Выполнение начальной синхронизации хозяевами операций под управлением Windows 2000 Server и Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 305476 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В статье описываются требования к начальной синхронизации, выполняемой контроллерами домена, которые являются хозяевами операций и работают под управлением Microsoft Windows Server 2003 и Microsoft Windows 2000 с пакетом обновления 3 (SP3) или более поздней версии. Чтобы в лесу или домене Active Directory могли выполняться зависимые операции, необходимо выполнить начальную синхронизацию.

Примечание. Роли хозяев операций также называют ролями FSMO (Flexible Single Master Operations).

Дополнительная информация

При каждой загрузке операционной системы контроллеры доменов Active Directory пытаются выполнить репликацию входящих изменений для каждого раздела каталога, хранящегося на данном контроллере домена (разделы каталога также называют контекстами именования). Контроллеры домена, работающие под управлением Microsoft Windows Server 2003 и Microsoft Windows 2000 с пакетом обновления 3 (SP3) или более поздней версии и являющиеся хозяевами операций, должны успешно выполнить репликацию входящих изменений для разделов каталога, хранящих сведения о состоянии соответствующих хозяев операций и осуществляющих репликацию этих сведений. Зависимые операции могут выполняться только после успешного завершения репликации. Это необходимо для обеспечения того, что владелец FSMO имеет новейшие изменения в атрибуте, который содержит информацию о текущем владельце FSMO. Если атрибут был изменен в автономном режиме, он отклонит владельца FSMO. Если он все еще указывает на локальный контроллер домена, он будет действовать как владелец роли.

На контроллерах домена под управлением Windows Server 2003 регистрируются следующие события.

Тип события: Уведомление
Источник события: Репликация NTDS
Категория события: Репликация
Код события: 1555
Дата: 5/21/2004
Время: 3:58:14 PM
Пользователь: Все
Описание: Локальный контроллер домена не будет объявлен локатором контроллеров домена как доступный контроллер домена, пока не будет выполнена начальная синхронизация каждого хранящегося на нем изменяемого раздела каталога. На данный момент начальная синхронизация не выполнена. Синхронизация будет продолжена. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.


Чтобы какой-либо хозяин операций мог начать работу, необходимо, чтобы контроллер домена, которому присвоена роль данного хозяина операций, успешно реплицировал разделы, указанные в следующей таблице.
Свернуть эту таблицуРазвернуть эту таблицу
РольРаздел, который должен быть реплицирован, чтобы данный хозяин операций мог начать работуВыполняемые функции
Хозяин именования домена Настройка Удаляет и добавляет домены и разделы приложений.
Хозяин инфраструктурыРаздел домена в домене данного хозяина операцийВносит изменения, задаваемые командой adprep /domainprep операционной системы Windows Server 2003.
Относительный код (RID)Раздел домена в домене данного хозяина операцийВыделяет пулы идентификаторов RID новым или существующим контроллерам домена.
Хозяин схемыСхемаВносит в схему изменения, задаваемые с помощью оснастки «Схема Active Directory», команды adprep /forestprep или приложений, работающих с Active Directory.
Например, предположим, что сведения о текущем хозяине RID и его состоянии реплицируются в раздел доменов вымышленного домена Contoso.com и что хозяином RID в домене Contoso.com является контроллер домена с именем DC1 (полное имя – DC1.Contoso.com). Если в копии базы данных Active Directory, хранящейся на компьютере DC1, раздел конфигурации содержит ссылки на другой контроллер домена (например, DC2.Contoso.com), который выполняет репликацию доступного для записи раздела Contoso.com, то компьютер DC1 не сможет выполнять функции хозяина RID для домена Contoso.com, пока не произойдет одно из следующих событий.
  • Хозяин RID выполнит входящую репликацию доступного для записи раздела доменов домена Contoso.com с компьютером DC2 или любым другим контроллером домена из домена Contoso.com.
  • Из леса будут удалены все ссылки на контроллеры домена, на которых находятся доступные для записи копии раздела доменов домена Contoso.com.
Пока контроллер домена DC1 не начнет выполнять функции хозяина RID, он не сможет формировать новые пулы идентификаторов RID, необходимые для создания пользователей, компьютеров (включая дополнительные контроллеры домена) и групп безопасности в домене Contoso.com. Аналогично, для того чтобы другие хозяева операций, перечисленные в приведенной выше таблице, могли выполнять зависимые операции, необходимо, чтобы они выполнили входящую репликацию соответствующих разделов. Выполнение данных требований к синхронизации гарантирует, что в каждом домене или лесу роль каждого хозяина операций исполняет только один контроллер домена.

