與AD復(fù)制相關(guān)的故障

域控之間的相互復(fù)制，包括目錄服務(wù)復(fù)制（主要指AD數(shù)據(jù)庫，包括復(fù)制用戶和計算機(jī)等）和文件復(fù)制服務(wù)（例如登錄腳本和組策略等），提高了系統(tǒng)的可用性。但是由此也會帶來一些問題。

對于前者的復(fù)制來說，使用Active Directory Replication Monitor這一工具，可以以圖形化的方式檢查AD復(fù)制的拓?fù)浣Y(jié)構(gòu)，檢查復(fù)制過程中出現(xiàn)的一些問題，以及執(zhí)行強(qiáng)制復(fù)制等操作。使用REPADMIN這一命令行工具，可以診斷域控之間的復(fù)制故障，確認(rèn)復(fù)制伙伴和AD對象復(fù)制來源，執(zhí)行強(qiáng)制復(fù)制等操作。

對于后者的復(fù)制來說，可以使用NTFRSUTL這一工具，來檢查文件復(fù)制的服務(wù)狀態(tài)，檢查復(fù)制日程安排，強(qiáng)制輪訓(xùn)，檢查復(fù)制集等。

經(jīng)常遇到的和復(fù)制有關(guān)的故障有很多，例如拒絕訪問，這可能是某個環(huán)節(jié)的網(wǎng)絡(luò)故障、時鐘不同步等原因造成。因為DNS查找故障導(dǎo)致DSA操作失敗，這可能和域控上的DNS服務(wù)沒有存在正確的SRV記錄造成的。

對于不顯示任何復(fù)制鏈接或者復(fù)制被排隊、復(fù)制訪問被拒絕或者提示刪除名稱上下文、站點之間存在多個重復(fù)的連接對象、多個域控應(yīng)用的組策略不一致、目錄服務(wù)繁忙導(dǎo)致復(fù)制操作無法完成等故障來說，如果多站點的結(jié)構(gòu)，可能需要等待一段時間再進(jìn)行觀察。如果長時間無法自動解決問題，就說明AD數(shù)據(jù)庫自身的問題了。

復(fù)制的故障從原理上分析，大體上是由于網(wǎng)絡(luò)故障或者DNS故障，造成無法確定對方的位置。另外在進(jìn)行操作時，在等待復(fù)制完成過程中，因為各種并發(fā)的操作，相互之間會造成影響。

在復(fù)制時，并非一股腦將所有的數(shù)據(jù)全部復(fù)制過去，而是每次復(fù)制一部分，因此必須等待上一步完成后才可以執(zhí)行下一步的操作。因為AD數(shù)據(jù)庫中內(nèi)容異常，錯誤的復(fù)制拓?fù)浣Y(jié)構(gòu)等底層的原因，也會造成復(fù)制出現(xiàn)問題。

打開Active Directory站點和服務(wù)窗口，在其中顯示站點的結(jié)構(gòu)信息，可以查看所有的域控制器。在同一個站點內(nèi)，系統(tǒng)會自動生成域復(fù)制的拓?fù)浣Y(jié)構(gòu)，在域控之間生成一個通道。

在對應(yīng)域控的復(fù)制鏈接項的右鍵菜單上點擊“立即復(fù)制副本”項，來執(zhí)行強(qiáng)制復(fù)制操作。如果沒有出現(xiàn)“Active Directory已復(fù)制了連接”之類的信息，說明復(fù)制出現(xiàn)了問題。

執(zhí)行“replmon”命令，打開復(fù)制監(jiān)視器窗口，相比Active Directory站點和服務(wù)程序，該工具可以提供更加詳細(xì)的信息。在左側(cè)的“Monited Servers”項的右鍵菜單上點擊“Add Monited Server”項，在向?qū)Ы缑嬷羞x擇“Switch for directory find server is add”項，選擇域名后，在下一步窗口中添加需要監(jiān)控的所有域控。在左側(cè)顯示已經(jīng)添加的域控，其下包括域內(nèi)數(shù)據(jù)、配置信息、架構(gòu)數(shù)據(jù)、DNS配置信息等。對于全局編錄服務(wù)器來說，會顯示特殊的圖標(biāo)。在目標(biāo)域控的右鍵菜單上點擊“Check Replication Topology”項，來檢測復(fù)制拓?fù)浣Y(jié)構(gòu)，并強(qiáng)制建立復(fù)制通道。

