您無法在 Windows 中的網域控制站上安裝通用類別目錄

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3063705
本文說明了防止您成功安裝在網域控制站上的 [通用類別目錄的問題。在 Windows Server 2003 或 Windows 2000 環境中,就會發生這個問題。如果要疑難排解這個問題,您可以檢查網域控制站診斷工具 (dcdiag.exe) 報告、 事件記錄檔、 網路連接埠及 DNS 記錄。

徵狀 1

您遇到 Exchange Server 錯誤之後會遺失 (也稱為彈性單一主機操作或 FSMO) 的操作主機角色的擁有者及通用類別目錄。在此情況下,您抓取所有操作主機角色除了網域命名主機,然後您會收到下列回應:
fsmo 維護: 抓取網域命名主機
嘗試網域命名 FSMO 癲癇問題之前的安全的傳輸。
ldap_modify_sW 錯誤編號: 0x35 (53 (要執行的 Unwilling)。
延伸的錯誤的 Ldap 訊息是 0000214B: SvcErr: DSID-032107C 5,問題 5003
LL_NOT_PERFORM),資料 0

當傳回 0x214b Win32 錯誤時,這可能表示連線、 LDAP 中或角色傳輸錯誤,視特定的錯誤碼而定。拿取在此情況下。

注意設定為通用類別目錄伺服器的 Dsa 應該要能夠保留網域命名主機操作主機角色。

然後,您可以檢視移除不存在的子網域。不過,這樣會觸發下列錯誤:
選取作業目標: q
中繼資料清理: 選擇操作目標
選取作業目標: 列出的網域
找到 3 的網域
0-DC =domainComponentDC = com
1-DC =domainComponentDC =domainComponentDC = com
2-DC =domainComponentDC =domainComponentDC = com
選取作業目標: 選取網域 2
站台-CN =預設第一個站台名稱CN = 站台,CN = 設定,DC =domainComponentDC = com
網域-DC =domainComponentDC =domainComponentDC = com
沒有目前的伺服器
目前沒有命名內容
選取作業目標: q
中繼資料清除: 移除所選取的網域
DsRemoveDsDomainW 錯誤 0x20ab (的交互參照指定的命名續
ext 找不到。)
中繼資料清除:


您嘗試刪除 Sev 和子網域,每個在詳細資料的項目 移除不存在的網域,使用 Ntdsutil.exe 會產生 「 DsRemoveDsDomainW 錯誤 」 錯誤訊息.不過,您無法刪除 ADSIEdit 中的項目] 從伺服器傳回轉介 」 錯誤。

您無法變更通用類別目錄佔有需求與通知時間,但將不會在成員伺服器上安裝通用類別目錄。

徵狀 2

您設定 Windows 2000 為基礎的伺服器或 Windows Server 2003 網域控制站為通用類別目錄伺服器選取核取方塊,如CN = NTDS 設定物件。不過,網域控制站無法將自己通知為通用類別目錄,並每隔 30 分鐘會記錄下列事件:

事件識別碼: 1559年
事件來源: NTDS 複寫
事件類型: 資訊
描述: 將升級為通用類別目錄 (GC) 這個 DSA 提出要求。

注意若要成為通用類別目錄伺服器,伺服器必須裝載企業中的所有磁碟分割的唯讀複本。此伺服器應該保留一份 DC = 子系,DC = 根,DC = com 磁碟分割。不過,它並沒有。因此,網域控制站未安裝至通用類別目錄伺服器直到符合這個條件。

如果沒有執行知識一致性檢查程式 (KCC),或它無法新增磁碟分割的複本,因為它的所有來源都都停止運作,可能會發生這個問題。在此情況下,會記錄下列事件有關 KCC 錯誤:

事件識別碼: 1578年
事件來源: NTDS 複寫
事件類型: 資訊
描述: 已經延遲到通用類別目錄這個伺服器升級,因為沒有達到磁碟分割佔有需求。

注意KCC 會重試新增複本。

參數用來控制目錄強制磁碟分割佔有要求的嚴格。參數位於下列登錄子機碼下:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global 類別目錄磁碟分割佔有