Примечание. Контроллер домена, которому присвоена роль хозяина операций, использующая раздел, не имеющий партнеров по репликации (то есть данный хозяин операций является единственным контроллером домена в области репликации соответствующей роли), может не выполнять начальную синхронизацию, поскольку у подобного контроллера домена отсутствуют партнеры по репликации. Хозяин операций должен выполнять синхронизацию только в тех случаях, когда атрибут hasMastersNC данного хозяина операций содержит ссылки на два и более контроллеров домена, осуществляющих репликацию соответствующего раздела этого хозяина операций. (Атрибут hasMastersNC является частью объекта NTDS settings контроллера домена, который находится в разделе CN=Configuration хозяина операций.) Например, если раздел конфигурации рассмотренного выше домена Contoso.com не содержит ссылки на другие контроллеры домена, на которых размещается раздел Contoso.com, текущий хозяин RID (DC1) сможет выполнять свои функции после загрузки компьютера DC1.Contoso.com.

Изменения в требованиях к начальной синхронизации в Windows Server 2003 с пакетом обновления 1

Исходный выпуск Windows Server 2003
В исходной версии Windows Server 2003, если происходит перезагрузка контроллера домена, являющегося хозяином операций, то этот контроллер попытается выполнить репликацию только контроллерам домена, находящимся в том же узле. Если соответствующий исходных контроллер домена находится в том же узле Active Directory, что и исходный хозяин схемы, то начальная синхронизация, как правило, выполняется вскоре после запуска операционной системы. Это обеспечивает немедленное выполнение зависимых операций хозяев операций. Задержки происходят, если на удаленном узле существует только один соответствующий исходный контроллер домена. Репликация не произойдет до тех пор, пока не откроется расписание в связи узлов или в объекте подключений. Любая операция, требующая доступа к роли хозяина схемы, роли хозяина именования домена или роли хозяина RID, не будет произведена до тех пор, пока не произойдет входящая репликация от записываемого исходного контроллера домена.
Windows Server 2003 с пакетом обновления 1
Если происходит перезагрузка контроллера домена, являющегося хозяином операций, то этот контроллер будет пытаться выполнять исходную синхронизацию со всеми своими партнерами до тех пор, пока не произойдет успешная синхронизация. Партнер, отобранный для синхронизации, выбирается произвольно среди всех партнеров по репликации, которые есть у контроллера домена для каждого контекста наименования, ведущим узлом которого он является. Партнерам по внутриузловой репликации предпочтение не отдается. За один раз производится одно обращение к партнеру, и это продолжается до тех пор, пока репликация не произойдет успешно.

Причины сбоев при выполнении начальной синхронизации и рекомендации по их устранению

Ниже описаны возможные причины сбоев, возникающих при выполнении входящей репликации хозяином операций. Если контроллер домена, являющийся хозяином операций, не может выполнить начальную синхронизацию, при выполнении зависимых операций могут возникать сбои или задержки. Для всех описываемых сценариев приводятся рекомендации по устранению неполадок.
  • Хозяин операций не может выполнить входящую репликацию, поскольку из базы данных Active Directory удален объект NTDS settings (NTDS-DSA) контроллера домена, исполняющего роль данного хозяина операций. Это может произойти по следующим причинам.
    • C помощью оснастки «Active Directory – узлы и службы», средства Ntdsutil.exe или аналогичного средства соответствующий объект NTDS-DSA был удален из базы данных Active Directory, однако присвоенная данному контроллеру домена роль хозяина операций не была передана другому контроллеру домена в домене или в лесу.
    • Роль контроллера домена, являвшегося хозяином операций, была принудительно понижена с помощью команды dcpromo /forceremoval.
      Дополнительные сведения о команде dcpromo /forceremoval см. в следующей статье базы знаний Майкрософт:
      332199 Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно
    • Роль контроллера домена была понижена с помощью мастера установки Active Directory, однако присвоенные данному контроллеру домена роли хозяев операций не были должным образом переданы оставшимся контроллерам домена в лесу или в домене.
    Во всех перечисленных случаях необходимо перенести роли хозяев операций на оставшиеся контроллеры домена или осуществить присвоение данных ролей оставшимся контроллерам домена.

    Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    255504 Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена
  • Контроллер домена, являющийся хозяином операций, содержит ссылки на компьютеры, которые ранее являлись контроллерами домена и для которых сохранились соответствующие метаданные.

    Если отключенные контроллеры домена, на которых размещался соответствующий раздел каталога, не используются и не будут использоваться в дальнейшем, для устранения проблемы удалите метаданные для этих контроллеров домена. После удаления метаданных для компьютеров, которые более не являются контроллерами домена, перезагрузите компьютер, исполняющий роль хозяина операций.

    Дополнительные сведения об удалении метаданных для отключенных контроллеров домена см. в следующей статье базы знаний Майкрософт:
    216498 Удаление данных из Active Directory после неудачного понижения роли контроллера домена
  • При выполнении репликации раздела, необходимого для работы хозяина операций, возникает сбой.

    Для устранения проблемы необходимо устранить неполадки, препятствующие хозяину операций и существующему контроллеру домена выполнить репликацию соответствующего раздела. Причиной неполадок могут быть сбои в работе сети и ядра механизма репликации, а также сбои при разрешении имен и при проверке подлинности.
  • Партнер по репликации раздела, необходимого для работы хозяина операций, находится на удаленном узле Active Directory.

    Если хозяин операций и контроллеры домена, выполняющие репликацию раздела, необходимого для работы данного хозяина операций, находятся в разных узлах Active Directory, для устранения проблемы необходимо дождаться, пока контроллер домена, содержащий копию требуемого раздела, выполнит репликацию с хозяином операций в соответствии с расписанием репликаций.
  • Контроллер домена находится в изолированной сети и не может выполнить репликацию с другими контроллерами его домена из-за отсутствия подключения по сети.

    Сеть называется изолированной, если контроллер домена, являющийся хозяином операций, не подключен к сети или находится в отдельной сети и не может подключиться к другим контроллерам своего домена.

    Чтобы устранить данную проблему, добавьте в домен контроллер домена. Это позволит компьютеру, являющемуся хозяином операций, при загрузке осуществить репликацию требуемых разделов уровня домена или леса.

    Примечание. На контроллере домена под управлением Windows Server 2003, являющемся единственным контроллером домена в изолированной сети, можно с помощью средства Ntdsutil присвоить роль хозяина операций. Корпорация Майкрософт рекомендует использовать данный способ только в крайних случаях. Предварительно следует убедиться, что все роли хозяев операций в лесу присвоены разным владельцам. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    255504 Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена
Все роли хозяина операций могут бездействовать какое-то время. Это означает, что нет необходимости присваивать роли хозяина операций, если компьютер необходимо временно отключить. Дополнительные сведения о времени бездействия для каждой роли хозяина операций см. в следующем списке:
  • Хозяин схемы. Нет необходимости сразу возвращать роль хозяина схемы, если нужно изменить схему до возвращения хозяина схемы после ремонта или обновления.
  • Хозяин именования доменов. Роль хозяина именования домена требуется только тогда, когда необходимо добавить или удалить контекст именования в лесу. Необходимо присвоить данную роль до добавления или удаления контекста именования в лесу, если роль не была возвращена в сеть после ремонта или обновления.
  • Хозяин инфраструктуры. Задачи хозяина инфраструктуры выполняются в фоновом режиме. Если компьютер отсутствовал в сети в течение нескольких дней, а в лесу не произошли крупные изменений учетных записей, то после возвращения в сеть изменения сразу же отразятся в компьютере.
  • Хозяин операций эмулятора основного контроллера домена (PDC). Когда в домене отсутствуют клиенты pre-Active Directory, хозяин операций эмулятора основного контроллера домена (PDC) используется только для облегчения, если пользователи изменяют свои пароли. Только хозяин операций эмулятора основного контроллера домена (PDC) может изменять пароли доверия. Поэтому период бездействия не должен быть долгим.
  • Текущий хозяин RID. Если не происходит создание учетных записей, то даже владелец роли хозяина RID может некоторое время бездействовать. Если у одного контроллера домена заканчиваются идентификаторы RID, рекомендуется использовать другой контроллер домена для распространения идентификаторов RID, если исходный владелец роли возвращается через несколько часов.

