DC 複製會失敗,並在 Windows Server 2012 上建立非複製的重複 DC

文章翻譯 文章翻譯
文章編號: 2742970
全部展開 | 全部摺疊

徵狀

請考慮下列情況:
  • 您使用虛擬化網域控制站複製正在執行 Windows Server 2012 的電腦上的功能。
  • 您可以使用自動 IP 位址。
  • 您嘗試複製的網域控制站 (DC)。
在這個案例中,原始的 DC 會無法複製,而且它會正常啟動。不過,第二個 DC 建立也就是不是複製來源 DC,但確實是重複的來源 DC。雖然這個第二個網域控制站正在服務要求、 不可靠的方式複寫 Active Directory 網域服務 (AD DS) 的變更,可能是傳出或傳入,當這兩個網域控制站同時執行。此外,這兩個網域控制站會讓本機 AD DS 的變更。

發生的原因

這個問題的發生原因可能是以下其中一項:
  • 您在複製作業期間所建立的 DcCloneConfig.xml 檔案不在下列的適當位置中:
    • DSA 的工作目錄
    • %systemroot%\NTDS
    • 卸除式讀/寫媒體、 根磁碟機的層級
  • DcCloneConfig.xml 檔案位於其中一個適當的位置,但是您在執行複製作業之前,重新啟動來源電腦。這個動作會造成系統使用的時間戳記來重新命名 DcCloneConfig.xml 檔案。若要防止意外複製 VM 產生識別碼並未變更,因為此巨集指令所花費的系統。

解決方案

如果要解決這個問題,請依照下列步驟執行。

備忘稿
  • 在下面的步驟中,會使用以下的詞彙和範例:
    • DC1.corp.contoso.com – 「 新增/現有網域控制站": 非重複的 DC,已經存在的環境中,或可升級這個修復處理程序的一部分
    • DC2.corp.contoso.com – 「 原始來源網域控制站": 已複製到進行這個複製品的 DC
    • DC2.corp.contoso.com – 「 重複的網域控制站 」: DC,原本要從原始的 DC 複製,但這現在是相同的複本
  • Domain Admins 群組的成員身分登入時,您必須從提高權限的命令提示字元執行下列步驟進行。若要簡化復原,所有網域控制站都有指向主要是相同的 DNS 伺服器。
  • 在開始下列步驟之前,請確定您知道 (或設定) 的原始來源 DC 上的目錄服務修復模式密碼使用ntdsutil.exe ] 命令,以及設定 dsrm 密碼選項。
  1. 在原始來源 DC 中,執行下列的範例命令:
    bcdedit.exe/設定安全開機 dsrepair

    shutdown.exe /s 0 /t
    附註這些命令關閉原始來源 DC。DC,然後在 DS 修復模式下啟動。這樣可以確保 DC 意外重新啟動後在任何時候當您完成這些步驟之前,您並不需要重新啟動程序,從一開始。
  2. 利用下列的範例命令,依正常程序重新啟動重複的 DC:
    shutdown.exe /r 0 /t
  3. 暫停的重複的 DC 上的 Netlogon 服務,藉由使用下列的範例命令:
    sc.exe 暫停 netlogon
    附註這個命令無法自動找到重複的 DC 使用者和電腦使用。
  4. 在本機上重複的 DC 的輸入的 AD DS 複寫使用停用下列的範例命令:
    名稱 /options <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    比方說,執行下列命令:
    名稱 /options DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    附註這個命令會防止來自其他網域控制站進行重複的 DC 做進一步的更新。
  5. 選擇性:如果您還沒有第三個 」 現有的 DC 」 (也就是您嘗試複製已在網域中的唯一 DC) 時,您必須將升級新的 DC,依正常程序在同一個 AD 網域和站台中就重複沒什麼關係。如果這個網域中現有的 DC 不會重複,跳過這個步驟。
  6. 如果您執行步驟 5 時,請確定新的或現有的 DC 已經從重複的 DC 的輸入的複寫合作關係。如果有必要,可用於 [ DsSites.msc ] 或 [名稱 /addrepsto命令建立手動連線。請確定重複的 DC 設定為在本機上執行下列命令,在重複的網域控制站複寫成功傳出與新的或現有的 DC:
    名稱 /showrepl<new dc="" name=""></new>
    比方說,執行下列命令:
    名稱 /showrepl dc1.corp.contoso.com
    重要您可以繼續到下一個步驟之前,新的或現有的 DC 必須有從重複的 DC 的輸入的複寫連線。

    若要判斷從相同站台內重複的 DC 的傳出複寫連線,或以決定是否要將變更通知設定站台間的連結,也可以用 /repsto 引數。
  7. 在 [重複的 DC,藉由設定 [輸入的規則,如下列的連接埠,以設定 [具有進階安全性的 Windows 防火牆 」 (或協力廠商的防火牆) 區塊:
    • 連接埠 138 和 445 (透過 TCP 與 UDP)
    • 連接埠 389 及 636 (透過 TCP)
    比方說,執行下列命令:
    netsh.exe advfirewall 防火牆新增規則名稱 ="MSFT 會阻擋 LDAP 」 通訊協定 = tcp dir = localport = 389 動作 = 阻斷

    netsh.exe advfirewall 防火牆新增規則名稱 ="MSFT 會阻擋 LDAPS 」 通訊協定 = tcp dir = localport = 636 動作 = 阻斷

    netsh.exe advfirewall 防火牆新增規則名稱 ="MSFT 會阻擋 SMB 」 通訊協定 = tcp dir = localport = 445 動作 = 阻斷

    netsh.exe advfirewall 防火牆新增規則名稱 ="MSFT 會阻擋 NB 資料流 」 通訊協定 = tcp dir = localport = 138 動作 = 阻斷
    附註這個步驟可防止使用者進一步源自常用 AD DS 的通訊協定透過重複的 DC 上的更新。
  8. 請確定所有暫止的變更到新的或現有的 DC 複寫從重複的 DC。若要這麼做,請使用下列命令在重複的網域控制站存在本機才能進行確定所有的變更已複寫輸出從網域命名、 設定命名及 DNS 的命名內容。

