想进BAT?负载均衡必须懂!从入门到实操,linux老鸟带你走上高并发架构之路,详情点击>>>
0

我的帖子

个人中心

设置

  发新话题
昨天把2台域控2008升级到2012,看到日志报错同步失败。   



按照方法修改注册表强制同步报错(如上图),然后用户反馈登陆失败,提示没找到该域。然后按照网上方法查找原因解决问题,均失败。最后没办法只能恢复快照。

今天我把备域删除了,准备重新加入域控制器。主域提示域服务未运行,用户又反馈提示没找到该域。




主域日志的显示:


此服务器是以下 FSMO 角色的所有者,但是并不认为此角色有效。 对于包含 FSMO 的分区,自从此服务器重新启动之后,此服务器尚未与 其任何伙伴成功复制。复制错误使此角色 无法进行验证。

在更正此情况之前,要求与 FSMO 操作主机联系的操作 均会失败。

FSMO 角色: CN=Infrastructure,DC=kyt,DC=com

用户操作:

1. 初始同步是系统在启动时首次完成的早期复制。初始同步失败可以解释无法验证 FSMO 角色的原因。此过程在知识库文章 305476 中介绍。
2. 此服务器拥有一个或多个复制伙伴,所有伙伴的复制 均失败。使用命令 repadmin /showrepl 显示复制错误。更正未决的 错误。例如,可能存在 IP 连接、DNS 名称解析或安全身份验证 等问题,导致无法成功复制。
3. 如果所有复制伙伴均关闭(这种情况很少见,可能是因为维护或灾难恢复),可以强制验证该角色。可以通过使用 NTDSUTIL.EXE 将角色捕获到相同服务器来实现此目的。可以按照 http://support.microsoft.com 中的知识库文章 255504 和 324801 中介绍的步骤完成此操作。

下列操作可能会受到影响:
架构: 将无法再修改此林的架构。
域命名: 将无法再从此林添加或删除域。
PDC: 将无法再执行主域控制器操作,如非 Active Directory 域服务帐户的组策略更新和密码重置。
RID: 将无法为新用户帐户、计算机帐户或安全组分配新的安全标识符。
结构: 如果删除或重命名其目标对象,则跨域名引用(如通用组成员身份)将不会正确更新。



贴出dcdiag:


Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>dcdiag

目录服务器诊断

正在执行初始化设置:
   正在尝试查找主服务器...
   主服务器 = KYT-AD-01
   * 已识别的 AD 林。
   已完成收集初始化信息。

正在进行所需的初始化测试

   正在测试服务器: Default-First-Site-Name\KYT-AD-01
      开始测试: Connectivity
         ......................... KYT-AD-01 已通过测试 Connectivity

