DC 克隆出现故障和在 Windows 服务器 2012年创建非克隆重复 DC

文章翻译 文章翻译
文章编号: 2742970
展开全部 | 关闭全部

症状

请考虑以下情形:
  • 使用克隆功能的计算机上正在运行 Windows 服务器 2012年的虚拟化域控制器。
  • 您可以使用自动 IP 寻址。
  • 您尝试复制的域控制器 (DC)。
在这种情况下,原始的 DC 不克隆,并启动正常。但是,第二个 DC 创建即未克隆的源 DC,是源 DC 的精确副本。尽管此第二个 DC 主动请求提供服务,但它不可靠地复制 活动目录(AD) 域服务 (AD DS) 更改,出站或入站,当两个域控制器正在同时运行。此外,两个域控制器允许本地 AD DS 更改。

原因

由于以下原因之一,会出现此问题:
  • 克隆操作过程中创建的 DcCloneConfig.xml 文件不是一个适当的位置:
    • DSA 工作目录
    • %systemroot%\NTDS
    • 可移动的读/写介质,根驱动器级别
  • DcCloneConfig.xml 文件是在一个适当的位置,但运行克隆操作前重新启动源计算机。此操作将导致系统通过使用时间戳 DcCloneConfig.xml 文件重命名。系统采取此操作,以防止意外克隆,因为 VM 生成 ID 未发生变化。

解决方案

若要解决此问题,请按照下列步骤。

备注
  • 在这些步骤中,使用下面的条款和示例:
    • DC1.corp.contoso.com--"新建/现有域控制器": 非重复的 DC 的环境中已存在同名或作为此修复过程的一部分,已升级
    • DC2.corp.contoso.com —"原始源域控制器": 要使克隆所复制的 DC
    • DC2.corp.contoso.com —"重复域控制器": DC 的意料之中克隆从原始的 DC,但现在是完全相同的副本
  • 作为域管理员组的成员身份登录时,您必须从提升的命令提示符下运行这些步骤。若要简化恢复,所有域控制器都指向主要相同的 DNS 服务器。
  • 在开始下列步骤之前,确保您知道 (或设置) 的原始源 DC 上的目录服务修复模式密码使用ntdsutil.exe命令和设置 dsrm 密码选项。
  1. 在原始源 DC 上, 运行以下命令的示例:
    bcdedit.exe/设置安全引导 dsrepair

    shutdown.exe /s 0 /t
    注意这些命令关闭原始源 DC。DC 然后在 DS 修复模式下启动。这可以确保如果 DC 意外重新启动在任何时间之前完成这些步骤中,您不需要重新启动该过程从开始。
  2. 将重复的 DC 正常重新启动使用下面的命令示例:
    shutdown.exe /r 0 /t
  3. 通过使用下面的命令示例暂停重复的 DC 上的 Netlogon 服务:
    sc.exe 暂停 netlogon
    注意此命令可进一步防止自动位置的用户和计算机重复的 DC。
  4. 使用下面的命令示例禁用本地重复的 DC 上的入站的 AD DS 复制:
    repadmin.exe /options <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    例如,运行以下命令:
    repadmin.exe /options DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    注意此命令将禁止进一步更新从其他域控制器进行到重复的 DC。
  5. 可选:如果您还没有第三个"现有 DC"(即,您试图克隆是在域中的唯一 DC),您必须升级新的 DC 相同的 AD 域和重复的 DC 为站点中的正常。如果未复制此域中的现有 DC,跳过此步骤。
  6. 如果您执行第 5 步,请确保新的或现有的 DC 已从重复的 DC 的入站的复制伙伴关系。如果有必要,使用DsSites.mscrepadmin.exe /addrepsto命令创建手动连接。验证重复 DC 被配置为复制成功出站与新的或现有 DC 本地重复 DC 上运行以下命令:
    Repadmin.exe /showrepl<new dc="" name=""></new>
    例如,运行以下命令:
    repadmin.exe /showrepl dc1.corp.contoso.com
    重要新的或现有 DC 必须从重复的 DC 的入站的复制连接,才能继续到下一步。

    /Repsto 参数还可以用于确定来自同一站点内的重复 DC 的出站复制连接或以确定是否将更改通知配置站点间的链接。
  7. 通过重复的 DC 上具有高级安全性的 Windows 防火墙 (或第三方防火墙) 设置来配置到以下端口的入站的规则 :
    • 端口 138 和 445 (通过 TCP 和 UDP)
    • 端口 389 和 636 (通过 TCP)
    例如,运行以下命令:
    netsh.exe 由防火墙添加规则名称 ="MSFT 阻止 LDAP"协议 = tcp dir 在本地 = = 389 操作 = 块

    netsh.exe 由防火墙添加规则名称 ="MSFT 阻止 LDAPS"协议 = tcp dir 在本地 = = 636 操作 = 块

    netsh.exe 由防火墙添加规则名称 ="MSFT 阻止 SMB"协议 = tcp dir 在本地 = = 445 操作 = 块

    netsh.exe 由防火墙添加规则名称 ="MSFT 阻止 NB DG"协议 = tcp dir 在本地 = = 138 操作 = 块
    注意此步骤可防止用户发起进一步通过常见的 AD DS 协议重复的 DC 上的更新。
  8. 请确保所有挂起的更改复制重复 DC 中到新的或现有的 DC。若要执行此操作,使用下面的命令重复 DC 上本地确保所有的更改已复制出站从域名称、 配置命名和 DNS 命名上下文。

