตาม VDC 2012 ของเซิร์ฟเวอร์ Windows ทำให้ DC ซ้ำมักจะเกิดขึ้นกว่าที่เคยเป็นรุ่นของระบบปฏิบัติการก่อนหน้านี้ ขั้นตอนเหล่านี้จะสามารถใช้ได้แม้ว่าคุณลอกแบบ DC แบบ แต่ แทน พยายามกู้คืนจากการซ้ำ DC (เสมือน หรือทางกายภาพ) ที่ถูกสร้างขึ้น โดยใช้ดิสก์ cloning

เราขอแนะนำว่า โดเมนทั้งหมดที่มีมากกว่าหนึ่ง DC

ไดเรกทอรีการทำงาน DSA ถูกกำหนด โดยรีจิสทรี REG_SZ ค่าต่อไปนี้:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters DSA ไดเรกทอรีการทำงาน

ข้อมูลอ้างอิง

เมื่อต้องดาวน์โหลดระยะไกล Server จัดการเครื่องมือสำหรับ Windows 8 แวะไปเว็บไซต์ต่อไปนี้ของศูนย์ดาวน์โหลดของไมโครซอฟท์:
http://www.microsoft.com/en-us/download/details.aspx?id=28972
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการรีเซ็ตรหัสผ่าน DSRM ให้คลิกหมายเลขบทความต่อไปนี้เพื่อไปยังบทความใน Microsoft Knowledge base:
322672 วิธีการรีเซ็ตผ่านบัญชีผู้ใช้ไดเรกทอรีโหมดคืนค่าบริการผู้ดูแลใน Windows Server 2003
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งค่าคอนฟิก และการแก้ไขปัญหาตัวควบคุมโดเมนที่ Virtualized ไปที่หัวข้อต่าง ๆ ดังต่อไปนี้ของ Microsoft TechNet:

คุณสมบัติ

หมายเลขบทความ (Article ID): 2742970 - รีวิวครั้งสุดท้าย: 14 กันยายน 2555 - Revision: 1.0
Keywords: 
kbmt KB2742970 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2742970

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com