正在执行主要测试

   正在测试服务器: Default-First-Site-Name\KYT-AD-01
      开始测试: Advertising
         警告: 当我们尝试访问 KYT-AD-01 时,DsGetDcName 返回了 \\BDC.kyt.com 的信息。
         服务器没有响应或被认为不适合。
         ......................... KYT-AD-01 没有通过测试 Advertising
      开始测试: FrsEvent
         ......................... KYT-AD-01 已通过测试 FrsEvent
      开始测试: DFSREvent
         SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制问题可能导致组策略问题。
         ......................... KYT-AD-01 没有通过测试 DFSREvent
      开始测试: SysVolCheck
         ......................... KYT-AD-01 已通过测试 SysVolCheck
      开始测试: KccEvent
         发生了一个警告事件。EventID: 0x80000459
            生成时间: 01/09/2018   16:45:33
            事件字符串: 入站复制已经被用户禁用。
         发生了一个警告事件。EventID: 0x8000045B
            生成时间: 01/09/2018   16:45:33
            事件字符串: 出站复制已经被用户禁用。
         发生了一个警告事件。EventID: 0x80000B46
            生成时间: 01/09/2018   16:45:44
            事件字符串: 通过将目录服务器配置为拒绝不请求签名(完整性验证)的 SASL (协商式、Kerberos、NTLM 或摘要式) LDAP 绑定和在明 文(非 SSL/TLS 加密的)连接上执行的 LDAP 简单绑定,可以显著增强此服务器的安全性。即使没有任何客户端使用这 样的绑定,将该服务器配置为拒绝这样的绑定也将提高此服务器的安全性。
         发生了一个错误事件。EventID: 0xC0000837
            生成时间: 01/09/2018   16:46:14
            事件字符串: 已经使用不受支持的还原过程还原了 Active Directory 域服务数据库。
         发生了一个警告事件。EventID: 0x8000082C
            生成时间: 01/09/2018   16:46:45
            事件字符串:
         发生了一个警告事件。EventID: 0x8000051C
            生成时间: 01/09/2018   16:50:45
            事件字符串: 知识一致性检查器(KCC)已经检测到与下列目录服务复制的持续尝试一直失败。
         ......................... KYT-AD-01 没有通过测试 KccEvent
      开始测试: KnowsOfRoleHolders
         ......................... KYT-AD-01 已通过测试 KnowsOfRoleHolders
      开始测试: MachineAccount
         ......................... KYT-AD-01 已通过测试 MachineAccount
      开始测试: NCSecDesc
         ......................... KYT-AD-01 已通过测试 NCSecDesc
      开始测试: NetLogons
         ......................... KYT-AD-01 已通过测试 NetLogons
      开始测试: ObjectsReplicated
         ......................... KYT-AD-01 已通过测试 ObjectsReplicated
      开始测试: Replications
         [复制检查,Replications Check] 入站复制被禁用。
         若要更正,请运行“repadmin /options KYT-AD-01 -DISABLE_INBOUND_REPL”
         [复制检查,KYT-AD-01] 出站复制被禁用。
         若要更正,请运行“repadmin /options KYT-AD-01 -DISABLE_OUTBOUND_REPL”
         ......................... KYT-AD-01 没有通过测试 Replications
      开始测试: RidManager
         ......................... KYT-AD-01 已通过测试 RidManager
      开始测试: Services
            [KYT-AD-01] 上的 w32time 服务已停止
            [KYT-AD-01] 上的 NETLOGON 服务已暂停
         ......................... KYT-AD-01 没有通过测试 Services
      开始测试: SystemLog
         发生了一个错误事件。EventID: 0x0000041E
            生成时间: 01/09/2018   16:30:06
            事件字符串: 处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:31:00
            事件字符串: 打印机 POSTEK G-2108 所需的驱动程序 POSTEK G-2108 未知。登录之前,请与管理员联系,安装驱动程序。
         发生了一个错误事件。EventID: 0x0000168E
            生成时间: 01/09/2018   16:34:29
            事件字符串: 在下列 DNS 服务器上动态注册 DNS 记录“c9488fe9-a4d2-4ed6-94c9-1743672cc896._msdcs.kyt.com. 600 IN CNAME KYT-AD-01.kyt.com.”失败:
         发生了一个错误事件。EventID: 0x0000041E
            生成时间: 01/09/2018   16:35:43
