Поделиться через

Устранение неполадок с сообщениями идентификатора события 1311 в домене Windows

В этой статье описывается, как устранять неполадки с сообщениями идентификатора события 1311 в журнале событий службы каталогов в домене Windows.

Исходный номер базы знаний: 307593
Область применения: все поддерживаемые версии Windows Server

Симптомы

Средство проверки согласованности знаний (KCC) создает и поддерживает топологию репликации для Active Directory. Для этого KCC проверяет сумму всех контекстов именования, находящихся в лесу, и все ограничения, определенные администратором для сайта, ссылки сайта и стоимости ссылок.

Если домен Active Directory, схема, конфигурация, секция приложения или контексты именования глобального каталога не могут быть реплицированы между контроллерами домена или сайтами, сообщение события 1311, аналогичное следующему, регистрируется в журнале событий службы каталогов:

Тип события: ошибка
Источник событий: NTDS KCC
Категория событий: средство проверки согласованности знаний
Идентификатор события: 1311
Дата: ММ/ДД/ГГГГ
Время: HH:MM:SS AM|PM
Пользователь: Н/Д
Компьютер: <domain_controller_name>
Описание.
Средство проверки согласованности службы каталогов определило, что либо (a) недостаточно физического подключения, опубликованного с помощью диспетчера сайтов Active Directory и служб, для создания охватывающего дерева, соединяющего все сайты, содержащие имя< секции CN=секции, DC=><корневой домен леса>, DC=com или (b) репликацию невозможно выполнить с одним или несколькими критически важными серверами для распространения на всех сайтах (чаще всего из-за того, что серверы являются серверами. неустранимый).

Причина

Это поведение происходит, если одно или несколько следующих условий имеют значение true:

  • Связь сайта включена в сети, которая не поддерживает физическое сетевое подключение между двумя контроллерами домена на разных сайтах, подключенных по ссылке KCC.

  • Один или несколько сайтов не содержатся по ссылкам сайта.

  • Ссылки сайта содержат все сайты, но ссылки сайта не связаны друг с другом. Это условие называется несвязанными ссылками сайта.

  • Один или несколько контроллеров домена находятся в автономном режиме.

  • Контроллеры домена плацдарма находятся в сети, но при попытке репликации необходимого контекста именования между сайтами Active Directory возникают ошибки.

  • Определяемые администратором плацдармы находятся в сети, но они не размещают необходимые контексты именования.

  • Предпочтительные плацдармы правильно определены администратором, но в настоящее время они находятся в автономном режиме.

  • Сервер плацдарма перегружен либо из-за того, что сервер недоучен, слишком много сайтов филиалов пытаются реплицировать изменения из одного контроллера домена концентратора, либо расписания ссылок сайта слишком часты.

  • KCC создал другой путь вокруг сбоя подключения типа "сеть — сеть", но он повторяет неудачное подключение каждые 15 минут, так как он находится в режиме хранения подключений.

Распространенные причины сообщений с идентификатором события 1311 делятся на две категории: недопустимая логическая конфигурация и сбой инфраструктуры. Сообщения идентификатора события 1311 регистрируются при неправильной логической конфигурации или ошибке репликации.

  • Неправильной логической конфигурации

    Логическая конфигурация неправильно настроена, если сведения в контексте именования конфигурации (NC) (видимые в оснастке "Сайты и службы") не соответствуют физической топологии сети, включающей лес Active Directory. Например, сайт может быть неправильно определен, сайты, отсутствующие из ссылок сайта, могут быть включены, ссылки сайта могут не быть связаны друг с другом, или неправильные плацдармы могут быть выбраны администратором.

  • Сбой инфраструктуры

    Сбой инфраструктуры возникает из-за одного из следующих событий:

    • Сбой канала глобальной сети ( глобальной сети).
    • Контроллер домена, на котором размещен необходимый контекст именования, находится в автономном режиме.
    • Сбой репликации возникает для одного или нескольких контекстов именования.
    • Партнер для входящего трафика для репликации отключил исходящую репликацию.

