Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

JAK: Rozwiązywanie problemów z awarią replikacji wewnątrz lokacji

Streszczenie
W tym artykule opisano „krok po kroku” różne objawy wskazujące na awarię replikacji wewnątrz lokacji oraz metody rozwiązania problemów tego typu.

Ważne Mimo że replikacja usług katalogowych (DS, Directory Services) oraz usługi replikacji plików (FRS, File Replication Services) używają tych samych mechanizmów konfiguracji połączenia i harmonogramów replikacji, stanowią dwa całkowicie odmienne składniki. W tym artykule opisano najczęściej używane narzędzia i techniki stosowane podczas rozwiązywania problemów z replikacją obiektów połączenia w celu diagnozowania problemów z replikacją wewnątrz lokacji.

Najczęściej spotykane objawy awarii replikacji

Najczęściej spotykane objawy wskazujące na awarię replikacji wewnątrz lokacji:
  • Użytkownicy i komputery nie otrzymują zaktualizowanych zasad.
  • Poprawna zawartość udziału SYSVOL nie jest replikowana na wszystkich kontrolerach domen (DC, Domain Controller).

    Uwaga Problem może również pojawić się w wyniku awarii usług FRS.
Aby rozwiązać te problemy, użyj następujących narzędzi:
  • Narzędzia Domain Controller Diagnostics (Dcdiag.exe) oraz Network Diagnostics (Netdiag.exe). Narzędzia można znaleźć w katalogu Windows 2000 Support Tools na dysku CD z systemem Windows 2000. Aby uzyskać dodatkowe informacje dotyczące sposobu otrzymania narzędzi diagnostycznych Dcdiag.exe oraz Netdiag.exe i korzystania z nich, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    265706 DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation
  • Narzędzie Replication diagnostics (Repadmin.exe). Użyj tego narzędzia do sprawdzenia poprawności łączy lokacji i wyświetlenia połączeń przychodzących i wychodzących. Można go użyć również do wyświetlenia kolejki replikacji. Narzędzie można znaleźć w katalogu Windows 2000 Support Tools na dysku CD z systemem Windows 2000. Aby uzyskać dodatkowe informacje dotyczące sposobu otrzymania narzędzia diagnostycznego Repadmin.exe i korzystania z niego, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    229896 Using Repadmin.exe to Troubleshoot Active Directory Replication
  • Narzędzie usługi replikacji plików (Ntfrsutil.exe).
  • Monitor replikacji usługi Active Directory (Replmon.exe). Narzędzie można znaleźć w katalogu Windows 2000 Support Tools na dysku CD z systemem Windows 2000.
Poniższa lista zawiera listę podstawowych kroków, które można wykonać podczas rozwiązywania problemów tego typu:
  • Upewnij się, że usługa DNS (Domain Name Service) jest poprawnie skonfigurowana. Aby replikacja katalogów była poprawnie wykonywana, wymagana jest poprawna konfiguracja usługi DNS.
  • Upewnij się, że za pomocą programu Ping.exe można zbadać kontroler domeny, wywołując go przy użyciu nazwy hosta oraz adresu IP z komputera z tego samego koncentratora.
  • Upewnij się, że komputery znajdujące się w gałęzi mogą rozpoznać nazwy komputerów z tego samego koncentratora. Na przykład użyj polecenia „ping” dla nazwy serwer1.domena1.lokacja1.las.com.
  • Upewnij się, że serwery można zbadać poleceniem ping przy użyciu ich identyfikatorów GUID (Globally Unique Identifier) wyświetlonych w dziennikach zdarzeń. Jeśli można zbadać serwer poleceniem ping, używając jego nazwy hosta, a nie można, używając identyfikatora GUID, występuje problem konfiguracji usługi DNS.
  • Uruchom narzędzie Dcdiag.exe. Narzędzie wykonuje serię testów, każdy kończy się wynikiem „Zakończono pomyślnie” lub „Nie powiodło się”. Upewnij się, czy wszystkie testy zostały zakończone pomyślnie.
  • Wyświetl w Podglądzie zdarzeń dziennik usługi katalogowej dla gałęzi, w której występują problemy. Zbadaj problem i usuń wszystkie błędy.
  • Sprawdź poprawność łączy lokacji za pomocą narzędzia Repadmin.exe, korzystając z przełącznika /showreps.
  • Sprawdź połączenia przychodzące za pomocą narzędzia Repadmin.exe, korzystając z przełącznika /showconn.
  • Wyświetl wszystkie pliki dziennika z folderu Winnt\Debug.