            事件字符串: 处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
         发生了一个错误事件。EventID: 0x0000041E
            生成时间: 01/09/2018   16:40:43
            事件字符串: 处理组策略失败。Windows 无法获取域控制器名称。这可能是由名称解析失败引起。请验证域名系统(DNS)是否正确配置并运行正常。
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:43:04
            事件字符串: 打印机 RICOH Aficio 1515 PCL 6 所需的驱动程序 RICOH Aficio 1515 PCL 6 未知。登录之前,请与管理员联系,安装驱动程序。
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:43:04
            事件字符串: 打印机 Microsoft Print to PDF 所需的驱动程序 Microsoft Print To PDF 未知。登录之前,请与管理员联系,安装驱动程序。
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:43:10
            事件字符串: 打印机 Microsoft XPS Document Writer 所需的驱动程序 Microsoft XPS Document Writer v4 未知。登录之前,请与管理员联系,安装驱动程序。
         发生了一个警告事件。EventID: 0x00000079
            生成时间: 01/09/2018   16:45:43
            事件字符串: 允许 Internet 存储名称服务器(iSNS)客户端功能的防火墙异常未启用。iSNS 客户端功能不可用。
         发生了一个警告事件。EventID: 0x0000A000
            生成时间: 01/09/2018   16:46:17
            事件字符串: 安全系统检测到一个对服务器 ldap/KYT-AD-01.kyt.com 的身份验证错误。来自身份验证协议Kerberos 的失败代码为 "试图登录,但尚未启动 netlogon 服务。
         发生了一个警告事件。EventID: 0x8000001D
            生成时间: 01/09/2018   16:46:20
            事件字符串: 密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。
         发生了一个错误事件。EventID: 0xC0001B61
            生成时间: 01/09/2018   16:46:19
            事件字符串: 等待 File Replication 服务的连接超时(30000 毫秒)。
         发生了一个警告事件。EventID: 0x0000A000
            生成时间: 01/09/2018   16:46:20
            事件字符串: 安全系统检测到一个对服务器 LDAP/KYT-AD-01 的身份验证错误。来自身份验证协议Kerberos 的失败代码为 "试图登录,但尚未启动 netlogon 服务。
         发生了一个警告事件。EventID: 0x0000A000
            生成时间: 01/09/2018   16:46:20
            事件字符串: 安全系统检测到一个对服务器 ldap/BDC.kyt.com/kyt.com@KYT.COM 的身份验证错误。来自身份验证协议Kerberos 的失败代码为 "试图登录,但尚未启动 netlogon 服务。
         发生了一个错误事件。EventID: 0x0000002E
            生成时间: 01/09/2018   16:46:20
            事件字符串: 时间服务遇到一个错误并被强制关闭。错误是: 0x80070700: 试图登录,但是网络登录服务没有启动。
         发生了一个错误事件。EventID: 0xC0001B6F
            生成时间: 01/09/2018   16:46:20
            事件字符串: Windows Time 服务因下列错误而停止:
         发生了一个错误事件。EventID: 0xC00110F1
            生成时间: 01/09/2018   16:46:22
            事件字符串: WINS 服务器不能初始化安全设置以允许只读操作。
         发生了一个错误事件。EventID: 0x0000002E
            生成时间: 01/09/2018   16:46:22
            事件字符串: 时间服务遇到一个错误并被强制关闭。错误是: 0x80070700: 试图登录,但是网络登录服务没有启动。
         发生了一个错误事件。EventID: 0xC0001B6F
            生成时间: 01/09/2018   16:46:22
            事件字符串: Windows Time 服务因下列错误而停止:
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:49:30
            事件字符串: 打印机 RICOH Aficio 1515 PCL 6 所需的驱动程序 RICOH Aficio 1515 PCL 6 未知。登录之前,请与管理员联系,安装驱动程序。
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:49:34
            事件字符串: 打印机 Microsoft Print to PDF 所需的驱动程序 Microsoft Print To PDF 未知。登录之前,请与管理员联系,安装驱动程序。
         发生了一个错误事件。EventID: 0x00000457
            生成时间: 01/09/2018   16:49:35
            事件字符串: 打印机 Microsoft XPS Document Writer 所需的驱动程序 Microsoft XPS Document Writer v4 未知。登录之前,请与管理员联系,安装驱动程序。
         ......................... KYT-AD-01 没有通过测试 SystemLog
      开始测试: VerifyReferences
         ......................... KYT-AD-01 已通过测试 VerifyReferences