Решение

Чтобы устранить неполадки с сообщениями идентификатора события 1311, используйте следующие методы.

  • Определите, являются ли сообщения события 1311 конкретными сайтами или лесами.

  • Определите, включена ли связь сайта и полностью ли маршрутичена сеть.

  • Убедитесь, что все сайты определены в ссылках сайта.

  • Обнаружение и удаление предпочтительных плацдармов.

  • Устранение сбоев репликации Active Directory в лесу.

  • Определите, перегружены ли исходные серверы.

  • Определите, являются ли ссылки сайта несвязанными.

  • Удалите подключения, если KCC находится в режиме "Сохранение подключений".

Определение того, являются ли сообщения события 1311 конкретными сайтами или лесом

Определите, регистрируются ли сообщения с идентификатором события 1311 на всех контроллерах домена генератора топологий между сайтами (ISTG) в лесу или только на контроллерах домена, относящихся к сайту. Чтобы найти контроллеры домена ISTG, используйте средство Ldp.exe для поиска следующих атрибутов:

  • Базовый DN: CN=Sites,CN=Configuration,DC=RootDomainName,DC=Com
  • Фильтр: (cn=NTDS Site Settings)
  • Область: поддерев
  • Атрибуты: interSiteTopologyGenerator

Чтобы определить область события, используйте один из следующих методов:

  • Проверьте журналы событий службы каталогов соответствующего числа контроллеров домена ISTG в лесу.

  • Используйте средство Eventcombmt.exe (доступное в службах поддержки продуктов Майкрософт) для поиска сообщений с идентификатором события 1311 на соответствующем количестве контроллеров домена ISTG в лесу.

При включении привязки канала сайта в оснастке "Сайты и службы Active Directory" необходимо убедиться, что любой сайт, определенный в Active Directory, имеет полностью перенаправленное сетевое подключение к любому другому сайту, определенному администратором. Если KCC создает связь подключения между двумя несоединяющимися сайтами, в которых включена привязка канала сайта, то сообщения 1311 могут быть зарегистрированы.

Связь сайта включена в Active Directory, если выполняются следующие условия:

  • Установите флажок "Мост всех ссылок сайта" для ПРОТОКОЛА IP и ПРОТОКОЛА SMTP в оснастке "Сайты и службы Active Directory".

  • Атрибут Options для ПРОТОКОЛА IP и ПРОТОКОЛА SMTP имеет значение NULL или имеет значение 0 (ноль) для следующих путей доменного имени(DN):

    • CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC= корневой домен леса
    • CN=SMTP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC= корневой домен леса

Чтобы определить, существует ли полностью перенаправленное сетевое подключение между двумя сайтами, обратитесь к администратору NOS, администратору сети или архитектору Active Directory.

Если связь сайта включена в ненаправленной среде, сделайте сеть полностью перенаправленной или отключите мосты связи сайта, а затем создайте ссылки сайта и мосты ссылок сайта, которые необходимо использовать. Подождите два раза самый длинный интервал репликации в лесу. Если сообщения с идентификатором события 1311 продолжают регистрироваться или если связь сайта включена в полностью перенаправленной сети, перейдите к методу "Проверить, определены ли все сайты в каналах сайта".

По умолчанию связь сайта включена. Кроме того, рекомендации рекомендуется сохранить связь сайта, включенную.

На следующей схеме используются знаки плюса (+) и знаки минуса (-) для иллюстрации физических сетевых подключений между сайтами Active Directory. Az сайта указан в списке "Западная сеть" и "Общедоступная версия сайта" указана на сайте EAST, но сайты AZ и GA не имеют полностью перенаправленных сетевых подключений к сайтам WA и NY в конфигурации Active Directory, где включена связь сайта.