Wybrane objawy i kroki rozwiązywania problemów

Uwaga: W następnych sekcjach kontroler domeny, który raportuje problem, jest określany nazwą „serwer docelowy”. Kontroler domeny, z którego serwer docelowy próbuje zreplikować zawartość, jest określany nazwą „serwer źródłowy”.

Błędy typu „Odmowa dostępu”

Użycie narzędzia Repadmine.exe z przełącznikiem /showreps prowadzi do wyświetlenia jednego lub więcej komunikatów o błędach „Odmowa dostępu” w zwracanych informacjach o stanie replikacji. Oznacza to, że ostatnia próba skontaktowania się kontrolera domeny z innym kontrolerem domeny zakończyła się niepowodzeniem. Ponieważ kontroler domeny jest członkiem grupy Kontrolery domeny przedsiębiorstwa, ma uprawnienia do wywołania dowolnej funkcji na innym kontrolerze domeny. Jeśli wywołania funkcji z innego kontrolera domeny kończą się błędami „Odmowa dostępu”, przyczyną nie jest brak poprawnych uwierzytelnień, tylko niepoprawne skonfigurowanie kontrolerów domeny.
  • Jeśli błąd jest typu „ERROR_ACCESS_DENIED”, problem może być związany z protokołem Kerberos.
  • Jeśli błąd jest typu „ERROR_DRA_ACCESS_DENIED” sprawdź, czy poprawne są konta komputera dla obu komputerów w obydwu katalogach. Upewnij się, że pole userAccountControl jest poprawne dla kontrolera domeny.

Program Repadmin.exe lub Replmon.exe zgłasza błąd „Odmowa dostępu” dla wybranej partycji katalogu

Ten błąd zwykle oznacza problem z uwierzytelnianiem protokołu Kerberos, są jednak wyjątki. Aby rozwiązać problem z replikacją w tym przypadku, przed próbą jego rozwiązania spróbuj usunąć awarię uwierzytelnienia. Aby rozwiązać ten problem:
  1. Upewnij się, że uprawnienie użytkownika „Uzyskuj dostęp do tego komputera z sieci” w zasadzie zabezpieczeń serwera źródłowego zawiera konto komputera docelowego. Można to zrobić w grupie Każdy, grupie Kontrolery domeny przedsiębiorstwa lub podając je indywidualnie.
  2. Upewnij się, że uruchomiona jest usługa Centrum dystrybucji kluczy. Aby sprawdzić na dowolnym kontrolerze domeny, czy usługa nie uległa awarii, użyj narzędzia Dcdiag.exe i polecenia dcdiag /test:services .

