進行 Active Directory 複寫問題疑難排解

發行項
03/07/2024

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

試用虛擬助理 - 其可協助您快速找出並修正常見 Active Directory 複寫問題。

Active Directory 複寫問題可能有數個不同來源。例如，網域名稱系統 (DNS) 問題、網路問題或安全性問題都可能導致 Active Directory 複寫失敗。

本文的其餘部分說明可修正 Active Directory 複寫錯誤的工具和一般方法。下列子主題涵蓋特定複寫錯誤的徵兆、原因和解決方法：

疑難排解 Active Directory 複寫的簡介和資源

輸入或輸出複寫失敗會造成代表複寫拓撲、複寫排程、網域控制站、使用者、電腦、密碼、安全性群組、群組成員資格和群組原則的 Active Directory 物件在各個網域控制站之間不一致。目錄不一致和複寫失敗會導致作業失敗或結果不一致 (視連絡進行作業的網域控制站而定)，而且可以防止套用群組原則和存取控制權限。 Active Directory Domain Services (AD DS) 取決於網路連線、名稱解析、驗證和授權、目錄資料庫、複寫拓撲和複寫引擎。複寫問題的根本原因不明顯時，要在許多可能的原因中判斷原因需要系統性地排除可能的原因。

若要讓 UI 型工具協助監視複寫和診斷錯誤，請下載並執行 Microsoft 支援及修復小幫手工具。

提供描述如何使用 Repadmin 工具來疑難排解 Active Directory 複寫的完整文件；請參閱使用 Repadmin 來監視和疑難排解 Active Directory 複寫。

如需 Active Directory 複寫運作方式的相關資訊，請參閱下列技術參考：

事件和工具解決方案建議

理想情況下，目錄服務事件記錄檔中的紅色 (錯誤) 和黃色 (警告) 事件指出造成來源或目的地網域控制站上複寫失敗的特定條件約束。如果事件訊息建議解決方案的步驟，則請嘗試事件中所述的步驟。 Repadmin 工具和其他診斷工具也提供可協助您解決複寫失敗的資訊。

如需使用 Repadmin 來疑難排解複寫問題的詳細資訊，請參閱使用 Repadmin 來監視和疑難排解 Active Directory 複寫。

排除故意中斷或硬體故障

有時會因為故意中斷而發生複寫錯誤。例如，當您疑難排解 Active Directory 複寫問題時，請先排除故意中斷連線和硬體故障或升級。

故意中斷連線

如果網域控制站已在預備網站中建置且目前離線等待在最終生產網站 (遠端網站，例如分公司) 中進行部署，而嘗試與此網域控制站進行複寫的網域控制站回報複寫錯誤，則您可以考慮這些複寫錯誤。若要避免將網域控制站與複寫拓撲分開一段時間 (除非重新連線網域控制站，否則這會導致連續錯誤)，請考慮一開始就將這類電腦新增為成員伺服器，並使用從媒體安裝 (IFM) 方法來安裝 Active Directory Domain Services (AD DS)。您可以使用 Ntdsutil 命令列工具來建立安裝媒體，而安裝媒體可以儲存至卸載式媒體 (CD、DVD 或其他媒體)，以及寄送至目的地網站。然後，您可以使用安裝媒體以在網站的網域控制站上安裝 AD DS，而不需要使用複寫。

硬體故障或升級

如果因硬體故障而發生複寫問題 (例如主機板、磁碟子系統或硬碟故障)，則請通知伺服器擁有者，以解決硬體問題。

定期硬體升級也會導致網域控制站無法服務。請確定您的伺服器擁有者具有良好的系統，可事先溝通這類中斷。

防火牆設定

根據預設，會透過連接埠 135 上的 RPC 端點對應程式 (RPCSS)，以透過可用的連接埠來動態發生 Active Directory 複寫遠端程序呼叫 (RPC)。請確定已正確設定具有進階安全性的 Windows 防火牆和其他防火牆，以允許複寫。如需指定 Active Directory 複寫連接埠和連接埠設定的相關資訊，請參閱 Microsoft 知識庫中的文章 224196。