                  WA <-- Site Link WANY --> NY  
                  +-                        +-
                 +  -                      +  -  
                +    -                    +    -
               +      -                  +      -
             CA + + + AZ               IL + + + GA

            Site Link WEST           Site Link EAST

Каждый сайт, определенный в Active Directory, должен размещаться или находиться по ссылке сайта. Например, если определены сайты WA, CA, AZ, NY, IL и GA, а ссылки сайта WEST, EAST и WANY определяются, сообщения идентификатора события 1311 регистрируются, если любой сайт (например, AZ или GA) не указан в ссылке сайта, где сайты физически подключены. Сайты являются потерянными, если сайты в удаленной ссылке сайта не добавляются в соответствующую существующую ссылку сайта.

                  WA -- Site Link WANY -- NY  
                 /                        /
                /                        /
               /                        /
              CA    (AZ)               IL    (GA)

            Site Link WEST           Site Link EAST

Так как сайты AZ и GA не перечислены в ссылках на сайты, они не учитываются, и KCC не учитывает их при создании топологии репликации для Active Directory.

Эта repadmin /showism команда полезна для поиска неправильно настроенных сайтов. Выходные данные команды repadmin /showism отображаются примерно так же, как в следующем примере из леса с именем corp:

==== TRANSPORT CN=IP,CN=Inter-Site Транспорты,CN=Сайты,CN=Configuration,DC=corp,DC=com ИНФОРМАЦИЯ О СОЕДИНЕНИИ ДЛЯ 3 ОБЪЕКТОВ: ====
0, 1, 2
(0) CN=US-NC,CN=Sites,CN=Configuration,DC=corp,DC=com 0:0:0, 100:15:0, 200:15:0
( 1) CN=US-TX,CN=Sites,CN=Configuration,DC=corp,DC=com 100:15:0, 0:0, 100:15:0
(2) CN=US-WA,CN=Sites,CN=Configuration,DC=corp,DC=com 200:15:0, 100:15:0, 0:0:0

Примечание.

В отличие от других аргументов для команды repadmin, вы не можете запустить repadmin /showism команду с удаленного компьютера. Необходимо выполнить repadmin /showism команду из консоли контроллера домена, которую необходимо проверить (в большинстве случаев это контроллер домена ISTG).

Для каждого сайта, настроенного для репликации на основе IP-адресов или для репликации на основе SMTP (не отображается), repadmin /showism команда возвращает матрицу сайта, представляющую подключения ко всем сайтам в лесу. Каждая запись в матрице сайта содержит три числа, разделенные двоеточиями (:), представляющие затраты, интервал репликации и параметры каждой ссылки репликации на другой сайт в лесу Active Directory. Числа в записи отображаются в следующем порядке:
Затраты: интервал репликации: параметры

  • Значение затрат указывает предпочтение сетевой связи для репликации сведений о каталоге между сайтами. Администратор использует оснастку "Сайты и службы Active Directory" для определения значения затрат для каждой ссылки сайта.

  • Значение интервала репликации указывает частоту репликации ссылки в минутах.

  • Значение "Параметры" указывает параметры ссылки сайта, включая уведомление о ссылке сайта.

    Примечание.

    При устранении неполадок с сообщениями идентификатора события 1311 можно игнорировать значение "Параметры ".

В примере из corp.com леса включена связь сайта, а лес содержит три сайта Active Directory:

  • Сайт 0: US-NC, обнаруженный сайт, использующий ссылку TX-NC<> для подключения к сайту 1 (US-TX).
  • Сайт 1: US-TX, на котором размещены два контроллера домена.
  • Сайт 2: US-WA, покрытый сайт, использующий ссылку TX-WA<> для подключения к сайту 1 (US-TX).

Каждая матрица сайта содержит одну запись 0:0:0, которая ссылается на себя. Запись, содержащая положительные числа для значения затрат и интервала репликации (например, 200:15:0 или 100:15:0) указывает, что подключение сайта является хорошим. Запись -1:0:0 указывает, что подключение сайта не работает. Это происходит, если одно или несколько следующих условий имеет значение true:

  • Протокол репликации не используется. Например, если репликация SMTP не настроена, все записи в части /SHOWISM SMTP матрицы отображаются как -1:0:0.
  • Сайт не размещает контроллеры домена (это называется обнаруженным сайтом).
  • Сайт не включен в ссылку сайта.