    Uwaga Między wyrazem „test” a wyrazem „services” znajduje się dwukropek.
  3. Upewnij się, że serwer docelowy zawiera obiekty połączenia pochodzące z innych serwerów źródłowych. Jeśli ich nie zawiera oraz jeśli Narzędzie sprawdzania spójności informacji (KCC, Knowledge Consistency Checker) nie utworzy ich automatycznie lub jeśli zostanie wyłączone, należy je utworzyć ręcznie.
  4. Upewnij się, że topologia narzędzia KCC jest połączona. Jeśli narzędzie KCC nie utworzyło pełnej topologii, zmiany nie mogą być replikowane. Aby to sprawdzić, użyj polecenia dcdiag/test:topology i podaj topologię domeny do sprawdzenia.
  5. Upewnij się, że pole wyboru Ufaj komputerowi w kwestii delegowania jest zaznaczone na karcie Ogólne okna dialogowego Kontroler domeny - właściwości w przystawce programu MMC Użytkownicy i komputery usługi Active Directory.
  6. Jeśli problem dotyczy kontrolerów domeny z różnych domen, sprawdź relację zaufania. Aby to zrobić, użyj przystawki Domeny i relacje zaufania usługi Active Directory lub użyj polecenia netdom trust nazwa_domeny_ufającej /domain:nazwa_domeny_zaufanej /verify /kerberos .
  7. Upewnij się, że każdy z komputerów jest zsynchronizowany w kontekście nazewnictwa konfiguracji (Config NC). Narzędzie KCC musi mieć informacje o serwerach i lokacjach. Aby wymusić pobranie przez serwer najnowszych informacji o przedsiębiorstwie, możesz użyć polecenia repadmin/syncall . Podaj następujący kontekst nazewnictwa do synchronizowania: Config NC. Upewnij się, że topologia łączy lokacji jest poprawna. Aby wymusić odbudowanie topologii, wymuś uruchomienie narzędzia KCC na każdym z serwerów lub poczekaj 15 minut.
  8. Upewnij się, że działają kluczowe serwery czołowe. Ustal, czy zmiany są widoczne w całym przedsiębiorstwie. Dla każdej witryny uruchom raz polecenie dcdiag/test:intersite . Polecenie zwraca nazwę serwerów czołowych oraz informacje, czy raportują one jakiekolwiek błędy.
  9. Sprawdź atrybut właściwości userAccountControl. Upewnij się, że atrybuty UF_SERVER_TRUST_ACCOUNT 0x2000 oraz UF_TRUSTED_FOR_DELEGATION 0x80000 są zdefiniowane. Na przykład wartość atrybutu 532480 przekonwertowana z zapisu dziesiętnego do szesnastkowego wyniesie x82000, gdzie 0x80000 odpowiada atrybutowi UF_TRUSTED_FOR_DELEGATION, a 0x2000 odpowiada atrybutowi UF_SERVER_TRUST_ACCOUNT.
  10. Użyj narzędzia Replmon.exe, aby ustalić, czy atrybuty pwdLastSet oraz unicodePwd są oznaczone taką samą godziną i datą na wszystkich komputerach.
  11. Upewnij się, że nazwy główne usługi (SPN) są zarejestrowane na każdym kontrolerze domeny. Aby to sprawdzić, użyj polecenia dcdiag/test:outboundsecurechannels . Nazwę SPN użytą do replikacji można ustalić według poprzedniego identyfikatora GUID: E3514235-4B06-11D1-AB04-00C04FC2DCD2/b2f6f255-4446-45e8-81a3-0649d5d71a66/domena.com.
  12. Wymuś replikację wszystkich kont komputera w przedsiębiorstwie. Oznacza to synchronizację wszystkich kontrolerów domeny ze swoimi kopiami w domenie. Jeśli komputer zgłosi błąd replikacji typu „Odmowa dostępu”, użyj polecenia repadmin/syncall do wymuszenia aktualizacji tego komputera. Pamiętaj, że musisz określić domenę do synchronizacji.
  13. Po uruchomieniu polecenia Repadmin.exe może pojawić się następujący komunikat o błędzie:
    Nie można ustanowić kontekstu zabezpieczenia wskutek błędu w żądanej jakości usługi.
    Jeśli tak się stanie, włącz przetwarzanie wewnętrzne i odszukaj identyfikatory „DSID”. Skontaktuj się z Pomocą techniczną firmy Microsoft, aby uzyskać informacje o narzędziu Dsid.exe. Aby uzyskać informacje o kontaktowaniu się z Pomocą techniczną firmy Microsoft, odwiedź następującą witrynę sieci Web firmy Microsoft:
  14. Upewnij się, że grupa Kontrolery domeny przedsiębiorstwa ma wymagane uprawnienia na listach ACL partycji katalogu:
    1. Uruchom przystawkę Użytkownicy i komputery usługi Active Directory.
    2. W menu Widok kliknij polecenie Funkcje zaawansowane, jeżeli nie jest jeszcze zaznaczone.
    3. Kliknij prawym przyciskiem myszy obiekt domena główna, a następnie kliknij polecenie Właściwości.
    4. Kliknij kartę Zabezpieczenia, kliknij pozycję KONTROLERY DOMENY PRZEDSIĘBIORSTWA na liście nazw, a następnie upewnij się, że następujące uprawnienia są zaznaczone w obszarze Zezwalaj:
      Zarządzanie topologią replikacji
      Replikowanie zmian katalogów
      Synchronizacja replikacji
  15. Użyj przystawki Lokacje i usługi Active Directory i upewnij się, że obiekt Serwer i jego obiekt podrzędny „Ustawienia NTDS” istnieją w poprawnej lokacji.
  16. Sprawdź, czy na serwerze docelowym nie istnieją stare lub nieprawidłowe bilety do serwera źródłowego. Do wykonania testów użyj narzędzi Kerbtray i Klist z zestawu Windows 2000 Resource Kit. Użyj polecenia NETDOM RESETPWD do zresetowania hasła konta i zapisania tej zmiany na bezpośrednim partnerze replikacji. Hasło zostanie zmienione, stare i nowe hasła zostaną ustawione na te same wartości, a zmiana zapisana na partnerze replikacji. Oznacza to, że konieczne będzie wykonanie następującego polecenia lub ponowne uruchomienie komputera:
    klist purgeall

