故障診斷 Active Directory 和 DNS 複寫

文章摘要：本文提供故障診斷 Active Directory 和 DNS 複製的相關資訊。

目錄：

1.尋找靈活的單一主操作 （FSMO） 角色持有者
2.縮小問題
範圍3.目視檢查 DNS
4.目視檢查網站和服務
5.使用事件 ID 縮小故障診斷
範圍6.其他可用工具

問題 1.尋找靈活的單一主操作 （FSMO） 角色持有者

首先在組織中查找域控制器 （DC）。關注森林根的健康，努力走出去。

開啟提升權限的命令提示字元並輸入以下內容，以尋找 FSMO 角色持有者：

 NetDOM 查詢 FSMO

這將返回持有每個角色的DC清單：

問題 2.縮小問題範圍

為了縮小問題範圍，重要的是要有系統。使用以下工具測試各種DC、它們與根域或角色持有者的連接、它們將名稱解析為IP位址的能力、打開埠和複製結果。

嘗試查明無法通信的特定伺服器，並確定源伺服器或目標伺服器是原因。事件記錄和複寫結果是取得其他資訊的方法。

• DCDIAG /v /c /d /e /s：> C：\dcdiag.txt
• ipconfig /all （來自所有 DC 和 DNS 伺服器）
• repadmin /showrepl （從每個 DC）
• repadmin /replsum
• DCDIAG /test：DNS /s：/dnsBasic
• Repadmin /SyncAll /APED
• 依名稱 Ping 每個 DC，並確認名稱解析為正確的 IP 位址。
• 使用 nslookup 在不同 DC 上測試 DNS。
• 使用 tracert 測試伺服器之間的路由。
• repadmin /bind servername - DC 是否可以相互綁定？

問題 3.目視檢查 DNS

前往「開始」-「管理工具」->>「DNS」，開啟 DNS 主控台。按一下左窗格中的 DNS 伺服器。

查看正向查找區域以及與林和域分區相關的所有其他區域。

可透過此連結從 Microsoft TechNet 取得指南：針對 DNS 進行故障診斷

在 DNS 控制台中要尋找的一些事項包括：

• 授權開始（屬性） - 不存在的伺服器的多個名稱。
• IP 位址不正確的記錄。
• 尚未刪除的過時記錄。
• “（與父資料夾相同）”託管不引用DC的記錄。
• 在域正向查找區域中找到起始授權機構 （SOA） 和名稱伺服器 （NS） 記錄（請參見下圖）。
  • 以滑鼠右鍵按一下每個按鈕，然後選取內容。
  • 確認名稱伺服器和其他資訊正確無誤。
• 查看_msdcs資料夾。
• 是否有缺少條目？

您可以從 Microsoft TechNet DNS 伺服器頁面找到有關 DNS 基礎結構的詳細資訊。

問題 4.目視檢查網站和服務

Active Directory 網站和服務主控台包含數個項目，可協助故障診斷複寫失敗。檢查並開啟每個資料夾，並尋找以下內容：

• 確認子網路已建立並指派至正確的站台。
• 確保每個網站物件都包含正確的伺服器。
• 檢查 NTDS 設定以驗證複寫連線。
• 確認伺服器名稱是否存在。

問題 5.使用事件 ID 縮小故障診斷範圍

 
您可以在事件檢視器主控台中找到 AD 相關錯誤。
到達那裡的最快方法是轉到“開始 -> 運行”並鍵入 eventvwr.msc。
相關事件記錄包括系統、DNS、目錄服務和檔案複寫服務記錄。

根據在記錄中找到的錯誤，使用下列文章協助確定後續步驟：

• 故障診斷複寫
• AD 複製拓撲的工作原理
• Active Directory 複寫狀態工具
• 故障診斷 Active Directory 複寫問題
• Microsoft Active Directory 拓樸圖表

問題 6.其他可用工具

Nltest 是一個有用的命令行工具，可以返回有關 AD 域的多種資訊。
元數據清理過程用於刪除對DC的AD引用，這些DC未正確降級而離線。
延遲物件是從 DC 刪除，但由於複製失敗而保留在另一個 DC 上的 AD 物件。
移除這些物件是還原正確複製的必要步驟。

• 如何在網域控制站降級失敗後移除 Active Directory 中的資料
• 清除伺服器中繼資料
• Nltest
• 清除 Active Directory 樹林中的殘留物件