排查将域控制器升级到全局编录服务器时出现的问题

  • 项目

本文讨论将域控制器提升到全局编录服务器的问题。

适用于: Windows Server 2003
原始 KB 编号: 910204

摘要

本文讨论了以下主题:

  • 在 Windows Server 的目录服务日志中记录的事件消息
  • 全局编录升级失败的可能原因
  • 确定全局目录升级失败原因的方法
  • 解决全局编录升级失败的方法

症状

尝试将域控制器提升为全局编录服务器时,域控制器不能将自身播发为全局编录。 如果以编程方式或单击以选择 “全局目录 ”选项来升级域控制器,则情况如此。 发生此问题时,事件消息将记录在目录服务日志中。

此外,输出可能显示域控制器未通过播发测试,并且未播发全局编录。 当域控制器记录事件 ID 1578 并在该域控制器上运行域控制器诊断检查 (Dcdiag.exe) 时,会发生此输出。

注意

若要运行域控制器诊断检查,请执行以下操作:

  1. 单击 “开始”,单击“ 运行”,键入 cmd,然后单击“ 确定”。
  2. 在命令提示符下,键入 dcdiag /v /f: logfile.txt,然后按 ENTER。

发生此问题时,目录服务日志中会记录以下事件消息。

  • 事件 ID 1559

  • 事件 ID 1578

  • 如果在级别 1 上为知识一致性检查器 (KCC) 启用诊断日志记录,则会记录以下事件。

    事件 ID 1801

原因

全局编录必须先从林中的所有域分区复制所有对象的入站副本,然后全局编录才能播发全局编录角色。

选择域控制器来托管全局目录时,正在升级的域控制器上的 KCC 会自行决定从托管所需分区的源域控制器生成连接对象。 这些源域控制器可能包含林中的现有全局目录或域控制器,这些目录托管驻留在其林中的每个域分区的可写副本。 然后,每个域分区的内容将从 KCC 指定的源域控制器进行入站复制。 内容通过现有或新创建的连接链接复制到新升级的全局目录。

如果满足以下条件之一,全局编录升级可能会失败:

  1. 一个或多个域控制器上的配置分区包含对过时或孤立域的交叉引用对象,但林中没有该域的域控制器。

  2. KCC 指定的源域控制器的元数据位于一个或多个域控制器的配置分区中,但不表示林中当前存在的域控制器。

  3. 正在升级的全局编录上的 KCC 选择的源域控制器处于脱机状态。

  4. KCC 在正在升级的全局编录上选择的源域控制器通过网络无法访问。 由于没有网络连接或部分网络连接,因此无法访问此域控制器。 以下是网络连接问题的示例:

    • 被阻止的端口
    • 筛选的 IP 地址
    • 未完全路由但启用了 网桥全站点链接 选项的网络

  5. 源域全局编录被限制为充当桥头,因为非全局编录域控制器被管理员错误地选为首选桥头。

  6. 正在升级的全局编录无法从所选源域控制器生成连接链接,因为“摘要”部分中列出的某个事件中记录了错误状态。

孤立域将阻止域控制器完成复制。 在复制完成之前,域控制器无法将自身播发为全局编录服务器。 有几个问题可能会导致孤立域:

  1. Active Directory 已从域的所有域控制器中删除,但域分区交叉引用对象仍保留。

  2. Active Directory 已从域控制器中删除,域控制器的目录分区已删除。 然后,在复制完成之前重新创建域控制器。 这些事件导致交叉引用对象错误引用的挥之不去的幻象。

  3. 域的域命名更新尚未到达遇到问题的域控制器。 或者,新升级的域的域命名更新可能尚未到达该域之外的任何域控制器。 此问题将是暂时的问题。

解决方案

警告

不应启用降低占用级别来人为地加速全局目录推广。 强烈建议先解决目录服务复制问题,以便自动播发全局目录。

若要解决此问题,请先确定复制问题的根本原因,然后解决该问题。 确定复制问题是否由以下条件之一引起:

  • 复制延迟
  • 位于林环境中的孤立域
  • 无法生成连接链接
  • 无法通过连接协议进行复制

如果目录服务日志中记录了 NTDS KCC 事件 ID 1265,请使用该事件确定同一域分区复制失败的原因。 确保网络连接良好,并且未阻止所需的网络端口。 例如,所需的网络端口是 TCP 135 和 RPC 使用的临时端口。 查看 DNS 记录,确保已注册的主机和 SRV 记录均正确注册。 如果存在不正确的记录,则必须将其清除并注册此类记录。

删除林中相关事件 ID 中列出的任何域控制器和域的所有过时元数据。 必须执行此操作,以确保复制不会因为域控制器或域不存在而失败。 有关如何删除 Active Directory 元数据的详细信息,请参阅以下文章:

清理Active Directory 域控制器服务器元数据

验证域控制器之间的复制是否正常工作后,确定是否存在孤立的域对象。 可以使用 Ntdsutil.exe 实用工具清除孤立的域对象。 如果该域存在任何孤立的域控制器对象,则还必须删除域控制器对象。 有关如何删除孤立域的详细信息,请参阅以下文章:

如何从 Active Directory 中删除孤立域

有关如何删除孤立的域控制器对象的详细信息,请参阅以下文章:

清理Active Directory 域控制器服务器元数据

更多信息

将域控制器提升为全局编录服务器后,林中的域分区将复制到新的全局编录服务器。 当所有分区都成功复制到新的全局编录服务器时,事件 ID 1119 将记录在域控制器上的目录服务日志中。 事件说明指出,计算机现在正在将自身播发为全局编录服务器。

若要确认域控制器是全局编录服务器,请执行以下步骤:

  1. 单击 “开始”,单击“ 运行”,键入 cmd,然后单击“ 确定”。

  2. 键入“nltest /dsgetdc: Domain_name /server: Server_Name”,然后按 ENTER。

  3. 验证服务器是否 (全局编录) 标志播发“GC”。 例如,在步骤 2 中键入命令时,如果存在 GC 标志,则会收到类似于以下内容的消息:

    DC:\\<ServerName>
    地址:\\<IPAddress>
    Dom Guid: <GUID>

    Dom 名称: <DomainName>
    林名称: <DomainName>.com
    Dc 站点名称:Default-First-Site-name

    我们的站点名称:Default-First-site-name

    标志:PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE 命令成功完成

    注意

    Nltest 是内置于 Windows Server 中的命令行工具。 有关详细信息,请参阅 Nltest

有关详细信息,请参阅以下文章: