你目前正处于脱机状态,正在等待 Internet 重新连接

升级域控制器为全局编录服务器的问题

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 910204
概要
本文讨论了 Microsoft Windows Server 2003 的域控制器或 Microsoft Windows 2000 域控制器为全局编录服务器升级的问题。本文将讨论以下主题:
  • 目录服务日志为 Windows 2000 Server 和 Windows Server 2003 中的记录的事件消息
  • 可能会导致全局编录升级失败的
  • 方法来确定全局编录升级失败的原因
  • 方法来解决全局编录升级失败
症状
当试图升级 Microsoft Windows Server 2003 的域控制器或全局编录服务器的 Microsoft Windows 2000 域控制器在域控制器可能不自身公告为全局编录。这是如果以编程方式或通过单击来选择 全局编录 选项时,升级域控制器,则该属性值为 true。出现此问题时,目录服务日志中记录事件消息。

此外,则输出可能显示在域控制器没有通过广告测试和未公布全局编录。当域控制器将记录事件 ID 1578 和 $ 域控制器上运行域控制器诊断检查 (Dcdiag.exe) 时,该输出时发生。

注意若要进行域控制器诊断检查,请执行下列操作:
  1. 单击 开始、 单击 运行,键入 cmd,然后单击 确定
  2. 命令提示符键入 dcdiag/v /f: logfile.txt,然后按 ENTER 键。
以下各节描述了出现此问题时在目录服务日志中记录该事件消息。

Windows 2000 事件消息

  • 每 30 分钟记录了类似于以下内容的信息性事件消息:
    • 事件 ID 1559

      事件 ID: 1559年
      事件源: NTDS 复制
      事件类型: 信息
      描述: A 发出请求以促进此 DSA 到一个全局编录 (GC)。 若要成为一个 GC 的前提条件是此服务器主持企业中的所有分区的只读副本。此服务器应保存一份分区 DC = 子,DC = DC 的根 = com,但它不会。此系统不将升级为 GC,直到满足此条件。

      这可能是因为未运行 KCC,或者是无法添加该分区的副本,因为其源的所有已关闭。请检查事件日志中的 KCC 错误。

      KCC 将重试添加副本。

    • 事件 ID 1578

      事件 ID: 1578年
      事件源: NTDS 复制
      事件类型: 信息
      说明: 此服务器为全局编录的升级被推迟,因为不满足分区占有要求。

      若要控制在目录中强制执行分区占用要求的严密性使用一个参数。
      该参数是:
      HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global 目录分区使用者

      该级别如下所示: (0) 无占用要求 ; (1) 至少一个只读分区中添加的 KCC 的站点 ; (2) 至少一个分区完全同步的站点中 ; (3) 所有只读分区中添加的 KCC (至少一个同步) 的网站 ; (4) 全部分区完全同步的站点中。

      大级别包括较低级别的要求。当前占用要求为 4。此服务器当前是在级别 0。

      注意虽然此事件消息中提到了目录使用者全局分区注册表子项,但您不应减少占有级别较加快全局编录升级。我们强烈建议您首先解决目录服务复制问题,以便自动公布全局编录。
    • 事件 ID 1110

      事件 ID: 1110年
      事件源: NTDS 复制
      事件类型: 信息
      描述: 升级此服务器为全局编录的将延迟 30 分钟。这种延迟是必需的以便所需的分区可以进行准备就绪之前被公布 GC。在这段时间内发生的操作包括运行以生成新的拓扑,KCC,企业中的所有只读分区被添加到此服务器,和复制到此系统中这些分区中的内容。

      如果要在不强制实施此前提条件的情况下立即提升 GC 设置注册表变量
      HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global 目录延迟公告 (秒)

      为一个 DWORD 值 0。GC 将检查前提条件在下一次尝试升级。也可以将此值设置为最大的 DSA 等待提升为 GC 之前的秒数。

  • 警告与以下类似的事件消息可能会记录为每隔 15 分钟:
    • 事件 ID 1265

      事件 ID: 1265年
      事件源: NTDS KCC
      事件类型: 信息
      说明: 建立复制链接使用的参数尝试

      分区: DC = 子,DC = DC 的根 = com
      源 DSA DN: CN = NTDS
      设置、 CN = DC WIN2K CN = 服务器,CN = 默认--站点-名,CN = CN 的站点 = 配置,DC = DC 的根 = com
      源 DSA 地址: e91ab89f-8789-4506-b5ed-e31f225c47ec._msdcs.root.com
      (如果有的话) 的站间传输: 失败,出现以下状态:

      DSA 操作是不能继续由于的 DNS 查找失败。

      记录数据是状态代码。将重试此操作。

      注意事件 ID 1265 的描述可能会有所不同。几种可能性会导致事件 ID 1265 进行记录。这些可能性也会导致知识一致性检查器 (KCC),不以建立复制链接。以下是一些典型的可能性:
      • 此 DSA 操作不能继续,因为 DNS 查找失败。解决 DNS 问题,或如果源 DSA 地址表示陈旧的域控制器中删除元数据。
      • RPC 服务器不可用。这通常表明网络连接性问题。确定是否在目标域控制器处于脱机状态或网络端口是否被阻止。
      • 目标主要名称不正确。检查在源和目标域控制器之间的安全通道。
      • 您收到"访问被拒绝"错误消息。
  • 每隔一小时中就会记录以下错误事件消息:

    事件 ID 1126
    事件 ID: 1126年
    事件源: NTDS 常规
    事件类型: 信息
    描述: 无法与全局编录建立连接

Windows Server 2003 的事件消息

  • 事件 ID 1559

    事件类型: 信息
    事件源: NTDS 复制
    事件类别: 全局编录
    事件 ID: 1559年
    日期: date
    时间: time
    用户: NT AUTHORITY\ANONYMOUS 登录
    计算机: Server Name
    说明: 该本地域控制器已被选为全局编录。然而,在域控制器不承载在以下目录分区的只读副本。

    目录分区:
    DC = DC 的根 = com <DN Path of missing partition >

    若要成为全局编录的前提条件是一个域控制器必须驻留在林中的所有目录分区的只读副本。因为知识一致性检查器 (KCC) 任务尚未完成,或因为域控制器不能添加到不可用源域控制器由于目录分区的副本,则可能发生此事件。试图添加副本将在下一次的 KCC 时间间隔重新尝试。

  • 事件 ID 1578

    事件类型: 信息
    事件源: NTDS 复制
    事件类别: 全局编录
    事件 ID: 1578年
    日期: date
    时间: time
    用户: NT AUTHORITY\ANONYMOUS 登录
    计算机: server name
    说明: 已延迟的本地域控制器的全局编录升级,因为不满足目录分区占有要求。占有要求级别和当前的域控制器级别如下所示。

    占有要求级别: 6
    域控制器级别: 4
    下面的注册表项值定义了目录分区占有要求级别。

    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global 目录分区使用者

  • 如果启用了诊断日志记录在级别 1,知识一致性检查器 (KCC) 为记录以下事件。

    事件 ID 1801

    事件源: NTDS KCC
    事件类别: 知识一致性检查程序
    事件 ID: 1801年
    日期: date
    时间: time
    用户: NT AUTHORITY\ANONYMOUS 登录
    计算机: server name
    描述: 的知识一致性检查器将不构造拓扑结构为分区 DC = 域,DC = com,因为分区的 objectGuid 知识还没有被复制到此域控制器。

原因
全局编录可以公布全局编录角色之前,全局编录必须从树林中的所有域分区复制的所有对象的入站的副本。

域控制器以维护全局编录选择时, 要升级域控制器上的 KCC 使用其自己决定生成主机所需的分区的域控制器的来自源的连接对象。这些源域控制器可能包括在目录林或域控制器承载驻留在其林中所有域分区的可写副本中的现有全局编录。每个域分区的内容然后是入站复制从由 KCC 的源域控制器。内容复制到新升级的全局编录上现有的或新创建的连接链接。

如果满足下列条件之一为真,全局编录升级可能会失败:
  1. 一个或多个域控制器上的配置分区包含一个陈旧或孤立域的交叉引用对象,但没有为该域的域控制器位于该目录林中。
  2. 为源的域控制器的 KCC 由指定元数据位于配置分区的一个或多个域控制器中,但不表示当前显示在目录林中的域控制器。
  3. 选择要升级全局编录上 kcc 的源域控制器处于脱机状态。
  4. 在网络上已选择要升级全局编录上 KCC 的源域控制器不可访问。此域控制器不可用,因为没有网络连接或部分网络连接。以下是网络连接问题的示例:
    • 被阻止的端口
    • 将筛选的 IP 地址
    • 网络的未完全路由,但有启用 桥接所有站点链接 选项
  5. 源域全局编录将限制从充当桥头,因为非全局编录域控制器有不正确地被选择作为首选桥头由管理员。
  6. 要升级全局编录无法生成选定的源域控制器的连接链接由于的记录中的其中一个概要部分中列出的事件的错误状态。