Если связь сайта включена, а команда repadmin /showism возвращает записи -1:0:0 для одного или нескольких защищенных сайтов Active Directory, убедитесь, что затронутые сайты перечислены в ссылке сайта.

Сайт с полным дополнением -1:0:0 записи и одна запись 0:0:0 не будет потеряна, если сайт не обнаружен (контроллеры домена не находятся на этом сайте). При устранении неполадок с сообщениями идентификатора события 1311 запишите имена всех потерянных сайтов, но не записывайте имена обнаруженных сайтов.

Если связь сайта отключена, записи -1:0:0 являются менее значимыми. Если это так, необходимо вручную определить, включен ли каждый сайт в ссылку сайта. Для этого запишите список сайтов и ссылок сайта и вручную сопоставите каждый сайт со ссылкой сайта.

Примечание.

Команда repadmin /showism всегда возвращает записи -1:0:0 для обнаруженного сайта.

В следующем repadmin /showism примере связь сайта включена в corp.com лесу и удалена ссылка на сайт TX-WA<>. Сайт 2 (US-WA) является потерянным из всех других сайтов в лесу и должен быть добавлен в соответствующую ссылку сайта.

==== TRANSPORT CN=IP,CN=Inter-Site Соединения,CN=Sites,CN=Configuration,DC=corp,DC=com Информация о подключении для 3 сайтов: ====
0, 1, 2 (0) CN=US-NC,CN=Sites,CN=Configuration,DC=corp,DC=com 0:0, 100:0, 15:0, -1:0:0
( 1) CN=US-TX,CN=Sites,CN=Configuration,DC=corp,DC=com 100:15:0, 0:0, -1:0:0
( 2) CN=US-WA,CN=Sites,CN=Configuration,DC=corp,DC=com -1:0:0, -1:0:0, 0:0:0

Обнаружение и удаление предпочтительных плацдармов

Так как правильный выбор плацдарма затруднен в лесах с несколькими доменами, и так как контроллеры домена имеют хорошую логику отработки отказа в случае, если выбранный плацдарм KCC переходит в автономный режим, корпорация Майкрософт настоятельно рекомендует не определять предпочтительные серверы плацдарма.

Чтобы найти предпочтительный серверы плацдарма, выполните приведенные далее действия.

  1. Используйте средство командной строки Ldp.exe, чтобы выполнить поиск LDAP по следующим критериям:
    Путь DN: cn=sites,cn=configuration,dc=<root домен леса>
    ObjectClass: сервер
    Атрибуты: плацдармTransportList

  2. Используйте команду FINDSTR для файла экспорта LDIFDE из контейнера CN=Sites,CN=Configuration:
    LDIFDE CN=SITES,CN=CONFIGURATION,DC=<Root domain in forest> SITEDUMP. LDF
    FINDSTR /i "bridgeheadTransportList" SITEDUMP. LDF

    Если поиск возвращает любые результаты, обратите внимание на имя сервера в пути доменного имени, в котором заполняется атрибут bridgeheadTransportList.

    Если вы нашли какие-либо предпочтительные серверы плацдарма, используйте оснастку "Сайт и службы ", чтобы удалить их:

    1. Перейдите на сайт, на котором находится контроллер домена.
    2. Щелкните правой кнопкой мыши контроллер домена и выберите пункт "Свойства".
    3. На нижней вкладке "Общие " удалите IP-адрес или SMTP из списка сервера является предпочтительным сервером плацдарма для следующего поля транспорта .
    4. Нажмите кнопку ОК.
    5. Подождите два раза максимальный интервал репликации в лесу. Если сообщения с идентификатором события 1311 продолжают записываться, перейдите к следующему методу.

Устранение сбоев репликации Active Directory в лесу

Для репликации Active Directory требуется транзитивная репликация всех контекстов именования в лесу ко всем контроллерам домена, которые реплицируют общую секцию.

Устранение сбоев репликации для контроллеров домена в сети как можно быстрее, особенно тех, которые размещают контексты именования одного типа в лесу (например, единственный контроллер домена для определенного домена в лесу). В качестве последнего способа, если вы не можете реплицировать контроллер домена, удалите его из леса.