Błąd „Operacja DSA nie może być kontynuowana wskutek błędu wyszukiwania DNS”

Aby rozwiązać błąd:
  1. Użyj polecenia Nltest /dsgetdc: /pdc /force /avoidself, aby ustalić, czy jest zwracany poprawny podstawowy kontroler domeny.
  2. Jeśli wynikiem działania polecenia REPLMON lub REPADMIN będzie obiekt połączenia, a nie połączenie replikacji, problem może dotyczyć narzędzia KCC.
  3. Uruchom następujące polecenia na podstawowym kontrolerze domeny, a następnie przekaż wynik Pomocy technicznej firmy Microsoft w celu dalszego rozwiązywania problemów:
    nltest /DBFLAG:0x2000FFFF

    -oraz-

    nltest /DSGETDC: /GC
  4. Uruchom polecenie nltest /dsgetdc: /gc /force i ustal, czy można skontaktować się z serwerem wykazu globalnego (GC, Global Catalog).
  5. Zwróć uwagę na parametr „ostatnia zmiana hasła” na podstawowym kontrolerze domeny i na serwerach, na których problem występuje.

Operacja w kolejce lub Brak połączeń replikacji

Po uruchomieniu narzędzia Repadmin.exe lub Replmon.exe nie są raportowane żadne połączenia replikacji. Aby rozwiązać ten problem, uruchom narzędzie KCC, wyświetl dziennik usług katalogowych i znajdź wszystkie zdarzenia związane z narzędziem KCC. Najczęściej spotyka się błąd komunikacji z kontrolerem domeny.

Odmówiono dostępu dla replikacji lub Kontekst nazewnictwa jest właśnie usuwany

Po uruchomieniu replikacji jest wyświetlany jeden z poniższych komunikatów:
Odmówiono dostępu.
-lub-
Kontekst nazewnictwa jest właśnie usuwany.
Ten problem może się pojawić, jeśli użytkownik korzystający z przystawki Lokacje i usługi Active Directory do uruchomienia replikacji na kontrolerze domeny nie ma odpowiednich uprawnień do inicjowania replikacji. Sprawdź uprawnienia użytkownika wykonującego tę operację.

