Windows活动目录相关(5)
检测复制区域的权限:
域控制器必须对需要复制的区域有“复制”的权限。如果该域控制器有3个复制区域,domain,configuration和schema。那么必须检测域控制器的机器帐号有对该3个区域的复制权限。
i. 运行adsiedit
ii. 右键点击每一个区域的根结点,选择“内容”
iii. 在安全页里的名字栏里点击“Enterprise Domain Controllers”,确认该组有 “manage replication topology”“Replication Directory Changes”“Replication Synchronization”权限,同时必须确认该计算机帐号在“Enterprise domain controller”组里。
安全策略检测:
使用“secedit /export /mergedpolicy /cfg sec.txt”导出双方服务器的安全策略配置,检测双方的SMB协议配置是否恰当,这包括如下内容:
Digitally Sign Client Communication (Always).
Digitally Sign Client Communication (When Possible).
Digitally Sign Server Communication (Always).
Digitally Sign Server Communication (When Possible).
LAN Manager Authentication Level.
Crash on Audit Fail.
AD数据库:
常见的导致目录复制失败的数据库方面原因有三个:
1. 数据库的数据损坏
2. 磁盘空间不够,导致数据无法更新到数据库日志文件里。
3. 防病毒软件锁住了数据库日志文件,导致AD无法正常打开日志文件。
通常如果是数据库发生问题,你能在目录事件日志里收到相关的错误提示。这样您需要把服务器重新启动至目录服务恢复模式,然后用ntdsutil.exe来修复损坏的数据库。需要注意的是如果您使用的是WIndows2000域控制器,千万不要使用“repair”模式进行修复。因为如果使用了repair模式来进行修复的话,AD的数据库部分内容会丢失,如果丢失的内容涉及到schema,则后果不堪设想,很有可能还会导致其他域控制器的数据库损坏。
总结:
最后,我们来谈一下一种比较特殊的情况。很多时候当前域控制器无法及时得到发生在另一台服务器的对象变更。如果你在AD Site and Service强制进行复制,则该窗口会停止响应。如果您运行“repadmin /showreps”,你会发现在尝试复制相关区域的时候,该服务器得到如下返回信息“The replication job is preemptied”。
其实这个现象并不是一个错误,他只是提示当前的复制任务被其他任务给抢占了,需要延后执行。这个现象的原因主要是因为目录服务的引擎是一个单线程任务,每一个和目录复制相关的任务都有他固定的优先级。比如KCC检测拓扑逻辑的优先级较高,站台内部复制的任务比跨站台复制的优先级高,域内的复制比全局编录区域的复制优先级高,同步复制比异步复制的优先级高。当有复制相关任务产生时,系统把该任务放入一个队列里,然后按照其优先级从高到低依次执行在该队列里的所有任务,如果系统在执行一个任务时有一个较高优先级的任务进入队列里,则系统中断当前任务,而去执行刚进入队列的高优先级任务。对于这个被中断的任务,系统提示“The replication job is preemptied”。所以遇到这种情况,您不必着急,只要等待一会儿,问题就自然而然的消失了。
最后,你可以参考“Troubleshooting Active Directory Replication Problems”文档,该文档里列举了常见的问题和相应的解决放案,既实用又便捷,非常值得参考。
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/-
activedirectory/ maintain/opsguide/part1/adogd12.mspx
参考信息:
RPC相关知识:http://msdn2.microsoft.com/en-us/library/aa374172.aspx
网友评论