Если контроллер домена находится в автономном режиме в течение менее дней, чем номер времени существования могилы (по умолчанию 60), доведите контроллер домена в режим "в сети" и принудительно реплицируйте его или в качестве последнего средства, удалите его из леса.

Если контроллер домена находится в автономном режиме или не реплицирует входящие изменения в течение нескольких дней, чем номер времени существования могилы, не реанимируйте его. Вместо этого немедленно удалите его из леса.

Дополнительные сведения о значении TombstoneLifetime щелкните следующие номера статей, чтобы просмотреть статьи в Базе знаний Майкрософт:

  • 216993 срок хранения полезных данных резервного копирования состояния системы Active Directory
  • 314282 объекты Lingering могут остаться после выхода устаревшего сервера глобального каталога в сети

При обнаружении и устранении сбоев репликации могут быть полезны следующие средства:

  • repadmin /failcache: выполните эту команду из консоли каждого контроллера домена ISTG в лесу, чтобы обнаружить сбои репликации для плацдармов на сайте для этого ISTG.

    Примечание.

    Эту команду можно также выполнять удаленно для других контроллеров домена ISTG в лесу.

  • repadmin /showreps: выполните эту команду из консоли каждого контроллера домена ISTG в лесу для анализа репликации определенных контроллеров домена, предоставляемых командой repadmin /failcache .

  • dcdiag /test:intersite /e /q: эта команда проверяет подключение между сайтами для контроллеров домена плацдарма в лесу. Результирующий набор ограничен контроллерами домена, которые испытывают ошибки с коммутатором /q .

  • dcdiag /test:connectivity /e /q: эта команда проверяет разрешение имен и подключение ldap /rpc ко всем контроллерам домена в лесу. Результирующий набор ограничен контроллерами домена, которые испытывают ошибки с коммутатором /q .

  • Проверьте журнал событий службы каталогов на контроллерах домена ISTG и серверах плацдармов, используя следующие параметры для уровней диагностики NTDS:

    • Один средство проверки согласованности знаний: 3
    • Пять событий репликации: 3
    • Внутренняя обработка: 1

В команде repadmin /failcache перечислены ошибки репликации, о которые KCC знает. Выходные данные команды repadmin /failcache разделены на два раздела:

Кэш сбоев связи KCC содержит ошибки для существующих ссылок. Контроллер домена ISTG импортирует данные showreps (repsfroms) для каждого сервера плацдарма на своем сайте. Однако контроллер домена ISTG не выводит список ошибок. Кэш сбоев связи очищается в начале каждого запуска KCC и повторно заполняется во время текущего запуска.

Кэш ошибок подключения KCC перечисляет неудачные попытки создания объектов подключения между контроллерами домена (повторы из или повторов). При выполнении repadmin /failcache команды из контроллера домена ISTG в нем перечислены записи, импортированные из плацдармов на сайте. В начале каждого запуска KCC KCC KCC проверяет каждую запись в кэше сбоев подключения и пытается получить DsBind на сервер сбоем. Если привязка выполнена успешно, запись удаляется.

Команда repadmin /failcache отличается от repadmin /showreps команды двумя способами:

  • Команда repadmin /showreps показывает контекст именования, который завершается ошибкой. Команда repadmin /failcache не выполняется.
  • Данные из repadmin /failcache команды не реплицируются между контроллерами домена.

В следующем примере показаны примеры выходных repadmin /failcache данных из команды.

Z:\>repadmin /failcache
==== KCC CONNECTION FAILURES > ============================  
(none)  

==== KCC LINK FAILURES > ==================================  
USA-WA-24\C-24-DC03
      DC object GUID: 134244cd-26be-4944-82a7-ac3eb74fc02f
      No Failures.
  USA-WA-24\B-24-DC02
      DC object GUID: 21b050d6-33b5-424d-aa9b-060fe209233d
      No Failures.
  USA-WA-24\Z-24-DC-05
      DC object GUID: bfb3b008-3849-4e5d-81d8-53dbb76d587a
      No Failures.