Zduplikowane obiekty połączenia w lokacjach

Aby rozwiązać ten problem: OSTRZEŻENIE: Nieprawidłowe korzystanie z Edytora Rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.
  1. Sprawdź, czy w przeszłości były używane jawne serwery czołowe między lokacjami i nie zostały usunięte lub są aktualnie używane i niepoprawnie skonfigurowane. Jedną z metod sprawdzenia tego jest użycie narzędzia LDP do połączenia się z Międzylokacyjnym generatorem topologii (ISTG, Inter-Site Topology Generator) w lokacji zawierającej zduplikowane połączenia. Zlokalizuj kontener transportu międzylokacyjnego w kontekście Config NC, następnie obiekt cn=ip i wyświetl go. Jeśli zawiera atrybut „bridgeheadServerListBL” oznacza to, że jawny serwer czołowy istnieje. Aby uzyskać dodatkowe informacje dotyczące określania generatora ISTG lokacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    224599 Determining the Inter-Site Topology Generator (ISTG) of a Site in the Active Directory
  2. Sprawdź we wszystkich lokacjach lub w wybranym podzbiorze, czy nie istnieją zduplikowane połączenia. Odszukaj zduplikowane połączenia między wybranymi zestawami serwerów. W lokacji zawierającej zduplikowane połączenia wyświetl atrybut fromServer zduplikowanego połączenia. Na podstawie atrybutu „fromServer” zidentyfikuj lokację, w której znajduje się atrybut „fromServer”. Spróbuj zidentyfikować cechy tej lokacji. Ile serwerów znajduje się w lokacji? Czy jakieś serwery są dostępne z poziomu narzędzia Ping wykonywanego z generatora ISTG?
  3. Upewnij się, że interwał replikacji jest odpowiednio ustawiony i generator ISTG może ukończyć replikację.
  4. Aby określić problemy ze zduplikowanymi połączeniami:
    1. Wybierz kontroler domeny, który tworzy zduplikowane międzylokacyjne połączenia przychodzące. Na przykład ten sam źródłowy kontroler domeny oraz docelowy kontroler domeny (nie tę samą lokację źródłową i lokację docelową). Wybrany kontroler domeny musi być generatorem ISTG tej lokacji. Generator ISTG można zidentyfikować oglądając właściwości ustawień lokacji usługi NTDS w przystawce Lokacje i usługi Active Directory.
    2. Znacznie zwiększ rozmiar dziennika zdarzeń usług katalogowych. Na przykład do 64 megabajtów (MB).
    3. Użyj Edytora rejestru, aby ustawić wartość 1 Knowledge Consistency Checker na 5 i wartość 9 Internal Processing na 1, w następującym podkluczu rejestru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    4. Uruchom polecenie ldifde -f before.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com" .
    5. Niech T0=bieżąca godzina.
    6. Uruchom polecenie repadmin /kcc i poczekaj na zakończenie.
    7. Uruchom Podgląd zdarzeń i upewnij się, że w dzienniku zdarzeń Usług katalogowych zarejestrowano zdarzenia informacyjne sprzed godziny T0 (w tym zdarzenie 1009 narzędzia KCC, „Narzędzie sprawdzania spójności rozpoczęło aktualizację topologii replikacji dla tego serwera”). Jeśli nie, zwiększ dwukrotnie rozmiar dziennika zdarzeń i wróć do kroku e: Niech T0=bieżąca godzina.
    8. Zapisz dziennik zdarzeń usług katalogowych.
    9. Uruchom polecenie ldifde -f after.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com" .
    10. Aby uzyskać więcej informacji, obejrzyj plik Before.ldf, After.ldf oraz dziennik zdarzeń usług katalogowych.

Zasada grupy jest stosowana niespójnie na kontrolerach domeny

Aby upewnić się, czy zasada grupy została poprawnie zreplikowana na kontrolerach domeny w domenie, użyj następującego skryptu przykładowego. Firma Microsoft podaje przykłady programowania tylko dla celów ilustracyjnych, nie udzielając żadnej rękojmi, wyrażonej wprost lub domyślnie, w tym także, bez ograniczeń, ustawowej rękojmi co do przydatności handlowej lub do określonych celów. W tym artykule założono, że czytelnik zna demonstrowany język programowania oraz narzędzia używane do tworzenia i debugowania procedur. Wykwalifikowani pracownicy Pomocy technicznej firmy Microsoft mogą pomóc w wyjaśnieniu, jak działa określona procedura, ale nie będą modyfikować tych przykładów ani dodawać żadnej funkcji i konstruować nowych procedur w celu dostosowania ich do określonych potrzeb użytkownika. Jeśli czytelnik ma niewielkie doświadczenie w programowaniu, może skontaktować się z autoryzowanym partnerem firmy Microsoft lub zatelefonować pod numer (+01 800) 936 52 00 płatnej linii doradczej firmy Microsoft. Aby uzyskać więcej informacji dotyczących autoryzowanych partnerów firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej oraz sposobu kontaktowania się z firmą Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web: Użyj polecenia chkpolicy nazwa domeny , aby uruchomić ten skrypt:
@echo offREM \logs\chkpolicy domain_namesetfilename=sysvol\%dom_name%\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GPTTMPL.INFnltest /dclist:%dom_name% > dclist.tmpdel dclist1.tmpFOR /F "eol=; tokens=1 delims=, " %%i in (dclist.tmp) do (     @echo %%i >> dclist1.tmp)FOR /F "eol=. tokens=1 delims=. " %%i in (dclist1.tmp) do (      @echo %%i     dir  "\\%%i\%filename%")

