前天,服務器出現了大量的ntds kcc 1311 1865 1566的錯和警告。主域控和大陸的域控都大量的出現該警告和錯誤。
在微軟幫助中心也找到該錯的解決辦法,但是還是無法解決,而且解決方法複雜。。用了一天時間,查詢了大量的資料,
我用備份還原了ad,問題依舊。。
無意中我手動複製ntds時,出現了目標名不正確,於是,上幫助中心,查詢了大量的資料。
找到解決辦法,決定用此方法來解決ntds kcc錯誤及域之間複製的問題。
下面是我在微軟幫助中心找到的解決辦法。
要解決此問題,應首先確定哪個域控制器是當前的主域控制器 (PDC) 模擬器操作主機角色擔任者。爲此,請使用下面兩
種方法之一:
從 Windows 2000 支持工具中安裝 Netdom.exe 實用工具,然後運行下面的命令:
netdom query fsmo
啓動“Active Directory 用戶和計算機”管理單元,右鍵單擊該域,然後單擊操作主機。單擊 PDC 選項卡,當前的角色
擔任者將顯示在“操作主機”窗口中。在此選項卡上,您可以將操作主機角色更改爲第二個窗口中的當前計算機(如果此
計算機不是當前擔任者)。
使用 Ntdsutil.exe 實用工具(包括在 Windows 2000 中)和資源工具包中的命令行實用工具。不過,這些界面是建議
更高級的用戶使用的。
有關其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
234790 如何查找 FSMO 角色擔任者(服務器)
在遇到此問題的域控制器上,禁用 Kerberos 密鑰發行中心服務 (KDC)。爲此,請按照下列步驟操作:
單擊開始,指向程序,單擊管理工具,然後單擊服務。
雙擊 KDC,將啓動類型設置爲禁用,然後重新啓動計算機。
在計算機重啓後,使用 Netdom 實用工具重置這些域控制器和 PDC 模擬器操作主機角色擔任者之間的安全通道。爲此,
請從 PDC 模擬器操作主機角色擔任者以外的域控制器運行下面的命令:
netdom resetpwd /server:服務器名 /userd:域名\administrator /passwordd:管理員密碼
其中服務器名是作爲 PDC 模擬器操作主機角色擔任者的服務器的名稱。++
netdom resetpwd /server:server /userd:ist.local\administrator /passwordd: *****
首先,我上了主域控和額外域控,用netdom query fsmo查看一下當前的五角色是哪臺服務器。
然後,禁用主域控的kcc服務,重啓登陸。再回到額外域控,使用
netdom resetpwd /server:server /userd:ist.local\administrator /passwordd: *****
,完成成功,安全通道被重置。。注意,一定要讓主域控服務器重啓並完成網絡連接。不然不會成功。。
完成後,重啓並開啓kcc服務。。
現在看來,二臺服務器的kcc錯誤少了很多,但是又顯示出了dns報錯,複製一樣無法完成。。
日誌顯示 dns 6702錯誤:
Active Directory有以下的源域控制器的DNS主機名稱無法解析爲一個IP地址。此錯誤阻止的增加,刪除和更改Active
Directory中,在森林中的一個或多個域控制器之間的複製。安全組,組策略,用戶和計算機和域控制器之間的不一致,
直到他們的密碼將是解決此錯誤。可能會影響登錄身份驗證和訪問網絡資源的影響
源域控制器:
是服務器
失敗的DNS主機名稱:
c1f4a8b2 - 11C4 -4059 -8419 - fd1f97e8014b._msdcs.ist.local
注意:默認情況下,最多隻有10個DNS故障顯示爲一個週期爲12小時,甚至發生故障時,如果超過10個。設置以下註冊表
值設爲1,記錄所有獨立故障事件:
註冊表路徑:
HKLM \ SYSTEM \ CURRENTCONTROLSET \ \ NTDS \診斷\ 22 DS RPC客戶端
用戶操作:
1)如果源域控制器不再工作,或已被重新安裝其操作系統使用不同的計算機的名稱或NTDSDSA對象的GUID的,刪除元數
據從源域控制器的NTDSUTIL.EXE MSKB文章216498列出的步驟。
2)確認源域控制器,Active Directory上運行,並可以通過網絡訪問,可以通過源DC名稱> “NET VIEW \ \ <源DC >”
或“PING “回車鍵。
3)確保源域控制器是否使用有效的DNS服務器的DNS服務,並且源域控制器的主機記錄和CNAME記錄的是正式註冊
的DCDIAG.EXE的DNS增強版本從http://www.microsoft.com/dns運行。
DCDIAG / TEST:DNS
4)驗證此目標域控制器DCDIAG.EXE的命令後,在控制檯上運行的DNS增強版本,使用的DNS服務使用有效的DNS服務器:
DCDIAG / TEST:DNS
5)有關DNS錯誤故障的進一步分析,請參閱KB 824449:
http://support.microsoft.com/?kbid=824449
查看了一下主域控的dns記錄,發於是我直接刪掉了主域控全部dns記錄:不用擔心,dns刪除後是能還原的。最好事前作
好備份。
操作如下。
1. 控制面板->管理工具,打開dns管理器,展開正向搜索區域,右鍵單擊domain.com區域,選擇刪除,在提示對話框中
選擇“是”;如果存在 _msdcs.domain.com區域,右鍵單擊_msdcs.domain.com區域,選擇刪除,在提示對話框中選擇“是”
。
2. 在dns管理器中右鍵單擊服務器,單擊“清除緩存”。
3. 打開AD用戶和計算機,單擊查看菜單->高級功能,展開左邊system/MicrosoftDNS,如果存
在domain.com或_msdcs.domain.com,刪除它們。
4. 打開控制面板->服務,停止netlogon服務。
5. 打開資源管理器,刪除%windir%/system32/config下netlogon.dnb, netlogon.dns。
刪除%windir%/system32/dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
6. 進入“本地連接“屬性,進入TCP/IP屬性,把首選dns server設爲自己的ip,清除輔助dns server.
7. 打開dns管理器,右鍵單擊正向搜索區域->新建區域,單擊主要區域,選擇“在Active
Directory中存儲區域”,名稱爲domain.com,其餘默認,完成。
8. 打開控制面板->服務,啓動netlogon服務。
9. 進入命令行,輸入ipconfig /flushdns, 再輸入ipconfig /registerdns.
重啓進入主域控後,在正向區域裏面,建立區域。
在這裏要建二個區域,一個是domain.com的區域,一個是_msdcs.domain.com這個區域。
打開dns,單點正向區域,右鍵-新建區域-主區域-後面全部直接默認,記得在填寫區域名時,寫上domain.com,
建立msdcs.domain.com這個區域也是一樣。
建完後reload一下,等着額外域控來慢慢複製dns記錄過來。。。
在建好_msdcs.domain.com這個區域後,在這裏面沒有發現額外域控的ns和chame記錄,
手動建立一個,在額外域控複製一下額外域控的aliasname,就在額外域控的 dns的_msdcs.domain.local裏面就能看到。
我的是c62fc7a6-ad5e-4150-a277-017523a082ca....就是這此一串字串就是你的服務器aliasname.
第二天過來一看,服務器基本正常了,ad複製得很完好,沒有出現什麼故障了。