你目前正处于脱机状态,正在等待 Internet 重新连接

不能在 Windows 中的域控制器上安装一个全局编录

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3063705
本文介绍一个问题阻止您成功安装在域控制器的全局编录。在 Windows 2000 或 Windows Server 2003 环境中会出现此问题。为了此问题的疑难解答可检查域控制器诊断工具 (dcdiag.exe) 报表、 事件日志、 网络端口和 DNS 记录。

症状 1

您遇到 Exchange Server 错误后失去操作主机 (也称为灵活单主机操作或 FSMO) 角色所有者和全局编录。在此情况下占用域命名主机除外的所有操作主机角色然后出现并以下响应:
fsmo 维护: 占用域命名主机
尝试强制转移之前命名 FSMO 域的安全传输。
ldap_modify_sW 错误 0x35 (53 (Unwilling 执行)。
Ldap 扩展的错误消息是 0000214B: SvcErr: DSID 至 032107C 5 日 5003 问题
LL_NOT_PERFORM),0 的数据

当返回 0x214b Win32 错误是这可能表示连接、 LDAP 或角色传输错误取决于特定的错误代码。在此情况下不允许角色占用。

注意:仅配置为全局编录服务器的 Dsa 应该能够保存域命名主机操作主机角色。

然后您可以查看删除不存在的子域。但这会触发以下错误:
选择操作目标: q
元数据清除: 选择操作目标
选择操作目标: 列表域
找到 3 的域
0-DC =domainComponentDC = com
1-DC =domainComponentDC =domainComponentDC = com
2-DC =domainComponentDC =domainComponentDC = com
选择操作目标: 选择域 2
站点-CN =默认第一个站点名称CN = CN 的站点配置、 DC = =domainComponentDC = com
域的 DC =domainComponentDC =domainComponentDC = com
没有当前服务器
当前的命名上下文
选择操作目标: q
元数据清除: 删除选定的域
DsRemoveDsDomainW 错误 0x20ab (交叉引用指定命名续
扩展无法找到。)
元数据清理:


您尝试删除的七大和 MA 子域中的详细信息每项 删除不存在的域使用 Ntdsutil.exe 生成"DsRemoveDsDomainW 错误"错误消息.但您不能删除在 adsi 编辑中的条目"从服务器返回引用"错误。

您不能更改全局编录占有要求和广告时间但不是会在成员服务器上安装全局编录。

现象 2

您配置的基于 Windows 2000 的服务器或 Windows Server 2003 域控制器为全局编录服务器由选中的复选框来CN = NTDS 设置对象。但域控制器不能将自己公布为全局编录并每隔 30 分钟记录了以下事件:

事件 ID: 1559年
来源: NTDS 复制
事件类型: 信息
说明: 已发出请求以提升为全局编录 (GC) 这个 DSA。

注意:成为全局编录服务器,服务器必须驻留在企业中的所有分区的只读副本。该服务器应保存一份 DC = 子 DC = 根、 DC = com 分区。但事实并非如此。因此域控制器不被安装一台全局编录服务器直到满足此条件。

如果未运行知识一致性检查器 (KCC) 或者因为所有源都是向下它不能添加分区的副本可能会出现此问题。在此情况下记录了以下事件的 KCC 错误:

事件 ID: 1578年
来源: NTDS 复制
事件类型: 信息
说明: 此服务器提升到全局编录被推迟因为分区占有要求没有被满足。

注意:KCC 将重新尝试添加该复制副本。

使用一个参数来控制目录执行分区占有要求的严格程度。该参数位于以下注册表子项下:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global 目录分区占有

级别类型如下所示:
  • 级别 0: 不占用要求
  • 级别 1: 添加由 KCC 的站点中的至少一个只读分区
  • 级别 2: 在网站中的至少一个分区同步完全
  • 级别 3: 所有只读分区中由 KCC (至少一个同步) 添加站点
  • 级别 4: 完全同步的站点中的所有分区
注意:更高的级别包括较低级别的要求。当前占用要求为 4。此服务器当前是级别 0。

事件 ID: 1110年
来源: NTDS 复制
事件类型: 信息
说明: 此服务器提升到全局编录将会延迟 30 分钟。这种延迟是必需的要求的分区可以使准备就绪之前被公布的全局编录。在此期间将发生的操作包括运行以生成新的拓扑 KCC 在企业中的所有只读分区添加到此服务器以及要复制到此系统这些分区中的内容。