Usługa katalogowa jest zbyt zajęta, aby dokończyć operację

Może zostać wyświetlony błąd 8438, ERROR_DS_DRA_BUSY, „Usługa katalogowa jest zbyt zajęta, aby dokończyć teraz operację replikacji”. Usługa katalogowa zwraca błąd, gdy usuwanie kontekstu nazewnictwa zostało rozpoczęte (i usunięto 500 obiektów), ale w jednym przebiegu jest zbyt wiele obiektów do przetworzenia (bez angażowania kolejki replikacji). Jeśli czyszczenie wykazu globalnego uniemożliwia pomyślną replikację, tworzy się plik wsadowy przyśpieszający proces. Następnie można ponownie podwyższyć poziom komputera do serwera wykazu globalnego. Następujący skrypt umożliwia wykonanie tego zadania: Firma Microsoft podaje przykłady programowania tylko dla celów ilustracyjnych, nie udzielając żadnej rękojmi, wyrażonej wprost lub domyślnie, w tym także, bez ograniczeń, ustawowej rękojmi co do przydatności handlowej lub do określonych celów. W tym artykule założono, że czytelnik zna demonstrowany język programowania oraz narzędzia używane do tworzenia i debugowania procedur. Wykwalifikowani pracownicy Pomocy technicznej firmy Microsoft mogą pomóc w wyjaśnieniu, jak działa określona procedura, ale nie będą oni modyfikować tych przykładów ani dodawać żadnej funkcji i konstruować nowych procedur w celu dostosowania ich do określonych potrzeb użytkownika. Jeśli czytelnik ma niewielkie doświadczenie w programowaniu, może skontaktować się z autoryzowanym partnerem firmy Microsoft lub zatelefonować pod numer (+01 800) 936 52 00 płatnej linii doradczej firmy Microsoft. Aby uzyskać więcej informacji dotyczących autoryzowanych partnerów firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać więcej informacji dotyczących autoryzowanych partnerów firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej oraz sposobu kontaktowania się z firmą Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:
setlocalset destgc=__setgcnamehere__.site1.forest1.com:domain1repadmin /delete DC=domain1,DC=site1,DC=forest1,DC=com %destgc% /nosourceif %errorlevel% == 8438 goto :domain2:domain2repadmin /delete DC=domain2,DC=Site1,DC=forest1,DC=com %destgc% /nosourceif %errorlevel% == 8438 goto :domain3REM ...endlocal