    注意这些命令中需要由第 6 步中 repadmin 命令显示 DSA GUID。
    Repadmin.exe /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    例如,运行以下命令:
    repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp,dc = contoso,dc = com

    repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = 配置,dc = corp,dc = contoso,dc = com

    repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones,dc = corp,dc = contoso,dc = com

    repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones,dc = corp,dc = contoso,dc = com
    注意同步所有复制时,所有对象和属性字段的统计信息值将为"0"(零)。如果您删除 /statistics 参数,您可以看到特定的对象和挂起的复制的属性。
  9. 使用组策略管理控制台管理单元 (Gpmc.msc) 在 Windows 服务器 2012 GPMC.msc 来确保所有 SYSVOL 更改具有从重复的 DC 都复制到新的或现有的合作伙伴 DC。若要执行此操作,请单击 状态 在管理单元中,选项卡,然后检查选项卡的内容。

    备注
    • 作为基准设置重复的 DC。
    • 如果所有服务器都运行服务器核心安装,请从 Microsoft 远程服务器管理工具 (RSAT) 安装的 Windows 8 客户机使用 GPMC。
    • 如果服务器不同步,确保继续操作之前到下一步从另一台 DC 的复制缺少的更新。在这种情况下,$ 更新将在步骤 4 中此服务器上禁用入站的复制之后所做的更改组策略。
  10. 防止重复的 DC 曾经为重复重新启动。若要执行此操作,正常关闭重复的 DC,以便保管,其磁盘备份,然后丢弃虚拟机以及其磁盘。
  11. 请确保新的或现有的 DC 已完成所有的重复 DC 更新到其他 Dc 的出站复制。

    注意此操作可确保创建重复的 DC 上的更改的增量不会永久丢失到目录林。
  12. 可选:如果您在步骤 5 中创建新的 DC,正常降级新的 DC。
  13. 启动原始源 DC,并使用 DSRM 管理员帐户登录。
  14. 运行以下命令:
    Bcdedit.exe /deletevalue 安全引导

    Shutdown.exe /r 0 /t
    注意这些命令中删除所有后续的重新启动自动 DSRM 引导标志。
  15. 使用下面的命令示例启用本地原来的源 DC 上的入站的 AD DS 复制:
    repadmin.exe /options <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    例如,使用以下命令:
    repadmin.exe /options DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. 请确保环境 (传入和传出的原始源 DC) 中创建的新对象都被复制到其他任何现有的 DC。

更多信息

当克隆一个 DC 时,虚拟化的域控制器将通过创建新的调用 ID,然后使无效的本地 RID 池实现安全措施。这样,复制的 DC 继续复制入站,并创建新的安全主体。但是,其他重复的服务器元数据阻止出站 AD DS 和 SYSVOL 工作以及当前环境中的其他域控制器复制。仅具有重复的 dc 没有上一个关联的新的 DC 可以允许从重复的 DC 的入站的复制。

"解决办法"部分中的步骤确保没有更改的增量将永久丢失。如果关闭重复的 DC,然后放弃它,就会发生这种丢失。如果开始重复的 DC,并且立即注意它是一个副本时,您可以选择要关闭重复 DC 和放弃它而无需执行本文中的步骤。但是,需注意是重复 DC (如新对象的创建、 更改密码或组成员身份修改) 上所做的任何更改都将永久丢失。

DC 复制的可能性就一直存在在 Windows 2000 中的开始。但是,Windows 服务器 2012 VDC 使 DC 复制更容易发生比早期的操作系统版本。这些步骤都是适用的即使您不克隆 DC,而是尝试从磁盘克隆通过创建一个重复 DC (虚拟或物理) 恢复。

我们建议所有域都具有一个以上的 DC。

DSA 工作目录是由下面的注册表 REG_SZ 值定义的:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\ParametersDSA 工作目录

参考

若要下载远程服务器管理工具的 Windows 8,请访问下面的 Microsoft 下载中心网站:
http://www.microsoft.com/en-us/download/details.aspx?id=28972
有关如何重置 DSRM 密码的详细信息,请单击下面的文章编号,以转到 Microsoft 知识库文章:
322672 如何在 Windows Server 2003 目录服务还原模式管理员帐户的密码重置
有关如何配置和故障排除虚拟化的域控制器的详细信息,请转到下面的 Microsoft TechNet 主题:
活动目录域服务 (AD DS) 虚拟化 (级别 100) 简介

虚拟化的域控制器技术参考 (级别 300)

属性

文章编号: 2742970 - 最后修改: 2012年9月14日 - 修订: 1.0
关键字:?
kbmt KB2742970 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2742970
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com