排查域控制器復(fù)制故障

河南 劉進(jìn)京

某單位在網(wǎng)絡(luò)環(huán)境中部署了多臺Windows Server 2012 R2域控制器，近日在域控制之間復(fù)制時出現(xiàn)異?，F(xiàn)象。系統(tǒng)顯示“沒有足夠的站點(diǎn)連接信息用于KCC 創(chuàng)建跨越樹復(fù)制拓?fù)洌蛘呔哂写四夸浄謪^(qū)的一個或者多個目錄服務(wù)器無法復(fù)制目錄分區(qū)信息，這可能源于目錄服務(wù)無法訪問”的錯誤信息，造成域控之間復(fù)制失敗，活動目錄數(shù)據(jù)庫無法及時同步更新。

故障排查

對于域控復(fù)制失敗問題，首先執(zhí)行“repadmin/showrepl”命令檢測域控復(fù)制狀態(tài)，在返回信息中出現(xiàn)“DSA 選項(xiàng):IS_GC DISABLE_INBOUND_RFEPL DISABLE_OUTBOUND_REPL”的提示信息，說明出站和入站的復(fù)制狀態(tài)均為“Disable”，即域控復(fù)制被禁用。

執(zhí)行“repadmin/options dc1-DISABLE_INBOUND_REPL”和“repadmin/options dc1-DISABLE_OUTBOUND_REPL”命令，在返回信息中的“新的DCA 選項(xiàng)”行中只顯示“IS_GC”項(xiàng)，說明啟用了域控制器的復(fù)制功能，“dc1”為該域控名稱。

之后執(zhí)行“repadmin/showconn”命令，確認(rèn)域控之間是否成功創(chuàng)建復(fù)制鏈接。接著執(zhí)行“repadmin/showrepl”命令，顯示當(dāng)前域控的復(fù)制狀態(tài)，在返回信息中出現(xiàn)“由于DNS 查找故障，DSA 操作無法進(jìn)行”的信息。執(zhí)行“repadmin/syncall dc1/force”命令，強(qiáng)制當(dāng)前域控和目標(biāo)域控之間強(qiáng)制進(jìn)行復(fù)制，出現(xiàn)“到DC1的DsBindWithCred 失敗，狀態(tài):1732<0x6ba> RPC 服務(wù)器不可用”的提示。

使用ping 命令對目標(biāo)域名進(jìn)行探測也出現(xiàn)異常，對域控之間的網(wǎng)絡(luò)連接進(jìn)行檢測，并更換連接的網(wǎng)線，但在強(qiáng)制復(fù)制時依然出現(xiàn)問題。

經(jīng)檢查在這些域控主機(jī)上都部署了Active Directory 集成區(qū)域DNS 服務(wù)。在對該域控上打開DNS控制臺，對配置信息進(jìn)行檢測時，發(fā)現(xiàn)“_msdcs.xxx.com”子域中的配置信息存在缺失的情況，可能是有人誤操作對該子域造成了破壞。

活動目錄使用DNS 來定位域控制器，之后才可以使用活動目錄提供的服務(wù)，包括全局編錄服務(wù)、Kerberos、輕量級負(fù)載協(xié)議和域控制器等，所有的SRV 紀(jì)錄全部保存在該子域中。Netlogon 進(jìn)程會在每個域控制器上動態(tài)注冊所需的紀(jì)錄。

所有的域控會通過復(fù)制機(jī)制同步該子域內(nèi)容。該子域配置會通過活動目錄數(shù)據(jù)庫的多主機(jī)復(fù)制機(jī)制，同步到每個運(yùn)行DNS 域的控制器。在該子域中包含DC、Domain、GC 以及PDC 等項(xiàng)目，這些項(xiàng)目會標(biāo)注活動目錄服務(wù)中常見的服務(wù)所在的域控制器及定義域控制器的屬性。如果該子域出現(xiàn)問題，不僅會導(dǎo)致域控之間復(fù)制失敗，還會造成客戶端登錄驗(yàn)證失敗。

故障解決

為解決問題，需要對該子域進(jìn)行恢復(fù)。因?yàn)樵撟佑蛞驯黄茐?，可以先刪除，再重建來進(jìn)行恢復(fù)操作。

在DNS 管理器中選擇“正向查找區(qū)域”項(xiàng)，右擊“新建區(qū)域”項(xiàng)，在新建區(qū)域向?qū)Ы缑嬷悬c(diǎn)擊“下一步”，在區(qū)域類型窗口中選擇“主要區(qū)域”和“在Active Directory 中存儲區(qū)域（只有DNS 服務(wù)器是可寫控制器時才可用）”。該區(qū)域支持安全更新，域中所有計(jì)算機(jī)的地址變化后都會向該區(qū)域注冊自己的IP。

點(diǎn)擊“下一步”按鈕，在Active Directory 區(qū)域傳送作用域窗口中選擇“至此域中域控制器上運(yùn)行的所有DNS 服務(wù)器”項(xiàng)，表示僅僅在部署Active Directory 集成區(qū)域DNS 服務(wù)的服務(wù)器上進(jìn)行區(qū)域傳送。

點(diǎn)擊“下一步”，在“區(qū)域名稱”欄中輸入“_msdcs.xxx.com”，點(diǎn)擊“下一步”，在動態(tài)更新窗口中選擇“只允許安全的動態(tài)更新（適合Active Directory 使用）”，點(diǎn)擊“完成”，創(chuàng)建該子域。打開“網(wǎng)絡(luò)連接屬性窗口→Internet協(xié)議版本4（TCP/Ipv4）→使用下面的DNS 服務(wù)器地址”項(xiàng)，保證首選DNS服務(wù)器指向域控地址。

執(zhí)行“net stop netlogon”和“net start netlogon”命令，重新注冊并生成新服務(wù)，檢測“_msdcs.xxx.com”子域下是否包含DC、Domain、GC及PDCPDC 等子文件。

完成以上操作后，打開 Active Directory 站點(diǎn)和服務(wù)窗口，在左側(cè)選擇“Sites→站點(diǎn)名稱→Serves→域控名稱→NTDS Settings”項(xiàng)，在右側(cè)窗口中選擇由KCC 自動生成的目標(biāo)復(fù)制鏈接，右擊“立即復(fù)制”項(xiàng)，在彈出窗口點(diǎn)擊“立即復(fù)制”，強(qiáng)制在指定域控之間立即執(zhí)行復(fù)制操作。

也可以執(zhí)行“repadmin/replicate dc1 dc2 dc=xxx,dc=com/force”命令，在指定的域控之間執(zhí)行強(qiáng)制復(fù)制操作，其中的“xxx”為聚義的域名，“dc1”和“dc2”為具體的域控名稱。執(zhí)行“repadmin/showrepl”命令，顯示域控之間復(fù)制信息。執(zhí)行“repadmin/syncall”命令，可以同步所有的域控?？梢钥吹?，域控之間的復(fù)制可以順利進(jìn)行了。