如需 Active Directory 複寫所使用連接埠的相關資訊，請參閱 Active Directory 複寫工具和設定。

如需透過防火牆來管理 Active Directory 複寫的相關資訊，請參閱透過防火牆的 Active Directory 複寫。

回應執行 Windows 2000 Server 的過時伺服器失敗

如果執行 Windows 2000 Server 的網域控制站故障超過標記存留期中的天數，則解決方案一律相同：

將伺服器從公司網路移至私人網路。
強制移除 Active Directory，或重新安裝作業系統。
從 Active Directory 移除伺服器中繼資料，這樣就無法恢復伺服器物件。

您可以使用指令碼來清除大部分 Windows 作業系統上的伺服器中繼資料。如需使用此指令碼的相關資訊，請參閱移除 Active Directory 網域控制站中繼資料。

根據預設，所刪除的「NTDS 設定」物件會在 14 天的期間自動復原。因此，如果您未移除伺服器中繼資料 (使用 Ntdsutil 或先前所述的指令碼來執行中繼資料清除)，則會在目錄中恢復伺服器中繼資料，而這會提示嘗試進行複寫。在此情況下，將會持續記錄錯誤，因為無法與遺漏的網域控制站進行複寫。

根本原因

如果您排除故意中斷連線、硬體故障和過期的 Windows 2000 網域控制站，則複寫問題的其餘部分幾乎一律具有下列其中一個根本原因：

網路連線：網路連線可能無法使用，或未適當地設定網路設定。
名稱解析：DNS 設定錯誤是複寫失敗的常見原因。
驗證和授權：網域控制站嘗試連線至其複寫夥伴時，驗證和授權問題會導致「拒絕存取」錯誤。
目錄資料庫 (存放區)：目錄資料庫可能無法快速處理交易，以跟上複寫逾時。
複寫引擎：如果網站間複寫排程太短，則複寫佇列在輸出複寫排程所需的時間內可能太大而無法處理。在此情況下，某些變更的複寫可能會無限期地停滯不動，而且久到超過標記存留期。
複寫拓撲：在 AD DS 中，網域控制站必須具有網站間連結，而網站間連結對應至真正廣域網路 (WAN) 或虛擬私人網路 (VPN) 連線。如果您在 AD DS 中針對網路實際網站拓撲不支援的複寫拓撲建立物件，則需要設定錯誤拓撲的複寫會失敗。

修正問題的一般方式

使用下列一般方式來修正複寫問題：

每天監視複寫健康狀態，或使用 Repadmin.exe 每天擷取複寫狀態。
使用事件訊息和本指南中所述的方法，來嘗試及時解決任何回報的失敗。如果軟體可能造成問題，則請先解除安裝軟體，再繼續進行其他解決方案。
如果任何已知方法都無法解決導致複寫失敗的問題，則請從伺服器中移除 AD DS，然後重新安裝 AD DS。如需重新安裝 AD DS 的詳細資訊，請參閱將網域控制站解除委任。
如果將伺服器連線至網路時無法正常移除 AD DS，則請使用下列其中一種方法來解決問題：
- 以目錄服務還原模式強制移除 AD DS，並清除伺服器中繼資料，然後重新安裝 AD DS。
- 重新安裝作業系統，並重新建置網域控制站。

如需強制移除 AD DS 的詳細資訊，請參閱強制移除網域控制站。

使用 Repadmin 來擷取複寫狀態

複寫狀態是您評估目錄服務狀態的重要方式。如果複寫正確運作，且未發生錯誤，則您會知道線上的網域控制站。您也知道下列系統和服務正在運作：

DNS 基礎結構
Kerberos 驗證通訊協定
Windows Time 服務 (W32time)
遠端程序呼叫 (RPC)
網路連線

執行可評估樹系中所有網域控制站複寫狀態的命令，以使用 Repadmin 每天監視複寫狀態。此程序會產生 .csv 檔案，而您可以在 Microsoft Excel 中開啟此檔案，並篩選其中是否有複寫失敗。

