排查 AD 复制错误 1908：找不到此域的域控制器

项目
02/19/2024

本文提供了解决 AD 复制错误 1908：找不到此域的域控制器的解决方法。

适用于：Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 编号： 2712026

注意

家庭用户： 本文仅适用于技术支持代理和 IT 专业人员。如果正在寻求解决问题的帮助，请向 Microsoft 社区提问。

症状

REPADMIN.exe 报告复制尝试失败，状态为 1908。

通常引用 1908 状态的 REPADMIN 命令包括但不限于：

REPADMIN /ADD
REPADMIN /REPLSUM *
REPADMIN /REHOST
REPADMIN /SHOWVECTOR /LATENCY
REPADMIN /SHOWREPS
REPADMIN /SHOWREPL

命令的示例 repadmin /syncall 输出：

Syncing all NC's held on CONTOSO-DC02.  
Syncing partition: DC=ForestDnsZones,DC=Contoso,DC=com  
CALLBACK MESSAGE: Error contacting server 1b136427-14f0-448a-965c-  
9cbb61400fcd._msdcs.Contoso.com (network error): 1908 (0x774):  
 Could not find the domain controller for this domain.

命令的示例 repadmin /showreps 输出：

DC=ForestDnsZones,DC=Contoso,DC=com  
HQ\Contoso-DC02 via RPC  
DC object GUID:1b136427-14f0-448a-965c-9cbb61400fcd._msdcs.Contoso.com/  
Last attempt @ <DATE> <TIME> failed, result 1908 (0x774):  
Could not find the domain controller for this domain.  
<# consecutive failure>  
<Last Success>

NTDS KCC、具有 1908 状态的 NTDS 复制事件记录在目录服务事件日志中。

通常引用 1908 状态的 Active Directory 事件包括但不限于：

事件源	事件类别	事件 ID	事件类型	事件字符串
NTDS KCC	知识一致性检查器	1926	警告	尝试建立指向具有以下参数的只读目录分区的复制链接失败。
NTDS KCC	知识一致性检查器	1925	警告	尝试为以下可写目录分区建立复制链接失败。
NTDS 复制	复制	1943	错误	Active Directory 无法删除本地域控制器上的所有挥之不去的对象。但是，在此操作停止之前，可能已在此域控制器上删除了某些挥之不去的对象。所有对象都已在以下源域控制器上验证其存在。
NTDS 复制	安装	1125	错误	Active Directory 域服务安装向导 (Dcpromo) 无法与以下域控制器建立连接。

这些事件将包含以下子错误值：

其他数据
错误值：
找不到此域的域控制器。 1908

尝试通过“立即复制”选项在 Active Directory 站点和服务控制台 (dssite.msc) 强制复制时，可能会收到以下错误：

对话框标题文本：立即复制

对话框消息文本：尝试将命名上下文命名上下文<>从域控制器 <Source-DC-Name> 同步到域控制器 <Destination-DC-Name> 期间发生以下错误：找不到此域的域控制器。

失败消息：找不到此域的域控制器。

对话框中的按钮：确定
域控制器升级/降级

“失败 Dcpromo.exe”对话框：

对话框标题文本：Active Directory 安装向导

对话框消息文本：Active Directory 无法为此域控制器 CN=NTDS 设置创建 NTDS 设置对象，CN=<DC_Name，CN>=服务器，CN=<SiteName，CN>=Sites，CN=Configuration，DomainDN>< 在删除域控制器<Remote_DC_FQDN>。确保提供的网络凭据具有足够的权限。

失败消息：找不到此域的域控制器。

对话框中的按钮：确定

DCPromo.log文件报告 (%windir%\debug\DCPromo.log) ：

[INFO]错误 - Active Directory 域服务无法在远程 AD contoso-dc01.Contoso.comDC 上为此Active Directory 域控制器 CN=NTDS 设置，CN=CONTOSO-DC02，CN=服务器，CN=Default-First-Site-Name，CN=Sites，CN=Configuration，DC=Contoso，DC=com 创建 NTDS 设置对象。确保提供的网络凭据具有足够的权限。 (1908)
[INFO]NtdsInstall for Contoso.com returned 1908
[INFO]DsRolepInstallDs 返回 1908 年
[ERROR]无法安装到目录服务 (1908)