   正在 ForestDnsZones
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... ForestDnsZones 已通过测试 CheckSDRefDom
      开始测试: Cro***efValidation
         ......................... ForestDnsZones 已通过测试 Cro***efValidation

   正在 DomainDnsZones
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... DomainDnsZones 已通过测试 CheckSDRefDom
      开始测试: Cro***efValidation
         ......................... DomainDnsZones 已通过测试 Cro***efValidation

   正在 Schema
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... Schema 已通过测试 CheckSDRefDom
      开始测试: Cro***efValidation
         ......................... Schema 已通过测试 Cro***efValidation

   正在 Configuration
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... Configuration 已通过测试 CheckSDRefDom
      开始测试: Cro***efValidation
         ......................... Configuration 已通过测试 Cro***efValidation

   正在 kyt
    上运行分区测试
      开始测试: CheckSDRefDom
         ......................... kyt 已通过测试 CheckSDRefDom
      开始测试: Cro***efValidation
         ......................... kyt 已通过测试 Cro***efValidation

   正在 kyt.com
    上运行企业测试
      开始测试: LocatorCheck
         警告: DcGetDcName(TIME_SERVER) 调用失败,错误为 1355
         无法找到时间服务器。
         拥有 PDC 角色的服务器已关闭。
         警告: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) 调用失败,错误为 1355
         无法找到一个正常的时间服务器。
         ......................... kyt.com 没有通过测试 LocatorCheck
      开始测试: Intersite
         ......................... kyt.com 已通过测试 Intersite

C:\Users\Administrator>
C:\Users\Administrator>^A

QQ图片20180108170214.png (66.96 KB)

2018-1-9 17:01

QQ图片20180108170214.png




本帖最后由 wfdd120 于 2018-1-9 17:03 编辑
亲你也太大胆了,活动目录是不支持快照恢复的



Microsoft Office Servers and Services MVP
个人博客:http://blog.51cto.com/itsoul
QQ交流群:747369693
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定,谢谢!
exsi支持的




引用:
原帖由 wfdd120 于 2018-1-9 17:01 发表
昨天把2台域控2008升级到2012,看到日志报错同步失败。   
352145352144

352143352143
按照方法修改注册表强制同步报错(如上图),然后用户反馈登陆失败,提示没找到该域。然后按照网上方法查找原因解决问题,均失败。最后没办 ...
DC不要恢复快照,一旦恢复快照各种问题!
netdom query fsmo查看角色是否正常
看dcdiag问题在于目前FSMO不正常!



天行健,君子以自强不息。地势坤,君子以厚德载物!
Windows Server\Exchange\VMware技术支持QQ:935257779!
引用:
原帖由 z15858167 于 2018-1-9 21:52 发表
exsi支持的

那个虚拟化环境都支持做快照,我的意思是活动目录这个业务系统本身是不支持快照这种方式进行还原的,通过快照还原的,活动目录数据库是有问题的,并且数据库里的时间戳也是不正确的。



Microsoft Office Servers and Services MVP
个人博客:http://blog.51cto.com/itsoul
QQ交流群:747369693
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定,谢谢!
引用:
原帖由 kangl 于 2018-1-10 09:00 发表

DC不要恢复快照,一旦恢复快照各种问题!
netdom query fsmo查看角色是否正常
看dcdiag问题在于目前FSMO不正常!
Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>netdom query fsmo
架构主机               KYT-AD-01.kyt.com
域命名主机        KYT-AD-01.kyt.com
PDC                         KYT-AD-01.kyt.com
RID 池管理器            KYT-AD-01.kyt.com
结构主机       KYT-AD-01.kyt.com
命令成功完成。


C:\Users\Administrator>

都是正常的



引用:
原帖由 稻的芳香 于 2018-1-9 21:18 发表
亲你也太大胆了,活动目录是不支持快照恢复的
啊。。。这个还真不知道



那会不会是在我之前的运维恢复过快照引起的问题呢?



这是另外一个日志:


此为该目录服务器上下列目录分区的复制状态。

目录分区:
DC=ForestDnsZones,DC=kyt,DC=com

此目录服务器尚未在配置的延迟间隔内接收到来自一系列目录服务器的复制信息。

延迟间隔(小时):
24
所有站点内的目录服务器数量:
1
此站点内的目录服务器数量:
1

可以使用下列注册表项修改延迟间隔。

注册表项:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Replicator latency error interval (hours)

若要用名称识别目录服务器,请使用 dcdiag.exe 工具。
也可以使用支持工具 repadmin.exe 来显示目录服务器的 复制延迟。命令是 "repadmin /showvector /latency <partition-dn>"。



您上面Repadmin检查复制状态时候贴出了的Log,已经说的很明显了。



Microsoft Office Servers and Services MVP
个人博客:http://blog.51cto.com/itsoul
QQ交流群:747369693
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定,谢谢!
引用:
原帖由 稻的芳香 于 2018-1-10 10:30 发表
您上面Repadmin检查复制状态时候贴出了的Log,已经说的很明显了。352163
没还原之前是没这个错误的,那现在该怎么整,是迁移升级好还是怎么弄好、、、、