如果希望以不执行此类预处理的情况下立即安装全局编录到 0 以下注册表子项中的一个 DWORD 值设置的注册表项:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global 目录延迟公布 (秒)

全局编录将安装在下次尝试检查前置条件。此值可以也被设置为最大秒数 DSA 将等待您安装一个全局编录。

每隔 15 分钟记录类似于以下事件:

事件 ID: 1265年
NTDS KCC 事件来源:
事件类型: 信息
描述: 尝试参数建立复制链接时

分区: DC = 子 DC = 根、 DC = com
源 DSA DN: CN = NTDS
设置、 CN = WIN2K DC CN = 服务器、 CN = 默认--网站的名字 CN 网站 CN = = 配置、 DC = 根、 DC = com
源的 DSA 地址: DSAaddress.root.com
站点间传输 (如果有): 失败状态如下:

DSA 操作不能继续的 DNS 查找失败。

注意:错误说明可能会有所不同。1265 事件可能会被记录和 KCC 可能无法生成复制链接。该操作也可能失败与类似于一个或多个下列状态:
  • DSA 操作不能继续的 DNS 查找失败。我们应解决 DNS 问题。
  • RPC 服务器不可用。通常表明网络连接问题。检查目标 DC 是脱机还是网络端口被阻止。
  • 目标主要名称是不正确的。请检查源和目标域控制器之间的安全通道。
每小时记录了以下错误事件:

事件 ID: 1126年
事件源: NTDS 常规
事件类型: 信息
描述: 无法与全局编录建立连接

事件 1559
事件类型: 信息
来源: NTDS 复制
事件类别: 全局编录
事件 ID: 1559年
日期: 日期
时间: 时间
用户: 用户名
计算机: 服务器名
说明: 本地域控制器已被选为全局编录。但域控制器不是宿主在以下目录分区的只读副本。

目录分区:
DC = 根、 DC = com <DN path="" of="" missing="" partition="">

</DN>
作为成为全局编录服务器的前置条件的域控制器必须承载林中所有目录分区的只读副本。由于尚未完成知识一致性检查器 (KCC) 任务或域控制器不能添加由于无法使用源域控制器的目录分区的副本时发生此事件。尝试添加该复制副本将会再次出现在下一步的 KCC 时间间隔。

1578 事件
事件类型: 信息
来源: NTDS 复制
事件类别: 全局编录
事件 ID: 1578年
日期: 日期
时间: 时间
用户: 用户名
计算机: 服务器名
说明: 地域控制器提升到全局编录被推迟因为目录分区占有要求没有被满足。占有要求级别和当前域控制器级别如下所示。

占有要求级别: 6
域控制器级别: 4

下面的注册表子项定义目录分区占有要求级别:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global 目录分区占有

事件 1801
如果您启用了诊断日志记录级别 1 的知识一致性检查器 (KCC) 会记录下面的事件: 事件类型: 信息
NTDS KCC 事件来源:
事件类别: 知识一致性检查器
事件 ID: 1801年
日期: 日期
时间: 时间
用户: 用户名
计算机: 服务器名
描述: 知识一致性检查器将不为构造拓扑分区的 DC = 域 DC = com 因为分区的 objectGuid 知识还没有被复制到此域控制器。

另外,域控制器诊断日志中此域控制器未通过申报的它不会将自己公布为全局编录服务器以及广告测试。若要运行域控制器诊断检查和在命令提示符下键入下面的命令然后按 enter 键:
dcdiag /v

现象 3

请考虑以下情形:
  • 您有两个域控制器: 父域控制器和一个子域中的域控制器。
  • 域控制器崩溃这样您需要重新生成它们。
  • 在子域中将脱机。
在此情况下无法安装一个全局编录的域控制器中的任何一个。在 活动目录(AD) 域服务 (AD DS) 仍然存在该子域的某些引用。另外,以下事件写入事件日志:

事件 ID: 1126年无法与全局编录建立连接。

----- DCDIAG ----Starting test: KnowsOfRoleHoldersRole Schema Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Domain Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgWarning: CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org is the Domain Owner, but is deleted.Role PDC Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Rid Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Infrastructure Update Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org......................... HBP failed test KnowsOfRoleHolders
尝试从 活动目录(AD) 诊断工具 (Ntdsutil.exe) 中删除孤立的域对象时您会收到以下错误消息:
DsRemoveDsDomainW 错误 0x20ab