Определение перегрузки исходных серверов

Контроллер домена, перегруженный большим количеством партнеров прямой репликации или расписанием репликации, которые чрезмерно агрессивны, могут создать невыполненную работу, в которой некоторые партнеры никогда не получают изменения от контроллера домена концентратора. В выходных данных команды repadmin /showreps контроллеры домена партнера перегруженных контроллеров исходного домена отображаются с состоянием никогда .

Чтобы устранить эту проблему, измените размер оборудования, перенастройьте ссылки сайта и перенастроите ссылки сайта или расписания подключения, чтобы уменьшить нагрузку на перегруженные контроллеры домена.

Несвязанные ссылки сайта — это конфигурация Active Directory, в которой топология разбивается на две части или в которых некоторые сайты не реплицируются, так как определения сайтов и определения ссылок сайта неверны. Например, на следующей схеме показана конфигурация, в которой Sitelink_ABC содержит сайты A, B и C и C и Sitelink_DEF содержит сайты D, E и F, но ни один из сайтов в Sitelink_ABC не подключается к любому из сайтов в Sitelink_DEF. Чтобы устранить условие несвязанных ссылок сайта, новая ссылка сайта должна подключить по крайней мере один сайт в Sitelink_ABC с по крайней мере одним сайтом в Sitelink_DEF (например, новая ссылка сайта между сайтом A и сайтом D).

                  A                        D  
                 / \                      / \
                /   \                    /   \
               /     \                  /     \
              B       C                E       F

            Sitelink_ABC              Sitelink_DEF

На следующей схеме показана другая возможная конфигурация несвязанных ссылок сайта. В этом случае новая ссылка сайта должна присоединяться к любому сайту в Sitelink_ABDC с по крайней мере одним сайтом в Sitelink_FG (например, новой ссылкой сайта A и site F), чтобы устранить условие несвязанных ссылок сайта.

                  A                  F  
                 / \                  \
                /   \                  \
               /     \                  \
              B       C                  \
               \     /                    \
                \   /                      \
                 \ /                        \
                  D                          G

            Sitelink_ABDC            Sitelink_FG

Несвязанные ссылки сайта являются наиболее сложной неправильной конфигурацией для устранения неполадок. Найдите несвязанные ссылки сайта только после исключения всех других известных причин. Используйте карандаш и бумагу для топологии сайта графа и найдите потерянные сайты.

Удаление подключений, если KCC находится в режиме "Сохранить подключение"

Если KCC создает другой путь вокруг сбоя подключения типа "сеть — сеть", но он повторяет сбой подключения каждые 15 минут, так как он находится в режиме поддержания подключения, удалите все сломанные подключения и позволить KCC перестроить их. Подождите два раза больше всего расписания репликации в лесу.

Терминология и понятия

  • Сервер плацдарма: любой контроллер домена на сайте Active Directory, который реплицирует секцию Active Directory (например, схему, конфигурацию, домен, секцию приложения или глобальный каталог) на контроллер домена на другом сайте Active Directory.

    Для каждого уникального раздела каталога, домена или секции приложения на сайте Active Directory выбирается меджорд, поэтому сайт, на котором размещаются три разных домена, имеют три сервера плацдарма на сайте.

    Контроллеры домена реплицируют все контексты именования, которые хранятся совместно с их прямыми партнерами репликации, поэтому контроллер домена в домене "corp.com" реплицирует CN=SCHEMA и CN=CONFIGURATION в дополнение к контексту именования домена "corp.com" с партнером по именовании домена между сайтами.

  • Генератор топологии между сайтами (ISTG): для каждого сайта Active Directory, одного сервера, известного как ISTG, назначается для создания топологии репликации между сайтами.

  • Обнаруженный сайт: сайт Active Directory, определенный в оснастке "Сайты и службы", который в настоящее время не содержит контроллеров домена. Обнаруженный сайт может ожидать прибытия контроллера домена с промежуточного сайта. Кроме того, сайт может быть определен как обнаруженный для предоставления предпочтения сайта для клиентских операций.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.