層級如下:
  • 級別 0: 沒有佔有需求
  • 級別 1: 由 KCC 所新增的站台中至少一個的唯讀磁碟分割
  • 級別 2: 在站台中至少一個磁碟分割完全同步
  • 級別 3: 所有唯讀磁碟分割中加入由 KCC (至少一個同步處理) 的網站
  • 級別 4: 完全同步處理的網站中的所有磁碟分割
附註較高的層級包含較低的層級的需求。目前的佔有需求為 4。此伺服器目前是層級為 0。

事件識別碼: 1110年
事件來源: NTDS 複寫
事件類型: 資訊
描述: 此伺服器為通用類別目錄升級將會延遲 30 分鐘。此延遲是必要的因此需要的磁碟分割可以是就緒狀態之前通告通用類別目錄。在這段時間就會發生操作包括執行 KCC 以產生新的拓樸,企業中所有的唯讀磁碟分割正在加入至這台伺服器和這些複寫至這個系統的磁碟分割的內容。

如果您想要立即安裝通用類別目錄,但不強制執行這項先決條件,設定登錄項目為 0,在下列登錄子機碼的 DWORD 值:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Global 類別目錄的廣告延遲 (秒)

通用類別目錄將會安裝在下一步] 嘗試檢查先決條件。這個值也可以設定為最大秒數會等待 DSA,才能安裝通用類別目錄。

每隔 15 分鐘時,會記錄類似下列事件:

事件識別碼: 1265年
事件來源: NTDS KCC
事件類型: 資訊
描述: 嘗試建立具有參數的複寫連結

磁碟分割: DC = 子系,DC = 根,DC = com
來源 DSA DN: CN = NTDS
設定、 CN = windows 2000 DC,CN = 伺服器 CN = 預設值--站台-名字 CN = CN 的網站 = 設定,DC = 根,DC = com
來源 DSA 位址: DSAaddress.root.com
站台間傳輸 (如果有的話): 失敗,下列狀態:

DSA 作業程式無法繼續因為 DNS 查閱失敗。

注意錯誤描述可能會有所不同。可能會記錄 1265年事件,而且 KCC 可能無法建立複寫連結。作業也可能會失敗,類似於一或多個下列狀態:
  • DSA 作業程式無法繼續因為 DNS 查閱失敗。我們應該可以解決 DNS 問題。
  • RPC 伺服器無法使用。通常表示網路連線問題。檢查如果 DC 的目標是離線或網路連接埠被封鎖。
  • 目標主體名稱不正確。請檢查來源和目標網域控制站之間的安全通道。
每個小時,會記錄下列錯誤事件:

事件識別碼: 1126年
事件來源: NTDS 一般
事件類型: 資訊
描述: 無法建立與通用類別目錄的連線

事件 1559
事件類型: 資訊
事件來源: NTDS 複寫
事件類別: 通用類別目錄
事件識別碼: 1559年
日期: 日期
時間: 時間
使用者: 使用者名稱
電腦: 伺服器名稱
描述: 已選取本機網域控制站為通用類別目錄。不過,網域控制站未裝載下列目錄磁碟分割唯讀複本。

目錄磁碟分割:
DC = 根,DC = com <DN path="" of="" missing="" partition="">

</DN>
前提成為通用類別目錄伺服器,網域控制站必須裝載樹系中的所有目錄磁碟分割的唯讀複本。因為知識一致性檢查程式 (KCC) 工作尚未完成,或是網域控制站無法新增目錄磁碟分割的複本,因為無法使用的來源網域控制站,就會發生這個事件。嘗試新增複本將會再次發生在下一步的 KCC 間隔。

事件 1578
事件類型: 資訊
事件來源: NTDS 複寫
事件類別: 通用類別目錄
事件識別碼: 1578年
日期: 日期
時間: 時間
使用者: 使用者名稱
電腦: 伺服器名稱
描述: 已經延遲到通用類別目錄的本機網域控制站的升級,因為沒有達到目錄磁碟分割佔有需求。佔有需求等級及目前的網域控制站等級如下所示。

