AD复制故障检查顺序及所需工具.docx

AD复制故障检查顺序及所需工具故障现象：组策略无法更新SYSVOL共享无法复制到其他DC所需工具:Dcdiag.exe域控制器诊断工具Netdiag.exe　网络诊断工具Repadmin.exe　复制诊断实用工具Ntfrsutil.exe　文件复制服务实用工具Replmon.exe　Active Directory 复制监视器在尝试解决此类问题时需要遵循的基本步骤：１、确保域名服务 (DNS) 配置正确。正确的目录复制需要有正确的 DNS 配置。 ２、确保您可以使用 Ping.exe 实用工具从域控制器的网络中心伙伴通过主机名和 IP 地址来“ping”该域控制器。 ３、确保网络分支中的计算机能够解析网络中心中的名称。例如，“ping”。 ４、确保您能够通过事件日志中所列的服务器的全局唯一识别符 (GUID) 来 ping 服务器。如果您能够通过服务器的主机名来成功地 ping 服务器，但不能通过其 GUID 来成功地 ping 服务器，则存在 DNS 配置问题。 ５、运行 Dcdiag.exe 实用工具。此实用工具会运行一系列测试，结果不是“通过”就是“失败”。确保所有测试均顺利通过。 ６、在您遇到问题的网络分支上查看事件查看器的目录服务日志。研究并解决所有错误。 ７、通过将 Repadmin.exe 实用工具与 /showreps 开关配合使用来验证站点链接正确。 ８、通过将 Repadmin.exe 实用工具与 /showconn 开关配合使用来验证入站连接。 ９、查看 Winnt/Debug 文件夹中的所有日志文件。特定的症状及故障排除步骤注意：在下列各节中，将报告问题的域控制器称为“目的服务器”。将目的服务器尝试从中复制内容的域控制器称为“源服务器”。 “Access Denied”（拒绝访问）错误当您将 Repadmin.exe 工具与 /showreps 开关配合使用时，所返回的复制状态信息中会列出一条或多条“Access Denied”（拒绝访问）错误信息。这表明域控制器上次尝试与其他域控制器联系时没有成功。因为域控制器是 Enterprise Domain Controllers 组的成员，它有权调用其他域控制器上的任何函数。如果您发现域控制器之间的调用导致“Access_Denied”（拒绝访问）错误，则问题不在于缺少正确的凭据，而在于其中一个域控制器未正确配置。 ? 如果错误是“ERROR_ACCESS_DENIED”，请查找 Kerberos 问题。 ? 如果错误是“ERROR_DRA_ACCESS_DENIED”，请查看一下两个目录上所涉及到的两台计算机的计算机帐户是否都是正确的。确保域控制器的“userAccountControl”字段是正确的。 Repadmin.exe 或 Replmon.exe 对特定目录分区报告“Access Denied”（拒绝访问）此问题通常表明存在 Kerberos 身份验证故障，尽管有一些例外。在此情况下，要解决复制故障，请先解决身份验证故障，然后再尝试解决复制问题。要解决此问题，请按照下列步骤操作： 1. 确保源服务器的安全策略中的“从网络访问这台计算机”用户权限包括目的服务器的机器帐户。可以通过 Everyone 组、Enterprise Domain Controllers 组来做到这一点，也可以通过单独对其进行指定来做到这一点。 2. 确保启动了密钥分发中心服务。您可以使用 Dcdiag.exe 通过 dcdiag /test:services 命令来测试所有域控制器上的服务故障。注意：在此命令中，“test”和“services”之间有一个冒号。 3. 确保目的服务器拥有来自其他源服务器的连接对象。当它没有来自其他源服务器的连接对象时，如果知识一致性检查器 (KCC) 没有自动创建连接或者已被禁用，则您可能必须创建手动连接。 4. 确保 KCC 拓扑是连通的。如果 KCC 尚未形成完全拓扑，则无法复制更改。要对此进行测试，请使用 dcdiag/test:topology 命令，并指定您要检查的域拓扑。 5. 确保在“Active Directory 用户和计算机”MMC 管理单元中的“域控制器 属性”对话框中，选中了“常规”选项卡上的“信任计算机作为委派”复选框。 6. 如果该问题存在于不同域中的域控制器之间，请检查信任关系。为此，请使用“Active Directory 域和信任关系”管理单元或使用 netdom trust trusting_domain_name /domain:trusted_domain_name /verify /kerberos 命令。 7. 确保每台计算机都对配置名称上下文 (Config NC) 进行了同步。KCC 必须知