您可以使用下列程序來擷取樹系中所有網域控制站的複寫狀態。

需求

至少需要 Enterprise Admins 的成員資格或同等權限，才能完成此程序。

工具：

Repadmin.exe
Excel (Microsoft Office)

產生網域控制站的 repadmin /showrepl 試算表

以系統管理員身分開啟命令提示字元：在 [開始] 功能表上，以滑鼠右鍵按一下 [命令提示字元]，然後按一下 [以系統管理員身分執行]。如果出現 [使用者帳戶控制] 對話方塊，則請視需要提供 Enterprise Admins 認證，然後按一下 [繼續]。
在命令提示字元中，輸入下列命令，然後按 ENTER：repadmin /showrepl * /csv > showrepl.csv
開啟 Excel。
按一下 [Office] 按鈕，並按一下 [開啟]，再瀏覽至 showrepl.csv，然後按一下 [開啟]。
隱藏或刪除資料行 A 和 [傳輸類型] 資料行，如下所示：
選取您想要隱藏或刪除的資料行。
- 若要隱藏資料行，請以滑鼠右鍵按一下資料行，然後按一下 [隱藏]。
- 若要刪除資料行，請以滑鼠右鍵按一下選取的資料行，然後按一下 [刪除]。
選取資料行標題資料列下方的資料列 1。在 [檢視] 索引標籤上，按一下 [凍結窗格]，然後按一下 [凍結上方資料列]。
選取整個試算表。在 [資料] 索引標籤上，按一下 [篩選]。
在 [上次成功時間] 資料行中，按一下向下箭號，然後按一下 [遞增排序]。
在 [來源 DC] 資料行中，按一下篩選向下箭號，並指向 [文字篩選]，然後按一下 [自訂篩選]。
在 [自訂自動篩選] 對話方塊的 [顯示的資料列符合] 下方，按一下 [不包含]。在相鄰的文字方塊中，輸入 del，以排除檢視已刪除網域控制站的結果。
針對 [上次失敗時間] 資料行重複步驟 11，但使用 [不等於] 值，然後輸入值 0。
解決複寫失敗。

針對樹系中的每個網域控制站，試算表會顯示來源複寫夥伴、上次發生複寫的時間，以及每個命名內容上次發生複寫失敗的時間 (目錄分割)。在 Excel 中使用自動篩選，您只能檢視工作網域控制站的複寫健康狀態、失敗的網域控制站，或最舊或最新的網域控制站，而且您可以看到已成功複寫的複寫夥伴。

複寫問題和解決方法

在事件訊息中，以及在應用程式或服務嘗試作業時發生的各種錯誤訊息中，回報複寫問題。在理想情況下，監視應用程式或在您擷取複寫狀態時會收集這些訊息。

在目錄服務事件記錄檔所記錄的事件訊息中，會識別大部分的複寫問題。複寫問題也可能會以 repadmin /showrepl 命令輸出中的錯誤訊息形式予以識別。

指出複寫問題的 repadmin /showrepl 錯誤訊息

若要識別 Active Directory 複寫問題，請使用 repadmin /showrepl 命令，如上節中所述。下表顯示此命令所產生的錯誤訊息和錯誤的根本原因，以及可提供錯誤解決方案的主題連結。