Устранение неполадок начальной синхронизации с помощью средства Repadmin.exe

Для устранения неполадок начальной синхронизации выполните следующие действия:
  1. Найдите средство Repadmin.exe в наборе средств поддержки Microsoft Windows 2000. Средства поддержки Windows 2000 поставляются на компакт-диске Windows 2000 Server. Чтобы установить средства поддержки Windows 2000, запустите программу Setup из папки Support\Tools.
  2. На контроллере домена, являющемся хозяином операций, выполните в командной строке команду repadmin /showreps.
  3. Проанализируйте выходные данные указанной команды и определите, выполнил ли данный контроллер домена после перезагрузки репликацию со своими партнерами. Если в процессе репликации возникли ошибки, попытайтесь устранить неполадки и подождите, пока репликация будет завершена.

    Все контроллеры домена должны выполнить репликацию разделов схемы, конфигурации и домена.
Примечание. Используя команду repadmin /delete, можно удалить связи репликации с контроллерами домена, содержащими раздел, необходимый для работы проблемного хозяина операций.

Предупреждение. Использование команды repadmin /delete может привести к нарушению работоспособности Active Directory. Корпорация Майкрософт рекомендует использовать команду repadmin /delete только под руководством специалиста службы поддержки Майкрософт. Сведения о том, как связаться со службой технической поддержки, см. на веб-узле Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/
Дополнительные сведения об использовании средства Repadmin.ехе см. в следующей статье базы знаний Майкрософт:
229896 Устранение неполадок репликации Active Directory с помощью средства Repadmin.exe (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сообщения об ошибках, появляющиеся при выполнении начальной синхронизации

Ошибки, возникающие при выполнении хозяином операций начальной синхронизации, могут быть вызваны следующими причинами.
  • Хозяин RID

    Если не удается обратиться к хозяину RID и пул идентификаторов RID становится меньше 20%, в журнале событий службы каталогов регистрируется следующее сообщение.

    Источник: SAM
    Код события: 16651
    Описание:
    Запрос нового пула идентификаторов учетных записей не выполнен. Windows 2000 будет повторять запрос, пока он не будет выполнен. Ошибка: %n " %1 "

    Дополнительные сведения о схожем сообщении об ошибке, которое может появляться, если хозяин RID недоступен, см. в следующей статье базы знаний Майкрософт:
    248410 Сообщение об ошибке «Не удалось инициализировать распределитель идентификаторов учетных записей»
  • Хозяин схемы

    При выполнении команды adprep /forestprep для подготовки леса и доменов Windows 2000 к добавлению контроллеров домена Windows Server 2003 возникает ошибка и в файл журнала Adprep.log записывается следующее сообщение.
    Ошибка. Не удалось передать роль FSMO схемы: 52 (Недоступен). Если код ошибки - "Недостаточные права", убедитесь, что вход в систему выполнен членом группы администраторов схемы. Adprep не может обновить схему на сервере хозяина схемы.
    Данная ошибка может также возникать, если в базе данных DNS в качестве DNS-сервера указан компьютер, не являющийся DNS-сервером. При попытке изменить свойство схемы может появляться следующее сообщение об ошибке.
    Невозможно проверить обладание ролью FSMO, поскольку соответствующий раздел каталога не был реплицирован ни с одним партнером репликации.
  • Хозяин именования домена