当您强制转移域角色所有者和架构主机以及您尝试删除 Ntdsutil.exe 子域时您会收到以下错误消息:

Dsremovedsdomainw 错误代码 0x2077

Ntdsutil.exe 显示的孤立的子的域对象一起"DEL: GUID。"尝试清除或编辑孤立对象的nCName属性的值时您会收到以下错误消息:

因为它由本系统不能修改该属性。

故障现象 4

域控制器不不要公布自己作为全局编目。3268 端口上的连接是不可能的。

在事件查看器中您会看到以下事件:

目录服务日志名称:
来源: Microsoft Windows ActiveDirectory_DomainService
日期: 日期
事件 ID: 1655年
任务类别: 全局编录
级别: 警告
关键词: 经典
用户: 用户名
计算机: 服务器名
说明: 活动目录(AD) 域服务尝试与以下全局编录通信并尝试未成功。
全局编录: \\ifa-dc02...

目录服务日志名称:
来源: Microsoft Windows ActiveDirectory_DomainService
日期: 日期
事件 ID: 1864年
任务类别: 复制
级别: 错误
关键词: 经典
用户: 用户名
计算机: 服务器名
说明: 这是此目录服务器上的以下目录分区的复制状态。
目录分区: CN = 配置

此目录服务器没有收到复制信息从多个目录服务器最近。目录服务器的计数显示和划分为以下时间间隔:
多个 24 小时数: 2
时间超过一周: 2
超过一个月: 2
多两个月: 2
逻辑删除存留时间超过: 2
逻辑删除存留时间 (天): 180
不及时复制的目录服务器可能会遇到错误。他们可能错过更改密码并且无法进行身份验证。在逻辑删除存留时间未复制的域控制器可能会遗漏某些对象的删除和它可能自动阻止将来复制之前已对帐。

尝试通过 ldp.exe 到域控制器连接时您会收到以下错误消息:

错误<0x51>: 无法连接到 DC01。

</0x51>
另外,域控制器诊断工具 (dcdiag.exe) 中会出现以下错误:

因为目录分区占有要求没有被满足地域控制器提升到全局编录被推迟。

记录了以下事件:

EventID: 0x40000617
生成时间:
事件字符串: 本地域控制器已被选为全局编录。但域控制器不是宿主在以下目录分区的只读副本。
目录分区: DC =

作为成为全局编录的前置条件的域控制器必须承载林中所有目录分区的只读副本。如果知识一致性检查器 (KCC) 任务未完成或者如果域控制器不能添加由于无法使用源域控制器的目录分区的副本可能会发生此事件。

尝试添加该复制副本将会再次出现在下一步的 KCC 时间间隔。
原因

症状 1 的原因

全局编录主机在目录林中每个域分区中的对象的只读副本。选择一台计算机时以维护全局编录,KCC 在要升级的计算机上使用自行生成的源域控制器的连接对象。源域控制器可能包含现有林中的全局编录或域控制器的主机的每个域的可写副本分区的位于树林。(所有对象和属性的子集) 的域分区就传入从通过这些连接链接由 KCC 到新的全局编录服务器的源域控制器复制。

此问题可能会出现一个或多个下列条件都为真:
  • 全局编录的配置分区安装和其他目录林中的域控制器包含的域的交叉引用对象。但在树林中的域的任何域控制器都不存在。
  • 源域控制器的 KCC 由指定的元数据在林中存在但并不表示当前驻留在林中的域控制器。
  • 由 KCC 在全局编录正在安装所选的源域控制器处于脱机状态或关闭的情况下。
  • 由 KCC 在全局编录正在安装所选的源域控制器不可访问在网络上由于缺乏网络连接 (例如连接中断或端口阻塞)。
  • 源域全局编录被限制因为非全局编录域控制器未正确选择作为首选桥头由管理员充当桥头。
  • 正在安装全局编录无法生成选定的源域控制器的连接链接由于在事件日志中的错误状态。
  • 源域控制器不能传入复制过从所选的源域控制器的连接链接由于在事件日志中的错误状态。
从林中删除域控制器但它的数据没有被清除。孤立的域的林中存在禁止从域控制器完成复制和从自己公布为全局编录服务器。下列问题可能导致孤立的域:
  • 活动目录(AD) 会从所有的域控制器但域分区的交叉引用对象仍然存在。
  • 从域中删除一个目录分区但目录分区重新创建之前复制已完成。这会导致延迟然后由交叉引用对象的幻像。
  • 不可能达到的域的域名更新域控制器就会出现问题。或一个新提升的域的域名更新可能未到达域外部的任何域控制器。这是一个临时的问题。

