声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。
域控制器不同步的原因、处理方法及监控。最近Exchange 2007 Information store服务无法启动,检查发现活动目录复制服务有大量的报错信息,查找相关日志信息是关于域控制器长时间不同步导致。请帮忙分析日志内容是否现有域环境内存在由于长时间域控直接没有同步成功导致域控制器不能再进行同步。如果是这种情况需要如何处理。
现在的域环境是2003,所有域控是2003的系统,共有四台域控。另外请教下如何发现并确定域控制器由于长时间没有成功同步导致脱离域。
回答:根据您的描述,我了解到您现面临的情况如下。
情况:Windows 2003的域中部署了4台域控制器。
问题:
1. Exchange 2007 Information Store服务无法启动;
2. 日志中出现大量活动目录复制错误信息。
根据您的描述和您发给我的日志,我分析在您的环境存在的问题如下:
1、 ADSERVER1这台域控确实长期没有和域中的其它DC同步,最后一次成功是在2008-11-03 09:11:39。
2、 没有同步的时间已经超过墓碑记录的时间(180天)。
3、 您给的日志是ADSERVER1上的日志,只能判断出该DC存在复制问题,至于域中的其它三台DC是否也存在复制问题,则无法判断。
4、 Exchange 2007 Information Store服务无法正常启动可能是由于活动目录复制造成的,但不排除有其它可能。
要解决该台DC无法同步的错误,我建议您在ADSERVER1上执行如下操作:
1、 强制降级域控
dcpromo /forceremoval
有关详细的强制降级域控的更多内容,请参考
http://technet.microsoft.com/en-us/library/cc816826(WS.10).aspx
2、 清理活动目录中的ADSERVER1元数据
使用Ntdsutil命令行工具清理元数据
有关详细的清理元数据的更多内容,请参考
http://technet.microsoft.com/en-us/library/cc816907(WS.10).aspx
3、 提升域控
dcpromo
同时我建议您在域中的其它域控上检查其活动目录复制是否正常。
1、 检查目录服务日志中是否存在复制错误;
2、 使用repadmin工具检查活动目录复制
repadmin /syncall
repadmin /showreps
注意:repadmin 工具是在Support Tools中,您可以在安装光盘中找到该工具。
有关Windows Server 2003 Support Tools的更多内容,请参考
http://support.microsoft.com/kb/926027
根据您的描述,我了解到ADSERVER1在您的环境中非常重要,不能轻意清理与降级。同时根据您的测试,该DC对于客户端的验证,GPO的下发等功能都是正常。所以我建议通过修改注册表的方式来解决您活动目录复制的问题。
修改注册表键值
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner
其键值为1
该键值是允许DC在活动目录复制时忽略对于“墓碑”周期的检查,修改之后只是会造成部分被清除的对象会被复制。我建议您在完成一次域中所有DC同步之后,将该注册表键值关闭。
设置该注册表键值是为了在DC复制前不再检查数据源的最后更新时间是否超过“墓碑”记录周期。
修改该注册表键值不会产生大的负面影响,唯一的负面影响就是会将一部分已删除的对象加入到活动目录复制中去,增加部分网络流量。
在未设置该注册表键值前,对于超过“墓碑”记录周期的数据源,DC将停止和该数据源的复制。这是由于两台DC上已删除的对象可能不同,数据源可能还存在那些未被garbage collect真正清理仍存在于Deleted Objects container中的对象。如果默认就不检查,则可能会将数据源中那些本应该已被清理的对象再次复制到目标DC上。
您可以使用repadmin命令来确认复制是否已经正常。
repadmin /showreps
针对您之后提出的在主域控上创建用户对象可以复制到其它域控上的现象,我再次检查了您发给我的日志后,发现与主域控存在复制问题的主要是一台别名为ef244731-6d7f-4546-965a-2398c390fcde._msdcs.southernfund.com的域控。
我建议您执行如下操作:
1. 在DNS中找出ef244731-6d7f-4546-965a-2398c390fcde._msdcs.southernfund.com所对应的主机名称;
2. 使用repadmin /showreps命令检查是不是主域控与该台域控之间确定存在复制问题。若是,请按照上一个帖子中修改注册表的方法进行修复,并且建议您在确定复制已成功后,将注册表键值改回。
蔡啸 微软全球技术支持中心