孤立的域将会阻止域控制器完成复制。域控制器无法公布自身作为全局编录服务器直到复制完成。有可能会导致孤立的域的几个问题:
  1. active Directory 已从一个域的所有域控制器中删除,但仍保留域分区的交叉引用对象。
  2. active Directory 中移除了从一个域控制器和域控制器的目录分区已被删除。复制已完成之前,域控制器时再重新创建。这些事件导致错误地引用了交叉引用对象的延迟幻像。
  3. 域名称更新域未达到域控制器遇到此问题。或新提升的域的域名更新可能未到达该域之外的任何域控制器。此问题会暂时出现问题。
解决方案
警告不应启用一个缩减的占用级别较加快全局编录升级。我们强烈建议您首先解决目录服务复制问题,以便自动公布全局编录。

若要解决此问题,首先确定复制问题的根本原因并解决该问题。确定是否复制问题由下列条件之一引起:
  • 复制延迟
  • 在目录林环境中位于一个孤立的域
  • 无法建立连接链接
  • 无法在连接协议复制
如果有一个 NTDS KCC 事件 ID 1265 目录服务日志中记录的使用该事件以确定为相同的域分区复制失败的原因。请确保网络连接工作正常,并且没有所需的网络端口将被阻止。所需的网络端口是,例如对于 TCP 135 和临时端口使用 RPC 的端口。查看 DNS 记录,以确保所有正确注册已注册的主机和 SRV 记录。如果存在不正确的记录必须清除它们,并注册此类记录。

删除相关的事件 id 中列出的目录林中的所有过时的元数据的任何域控制器和域。您必须执行此选项可确保不复制失败的原因不存在域控制器或域。有关如何删除 Active Directory 元数据的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498如何在一个不成功的域控制器降级后在 Active Directory 中删除数据
在验证域控制器之间复制正常工作之后,确定是否存在孤立的域对象。使用 Ntdsutil.exe 实用程序,可以清除孤立的域对象。如果为该域的任何孤立的域控制器对象还必须删除域控制器对象。有关如何删除孤立的域的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
230306如何从 ds 删除孤立的域
有关如何删除孤立的域控制器对象的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216498如何在一个不成功的域控制器降级后在 Active Directory 中删除数据
更多信息
全局编录服务器将域控制器提升之后,在目录林中的域分区将被复制到新的全局编录服务器。所有分区已成功都复制到新的全局编录服务器时, 事件 ID 1119 将会记录目录服务登录的域控制器上。事件描述指出计算机现在正在将自身公布为全局编录服务器。

若要确认域控制器是全局编录服务器,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 cmd,然后单击 确定
  2. 类型 nltest /dsgetdc: Domain_name /server: Server_Name,然后按 ENTER 键。
  3. 验证服务器正在通告"GC"(全局编录) 标志。例如对于当您在第 2 步中键入命令,您将收到一条消息,类似于以下如果 GC 标志存在:
    DC: \ Server_Name
    地址: \ IP Address
    Dom Guid: 47bc7d87-309e-4a2a-bac3-c9866a66bab8
    Dom 名称: Domain_name
    林名称: Domain_name .com
    dc 网站名称: 默认--网站的名字
    我们的网站名称: 默认--网站的名字
    标志: PDC GC DS LDAP KDC TIMESERV 可写 DNS_FOREST CLOSE_SITE 命令成功完成
    注意Nltest 工具将包含在 Windows 2000 支持工具。若要安装 Windows 2000 支持工具,请打开 Windows 2000 启动盘上的 Support\Tools 文件夹,然后再运行安装程序。您必须为要安装这些工具管理员组的成员登录。
有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
842208您不能升级基于 Windows 2000 的域控制器为全局编录服务器
889711您不能升级为全局编录服务器的基于 Windows Server 2003 的域控制器
810089当存在冲突的命名上下文时,不能升级新的全局编录
230306如何从 ds 删除孤立的域

属性

文章 ID:910204 - 上次审阅时间:10/30/2006 21:31:01 - 修订版本: 1.3

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbfsmo kbtshoot kberrmsg kbprb KB910204 KbMtzh
反馈
= ""; document.write("