Zaawansowane techniki rozwiązywania problemów

Narzędzie sprawdzania spójności informacji oraz generator ISTG

Możliwe jest utworzenie dziennika zdarzeń Narzędzia sprawdzania spójności informacji, który będzie zawierać więcej informacji diagnostycznych. Aby to zrobić, wykonaj następujące kroki w generatorze ISTG lokacji, w której występują zduplikowane połączenia:
  1. Zapisz zawartość dziennika zdarzeń i wyczyść dziennik zdarzeń.
  2. Ustaw wartość DWORD 1 Knowledge Consistency Checker rejestru na 5 w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
  3. Uruchom Narzędzie sprawdzania spójności informacji za pomocą polecenia repadmin /kcc .
  4. Zresetuj wartość DWORD 1 Knowledge Consistency Checker rejestru na 0 (zero).
  5. Zapisz nowy dziennik zdarzeń.
Aby uzyskać nową miarę bazową:
  1. Upewnij się, że komputer ma łącze lokacji z koncentratorem. Jeżeli takie nie istnieje, należy je utworzyć.
  2. Usuń wszystkie obiekty połączenia przychodzące na komputer.
  3. Uruchom Narzędzie sprawdzania spójności informacji za pomocą polecenia repadmin /kcc .
  4. Wykonując polecenie repadmin /showconn upewnij się, że połączenia zostały utworzone zgodnie z oczekiwaniami.
  5. Sprawdź listę błędów w dzienniku zdarzeń usługi katalogowej. Mogą pojawić się błędy (na przykład o identyfikatorze zdarzenia 1265), oznaczające, że nie można dodać repliki do kontekstu nazewnictwa Xoraz błąd Y. Sprawdź, czy błąd dotyczy usługi DNS czy połączeń, i spróbuj usunąć problem. Jeśli błąd oznacza, że nazwa konta docelowego jest nieprawidłowa lub błąd dotyczy nazwy SPN, problem może być trudniejszy do usunięcia.
  6. Jeśli w dzienniku zdarzeń znajdują się informacje o poprawnym dodaniu repliki, można je zweryfikować przez uruchomienie polecenia repadmin /showreps.
Po dostosowaniu interwałów replikacji łączy lokacji należy poczekać na zreplikowanie zmian konfiguracji na innych serwerach koncentratora, a następnie ponownie uruchomić każdy z serwerów koncentratora w celu wyczyszczenia kolejki replikacji. W celu wymuszenia replikacji kontekstu nazewnictwa Konfiguracja oraz aby zaktualizowane łącza lokacji były widoczne na każdym serwerze koncentratora przed ich ponownym uruchomieniem, użyj polecenia repadmin/sync lub przystawki Lokacje i usługi Active Directory. Użyj narzędzia Dcdiag.exe do oceny stanu replikacji w każdej lokacji. Możesz wykonać tę czynność zdalnie, używając skryptu i przeszukując dane wyjściowe na występowanie wyrazu „błąd” („fail”). Możesz użyć następującego skryptu przykładowego: Firma Microsoft podaje przykłady programowania tylko dla celów ilustracyjnych, nie udzielając żadnej rękojmi, wyrażonej wprost lub domyślnie, w tym także, bez ograniczeń, ustawowej rękojmi co do przydatności handlowej lub do określonych celów. W tym artykule założono, że czytelnik zna demonstrowany język programowania oraz narzędzia używane do tworzenia i debugowania procedur. Wykwalifikowani pracownicy Pomocy technicznej firmy Microsoft mogą pomóc w wyjaśnieniu, jak działa określona procedura, ale nie będą oni modyfikować tych przykładów ani dodawać żadnej funkcji i konstruować nowych procedur w celu dostosowania ich do określonych potrzeb użytkownika. Jeśli czytelnik ma niewielkie doświadczenie w programowaniu, może skontaktować się z autoryzowanym partnerem firmy Microsoft lub zatelefonować pod numer (+01 800) 936 52 00 płatnej linii doradczej firmy Microsoft. Aby uzyskać więcej informacji dotyczących autoryzowanych partnerów firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej oraz sposobu kontaktowania się z firmą Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:
REM check replications in site site1dcdiag /s:dc1 /test:replications /a /n:domain1dcdiag /s:dc1 /test:replications /a /n:domain2dcdiag /s:dc1 /test:replications /a /n:domain3REM check replications in site site2REM continue Dcdiag statements for domains in site2

Usługa replikacji plików (FRS)