原因

错误代码 1908 表示显示为“找不到此域的域控制器”的错误。此错误有两个主要原因：

目标 DC 无法联系密钥分发中心 (KDC)
计算机遇到 Kerberos 相关错误

此方案需要了解的一个重要概念是，用于复制操作的 KDC 可能是：

a. 目标 DC
b. 源 DC
c. 完全不同的 DC (而不是源或目标 DC) 。

解决方案

验证密钥分发服务是否在目标域控制器上运行

发现要联系的 Kerberos 密钥分发中心。可以使用网络监视器 3.4 等数据包捕获程序来发现它。

使用网络监视器捕获重现的错误消息。 (可能需要先停止 DNS 客户端服务，以便看到 DNS 查询流量)
查看 KDC 的 DNS 查询的数据包捕获：示例地址查询：

_Kerberos。Tcp。<SiteName>._sites.dc._msdcs。<域>.com
_kerberos._tcp.dc._msdcs。<域>.com

查看任何 DCLocator 流量：
DcLocator 流量的示例网络监视器 3.4 捕获。在此示例中，10.0.1.11 是我们发现的 KDC，10.0.1.10 是请求票证的客户端。它使用默认的网络监视器列布局。

框架#	时间和日期	时间偏移量	源 IP	目标 IP	详细信息
42	3/7/2012	3.6455760	10.0.1.10	10.0.1.11	LDAPMessage：搜索请求，MessageID：371 * 此数据包是用于查找 Netlogon 的 DC 定位符的 UDP LDAP 调用*
43	3/7/2012	3.6455760	10.0.1.11	10.0.1.10	NetLogon：LogonSAMPauseResponseEX (当 Netlogon 暂停时) ：24 (0x18)

验证 10.10.1.11 的 KDC 和服务 Netlogon 是否正在运行。在发现的域控制器 (10.0.1.11) 上，使用 SC 查询验证 KDC 和服务 Netlogon 状态

示例 - 使用“SC Query KDC”查询 KDC 查询 KDC 服务， Netlogon 使用“SC Query Netlogon”查询服务，这些命令应返回“State： Running”

验证目标域控制器是否作为密钥分发中心进行播发
使用 DCDIAG.exe 验证目标域控制器是否正在播发。在 CMD.exe 提示符下运行以下命令：
```
C:\DCDiag.exe /v /test:Advertising /test:SysVolCheck
```
验证域控制器是否通过了 Advertising 和 SYSVOLCHeck 测试，以及是否作为密钥分发中心进行播发并 SysVol 已准备就绪。如果未 SysVol 准备就绪，则服务器将无法播发为域控制器。

测试服务器：<SiteName><DC 名称>
开始测试：广告
DC <DC 名称> 将自身播发为 DC 并具有 DS
DC <DC 名称> 正在播发为 LDAP 服务器
DC <DC 名称> 播发为具有可写目录
DC <DC 名称> 作为密钥分发中心进行播发
DC <DC 名称> 作为时间服务器播发
DS <DC 名称> 以 GC 的形式播发。

启动测试：SysVolCheck * 文件复制服务 SYSVOL 就绪测试
文件复制服务的 SYSVOL 已准备就绪
..<DC 名称> 通过测试 SysVolCheck
验证源计算机和目标计算机是否相互距离在 5 分钟内。
检查是否存在任何 Kerberos 故障
1. 在站点中的客户端计算机和域控制器上启用 Kerberos 事件日志记录。
2. KB：262177如何启用 Kerberos 事件日志记录
3. Kerberos 疑难解答

排查 AD 复制错误 1908：找不到此域的域控制器

症状

原因

解决方案

更多信息

反馈

反馈

其他资源