4 症状的原因

出现此问题是因为一个子域从 AD DS 不正确地删除。域控制器不能与此子域复制并不能获得只准备域分区的副本。因此他们做不会公布自己为全局编录。

症状 1 的解决方法

若要解决此问题工作查找的 FSMOROLEOWNER 特性"CN = 分区,CN = 配置、 CN = 域 CN ="ADSIedit.msc 下。

该属性指向以下旧域命名主机:
CN =commonNameCN =commonNameCN = 服务器、 CN = 默认--网站的名字 CN = CN 的站点配置、 DC = =domainComponentDC = com

将其更改为下面的新域命名主机的 NTDS 设置对象中:
CN =commonNameCN =commonNameCN = 服务器、 CN = 默认--网站的名字 CN = CN 的站点配置、 DC = =domainComponentDC = com

然后您可以删除在 adsi 编辑下的子域对象和全局编录被公布。域控制器诊断工具 (dcdiag.exe) 还说清除、 并可以编辑 Exchange 属性和权限。

针对症状 2 的解决方法

警告1578 事件中的注册表建议警告不应启用要人为地加快全局编录升级降低的占有级别。我们建议您以便自动通告全局编录来解决目录服务复制问题。若要解决此问题、 首先确定是否您所经历的复制延迟或是否有实际孤立的域目录林环境中。

如果有一个孤立的域、 目录服务日志中记录了 NTDS KCC 事件 1265年。使用此事件来确定相同的域分区的复制失败的原因。确保网络连接不好并没有阻止 TCP 135 如没有网络端口。检查 DNS 记录并确保注册的主机和 SRV 记录的所有良好且干净。如果垃圾回收记录清除它们。

验证域控制器之间的复制工作正常并验证了实际上存在孤立的域后,使用 Ntdsutil.exe 实用程序以清除孤立的域对象。如果有此域的任何孤立的域控制器对象还可以删除域控制器对象。若要删除孤立的域在 AD DS 中请参见 如何从 活动目录(AD) 删除孤立的域.

如果孤立的域控制器对象仍然存在在孤立的域,首先删除域控制器对象。有关详细信息,请参阅 如何在不成功的域控制器降级后在 活动目录(AD) 中移除数据.

针对症状 3 的解决方法

若要解决此问题工作中直接服务器返回 (DSR) 模式开始,然后执行语法数据库分析修复。完成此修复程序后运行它报告了以下错误:

检测到缺少 subrefs

如果您重新启动在标准模式下仍无法删除对象之前将nCName属性的值更改为与其父域。然后的域控制器将公布自己作为全局编录服务器和 Exchange 服务器。

针对症状 4 的解决方法

若要解决此问题工作请参见 如何通过使用 活动目录(AD) 用户和计算机的服务器元数据清除.
更多信息
在域控制器服务器上安装一个全局编录并将帐户和架构信息复制到新的全局编录服务器后,记录的事件 ID 1119 可能会在目录服务日志的域控制器上。该事件描述指出计算机现在正在将自己公布为全局编录服务器。

要确认域命名主机是全局编录服务器,请执行以下步骤:
  1. 在命令提示符下键入 nltest /dsgetdc: 域名 /server: 服务器名称然后按 enter 键。
  2. 请验证服务器正在通告的GC标志。
如键入命令后您将收到GC标志时出现类似以下的消息:
DC:?服务器名称
地址:?IP 地址
Dom 的 Guid:
Dom 的名称: 域名
林名称: Domain_name.com
Dc 网站名称: 默认第一个站点名称
我们的网站名称: 默认第一个站点名称
标志: PDC GC DS LDAP KDC TIMESERV 写 DNS_FOREST CLOSE_SITE
命令已成功完成

注意:Nltest 工具包含在 Windows 2000 支持工具。若要安装 Windows 2000 支持工具、 打开的 Windows 2000 光盘上的支持工具文件夹并运行安装程序。另外,您必须登录才能安装这些工具管理员组的成员。

警告:本文已自动翻译

属性

文章 ID:3063705 - 上次审阅时间:06/26/2015 05:54:00 - 修订版本: 1.0

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3063705 KbMtzh
反馈
="https://c.microsoft.com/ms.js">