Repadmin 錯誤	根本原因	解決方案
自上次與此伺服器進行複寫的時間已超過標記存留期。	網域控制站已讓輸入複寫失敗，而具名來源網域控制站的時間夠長可將刪除從 AD DS 進行標記、複寫和記憶體回收。	事件識別碼 2042：自此機器複寫後已經過很長一段時間
沒有輸入芳鄰。	如果 repadmin /showrepl 所產生輸出的「輸入芳鄰」區段中未出現任何項目，則網域控制站無法建立與另一個網域控制站的複寫連結。	修正複寫連線問題 (事件識別碼 1925)
存取遭到拒絕。	兩個網域控制站之間存在複寫連結，但因驗證失敗而無法適當地執行複寫。	修正複寫安全性問題
上次於 <日期 - 時間> 的嘗試失敗，並顯示「目標帳戶名稱不正確」。	此問題可能與連線、DNS 或驗證問題有關。如果這是 DNS 錯誤，則本機網域控制站無法解析其複寫夥伴的全域唯一識別碼 (GUID) 型 DNS 名稱。	修正複寫 DNS 查閱問題 (事件識別碼 1925、2087、2088) 修正複寫安全性問題修正複寫連線問題 (事件識別碼 1925)
LDAP 錯誤 49。	網域控制站電腦帳戶可能未與金鑰發佈中心 (KDC) 同步處理。	修正複寫安全性問題
無法開啟與本機主機的 LDAP 連線	系統管理工具無法連絡 AD DS。	修正複寫 DNS 查閱問題 (事件識別碼 1925、2087、2088)
已先佔 Active Directory 複寫。	較高優先順序的複寫要求已中斷輸入複寫的進度，例如使用 repadmin /sync 命令手動產生的要求。	等待複寫完成。此參考訊息指出正常作業。
已張貼複寫，等待中。	網域控制站已張貼複寫要求，並且正在等待答案。正在從此來源進行複寫。	等待複寫完成。此參考訊息指出正常作業。

下表列出可能指出 Active Directory 複寫問題的常見事件和問題的根本原因，以及可提供問題解決方案的主題連結。

事件識別碼和來源	根本原因	解決方案
1311 NTDS KCC	AD DS 中的複寫設定資訊無法準確地反映網路的實體拓撲。	修正複寫拓撲問題 (事件識別碼 1311)
1388 NTDS 複寫	嚴格複寫一致性未生效，而且已將延遲物件複寫至網域控制站。	修正複寫延遲物件問題 (事件識別碼 1388、1988、2042)
1925 NTDS KCC	嘗試建立可寫入目錄磁碟分割的複寫連結失敗。根據錯誤，此事件可能會有不同的原因。	修正複寫連線問題 (事件識別碼 1925) 修正複寫 DNS 查閱問題 (事件識別碼 1925、2087、2088)
1988 NTDS 複寫	本機網域控制站已嘗試從來源網域控制站複寫本機網域控制站中不存在的物件，因為其可能已遭刪除並已進行記憶體回收。除非解決此情況，否則此目錄磁碟分割不會繼續與此夥伴的複寫。	修正複寫延遲物件問題 (事件識別碼 1388、1988、2042)
2042 NTDS 複寫	在標記存留期，尚未與此夥伴進行複寫，因此無法繼續複寫。	修正複寫延遲物件問題 (事件識別碼 1388、1988、2042)
2087 NTDS 複寫	AD DS 無法將來源網域控制站的 DNS 主機名稱解析為 IP 位址，而且複寫失敗。	修正複寫 DNS 查閱問題 (事件識別碼 1925、2087、2088)
2088 NTDS 複寫	AD DS 無法將來源網域控制站的 DNS 主機名稱解析為 IP 位址，但複寫成功。	修正複寫 DNS 查閱問題 (事件識別碼 1925、2087、2088)
5805 Net Logon	無法驗證機器帳戶，這通常是相同電腦名稱有多個執行個體或電腦名稱未複寫至每個網域控制站所造成。	修正複寫安全性問題

如需複寫概念的詳細資訊，請參閱 Active Directory 複寫技術。

下一步

如需詳細資訊 (包括錯誤碼特定的支援文章)，請參閱支援文章：如何疑難排解常見 Active Directory 複寫錯誤