佔有需求等級: 6
網域控制站等級: 4

下列登錄子機碼會定義目錄磁碟分割佔有需求等級:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global 類別目錄磁碟分割佔有

事件 1801
如果您啟用診斷記錄的知識一致性檢查程式 (KCC) 等級 1 時,會記錄下列事件: 事件類型: 資訊
事件來源: NTDS KCC
事件類別: 知識一致性檢查程式
事件識別碼: 1801年
日期: 日期
時間: 時間
使用者: 使用者名稱
電腦: 伺服器名稱
描述: 知識一致性檢查程式將不會建立磁碟分割 DC 的拓樸 = 網域,DC = com,因為磁碟分割 objectguid 資訊尚未複寫到此網域控制站。

此外,網域控制站診斷記錄檔中,這個網域控制站未通過廣告測試,並宣稱它不會不通告本身為通用類別目錄伺服器。來執行網域控制站診斷檢查,請在命令提示字元中輸入下列命令然後按 Enter 鍵:
dcdiag /v

徵狀 3

請考慮下列情況:
  • 您有兩個網域控制站: 父系網域控制站和子網域的網域控制站。
  • 網域控制站當機,因此您必須重新建立它們。
  • 將子網域的離線。
在這個案例中,您無法在其中一個網域控制站上安裝通用類別目錄。子網域的某些參考仍存在於 Active Directory 網域服務 (AD DS)。此外,下列的事件寫入事件記錄檔:

事件識別碼: 1126年無法與通用類別目錄建立連線。

----- DCDIAG ----Starting test: KnowsOfRoleHoldersRole Schema Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Domain Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgWarning: CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org is the Domain Owner, but is deleted.Role PDC Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Rid Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=orgRole Infrastructure Update Owner = CN=commonName,CN=commonName,CN=Servers,CN=HB,CN=Sites,CN=Configuration,DC=hermosabch,DC=org......................... HBP failed test KnowsOfRoleHolders
當您嘗試從使用中目錄的診斷工具 (Ntdsutil.exe) 中移除被遺棄的網域物件時,您會收到下列錯誤訊息:
DsRemoveDsDomainW 錯誤 0x20ab

當您抓取網域角色的擁有者和結構描述母片],然後嘗試從 Ntdsutil.exe 刪除子網域,您會收到下列錯誤訊息:

錯誤碼 0x2077 的 Dsremovedsdomainw 錯誤

Ntdsutil.exe 顯示失去關聯的子網域物件一起"DEL: GUID。"當您嘗試清除,或編輯被遺棄的物件的nCName屬性的值時,您會收到下列錯誤訊息:

無法修改屬性,因為它由系統所擁有。

徵狀 4

網域控制站並不會通告自己為通用類別目錄。在 [連接埠 3268 連接不可能。

在 [事件檢視器] 中,您會看到下列事件:

記錄檔名稱: 目錄服務
來源: Microsoft Windows ActiveDirectory_DomainService
日期: 日期
事件識別碼: 1655年
工作類別: 通用類別目錄
層級: 警告
關鍵字: 傳統
使用者: 使用者名稱
電腦: 伺服器名稱
描述: Active Directory 網域服務嘗試與下列的通用類別目錄,並嘗試已失敗。
通用類別目錄: \\ifa-dc02...

記錄檔名稱: 目錄服務
來源: Microsoft Windows ActiveDirectory_DomainService
日期: 日期
事件識別碼: 1864年
工作類別: 複寫
層級: 錯誤
關鍵字: 傳統
使用者: 使用者名稱
電腦: 伺服器名稱
描述: 這是這部目錄伺服器上的下列目錄磁碟分割的複寫狀態。
目錄磁碟分割: CN = 組態

這部目錄伺服器並未收到複寫資訊從數個目錄伺服器最近。目錄伺服器的計數會顯示,並分成下列間隔:
超過 24 小時: 2
超過一週: 2
超過一個月: 2
以上兩個月: 2
超過標記存留時間: 2
標記存留時間 (天): 180
不要複寫及時的目錄伺服器可能會發生錯誤。他們可能會錯過密碼變更,無法驗證。在標記存留時間中未複寫的網域控制站可能遺漏某些物件的刪除,它可能會自動封鎖未來的複寫直到一致。

