Windows-Server-2008

所有 DC 均未通過 VerifyEnterpriseReferences 和 DNS RReg 測試 - 其他一切正常,包括複製到全新的 DC

  • September 26, 2018

因此,我們最近向我們的域 (Win 2008 R2 Enterprise) 添加了一個新的 DC,其想法是用第二個 Enterprise DC 替換我們的 Win 2008 R2 Standard DC - 這將為我們提供 2008 R2 Enterprise 上的 2 個 DC。

在添加這個 DC 的同時,我們最終還從 2003 年到 2008 年提高了森林和領域的等級。

據我所知,一切都複製得很好。AD、SYSVOL 或其他任何東西都沒有問題。

在降級 2008 R2 標準盒之前,我會確保一切正常且緊湊。

所有 DC 均未通過 VerifyEnterpriseReferences 測試,輸出如下:

  Starting test: VerifyEnterpriseReferences
    The following problems were found while verifying various important DN
    references.  Note, that  these problems can be reported because of
    latency in replication.  So follow up to resolve the following
    problems, only if the same problem is reported on all DCs for a given
    domain or if  the problem persists after replication has had
    reasonable time to replicate changes. 
       [1] Problem: Missing Expected Value
        Base Object: CN=DC2008S-0,OU=Domain Controllers,DC=domain,DC=com
        Base Object Description: "DC Account Object"
        Value Object Attribute Name: msDFSR-ComputerReferenceBL
        Value Object Description: "SYSVOL FRS Member Object"
        Recommended Action: See Knowledge Base Article: Q312862

       [2] Problem: Missing Expected Value
        Base Object:
       CN=DC2008E-0,OU=Domain Controllers,DC=domain,DC=com
        Base Object Description: "DC Account Object"
        Value Object Attribute Name: msDFSR-ComputerReferenceBL
        Value Object Description: "SYSVOL FRS Member Object"
        Recommended Action: See Knowledge Base Article: Q312862

       [3] Problem: Missing Expected Value
        Base Object:
       CN=DC2008E-1,OU=Domain Controllers,DC=domain,DC=com
        Base Object Description: "DC Account Object"
        Value Object Attribute Name: msDFSR-ComputerReferenceBL
        Value Object Description: "SYSVOL FRS Member Object"
        Recommended Action: See Knowledge Base Article: Q312862

       LDAP Error 0x20 (32) - No Such Object. 
    ......................... DC2008S-0 failed test VerifyEnterpriseReferences

此外,DNS RReg 測試失敗 - 我還沒有詳細研究這個,但它包含在 dcdiag 報告中,所以我想我現在將它添加到這裡

    Summary of DNS test results:


                                       Auth Basc Forw Del  Dyn  RReg Ext
       _________________________________________________________________
       Domain: domain.com

          DC2008S-0                    PASS PASS PASS PASS PASS FAIL n/a  
          DC2008E-0                    PASS PASS PASS PASS PASS FAIL n/a  
          DC2008E-1                    PASS PASS PASS PASS PASS FAIL n/a  

    Total Time taken to test all the DCs:2 min. 52 sec.

    ......................... domain.com failed test DNS

該錯誤將我指向 2003 伺服器的知識庫文章https://support.microsoft.com/en-us/help/312862/recovering-missing-frs-objects-and-frs-attributes-in-active-directory

我仍然試圖跟隨,只是為了看看我會發現什麼。

我們所有的 DC 上似乎都填寫了 Server-Reference。(ASDIEdit、根域、預設命名上下文、CN=System、CN=File Replication Service、CN=Domain System Volume(SYSVOL 共享),所有 3 個 DC 都被列為一個 nTFRSMember,並且屬性在 serverReference 中填寫了詳細資訊。

它與我取出的內容不完全匹配,但我不能 100% 確定我正在尋找正確的地方:

CN=NTDS Site Settings,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

CN=NTDS Settings,CN=DC2008S-0,CN=Servers,CN=SITE_NAME,CN=Sites,CN=Configuration,DC=DOMAIN_NAME,DC=com

但是對於所有 3 個 DC,第二個值都是 true(具有不同的 DC 名稱)。

如果我執行 ntfrsutl ds 我確實得到(空)輸出但是:

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
  FRS  DomainControllerName: (null)
  Computer Name            : DC2008E-0
  Computer DNS Name        : DC2008E-0.domain.com

該輸出在所有 3 個 DC 上也是如此。

再次 - 據我所知,其他一切似乎都很好。我們在 5 天前推出了新的 DC 並更新了功能級別。我不確定為什麼會出現這些故障,並希望在繼續退役之前對其進行清理。

額外細節:

我執行了腳本“通過 PowerShell 測試 SYSVOL 複製延遲/收斂”,一切似乎都如願以償:

Name                      PDC   Site Name  DS Type    IP Address OS Version
----                      ---   ---------  -------    ---------- ----------
DC2008S-0.domain.com      FALSE sitename   Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      TRUE  sitename   Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      FALSE sitename   Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

這是正確的,報告吐出一個積極的結果!

 ====================== CHECK 6 ======================

 REMARK: Each DC In The List Below Must Be At Least Accessible Through SMB Over TCP (445)

 * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
    - DC Is Reachable...
    - Object [sysvolReplTempObject20180926163805.txt] Exists In The NetLogon Share

 * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
    - DC Is Reachable...
    - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

 * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
    - DC Is Reachable...
    - Object [sysvolReplTempObject20180926163805.txt] Now Does Exist In The NetLogon Share

 Start Time......: 2018-09-26 16:38:05
 End Time........: 2018-09-26 16:38:11
 Duration........: 6.20 Seconds

 Deleting Temp Text File...

 Temp Text File [sysvolReplTempObject20180926163805.txt] Has Been Deleted On The Target RWDC!


Name                                    Site Name  Time
----                                    ---------  ----
DC2008E-1.domain.COM [SOURCE RWDC]      sitename    0
DC2008S-0.domain.com                    sitename    6.17
DC2008E-0.domain.com                    sitename    6.20

更多細節:

我還執行了腳本“通過 PowerShell 測試 Active Directory 複製延遲/收斂”來驗證 AD 複製

Name                      Domain        GC   FSMO                Site Name  DS Type    IP Address OS Version
----                      ------        --   ----                ---------  -------    ---------- ----------
DC2008S-0.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.3   Windows Server 2008 R2 Standard
DC2008E-0.domain.com      domain.com   TRUE  SCH/DNM/PDC/RID/INF sitename Read/Write 10.1.1.27  Windows Server 2008 R2 Enterprise
DC2008E-1.domain.com      domain.com   TRUE  .....               sitename Read/Write 10.1.1.28  Windows Server 2008 R2 Enterprise

所有 DC 在森林中都正確出現,然後進行域檢查(上面列出的域輸出。看到它們都有一個全域目錄,並且 DC2008E-0 具有我們所有的 FSMO 角色)

====================== CHECK 15 ======================

 REMARK: Each DC In The List Below Must Be At Least Accessible Through LDAP Over TCP (389)
 REMARK: Each GC In The List Below Must Be At Least Accessible Through LDAP-GC Over TCP (3268)

 * Contacting DC In AD domain ...[DC2008E-1.domain.COM [SOURCE RWDC]]...
    - DC Is Reachable...
    - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Exists In The Database

 * Contacting DC In AD domain ...[DC2008S-0.domain.COM]...
    - DC Is Reachable...
    - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

 * Contacting DC In AD domain ...[DC2008E-0.domain.COM]...
    - DC Is Reachable...
    - Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Now Does Exist In The Database

 Start Time......: 2018-09-26 16:49:16
 End Time........: 2018-09-26 16:49:32
 Duration........: 15.59 Seconds

 Deleting Temp Contact Object...

