现在我的活动目录未通过 dcdiag 测试。我在网上找不到有关此错误的信息。
当我运行时dcdiag /test:crossrefvalidation
,我得到输出:
....
Doing primary tests
Testing server: Default-First-Site-Name\ad01
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Running partition tests on : mydomain
Starting test: CrossRefValidation
......................... mydomain passed test CrossRefValidation
Running partition tests on : t
Starting test: CrossRefValidation
This cross-ref has a non-standard dNSRoot attribute.
Cross-ref DN:
CN=a3a24d3a-4782-460b-9148-86ac2d86b9ae,CN=Partitions,CN=Configuration,
DC=mydomain,DC=com
nCName attribute (Partition name): DC=t
Bad dNSRoot attribute: dc01.mydomain.com
Check with your network administrator to make sure this dNSRoot
attribute is correct, and if not please change the attribute to the
value below.
dNSRoot should be: t
It appears this partition (DC=t) failed to get completely created.
This cross-ref
(CN=a3a24d3a-4782-460b-9148-86ac2d86b9ae,CN=Partitions,CN=Configurat
ion,DC=mydomain,DC=com)
is dead and should be removed from the Active Directory.
......................... t failed test CrossRefValidation
....
我使用了LDP
Windows 支持工具中的工具。我使用过滤器“(&(objectcategory=crossref)(systemFlags:1.2.840.113556.1.4.803:=5))”在“cn=partitions,cn=configuration,dc=mydomain,dc=com”中搜索了 dnsRoot 属性
我得到了结果:
***Searching...
ldap_search_s(ld, "cn=partitions,CN=Configuration,DC=mydomain,DC=com", 1, "(&
(objectcategory=crossref)(systemFlags:1.2.840.113556.1.4.803:=5))", attrList, 0, &msg)
Result <0>: (null)
Matched DNs:
Getting 3 entries:
>> Dn: CN=65502be3-fc90-442a-83d8-4b3b91e82439,CN=Partitions,CN=Configuration,DC=mydomain,DC=com
1> dnsRoot: ForestDnsZones.mydomain.com;
>> Dn: CN=a3a24d3a-4782-460b-9148-86ac2d86b9ae,CN=Partitions,CN=Configuration,DC=mydomain,DC=com
1> dnsRoot: ad01.mydomain.com;
>> Dn: CN=f0ef5771-6225-4984-acd9-c08f582eb4e2,CN=Partitions,CN=Configuration,DC=mydomain,DC=com
1> dnsRoot: DomainDnsZones.mydomain.com;
看起来坏分区有我的第一个域控制器的名称“ad01.mydomain.com”。
我用 Google 搜索了一段时间,但没有找到有关 Active Directory 中应用程序分区的任何帮助或文档。
有人对如何清理这个分区(或该分区的用途)有什么建议吗?
有人知道删除此分区的后果吗?
答案1
启动您信赖的 ADSIEdit(adsiedit.msc,它位于支持工具中)并连接到您的域的配置上下文,然后连接到“分区”;您应该在那里有五个条目(假设域名是“domain.com”):
- CN=(分区名称:DC=ForestDnsZones,DC=domain,DC=com)
- CN=(分区名称:DC=DomainDnsZones,DC=domain,DC=com)
- CN=Enterprise Configuration(分区名称:CN=Configuration,DC=domain,DC=com)
- CN=Enterprise Schema(分区名称:CN=Schema,CN=Configuration,DC=domain,DC=com)
- CN=DOMAIN(分区名称:DC=domain,DC=com)
除非您明确为其创建目录分区,否则其他任何东西都是无用的;在标准 AD 设置中,没有其他任何东西。如果缺少其中一个条目,您就会遇到麻烦。
您还应该在那里找到您的虚假分区;删除它应该是安全的。
为了安全起见,在删除之前最好进行适当的 AD 备份(即 DC 的系统状态)。