當您嘗試透過 ldp.exe 的網域控制站連線時,您會收到下列錯誤訊息:

錯誤<0x51>: 無法連線到 DC01。

</0x51>
此外,在網域控制站診斷工具 (dcdiag.exe) 中發生下列錯誤:

已延遲升級為通用類別目錄的本機網域控制站,因為沒有達到目錄磁碟分割佔有需求。

會記錄下列事件:

識別碼: 0x40000617
產生的時間:
事件字串: 已選取本機網域控制站為通用類別目錄。不過,網域控制站未裝載下列目錄磁碟分割唯讀複本。
目錄磁碟分割: DC =

前提成為通用類別目錄,網域控制站必須裝載樹系中的所有目錄磁碟分割的唯讀複本。如果未完成的知識一致性檢查程式 (KCC) 工作,或網域控制站無法新增目錄磁碟分割的複本,因為無法使用的來源網域控制站,可能會發生這個事件。

嘗試新增複本將會再次發生在下一步的 KCC 間隔。
發生的原因

徵狀 1 的原因

通用類別目錄裝載物件從樹系中每個網域磁碟分割的唯讀複本。裝載通用類別目錄選取電腦時,KCC 正在升級的電腦上會使用其自行斟酌建立從來源網域控制站的連線物件。來源網域控制站可能會包含樹系中的現有通用類別目錄,或網域控制站的主機可寫入複本的每個網域分割的所在樹系中。(所有物件和屬性的子集) 的網域磁碟分割就連入從來源網域控制站指定由 KCC 新增通用類別目錄伺服器透過那些連接連結的複寫。

若下列一或多個情況成立,可能會發生此問題:
  • 設定磁碟分割的通用類別目錄已安裝,而且樹系中的其他網域控制站包含網域的交互參照物件。不過,沒有該網域的網域控制站存在樹系中。
  • 由 KCC 所指定的來源網域控制站的中繼資料存在於中樹系,但不能代表目前所在樹系中的網域控制站。
  • 正在安裝通用類別目錄中的 KCC 會選取來源網域控制站已離線或電源關閉。
  • 正在安裝通用類別目錄中的 KCC 會選取來源網域控制站就無法存取網路上因為缺乏網路連線 (例如向下的連結或連接埠不會妨礙)。
  • 來源網域的通用類別目錄會限制從作為橋頭伺服器,因為非通用類別目錄網域控制站不正確地選取慣用的 bridgehead 作為由系統管理員。
  • 正在安裝通用類別目錄無法建立從選取的來源網域控制站的連線] 連結,因為事件記錄檔中錯誤狀態。
  • 來源網域控制站無法傳入複寫連線] 連結,從選取的來源網域控制站上因為事件記錄檔中錯誤狀態。
網域控制站移除從樹系,但它的資料不被清除。被遺棄的網域樹系中,可以防止從網域控制站完成複寫及將自己通告為通用類別目錄伺服器。被遺棄的網域可能會導致下列問題:
  • 使用中的目錄會移除所有網域控制站,但網域磁碟分割的交互參照物件仍然存在。
  • 目錄磁碟分割會移除從網域,但複寫完成之前,會重新建立目錄磁碟分割。這會導致延遲虛設項目然後引用的交互參照物件。
  • 網域的網域命名更新可能無法達到遭遇此問題的網域控制站。或者,新提升網域的網域命名更新可能無法達到網域以外任何網域控制站。這是暫時的問題。

原因的徵狀 4

將子網域未正確地移除從 AD DS,就會發生這個問題。網域控制站無法複寫與此子網域,並無法取得只準備網域磁碟分割的複本。因此,它們並不會通告自己為通用類別目錄。

徵狀 1 的解決方法

要解決這個問題,請查閱的 FSMOROLEOWNER 屬性 「 CN = 磁碟分割,CN = 組態,CN = 網域,CN ="下 ADSIedit.msc。

屬性會指向下列的舊網域命名主機:
CN =commonNameCN =commonNameCN = 伺服器 CN = 預設值--站台-名字 CN = 站台,CN = 設定,DC =domainComponentDC = com