    При добавлении к лесу нового дочернего домена или дерева может появляться следующее сообщение об ошибке.
    02/17 17:02:16 [INFO] Ошибка - Служба каталогов не смогла создать объект CN=UCD,CN=Partitions,CN=Configuration,DC=Domain,DC=loc. Проверьте журнал событий на наличие возможных системных ошибок. (8610)

    Дополнительные сведения о функциях хозяина именования домена при добавлении и удалении домена см. в следующих статьях базы знаний Майкрософт:
    254933 При добавлении или удалении доменов с помощью средства Dcpromo необходим доступ к хозяину именования домена (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

    255229 Средству Dcpromo не удается понизить роль последнего контроллера домена в дочернем домене (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Партнер репликаций, необходимый для раздела хозяина операций, находится на удаленном узле Active Directory

. Хозяева операций контроллеров домена в системе Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) попытаются выполнить репликацию от партнеров, не входящих в сайт, вместо того, чтобы ожидать открытия расписания репликации.

Как упомянуто ранее, для удаления связи репликации с контроллерами домена, содержащими разделы, имеющие особенные роли хозяев операции, можно использовать команду repadmin /delete. Чтобы воспользоваться командой repadmin /delete, выполните следующие действия:
  1. В командной строке введите команду:
    repadmin /showreps /v контроллер_домена_которому_присвоена_роль_хозяина_операций
    Запомните имена исходных контроллеров домена, от которых осуществляется репликация соответствующего раздела этого хозяина операций.
  2. Для каждого исходного контроллера домена, от которого осуществляется репликация соответствующего раздела этого хозяина операций, запомните имя полной записи CNAME в следующем формате:

    guid._msdcs.узнаваемое_имя_корневого_домена_леса

    Например, запись CNAME контроллера домена в лесу Contoso.com может выглядеть следующим образом:

    f4a9999b-db8b-4568-ad06-8e6cddb0b284._msdcs.Contoso.com
  3. Для каждого исходного контроллера домена, от которого осуществляется репликация хозяина операций, используйте команду repadmin /delete, чтобы удалить связи репликации из всех остальных контроллеров домена. Например, введите:

    repadmin /delete naming_context принимающий_контроллер_домена DNS_имя_исходного_контроллера_домена_на основе GUID /localonly


    Например, если мастер RID расположен в DC1.Contoso.com, а в строке введена команда repadmin /showreps /v, будет отображено следующее:
    • DC1.Contoso.com “pulls” the DC=Раздел Contoso второго контроллера домена, DC2.Contoso.com (NTDS-DSA object GUID = d140762d-aa9f-4ebe-b373-2a4d7118a394) .
    • DC1.Contoso.com “pulls” the DC=Раздел Contoso третьего контроллера домена, DC3.Contoso.com (NTDS-DSA object GUID =f4a9999b-db8b-4568-ad06-8e6cddb0b284).
    • Корневой домен леса – Contoso.com.

    В этом случае, чтобы удалить связи репликации из контроллеров домена DC2 и DC3, введите следующие команды:
    repadmin /delete cn=schema,cn=configuration,dc=contoso,dc=com dc1 d140762d-aa9f-4ebe-b373-2a4d7118a394._msdcs.contoso.com /localonly
    repadmin /delete cn=schema,cn=configuration,dc=contoso,dc=com dc1 f4a9999b-db8b-4568-ad06-8e6cddb0b284._msdcs.contoso.com /localonly

Ссылки

Дополнительные сведения об установке средств поддержки Windows 2000 см. в следующей статье базы знаний Майкрософт:
301423 Установка программ поддержки Windows 2000 на компьютер под управлением Windows 2000 Server

Дополнительные сведения о ролях FSMO см. в следующих статьях базы знаний Майкрософт:
197132 Роли FSMO службы Active Directory в Windows 2000
234790 Как определить сервер, который обладает ролями FSMO (Flexible Single Master Operations)
223346 Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000
Дополнительные сведения о том, как запустить репликацию Active Directory, см. в следующей статье базы знаний Майкрософт:
232072 Запуск репликации между прямыми партнерами репликации в Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 305476 - Последний отзыв: 22 декабря 2006 г. - Revision: 8.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbinfo kbactivedirectory kbwinservds KB305476

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com