Server 2008 DC 拒絕複製請求
擁有最近參與業務連續性測試的 DC。據我了解,伺服器(是虛擬的)被快照了,在兩個站點之間的連結關閉時進行了測試,然後恢復到快照。現在連結已備份,我通過 Solar Winds 看到 AD 服務出錯的通知。查看伺服器,NETLOGON 服務已暫停。從我可以從事件日誌中收集到的資訊來看,這是由於重複複製嘗試失敗所致。還有一個通知,表明 AD 以不受支持的方法(可能是快照)進行了恢復。
我嘗試使用站點和服務管理單元強制複製,但失敗了,說明伺服器目前拒絕複製。我可以 ping 伺服器,但奇怪的是它似乎從 10.168.3 NIC 響應,而不是我預期的 10.168.50 NIC。兩個 IP 都可以 ping 通,伺服器可以通過 RDP 或通過 vSphere 控制台連接。
執行 repadmin /show 各種故障,但我確信這些是由於一些潛在的故障導致複製服務無法啟動。對這種級別的故障排除有點新意,但如果能給予我任何幫助,我將不勝感激。
編輯:想知道它是否與 USN 回滾 (?)/. 在此處連結到 KB
您的問題幾乎肯定是由於 USN 回滾。恢復到快照不是恢復 DC 的受支持方法。要解決此問題,請按照您引用的知識庫文章中概述的步驟操作。這將包括降級 DC,清理元數據,然後升級它。
三件事:
如果你看到這樣的錯誤,你不應該嘗試強制複製。複製停止是有原因的,而且通常很糟糕。
不要在域控制器上使用快照。
您不希望處於有人打開了 dc 的舊副本而現在您正在複製應該消失的對象的情況。如果您還沒有這樣做,您應該啟用嚴格複製。在域控制器上啟用此設置可防止延遲對像從具有延遲對象的違規 dc 複製入站。
在 Hyper-V 中執行域控制器
來自文章:
應在所有域控制器上啟用嚴格的複制一致性
http://technet.microsoft.com/en-us/library/dd723692%28WS.10%29.aspx
如果 Active Directory 環境中的域控制器與複製拓撲斷開連接很長時間,則從所有其他域控制器上的 AD DS 中刪除的所有對象可能仍保留在斷開連接的域控制器上。這樣的對像被稱為揮之不去的對象。當此域控制器重新連接到複製拓撲時,它將充當具有一個或多個目標複製夥伴不再擁有的對象的源複製夥伴。當源域控制器上的這些延遲對像被更新並且這些更新通過複製發送到目標域控制器時,就會出現問題。目標域控制器可以通過以下兩種方式之一進行響應:
- 如果目標域控制器啟用了嚴格的複制一致性,它會辨識出它無法更新對象(因為對像不存在),並且它會在本地停止來自該源域控制器的目錄分區的入站複製。
- 如果目標域控制器沒有啟用嚴格的複制一致性,它會請求更新對象的完整副本,這會將延遲對象引入目錄。
只要管理員、應用程序或服務不更新延遲對像或嘗試在域中創建具有相同名稱或具有相同使用者主體名稱 (UPN) 的對象,過時的域控制器就可以儲存延遲對象而沒有明顯影響) 在森林裡。但是,延遲對象的存在可能會導致問題,尤其是當對像是安全主體時。以下症狀表明域控制器具有延遲對象:
- 已刪除的使用者或組帳戶仍保留在執行 Microsoft Exchange Server 的電腦上的全域地址列表 (GAL) 中。因此,儘管帳戶名稱出現在 GAL 中,但嘗試發送電子郵件會導致錯誤。
- 一個對象的多個副本出現在對象選取器或 GAL 中,該對像在林中應該是唯一的。重複的對像有時會出現名稱更改,從而導致目錄搜尋混亂。例如,如果兩個對象的相對專有名稱(也稱為DN)無法解析,則衝突解決在名稱後附加“CNF:GUID”,其中表示保留字元,CNF是表示衝突解決的常量,而 GUID 表示 objectGUID 屬性值。
- 電子郵件不會傳遞給其 Active Directory 帳戶似乎是最新的使用者。在過時的域控制器或全域編錄伺服器重新連接後,使用者對象的兩個實例都會出現在全域編錄中。因為這兩個對象具有相同的電子郵件地址,所以無法傳遞電子郵件。
- 不再存在的通用組繼續出現在使用者的訪問令牌中。儘管該組不再存在,但如果使用者帳戶的安全令牌中仍有該組,則該使用者可能有權訪問您打算對該使用者不可用的資源。
- 無法創建新對像或 Exchange 郵箱,但您在 AD DS 中看不到該對象。一條錯誤消息報告該對像已存在。
- 使用現有對象屬性的搜尋會錯誤地找到同名對象的多個副本。一個對像已從域中刪除,但它仍保留在隔離的全域編錄伺服器中。