Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
DCDIAG.TXT
Testing server: Default-First-Site-NameADMAIL
Starting test: Replications
* Replications Check
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: DC=mst,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 12:20.50.
The last success occurred at 2007-12-02 01:48.16.
9009 failures have occurred since the last success.
[CAD] DsBind() failed with error -2146893022,
目標的主名稱不正確。.
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: CN=Schema,CN=Configuration,DC=mpi,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 11:50.25.
The last success occurred at 2007-12-02 01:48.16.
1263 failures have occurred since the last success.
[Replications Check,ADMAIL] A recent replication attempt failed:
From CAD to ADMAIL
Naming Context: CN=Configuration,DC=mpi,DC=com,DC=tw
The replication generated an error (5):
存取被拒。
The failure occurred at 2008-01-23 12:23.25.
The last success occurred at 2007-12-02 01:48.16.
7839 failures have occurred since the last success.
解決方法
- 確認時區時間一致
- 一般應該為security channel broken
如何使用 Netdom . exe 來重設機器帳戶密碼的 Windows 2000 網域控制站
https://support.microsoft.com/kb/260575
若是無法重設請先停用有問題DC的Kerberos Key Distribution Center服務然後重新開機,重新reset security channel
- 若是仍然不行請停用所有DC Kerberos Key Distribution Center服務重新開機在嘗試reset security channel ,然後使用repadmin /syncall 或是 ad site and services強制覆寫
完成後再將Kerberos Key Distribution Center設置為自動,重新啟動
************************************************************
repadmin.txt
==========
TPDCS01
DSA Options : IS_GC
objectGuid : 7809b003-4650-4646-949e-f25e22339a30
invocationID: 7809b003-4650-4646-949e-f25e22339a30
DsBindWithCred to localhost failed with status 1727 (0x6bf):
遠端程序呼叫失敗且不執行。(The remote procedure call failed and did not execute)
NTDS event log
========
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: 知識一致性檢查程式
事件識別碼: 2051
日期: 2008/1/7
時間: 上午 08:13:06
使用者: NT AUTHORITYANONYMOUS LOGON
電腦: DCS01
描述:
知識一致性檢查程式已偵測出可能的連線振盪。下列連線 (或與它相似的連線) 已被 重複地建立並刪除。在指出的時段內連線會持續,必須等到該時段過了之後,連線才 會再被刪除。
連線物件:
CN=04d9f039-96f1-4692-9386-a49426e47cf2,CN=NTDS Settings,CN=DCS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
目的地 DSA GUID:
7809b003-4650-4646-949e-f25e22339a30
來源 DSA:
CN=NTDS Settings,CN=TPNPCENGS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
來源 DSA GUID:
a53f49cc-b012-4e9f-9fde-83f1720d485a
選項:
1
保留期間 (秒):
604800
重複的刪除容錯:
3
刪除點內部識別碼:
f07023b
使用者動作:
經常建立及刪除錯誤後移轉連線可能是 bridghead 不穩定的表示。請檢查 bridgehead 的連線能力或複寫問題。也可以使用登錄來調整錯誤後移轉原則。
請在 https://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: 知識一致性檢查程式
事件識別碼: 1925
日期: 2008/1/7
時間: 上午 05:53:08
使用者: NT AUTHORITYANONYMOUS LOGON
電腦: DCS01
描述:
嘗試為以下可寫入的目錄磁碟分割建立複寫連結時失敗。
目錄磁碟分割:
CN=Configuration,DC=fp,DC=com
來源網域控制站:
CN=NTDS Settings,CN=TPNPCENGS01,CN=Servers,CN=TP,CN=Sites,CN=Configuration,DC=fp,DC=com
來源網域控制站位址:
a53f49cc-b012-4e9f-9fde-83f1720d485a._msdcs.fpg.com
站台間傳輸 (如果有的話):
必須先修正此問題,否則這個網域控制站將無法以來源網域控制站進行複寫。
使用者動作
檢查來源網域控制站是否可以存取或網路連線是否可供使用。
其他資料
錯誤值:
1722 無法取得 RPC 伺服器。
請在 https://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
事件類型: 錯誤
事件來源: NTDS Replication
事件類別目錄: 複寫
事件識別碼: 1863
日期: 2008/1/6
時間: 下午 06:20:00
使用者: NT AUTHORITYANONYMOUS LOGON
電腦: DCS01
描述:
這是本機網域控制站上,下列目錄磁碟分割的複寫狀態。
目錄磁碟分割:
DC=npceng,DC=tw,DC=fp,DC=com
本機網域控制站並未在設定的延遲間隔內,從一些網域控制站收到複寫資訊。
延遲間隔 (小時):
24
所有站台上的網域控制站數目:
5
這個站台上的網域控制站數目:
3
可以使用下列登錄機碼來修改延遲間隔。
登錄機碼:
HKLMSystemCurrentControlSetServicesNTDSParametersReplicator latency error interval (小時)