  1. Jeśli podejrzewasz, że replikacja usług katalogowych działa, a usługa replikacji plików nie, upewnij się, że na wszystkich partnerach replikacji zainstalowana jest poprawka usługi replikacji plików wydana po opublikowaniu dodatku Service Pack 1 (SP1). Ta aktualizacja jest dołączona do dodatku Service Pack 2 oraz Service Pack 3 dla systemu Windows 2000.
  2. Uruchom polecenie Ntfrsutil ds, aby:
    • Upewnić się, że istnieje tylko jeden obiekt subskrybenta o nazwie „WOLUMIN SYSTEMOWY (SYSVOL) DOMENY” i zawiera atrybut „Member Ref”. Na przykład:
      • SUBSKRYBENT: WOLUMIN SYSTEMOWY (SYSVOL) DOMENY
      • Member Ref: CN=TEST1,CN=Wolumin systemowy (SYSVOL) domeny,CN=Usługa replikacji pli...
    • Zlokalizuj dane wyjściowe obiektu członkowskiego („zrzut”) dla tego kontrolera domeny, a następnie upewnij się, że znajdują się w nich atrybuty Server Ref oraz Computer Ref. Upewnij się również, że co najmniej jedno połączenie jest obecne bezpośrednio pod tym obiektem członkowskim. Jest to połączenie przychodzące do tego kontrolera domeny. Na przykład: MEMBER: TEST1
      • Server Ref : CN=NTDS Settings,CN=TEST1,CN=Serwery,CN=Default-First-Site-Name,CN=Sit...
      • Computer Ref : cn=test1,ou=domain controllers,dc=domena1,dc=lokacja1,dc=las1,dc=com...
      • DN : cn=d7874204-c331-4750-82ec-30b96a8ec732,cn=ntds settings,cn=test1,cn=s...
    • Upewnij się, że co najmniej jeden inny obiekt członkowski korzystał z tego kontrolera domeny jako partnera transmisji przychodzącej. Użyj atrybutu Partner Dn, aby określić, od którego partnera pochodzi połączenie.
      • Partner Dn : cn=ntds settings,cn=test1,cn=serwery,cn=default-first-site-name,cn=sit...
  3. Uruchom polecenie Ntfrsutil, aby:
    • Upewnić się, że zestaw replik WOLUMIN SYSTEMOWY (SYSVOL) DOMENY ma atrybut Service State o wartości AKTYWNY Na przykład:
      ServiceState : 3 (AKTYWNY)
    • Upewnij się, że istnieje co najmniej jedno połączenie przychodzące z tego kontrolera domeny oraz jedno połączenie z niego wychodzące. Na przykład:
      Przychodzące : FAŁSZ
      Przychodzące : PRAWDA
  4. Zwiększ poziom rejestrowania usługi FRS. Aby to zrobić, dodaj następujące wartości rejestru do podklucza rejestru
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
    :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
    :
    Nazwa wartości: Debug Log Severity
    Typ wartości: REG_DWORD
    Wartość: 0x00000004
    Nazwa wartości: Debug Maximum Log Messages
    Typ wartości: REG_DWORD
    Wartość: 50000
    Nazwa wartości: Debug Log Files
    Typ wartości: REG_DWORD
    Wartość: 0x00000032
  5. Aby ułatwić rozwiązywanie problemów, można „zrzucić” do pliku stan usługi FRS na kontrolerze domeny. Aby to zrobić, użyj następującego skryptu przykładowego: Firma Microsoft podaje przykłady programowania tylko dla celów ilustracyjnych, nie udzielając żadnej rękojmi, wyrażonej wprost lub domyślnie, w tym także, bez ograniczeń, ustawowej rękojmi co do przydatności handlowej lub do określonych celów. W tym artykule założono, że czytelnik zna demonstrowany język programowania oraz narzędzia używane do tworzenia i debugowania procedur. Wykwalifikowani pracownicy Pomocy technicznej firmy Microsoft mogą pomóc w wyjaśnieniu, jak działa określona procedura, ale nie będą oni modyfikować tych przykładów ani dodawać żadnej funkcji i konstruować nowych procedur w celu dostosowania ich do określonych potrzeb użytkownika. Jeśli czytelnik ma niewielkie doświadczenie w programowaniu, może skontaktować się z autoryzowanym partnerem firmy Microsoft lub zatelefonować pod numer (+01 800) 936 52 00 płatnej linii doradczej firmy Microsoft. Aby uzyskać więcej informacji dotyczących autoryzowanych partnerów firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać więcej informacji na temat dostępnych opcji pomocy technicznej oraz sposobu kontaktowania się z firmą Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:
    @echo offREM FRS_CHECK.CMD - Records the state of FRSSETLOCAL ENABLEEXTENSIONSSET FRSCK=C:\FRS_CHECKif NOT EXIST %FRSCK% (md %FRSCK%)REM  run dcdiagdcdiag  >  %FRSCK%\dcdiag.txtREM For FRS ntfrsutl  ds  > %FRSCK%\ntfrs_ds.txtntfrsutl  sets  > %FRSCK%\ntfrs_sets.txtntfrsutl  inlog  > %FRSCK%\ntfrs_inlog.txtntfrsutl  outlog  > %FRSCK%\ntfrs_outlog.txtntfrsutl  version  > %FRSCK%\ntfrs_version.txtregdmp HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters > %FRSCK%\ntfrs_reg.txtdir \\.\sysvol /s > %FRSCK%\ntfrs_sysvol.txtREM scan the frs debug logs for errors.findstr /i ":SO: error invalid fail abort warn" %windir%\debug\ntfrs_*.log   |findstr /v "IO_PEND ERROR_SUCCESS FrsErrorSuccess" > %FRSCK%\ntfrs_errscan.txtREM For DS replicationrepadmin /showreps  >  %FRSCK%\ds_showreps.txtrepadmin /showconn  >  %FRSCK%\ds_showconn.txt
Materiały referencyjne
Aby uzyskać informacje o sposobie otrzymania narzędzia Kerbtray.exe, przejdź do następującej witryny firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 249256 — ostatni przegląd: 07/31/2006 08:14:57 — zmiana: 4.0

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • kbhowtomaster KB249256
Opinia
l>