 Temp Contact Object [CN=adReplTempObject20180926164916,CN=Users,DC=domain,DC=com] Has Been Deleted On The Target RWDC!


Name                                    Domain        GC   Site Name   Time
----                                    ------        --   ---------   ----
DC2008E-1.domain.COM [SOURCE RWDC]     domain.com    TRUE sitename     0
DC2008E-0.domain.com                   domain.com    TRUE sitename    15.59
DC2008S-0.domain.com                   domain.com    TRUE sitename    2.20

同樣,一切看起來都在很好地複制。還是認為 15 秒太長了?延遲是導致我在 dcdiag 測試中激動的原因嗎?

另一個更新!

我已驗證每個 DC 上每個區域中的 SOA 序列號是否匹配。

我還瀏覽了 _msdcs 區域中的所有子目錄和記錄,那裡的所有內容也都匹配 100%。

聽起來您遇到了 SYSVOL 複製問題,我建議您使用以下 Powershell 工具來測試 SYSVOL 複製:https ://gallery.technet.microsoft.com/Testing-SYSVOL-Replication-c3e9dc68

確認 SYSVOL 複製存在問題後,您可以通過執行非權威 SYSVOL 還原來解決。https://support.microsoft.com/en-us/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi

如果非權威性不起作用,您可以使用權威性還原,但要小心,因為這更危險。

解決了 SYSVOL 複製後,我建議您從 FRS 複製遷移到 DFS-R 複製。https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/

作為參考,如果需要,還有一組 DFS-R 重新同步步驟:https: //support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative -同步-fo

Jorge 還提供了一個我建議執行的 ADDS 複製檢查 powershell 腳本:https ://gallery.technet.microsoft.com/Testing-Active-Directory-94e61e3e

人們經常忘記 Active Directory 複製由兩個獨立的部分組成,即 ADDS 和 SYSVOL。如果任何一方失敗,你最終都會遇到大問題。最重要的是,FRS 和 DFS-R 因默默失敗給 GPO 帶來災難性後果而臭名昭著。GPO 的 ADDS 端將在 DC 之間匹配,但 SYSVOL 端(包含 GPO 的實際指令)不會。

不確定 RREG 問題,但我會確認您的反向 DNS 查找區域已正確設置和複製。您可以確認兩個DC之間的Zone序列號,以便收斂。此外,查看 _msdcs 轉發區域是否存在錯誤,包括不正確的 NS 條目。

在與 OP 進一步討論後,我發現了這個連結:https ://social.technet.microsoft.com/Forums/windowsserver/en-US/2ce07c3f-9956-4bec-ae46-055f311c5d96/dcdiag-test-failed-on-verifyenterprisereferences ?forum=winserverDS

在將域從 2003 級別遷移到 2008 級別之後,但在從 FRS 遷移到 DFS-R SYSVOL 複製之前,他的原始錯誤“測試驗證企業引用失敗”似乎是一個已知且預期的錯誤。可以安全地忽略該錯誤,但最佳實踐涉及完成 DFS-R 遷移。

引用自:https://serverfault.com/questions/932799

相關問答

Windows-Server-2008

Server 2008 DFS 複製問題

  • May 11, 2012
檢視問答
Windows-Server-2008

嘗試重新配置已被刪除且處於離線狀態的 DC - dcpromo 中的“刪除域”?

  • September 26, 2018
檢視問答
Windows-Server-2008

ADSS 中仍顯示舊域控制器

  • November 21, 2017
檢視問答
Windows-Server-2008

在將我的域升級到 Server 2016 之前,我應該遷移到 DFSR 嗎?

  • November 6, 2017
檢視問答
Windows-Server-2008

兩個 Windows Server 域,兩個使用者,相同的權限

  • April 18, 2017
檢視問答
Windows-Server-2008

將域客戶端轉移到域控制器的最佳方式

  • October 18, 2016
檢視問答