有一个 DC 最近参加了业务连续性测试。据我所知,服务器(虚拟的)已拍摄快照,在两个站点之间的链接断开时进行测试,然后恢复到快照。现在链接已恢复,我通过 Solar Winds 看到通知,AD 服务出现错误。查看服务器,NETLOGON 服务已暂停。从事件日志中我了解到,这是由于重复的复制尝试失败造成的。还有一条通知,AD 以不受支持的方式恢复(可能是快照)。
我尝试使用站点和服务管理单元强制复制,但失败了,提示服务器当前拒绝复制。我可以 ping 服务器,但奇怪的是,它似乎从 10.168.3 NIC 而不是我预期的 10.168.50 NIC 响应。但是两个 IP 都可以 ping 通,并且可以通过 RDP 或通过 vSphere 控制台连接到服务器。
运行 repadmin /show various 失败,但我确信这些是由于某些潜在故障导致复制服务无法启动。对于这种级别的故障排除有点陌生,但我会很感激任何能给我的帮助。
编辑:想知道这是否与 USN Rollback 有关 (?)/。链接至 KB这里
答案1
您的问题几乎肯定是由于 USN 回滚造成的。恢复到快照不是恢复 DC 的支持方法。要解决此问题,请按照您引用的知识库文章中概述的步骤进行操作。这将包括降级 DC、清理元数据,然后升级它。
答案2
三件事:
如果您看到这样的错误,您不应该尝试强制复制。复制停止是有原因的,而且通常是坏事。
不要在域控制器上使用快照。
您肯定不希望出现这样的情况:有人找到了 DC 的旧副本,而您现在正在复制本该消失的对象。如果您尚未这样做,则应启用严格复制。在域控制器上启用此设置可防止延迟对象从具有延迟对象的有问题的 DC 复制到内。
在 Hyper-V 中运行域控制器
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28WS.10%29.aspx
摘自本文:
应在所有域控制器上启用严格复制一致性
http://technet.microsoft.com/en-us/library/dd723692%28WS.10%29.aspx
当 Active Directory 环境中的域控制器与复制拓扑断开连接一段时间后,从所有其他域控制器上的 AD DS 中删除的所有对象可能会保留在断开连接的域控制器上。此类对象称为延迟对象。当此域控制器重新连接到复制拓扑时,它将充当源复制伙伴,该源复制伙伴拥有一个或多个其目标复制伙伴不再拥有的对象。当更新源域控制器上的这些延迟对象并通过复制将这些更新发送到目标域控制器时,就会出现问题。目标域控制器可以通过以下两种方式之一进行响应:
如果目标域控制器启用了严格复制一致性,它会识别到它无法更新该对象(因为该对象不存在),并且它会在本地停止来自该源域控制器的目录分区的入站复制。
如果目标域控制器未启用严格复制一致性,它会请求更新对象的完整副本,这会将延迟对象引入目录中。
只要管理员、应用程序或服务不更新延迟对象或尝试在域中创建具有相同名称的对象或在林中创建具有相同用户主体名称 (UPN) 的对象,过时的域控制器就可以存储延迟对象而不会产生明显的影响。但是,延迟对象的存在可能会导致问题,尤其是当该对象是安全主体时。以下症状表明域控制器具有延迟对象:
已删除的用户或组帐户仍保留在运行 Microsoft Exchange Server 的计算机的全局地址列表 (GAL) 中。因此,尽管帐户名称出现在 GAL 中,但尝试发送电子邮件时仍会导致错误。
对于在林中应唯一的对象,对象选择器或 GAL 中会出现多个对象副本。有时,重复的对象会以更改的名称出现,从而导致目录搜索混乱。例如,如果无法解析两个对象的相对可分辨名称 (也称为 DN),冲突解决会将“*CNF:GUID”附加到名称后,其中 * 表示保留字符,CNF 是指示冲突解决的常量,GUID 表示 objectGUID 属性值。
电子邮件无法传递给 Active Directory 帐户看似为当前帐户的用户。过期的域控制器或全局编录服务器重新连接后,用户对象的两个实例都会出现在全局编录中。由于两个对象具有相同的电子邮件地址,因此无法发送电子邮件。
不再存在的通用组仍会显示在用户的访问令牌中。尽管该组不再存在,但如果用户帐户的安全令牌中仍有该组,则该用户可能有权访问您本打算不让该用户使用的资源。
无法创建新对象或 Exchange 邮箱,但您在 AD DS 中看不到该对象。错误消息报告该对象已存在。
使用现有对象的属性进行的搜索会错误地找到同名对象的多个副本。一个对象已从域中删除,但它仍保留在独立的全局编录服务器中。