Active Directory 和 DNS 复制故障处理

文章摘要：本文提供有关 Active Directory 和 DNS 复制故障处理的信息。

目录：

1.查找灵活的单主机操作 （FSMO） 角色负责人
2.缩小问题
范围3.目视检查 DNS
4.目视检查站点和服务
5.使用事件 ID 缩小故障处理
范围6.其他可用工具

问题1.查找灵活的单主机操作 （FSMO） 角色负责人

首先查找组织中的域控制器 （DC）。专注于森林根系的健康，并努力走出困境。

通过打开提升的命令提示符并键入以下内容来查找 FSMO 角色持有者：

 netdom 查询 fsmo

这将返回担任每个角色的 DC 的列表：

问题2.缩小问题范围

为了缩小问题的范围，系统性是很重要的。使用以下工具测试各种 DC、它们与根域或角色持有者的连接、将名称解析为 IP 地址的能力、打开的端口以及复制结果。

尝试查明无法通信的特定服务器，并确定原因是源服务器还是目标服务器。事件日志和复制结果是获取附加信息的方法。

• dcdiag /v /c /d /e /s：> C：\dcdiag.txt
• ipconfig /all（来自所有 DC 和 DNS 服务器）
• repadmin /showrepl（来自每个 DC）
• repadmin /replsum
• dcdiag /test：dns/s：/dnsbasic
• Repadmin /syncall/aped
• 按名称对每个 DC 执行 ping 操作，并验证名称是否解析为正确的 IP 地址。
• 使用 nslookup 跨不同的 DC 测试 DNS。
• 使用 tracert 测试服务器之间的路由。
• repadmin /bind servername— DC 是否可以相互绑定？

问题3.目视检查 DNS

通过转至开始 -> 管理工具 -> DNS 打开 DNS 控制台。单击左侧窗格中的 DNS 服务器。

查看正向查找区域以及与林和域分区相关的所有其他区域。

可使用以下链接从 Microsoft TechNet 获取指南：排除 DNS 故障

在 DNS 控制台中要查找的一些内容包括：

• 授权起始（属性）- 不存在的服务器的多个名称。
• 具有不正确 IP 地址的记录。
• 尚未删除的陈旧记录。
• “（与父文件夹相同）”托管不引用 DC 的记录。
• 在域正向查找区域中查找权威机构 （SOA） 和名称服务器 （NS） 记录的起始位置（请参见下图）。
  • 右键单击各项并选择Properties。
  • 验证名称服务器和其他信息是否正确。
• 查看 _msdcs 文件夹。
• 是否缺少条目？

您可以从 Microsoft TechNet DNS 服务器页面找到有关 DNS 基础结构的详细信息。

问题4.目视检查站点和服务

Active Directory 站点和服务控制台包含多个项目，可帮助排除复制故障。检查并打开每个文件夹并查找以下内容：

• 验证是否已创建子网并将其分配给正确的站点。
• 确保每个站点对象都包含正确的服务器。
• 检查 NTDS 设置以验证复制连接。
• 验证服务器名称是否存在。

问题5.使用事件 ID 缩小故障处理范围

 
AD 相关错误可以在事件查看器控制台中找到。
到达那里的最快方法是转到“开始 -> 运行”，然后键入 eventvwr.msc。
相关事件日志包括系统、DNS、目录服务和文件复制服务日志。

根据日志中发现的错误，使用以下文章来帮助确定后续步骤：

• 复制故障处理
• AD 复制拓扑的工作原理
• Active Directory 复制状态工具
• Active Directory 复制问题疑难解答
• Microsoft Active Directory 拓扑图表生成器

问题6.其他可用工具

Nltest 是一个有用的命令行工具，可以返回有关 AD 域的多种信息。
元数据清理过程用于删除对未正确降级而离线的 DC 的 AD 引用。
延迟对象是已从一个 DC 中删除但由于复制失败而保留在另一个 DC 上的 AD 对象。
删除这些对象是恢复正常复制的必要步骤。

• 如何在域控制器降级失败后删除 Active Directory 中的数据
• 清理服务器元数据
• Nltest
• 清理 Active Directory 林中的留存对象