如果要依照名稱來識別網域控制站,請安裝包含在安裝 CD 中的支援工具,然後執行 dcdiag.exe。
您也可以使用支援工具 repadmin.exe 來顯示樹系中網域控制站的複寫延遲。 命令為 "repadmin /showvector /latency <partition-dn>"。
RPC網路不透通
解決方法
- 檢察135 port 是否Listen
Netstat –ano
-嘗試telnet Server IP 135
-收集網路封包
RPC連接埠
RPC TCP 135
隨機高 TCP 連接埠配置 TCP 介於 1024 - 65534 隨機連接埠號碼 *
Inbound 135要通
Outbound 1024 - 65534
有些客戶會有檔Inbound與Outbound 須特別注意
與網路連接埠需求為 Windows Server 系統服務概觀
https://support.microsoft.com/?id=832017
若是客戶一定要限制動態RPC可以參考以下文件
如何設定 RPC 動態連接埠配置以使用防火牆
https://support.microsoft.com/kb/154596/
************************************************************
NTDS Event Log:
===============================
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: (1)
事件識別碼: 1265
日期: 2008/8/27
時間: 下午 05:11:13
使用者: N/A
電腦: AD2
描述:
DC=mst,DC=com,DC=cn, 8bc74036-872f-4cbf-9d2a-6f6e03606122._msdcs.audrey.com.tw, Access is denied.
, CN=NTDS Settings,CN=THAD,CN=Servers,CN=Taichung,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw, CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw.
資料:
0000: 05 00 00 00 ....
事件類型: 警告
事件來源: NTDS KCC
事件類別目錄: (1)
事件識別碼: 1265
日期: 2008/8/27
時間: 下午 05:11:08
使用者: N/A
電腦: AD2
描述:
CN=Schema,CN=Configuration,DC=mst,DC=com,DC=tw, 8bc74036-872f-4cbf-9d2a-6f6e03606122._msdcs.audrey.com.tw, Access is denied.
, CN=NTDS Settings,CN=THAD,CN=Servers,CN=Taichung,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw, CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=mst,DC=com,DC=tw.
資料:
0000: 05 00 00 00 ....
DCDiag:
===================================
Testing server: ThailandAD2
Starting test: Replications
* Replications Check
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=mst,DC=com,DC=cn
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 15:54.44.
The last success occurred at 2008-08-27 12:18.51.
11 failures have occurred since the last success.
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=sing,DC=com,DC=cn
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 15:54.44.
The last success occurred at 2008-08-27 12:18.52.
11 failures have occurred since the last success.
[Replications Check,AD2] A recent replication attempt failed:
From AD1 to AD2
Naming Context: DC=mst,DC=com,DC=tw
The replication generated an error (5):
Win32 Error 5
The failure occurred at 2008-08-27 16:11.25.
The last success occurred at 2008-08-27 12:18.50.
61 failures have occurred since the last success.
......................... AD2 passed test Replications
Repadmin:
==== INBOUND NEIGHBORS ======================================
DC=mst,DC=com,DC=cn
ThailandAD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 15:54.44 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.51.
11 consecutive failure(s).
DC=sing,DC=com,DC=cn
ThailandAD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 15:54.44 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.52.
11 consecutive failure(s).
DC=mst,DC=com,DC=tw
ThailandAD1 via RPC
objectGuid: 67d58b07-39c3-47be-9c73-0cde28b00169
Last attempt @ 2008-08-27 16:11.25 failed, result 5:
Can't retrieve message string 5 (0x5), error 1815.
Last success @ 2008-08-27 12:18.50.
61 consecutive failure(s).
解決方式
有關於此問題,經確認後為DC的時間差超過5分鐘所導致的
參考資料
Troubleshooting Active Directory Replication Problems
https://technet.microsoft.com/en-us/library/bb727057.aspx
在該文件中提到的Event ID 1265中的檢查項目之一就是系統時間
在KB https://support.microsoft.com/kb/837361 中說明了
預設如果超過5分鐘的時間差會造成KDC Failed 的issue
確認時間差異大約8分鐘.修正時間後,DC複寫恢復正常
************************************************************