我最近发现 Active Directory 复制大约在一个月前开始失败。如果我尝试Replicate Now
从失败的域控制器执行复制,则会收到The following error occurred during the attempt to synchronize the domain controllers: Access is denied.
目录服务日志基本上讲述了相同的故事;重复两个事件
- 1061:内部错误:目录复制代理(DRA)调用返回错误 5。
- 1085:复制警告:目录复制代理 (DRA) 无法将分区 DC=OUR_DOMAIN 与目录服务器 big-long-guid._msdcs.OUR_DOMAIN 上的分区同步。错误为:访问被拒绝
它位于远程站点的两台服务器之间。一台是 Windows 2003,另一台是 Windows 2000;Windows 2000 计算机正在遇到错误。域是较旧的 OUR_DOMAIN 样式。
迄今为止的尝试:
- 我在 Windows 2000 服务器上禁用了 Kerberos 服务并重新启动
- RPC 和 RPC 定位器服务具有预期设置
HKEY_Local_Machine\Software\Microsoft\Rpc\ClientProtocols
ncacn_nb_tcp
Windows 20003 服务器上缺失(已添加)- Portqry 报告正常
- 防火墙已禁用
netdom resetpwd
(并重新启动)在 Windows 2000 服务器上。ENTERPRISE DOMAIN ADMINS
对两台服务器上的站点都有读取权限dcdiag /c
2003 年:除 DNS 转发外,其他所有都通过;几个与根提示服务器相关的错误,似乎不相关dcdiag /c
在 2000 年:说复制失败(呃)(3 份报告)然后通过测试(?)报告 IISADMIN 和 SMTPSVC 丢失(不明白为什么需要它们)列出了 kccevent 的一些错误事件(它们在事件查看器中的位置在哪里?)和来自系统日志的一些打印机错误。
答案1
系统、身份验证或目录服务事件日志中是否有任何相关错误与此相关?服务器上的 dcdiag 和/或 netdiag 是否提供了任何线索?企业域控制器是否具有对 AD 站点和服务中站点的读取权限?只需检查和询问相同的基本事项,因为这可能是由多种因素引起的。至少,我希望在强制复制时记录某种错误或身份验证失败。您可能希望增加审核以进行故障排除。
答案2
我也想分享我的经验,我会立即说重置故障域控制器上的安全通道对我有帮助,而且我还重新启动了 PDC。我按照详细的说明进行了所有操作指示顺便说一句,与此同时,我还需要解决 DNS 问题,以便服务器中的所有记录都与 DNS 相关。