等待一段時間后，選擇上述菜單中的“Show Replication Topologies”項，在打開窗口中顯示所有的域控以及彼此之間的復(fù)制連接。

例如，選擇某臺域控，在右鍵菜單上點擊“Show InterSite Connection” 項，顯示站點內(nèi)的連接情況。當(dāng)存在多臺域控時，可以通過拓?fù)鋱D來發(fā)現(xiàn)存在的問題。

對于多站點來說，可以在站點之間顯示不同域控的連接信息。在某臺域控的右鍵菜單上點擊“Properties”項，在屬性窗口中的“FSMO Roles”面板中顯示操作主機(jī)角色信息，在不同角色的右側(cè)點擊“Query”按鈕，可以檢測其功能是否正常。在“Inbound Replication Connections”面板中顯示復(fù)制連接對象信息。當(dāng)出現(xiàn)復(fù)制失敗的情況后，可以采取縮小復(fù)制范圍的方法進(jìn)行排查。

例如，在左側(cè)選擇某臺域控節(jié)點下的某個分區(qū)項目，在右鍵菜單上點擊“Synchronize with this Replication Partner” 項，使其和復(fù)制伙伴進(jìn)行同步，來檢測復(fù)制是否成功。選擇某個分區(qū)項，在右鍵菜單上點擊“Check Current USN and Un-replicated Objects”項，顯示更新序列號信息，在不同的域控上，如果相同的分區(qū)其USN存在差異，說明其內(nèi)容存在一些不同。

如果兩者的USN差異很大，說明在很長時間內(nèi)沒有進(jìn)行同步。如果目標(biāo)域控的USN和當(dāng)前域控的相同或者較低，就不會向其復(fù)制數(shù)據(jù)，同時，在右側(cè)窗口中會顯示相關(guān)的錯誤信息。

通過復(fù)制監(jiān)視器，可以發(fā)現(xiàn)各種問題，如哪些域控之間在進(jìn)行復(fù)制、哪些復(fù)制操作失敗、哪些內(nèi)容沒有被成功復(fù)制等。在命令行下執(zhí)行“dsastat”命令，可以檢查目錄服務(wù)的狀態(tài)信息。該命令提供了一些有用的參數(shù)，例如執(zhí)行“dsastat -s dc1 dc2”命令，可以比較DC1和DC2上AD數(shù)據(jù)庫的狀態(tài)是否一致。

為了避免因為時間不同步造成AD同步失敗，可以執(zhí)行“net time /rtsdomain:xxx.com”之類的命令，將目標(biāo)域控設(shè)置為時鐘服務(wù)器，來精確調(diào)整時間。在執(zhí)行AD復(fù)制時，如果出現(xiàn)復(fù)制未完成或者未發(fā)生故障，可能的原因是站點未通過站點鏈接連接，對應(yīng)的執(zhí)行“dcdiag /test:Topology”命令，可以進(jìn)行檢測。

執(zhí) 行“repadmin /bridgeheads”命 令，可 以檢測站點組中有無橋頭服務(wù)器。如果出現(xiàn)復(fù)制緩慢的故障，說明站點拓?fù)浜陀媱澬瘦^低，需要重新進(jìn)行合理規(guī)劃。對應(yīng)的執(zhí)行“repadmin /latency” 命令，可以進(jìn)行檢測。執(zhí)行“dcdiag /test:replication”或 者“dcdiag/test”connectivity”命令，可以檢測站點中有無域控制器聯(lián)機(jī)。

如果出現(xiàn)客戶端主機(jī)收到緩慢響應(yīng)問題，說明客戶端網(wǎng)絡(luò)帶寬不足。執(zhí)行“repadmin /test:intersite”命令，可以檢測站點拓?fù)涫欠裾_。利用資源監(jiān)視器中的NTDS計數(shù)器，可以檢測域控數(shù)量是否不足。如果在復(fù)制時網(wǎng)絡(luò)流量大增，說明網(wǎng)絡(luò)帶寬不足或者站點拓?fù)洳徽_。

使 用“Repadmin” 命令，可以查看和手動創(chuàng)建復(fù)制拓?fù)?，?qiáng)制發(fā)生域控之間的復(fù)制事件，查看復(fù)制元數(shù)據(jù)。例如執(zhí)行“repadmin/showreps xxx.com”命令，來查看指定域控的復(fù)制伙伴信息。執(zhí)行“repadmin /showvector dc=xxx,dc=com yyy.xxx.com”命令，可以查看域控上最高更新的USN序列 號?！皔yy.xxx.com”為某臺域控的域名。執(zhí)行“repadmin /showconn yyy.xxx.com”命令，可以查看其連接對象。