請將它變更為下列的新網域命名主機的 NTDS 設定物件:
CN =commonNameCN =commonNameCN = 伺服器 CN = 預設值--站台-名字 CN = 站台,CN = 設定,DC =domainComponentDC = com

然後您可以刪除的子網域物件下 ADSIedit,通告通用類別目錄。網域控制站診斷工具 (dcdiag.exe) 也就等於美金乾淨的而且您可以編輯 Exchange 屬性和權限。

因應措施的徵狀 2

警告登錄中的 [建議事件 1578年會警告您不應該啟用降低的佔有層級可用手動方式加速通用類別目錄升級。我們建議您解決目錄服務複寫問題,以便自動通告通用類別目錄。如果要解決這個問題,首先需決定您是否遇到複寫延遲,或是否有實際被遺棄的網域樹系環境中。

如果沒有被遺棄的網域、 目錄服務記錄檔中記錄的 NTDS KCC 事件 1265年。使用這個事件來判斷相同的網域磁碟分割複寫失敗的原因。請確定網路連線很好,而且沒有網路連接埠封鎖,例如 TCP 135。檢查其 DNS 記錄,並確定已註冊的主應用程式和 SRV 記錄都不錯而且初始狀態。如果記憶體回收的記錄,請清除它們。

網域控制站之間複寫驗證運作正常,並驗證過真的沒有被遺棄的網域之後,使用 Ntdsutil.exe 公用程式來清除被遺棄的網域物件。如果沒有該網域的任何被遺棄的網域控制站物件,您也可以刪除網域控制站物件。若要刪除在 AD DS 中被遺棄的網域,請參閱 如何從 Active Directory 移除失去關聯的網域.

如果被遺棄的網域控制站物件仍然存在於被遺棄的網域,請先刪除網域控制站物件。如需詳細資訊,請參閱 如何在網域控制器降級失敗後,在 Active Directory 中移除資料.

因應措施的徵狀 3

若要解決這個問題,請啟動在直接伺服器傳回 (DSR) 模式中,然後再執行語義資料庫分析修正程式。完成此修正程式之後執行,因此報告了下列錯誤:

偵測到遺漏的 subrefs

如果您重新啟動在標準模式下,您仍然無法刪除物件直到nCName屬性的值變更為其父系網域。然後,網域控制站會通告本身為通用類別目錄伺服器和 Exchange 伺服器。

因應措施的徵狀 4

若要解決這個問題,請參閱 如何清除伺服器中繼資料,藉由使用 Active Directory 使用者和電腦.
其他相關資訊
在網域控制站伺服器上安裝通用類別目錄的帳戶,結構描述資訊會複寫到新的通用類別目錄伺服器後,事件 ID 1119 可能會記錄就會有目錄服務登入網域控制站中。事件說明指出電腦正在將自己通告為通用類別目錄伺服器。

若要確認網域命名主機是通用類別目錄伺服器,請依照下列步驟執行:
  1. 在命令提示字元中,輸入 nltest /dsgetdc: Domain_name /server: Server_Name然後按 Enter 鍵。
  2. 請確認該伺服器正在通告GC旗標。
例如,輸入命令之後,您會收到出現GC旗標時,類似下列的訊息:
DC: \\Server_Name
地址: \\IP 位址
Dom Guid:
Dom 名稱: Domain_name
樹系名稱: Domain_name.com
Dc 站台名稱: 預設第一個站台名稱
我們的網站名稱: 預設第一個站台名稱
旗標: PDC GC DS LDAP KDC TIMESERV 可寫入的 DNS_FOREST CLOSE_SITE
順利完成命令

注意Nltest 工具會包含在 Windows 2000 支援工具。若要安裝 Windows 2000 支援工具,請開啟 Windows 2000 光碟片上的 [支援工具] 資料夾,然後執行安裝程式。此外,您必須登入為系統管理員群組的成員,才能安裝這些工具。

警告:本文為自動翻譯

內容

文章識別碼:3063705 - 最後檢閱時間:06/26/2015 05:54:00 - 修訂: 1.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3063705 KbMtzh
意見反應