Active Directory replikacja identyfikator zdarzenia 1925 r.: Próbę ustanowienia replikacji łącza nie powiodła się z powodu problemu z łącznością

Tekst opisu w przypadku 1925 identyfikator zgłasza, że próba ustanowienia łącza replikacji dla następujących Zapisywalna partycja katalogu nie powiodła się, i tekst opisu zawiera nazwę wyróżniającą partycji katalogu, który jest miejsce docelowe próba replikacji ze źródła. Kod błędu w przypadku daje bardziej szczegółowe informacje na temat przyczyny problemu.

Oto przykład tekstu zdarzeń:

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: 3/12/2008  8:14:13 AM
Event ID: 1925
Task Category: Knowledge Consistency Checker 
Level: Warning
Keywords: Classic
User: ANONYMOUS LOGON
Computer: DC3.contoso.com
Description:
The attempt to establish a replication link for the following 
writable directory partition failed. 

Directory partition: 
CN=Configuration,DC=contoso,DC=com 
Source domain controller: 
CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com 
Source domain controller address: 
f8786828-ecf5-4b7d-ad12-8ab60178f7cd._msdcs.contoso.com 
Intersite transport (if any): 
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=contoso,DC=com
This domain controller will be unable to replicate with the source 
domain controller until this problem is corrected.

User Action 
Verify if the source domain controller is accessible or network 
connectivity is available. 

Additional Data 
Error value: 
1908 Could not find the domain controller for this domain.

 

Diagnoza

Gdy 1925 identyfikator zdarzenia zawiera błąd 1908 "Nie można odnaleźć kontrolera domeny dla tej domeny" replikacji usługi Active Directory nie powiodła się wskutek problemu z łącznością między źródłowego kontrolera domeny i kontrolera domeny, który zaraportował ten błąd który o nazwie w przypadku tekstu.

Rozwiązanie

Aby rozwiązać ten problem, należy użyć następujących testów:

  • Sprawdź, czy połączenie sieci WAN

  • Określić maksymalny rozmiar pakietu, a w razie potrzeby zmienić.

Sprawdź, czy połączenie sieci WAN

Sprawdź, czy nie ma problemów podstawową łączność z podstawowej sieci między kontrolerami domen, zwłaszcza, jeśli zostaną one odseparowane przez łącza sieci (rozległej WAN) rozległej lub zapory. Dla informacji dotyczących testowania ten typ problemu zobacz artykuł 310099 (http://go.microsoft.com/fwlink/?LinkId=69995), artykułu 159211 (http://go.microsoft.com/fwlink/?LinkId=69996) z bazy wiedzy Microsoft Knowledge Base).

Określić maksymalny rozmiar pakietu

Domyślnie protokół uwierzytelniania Kerberos w systemu Windows 2000, Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista i Windows Server 2008 używa protokół datagramów użytkownika (UDP), gdy dane można dopasować do pakietów mniej niż 2 000 bajtów. Wszelkich danych większy niż wartość ta używa protokołu TCP do przekazywania pakietów. Pakiety o więcej niż 1 500 bajtów często są odrzucane przez urządzenie, takie jak zapory w sieci.

Aby uniknąć tego problemu, należy określić rozmiar pakietu, który może pomieścić sieci. Następnie można edytować rejestr, tak, że maksymalna liczba bajtów dla przy użyciu protokołu UDP jest równa najniższej wartości, który zostanie wyświetlony, mniej 8 bajtów ze względu na rozmiar nagłówka.

Aby sprawdzić rozmiar pakietów, które mogą pomieścić sieci, można użyć polecenia ping .

Członkostwo w Użytkownicy domenylub równoważnej i zalogować się lokalnie na kontrolerze domeny są minimalnym wymaganiem do wykonania tej procedury. Szczegółowe informacje na temat używania odpowiednich kont i członkostwa w grupach w grupy domyślne domeny i lokalne (http://go.microsoft.com/fwlink/?LinkId=83477).

Aby ustalić najniższą wspólnej rozmiar pakietu

  1. Z kontrolera domeny docelowej Zbadaj źródłowy kontroler domeny na podstawie jego adresu IP. W wierszu polecenia wpisz następujące polecenie i naciśnij klawisz ENTER:

    ping <IP_address> -f -l 1472

  2. Z źródłowy kontroler domeny należy użyć polecenia w kroku 1 do pingowania docelowy kontroler domeny na podstawie jego adresu IP.

  3. Jeśli ping polecenie zostanie wykonane w obu kierunkach, nie wymaga żadnych dodatkowych zmian.

  4. Jeśli ping polecenie nie powiedzie się w obu kierunkach, monotonicznie niższy numer, której używasz w -l parametr do momentu znalezienia najniższej typowy rozmiar pakietów działa między kontrolerami domen źródłowych i docelowych.

Uwaga

Dcdiag.exe zawiera następujące metody do wykonywania tego badania: dcdiag /test:CheckSecurityError /s:<SourceDomainControllerName>

 

Można edytować rejestr, aby ustawić maksymalny rozmiar pakietów do wartości ustalonej przy użyciu metody PING, minus 8 bajtów na rozmiar nagłówka. Alternatywnie można edytować rejestr, tak, że zawsze jest przekroczona maksymalna liczba bajtów dla przy użyciu protokołu UDP i w związku z tym Kerberos zawsze używa protokołu TCP.

Wartość domyślna 2 000 bajtów można zmienić przez zmodyfikowanie wpisu rejestru MaxPacketSize w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Użyj poniższej procedury do zmiany tego ustawienia rejestru.

Ostrzeżenie

Zalecane jest, że użytkownik nie bezpośrednio edytować rejestru, jeżeli nie ma żadnych innych alternatyw. Zmiany w rejestrze nie są sprawdzane, przez Edytor rejestru lub przez system Windows przed ich stosowania, a w rezultacie niepoprawne wartości mogą być przechowywane. To może spowodować nieodwracalne błędy w systemie. Jeśli to możliwe, zasady grupy lub innych narzędzi systemu Windows, takich jak program Microsoft Management Console (MMC) można użyć do wykonania zadania, a nie bezpośrednią edycję rejestru. W razie konieczności edytowania rejestru, należy zachować szczególną ostrożność.

Wymagania

  • Poświadczenia: Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w Grupie Administratorzy domenylub równoważnej.

  • Narzędzia: Regedit.exe

Aby zmienić maksymalny rozmiar pakietu

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.

  2. Przejdź do kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.

  3. Edytuj — lub, jeśli nie istnieje w okienku szczegółów, należy utworzyć — zapis MaxPacketSize w następujący sposób:

    1. Aby edytować wpis, jeśli istnieje on w okienku szczegółów:

      Kliknij prawym przyciskiem myszy MaxPacketSize, kliknij przycisk Modyfikuj, a następnie w polu Dane wartości wpisz 1 , aby wymusić protokołu Kerberos do korzystania z protokołu TCP lub wpisz wartość, którą ustalone obniż tę wartość do odpowiednich maksymalny rozmiar.

    2. Aby utworzyć wpis, jeśli nie istnieje w okienku szczegółów:

      Kliknij prawym przyciskiem myszy Parametry, kliknij Nową wartość DWORD, wpisz nazwę MaxPacketSize, a następnie przejdź do kroku 3a, aby edytować wpis.

  4. Kliknij przycisk OK.

  5. Należy ponownie uruchomić kontroler domeny, aby ta zmiana zaczęła obowiązywać.

Zobacz też

Inne zasoby

Monitorowanie i rozwiązywanie problemów z replikacją usługi Active Directory przy użyciu narzędzia Repadmin

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×