Condividi tramite

Risoluzione dei problemi relativi all'errore di replica di Active Directory 1908: Impossibile trovare il controller di dominio per questo dominio

Questo articolo fornisce una risoluzione per la risoluzione dei problemi relativi all'errore di replica di Active Directory 1908: Impossibile trovare il controller di dominio per questo dominio.

Numero KB originale: 2712026

Note

Utenti home: questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si sta cercando assistenza per un problema, rivolgersi alla community Microsoft.

Sintomi

  1. REPADMIN.exe segnala che il tentativo di replica non è riuscito con stato 1908.

    I comandi REPADMIN che in genere citono lo stato 1908 includono, ma non sono limitati a:

    • REPADMIN /ADD
    • REPADMIN /REPLSUM *
    • REPADMIN /REHOST
    • REPADMIN /SHOWVECTOR /LATENCY
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    Output di esempio dal repadmin /syncall comando:

    Syncing all NC's held on CONTOSO-DC02.  
Syncing partition: DC=ForestDnsZones,DC=Contoso,DC=com  
CALLBACK MESSAGE: Error contacting server 1b136427-14f0-448a-965c-  
9cbb61400fcd._msdcs.Contoso.com (network error): 1908 (0x774):  
 Could not find the domain controller for this domain.

    Output di esempio dal repadmin /showreps comando:

    DC=ForestDnsZones,DC=Contoso,DC=com  
HQ\Contoso-DC02 via RPC  
DC object GUID:1b136427-14f0-448a-965c-9cbb61400fcd._msdcs.Contoso.com/  
Last attempt @ <DATE> <TIME> failed, result 1908 (0x774):  
Could not find the domain controller for this domain.  
<# consecutive failure>  
<Last Success>

  2. Gli eventi NTDS KCC, NTDS Replication con stato 1908 vengono registrati nel registro eventi del servizio directory.

    Gli eventi di Active Directory che in genere citono lo stato 1908 includono, ma non sono limitati a:

    Origine evento Categoria evento ID evento Tipo di evento Stringa dell'evento
    NTDS KCC Verifica coerenza delle conoscenze 1926 Avviso Il tentativo di stabilire un collegamento di replica per una partizione di directory di sola lettura con i seguenti parametri non è riusciti.
    NTDS KCC Verifica coerenza delle conoscenze 1925 Avviso Non è riuscito il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile.
    Replica NTDS Replica 1943 Errore Active Directory non è riuscito a rimuovere tutti gli oggetti persistenti nel controller di dominio locale. Tuttavia, alcuni oggetti persistenti potrebbero essere stati eliminati nel controller di dominio prima dell'arresto di questa operazione. Tutti gli oggetti avevano la loro esistenza verificata nel controller di dominio di origine seguente.
    Replica NTDS Attrezzaggio 1125 Errore L'installazione guidata Dominio di Active Directory Servizi (Dcpromo) non è riuscita a stabilire una connessione con il controller di dominio seguente.

    Questi eventi conterranno il sottoValore di errore seguente:

    Dati aggiuntivi
    Valore errore:
    Impossibile trovare il controller di dominio per questo dominio. 1908

  3. Quando si tenta di forzare la replica nella console siti e servizi di Active Directory (dssite.msc) tramite l'opzione "Replica adesso", è possibile che venga visualizzato l'errore seguente:

    Testo del titolo della finestra di dialogo: Replica ora

    Testo del messaggio di dialogo: si è verificato l'errore seguente durante il tentativo di sincronizzare il contesto di denominazione del contesto <di denominazione> dal controller <di dominio Source-DC-Name> al controller <di dominio Destination-DC-Name>: Impossibile trovare il controller di dominio per questo dominio.

    Messaggio di errore: impossibile trovare il controller di dominio per questo dominio.

    Pulsanti nella finestra di dialogo: OK

  4. Innalzamento di livello/abbassamento di livello del controller di dominio

    Finestra di dialogo in caso di errore Dcpromo.exe:

    Testo del titolo della finestra di dialogo: Installazione guidata Active Directory

    Testo del messaggio di dialogo: Active Directory non è riuscito a creare l'oggetto Impostazioni NTDS per questo controller di dominio CN=NTDS Settings,CN=DC_Name,CN>=Servers,CN=<SiteName,CN>=Sites,CN=Configuration,DomainDN>< nel controller <di dominio rimosso Remote_DC_FQDN>.< Verificare che le credenziali di rete fornite dispongano di autorizzazioni sufficienti.

    Messaggio di errore: impossibile trovare il controller di dominio per questo dominio.