引用:
原帖由 wfdd120 于 2018-1-10 10:20 发表

Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>netdom query fsmo
架构主机               KYT-AD-01.kyt.com
域命名主机        KYT-AD-0 ...
有做系统状态备份吗?
目前问题还可以修复,有备份最理想



天行健,君子以自强不息。地势坤,君子以厚德载物!
Windows Server\Exchange\VMware技术支持QQ:935257779!
引用:
原帖由 kangl 于 2018-1-10 13:45 发表

有做系统状态备份吗?
目前问题还可以修复,有备份最理想
有备份,在升级2012之前做了一个备份,怕万一出问题




本帖最后由 wfdd120 于 2018-1-10 14:49 编辑
引用:
原帖由 kangl 于 2018-1-10 13:45 发表

有做系统状态备份吗?
目前问题还可以修复,有备份最理想
我从备域开始恢复,但是备域关机后加入域的服务器里面的应用就断开了,远程登录也提示找不到该域。。。



引用:
原帖由 wfdd120 于 2018-1-10 15:58 发表

我从备域开始恢复,但是备域关机后加入域的服务器里面的应用就断开了,远程登录也提示找不到该域。。。
正常,因为你的PDC有问题,你上线BDC直接转移FSMO角色



天行健,君子以自强不息。地势坤,君子以厚德载物!
Windows Server\Exchange\VMware技术支持QQ:935257779!
引用:
原帖由 kangl 于 2018-1-10 16:05 发表

正常,因为你的PDC有问题,你上线BDC直接转移FSMO角色




Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\administrator.KYT>Netdom Query FSMO
架构主机               KYT-AD-01.kyt.com
域命名主机        KYT-AD-01.kyt.com
PDC                         KYT-AD-01.kyt.com
RID 池管理器            KYT-AD-01.kyt.com
结构主机       KYT-AD-01.kyt.com
命令成功完成。


C:\Users\administrator.KYT>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server bdc.kyt.com
绑定到 bdc.kyt.com ...
用本登录的用户的凭证连接 bdc.kyt.com。
server connections: quit
fsmo maintenance: transfer RID master
ldap_modify_sW 错误 0x34(52 (不可用).
Ldap 扩展的错误消息为 000020AF: SvcErr: DSID-03210CB1, problem 5002 (UNAVAILABLE
), data -2146893022

返回的 Win32 错误为 0x20af(请求的 FSMO 操作失败。不能连接当前的 FSMO 盒。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
服务器 "bdc.kyt.com" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=KYT-AD-01,CN=Servers,CN=Default-First-Site-Name,CN=Si
tes,CN=Configuration,DC=kyt,DC=com
命名主机 - CN=NTDS Settings,CN=KYT-AD-01,CN=Servers,CN=Default-First-Site-Name,C
N=Sites,CN=Configuration,DC=kyt,DC=com
PDC - CN=NTDS Settings,CN=KYT-AD-01,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=kyt,DC=com
RID - CN=NTDS Settings,CN=KYT-AD-01,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=kyt,DC=com
结构 - CN=NTDS Settings,CN=KYT-AD-01,CN=Servers,CN=Default-First-Site-Name,CN=Si
tes,CN=Configuration,DC=kyt,DC=com
fsmo maintenance:


转移不了



看到目录服务器那里 主域版本怎么是win2K的版本
是不是只能直接把主域恢复了。主域恢复期间会不会影响用户登录,




本帖最后由 wfdd120 于 2018-1-10 17:08 编辑
完蛋了,我的备份是放在远程目录下的,在使用windows裸机恢复的时候提示找不到网络路径。。。



上面的问题解决了,但是现在共享也连上了就是没有备份可选,空白的。



引用:
原帖由 kangl 于 2018-1-10 16:05 发表

正常,因为你的PDC有问题,你上线BDC直接转移FSMO角色
大哥,好像备份恢复不了,还有其他方法补救吗



‹‹ 上一贴:求助高人:备份域控制器问题   |   下一贴:求助域分发软件报错 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com