    附註在這些命令必須使用 repadmin 命令,在步驟 6 中所顯示的 DSA GUID。
    名稱 /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    比方說,執行下列命令:
    名稱 /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp,dc = [康得股份有限公司,dc = com

    名稱 /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = 設定,dc = corp,dc = [康得股份有限公司,dc = com

    名稱 /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones,dc = corp,dc = [康得股份有限公司,dc = com

    名稱 /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones,dc = corp,dc = [康得股份有限公司,dc = com
    附註所有的複寫同步時,統計資料值的所有物件和屬性的欄位會是"0"(零)。如果您移除 /statistics 引數時,您可以看到特定的物件和暫止的複寫的屬性。
  9. 使用 [群組原則管理主控台嵌入式管理單元 (gpmc.msc 取得) 在 Windows Server 2012 gpmc.msc 取得來確定 SYSVOL 的所有變更,已經給新的或現有的夥伴 DC 從重複的 DC 都複寫。若要這樣做,請按一下 狀態 嵌入式管理單元中的索引標籤上,然後檢查] 索引標籤的內容。

    備忘稿
    • 將重複的 DC 設定作為基準。
    • 如果所有伺服器都執行伺服器核心安裝,請從有 Microsoft 遠端伺服器管理工具 (RSAT) 安裝的 Windows 8 用戶端使用 GPMC。
    • 如果伺服器的同步,請確定您繼續執行之前的下一步遺漏的更新複寫從另一個 DC。如此一來,更新會在步驟 4 中這台伺服器上的輸入的複寫已停用之後所進行的群組原則變更。
  10. 重複的 DC ?避免不斷啟動為重複。若要這樣做,請依正常程序關閉重複的 DC,備份以妥善保存,其磁碟,然後捨棄虛擬機器和其磁碟。
  11. 請確定新的或現有的 DC 是否已覆寫所有重複的 DC 更新輸出到其他網域控制站。

    附註這個動作可確保在重複的網域控制站所建立的變更差異不會永久遺失到樹系。
  12. 選擇性:如果您在步驟 5 中建立新的 DC,適當地降級新的 DC。
  13. 啟動原始來源 DC,並使用 DSRM 系統管理員帳戶登入。
  14. 請執行下列命令:
    Bcdedit.exe /deletevalue 安全開機

    Shutdown.exe /r 0 /t
    附註這些命令會移除所有的後續重新啟動自動 DSRM 開機旗標。
  15. 使用下列的範例命令,在本機啟用原始來源 DC 上的輸入的 AD DS 複寫:
    名稱 /options <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    比方說,使用下列命令:
    名稱 /options DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. 請確定在環境中,(若要和從原始來源 DC) 所建立的新物件會複寫到其他現有的 DC。

其他相關資訊

當您複製 DC 時,虛擬化的網域控制站會建立新的呼叫識別碼,然後再停用本機的 RID 集區實作了安全措施。這可以讓重複的 DC 複寫繼續輸入,並建立新的安全性主體。不過,其他重複的伺服器中繼資料,可以防止輸出的 AD DS,SYSVOL 複寫無法加上目前處於環境的其他網域控制站的正常運作。僅與重複的 DC 沒有前一個關聯新的 DC 可以允許從重複的 DC 的輸入的複寫。

〈 解決方案 〉 一節的步驟,確定變更任何差異不會永久遺失。如果您將重複的 DC,關閉然後將其捨棄此失真。如果您開始重複的 DC,且您立即發現它是重複,您必須選擇關閉 [重複的 DC,並捨棄而不需執行這份文件中的步驟。不過,請注意任何重複的 DC (例如最近使用的物件建立、 變更密碼或群組成員資格修改) 所做的變更將會永久遺失。

潛在的 DC 複製已存在在 Windows 2000 中的開頭。但是,Windows Server 2012 VDC 使 DC 重複比較容易發生比在舊版的作業系統。這些步驟皆適用,即使您不會複製 DC 但,相反地,嘗試從磁碟複製透過建立重複 DC (虛擬或實體) 復原。

我們建議您所有的網域具有一個以上的 DC。

DSA 的工作目錄是由下列的登錄 REG_SZ 值定義的:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\ParametersDSA 工作目錄

?考

如果要下載遠端伺服器管理工具的 Windows 8,請造訪下列 Microsoft 下載中心 」 網站:
http://www.microsoft.com/en-us/download/details.aspx?id=28972
如需有關如何重設 DSRM 密碼的詳細資訊,請按一下下面的文章編號以返回 [微軟知識庫文件:
322672 如何重設目錄服務還原模式系統管理員帳戶密碼在 Windows Server 2003 中
如需有關如何設定及疑難排解虛擬化的網域控制站的詳細資訊,請前往下列 Microsoft TechNet 主題:
Active Directory 網域服務 (AD DS) 虛擬化 (技術等級 100) 的簡介

虛擬化的網域控制站技術參照 (技術等級 300)

屬性

文章編號: 2742970 - 上次校閱: 2012年9月14日 - 版次: 1.0
關鍵字:?
kbmt KB2742970 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:2742970
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com