    Pulsanti nella finestra di dialogo: OK

    DCPromo.log report di file(%windir%\debug\DCPromo.log):

    [INFO] Errore: Dominio di Active Directory Services non è riuscito a creare l'oggetto IMPOSTAZIONI NTDS per questo Dominio di Active Directory Controller CN=NTDS Settings,CN=CONTOSO-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com nell'istanza remota di AD DCcontoso-dc01.Contoso.com. Verificare che le credenziali di rete fornite dispongano di autorizzazioni sufficienti. (1908)
    [INFO] NtdsInstall per Contoso.com restituito 1908
    [INFO] DsRolepInstallDs restituito 1908
    [ERRORE] Impossibile installare nel servizio directory (1908)

Causa

Codice errore 1908 rappresenta l'errore visualizzato come "Impossibile trovare il controller di dominio per questo dominio". Questo errore ha due cause principali:

  1. Il controller di dominio di destinazione non è in grado di contattare un Centro distribuzione chiavi (KDC)

  2. Il computer riscontra errori correlati a Kerberos

Un concetto importante da comprendere per questo scenario è che il KDC usato per le operazioni di replica può essere:

a. Controller di dominio di destinazione
b. Controller di dominio di origine
c. Un controller di dominio completamente diverso (non il controller di dominio di origine o di destinazione).

Risoluzione

  1. Verificare che il servizio distribuzione chiavi sia in esecuzione nel controller di dominio di destinazione

    Individuare il Centro distribuzione chiavi Kerberos contattato. Può essere individuato usando un programma di acquisizione pacchetti come Monitoraggio di rete 3.4.

    1. Usare Monitoraggio di rete per acquisire il messaggio di errore riprodotto. Potrebbe essere necessario arrestare prima il servizio client DNS in modo da visualizzare il traffico di query DNS.

    2. Esaminare l'acquisizione di pacchetti per la query DNS per un KDC: query di indirizzi di esempio:

      _kerberos.Tcp.<SiteName>._sites.dc._msdcs.<Dominio>.com
      _kerberos._tcp.dc._msdcs.<Dominio>.com

    3. Verificare se il traffico è disponibile DCLocator :
      Esempio di acquisizione di Monitoraggio di rete 3.4 del traffico DcLocator. In questo esempio 10.0.1.11 è il KDC individuato e 10.0.1.10 è il client che richiede un ticket. Usa il layout predefinito colonna monitoraggio rete.

      Cornice # Ora e data Offset temporale IP di origine IP destinazione Dettagli
      42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: richiesta di ricerca, MessageID: 371 ** Questo pacchetto è una chiamata LDAP UDP per il localizzatore di controller di dominio alla ricerca di Netlogon**
      43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (risposta SAM quando Netlogon è in pausa): 24 (0x18)

    4. Verificare che il KDC e i servizi di KDC della Netlogon versione 10.10.10.11 siano in esecuzione. Nel controller di dominio individuato (10.0.1.11), verificare il KDC e Netlogon lo stato del servizio con SC Query

      Esempio: eseguire una query sul servizio KDC con: "SC Query KDC" e il Netlogon servizio con: "SC Query Netlogon" Questi comandi devono restituire "State: Running"

  2. Verificare che il controller di dominio di destinazione sia Advertising as a Key Distribution Center
    Usare DCDIAG.exe per verificare che il controller di dominio di destinazione annunci. Da un prompt CMD.exe eseguire il comando seguente:

    C:\DCDiag.exe /v /test:Advertising /test:SysVolCheck

    Verificare che il controller di dominio superi i test Advertising e SYSVOLCHeck e annunci come Centro distribuzione chiavi ed SysVol è pronto. Se SysVol non è pronto, il server non sarà in grado di annunciare come controller di dominio.

    Testing server:<SiteName><DC Name>
    Test iniziale: Pubblicità
    Il nome> del controller di dominio del controller <di dominio è pubblicitario come controller di dominio e avere un DS
    Il nome> del controller di dominio del controller <di dominio sta annunciando come server LDAP
    Il nome> del controller di dominio del controller <di dominio sta annunciando la presenza di una directory scrivibile
    Il nome> del controller di dominio del controller <di dominio sta annunciando come centro di distribuzione chiavi
    Il nome> del controller di dominio del controller <di dominio sta annunciando come server ora
    Il nome> del controller di dominio DS <è pubblicitario come GC.

    Test iniziale: SysVolCheck * Test pronto per il servizio replica file SYSVOL
    SYSVOL del servizio Replica file è pronto
    ..<Nome controller di> dominio superato SysVolCheck

  3. Verificare che il computer di origine e il computer di destinazione siano entro 5 minuti l'uno dall'altro.

  4. Verificare la presenza di eventuali errori Kerberos

    1. Abilitare la registrazione eventi Kerberos nel computer client e nei controller di dominio nel sito.
    2. KB: 262177 Come abilitare la registrazione eventi Kerberos
    3. Risoluzione dei problemi relativi a Kerberos

Ulteriori informazioni

Questo errore è uno degli esercizi in primo piano nel lab pratico TechNet seguente: Lab pratico techNet: Risoluzione degli errori di replica di Active Directory
In questo lab verranno descritte le fasi di risoluzione dei problemi, analisi e implementazione degli errori di replica di Active Directory comunemente rilevati. Si userà una combinazione di ADREPLSTATUS, repadmin.exe e altri strumenti per risolvere i problemi relativi a cinque controller di dominio, un ambiente a tre domini. Gli errori di replica di Active Directory rilevati nel lab includono -2146893022, 1256, 1908, 8453 e 8606.