本方法只在windows2003上操作成功,其他系统未作测试。两台域控,GC(PDC)上面创建用户DC不能正常同步,DC上面创建用户GC能够同步,同时发现有一台文件服务器有些机器不能正常访问,提示共享无权限。
工具/原料
主域控制器GC
子域控制器DC
Windows2003的管理工具
方法/步骤
1、现象:用户两台域控,GC(PDC)上面创建用户DC不能正常同步,DC上面创建用户GC能够同步,同时发现有一台文件服务器有些机器不能正常访问,提示共享无权限。原因:用dcdiag命令在GC上没有问题,在DC上发现墓碑时间问题,可以确定是墓碑时间超过默认的180天造成的,起因是由于用户前段时间GC的外部时钟源出现一次事故,导致GC时间回到1980年,造成两台域控时间超过墓碑时间。
2、解决方法:何修改默认的墓碑生存时间1.Windows2000和Windows2003不带SP1的默认墓碑生存时间是60天,Windows2003+SP1的默认墓碑生存时间是180天。2.修改墓碑生存时间的方法如下:(1)安装Windows2003的管理工具。(2)运行adsiedit.msc,展开“Configuration”->“CN=configuration,DC=xxx......”->“CN=Services”->“CN=WindowsNT”,右击“CN=DirectoryService”->“属性”。(3)找到一个叫“TombstoneLifetime”的属性,设上您希望的值即可。3.由于配置分区是在整个森林中同步的,所以这个设置会自动复制到子域上,我们无需手动操作,但是会有一些延迟。
3、如果DC长时间没有复制,已经超过墓碑时间,如何恢复呢?关于修复的详细信息,请参考以下文章:FixingReplicationLingeringObjectProblems(EventIDs1388,1988,2042)http://technet.microsoft.com/zh-cn/library/cc738018.aspxhttp://technet.microsoft.com/zh-cn/library/34c15446-b47f-4d51-8e4a-c14527060f90
4、操作步骤:1.首先确认这个DC是否能够联系上GC,使用NS盟敢势袂lookup命令来尝试解析GC的SRV记录,具体方法请参考:H泠贾高框owtoverifythatSRVDNSrecordshavebeencreatedforadomaincontrollerhttp://support.microsoft.com/?id=8165872.在长时间没有复制的DC上运行nettime[url=file://\\PDC_IP]\\PDC_IP[/url],使DC的时间与PDC同步。3.在长时间没有开机的DC上运行以下命令:repadmin/removelingeringobjectsServerNameServerGUIDDirectoryPartition/advisorymode注:ServerName为长时间没有开机的DC的DNS名称,ServerGUID为DC的GUID名称,DirectoryPartition为分区名称,类似DC=example,DC=com。确定DC的GUID请运行以下命令repadmin/showreplServerName
5、4.运行六咝媲拜Regedit.exe编辑注册表,定位到以下位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services概嗤先眚\NTDS\Parameters编辑StrictReplicationConsistency,改为1。注意:在对注册表进行操作前,应先备份注册表,“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。5.然后在两台DC上都进行如下操作:运行regedit,找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\AllowReplicationWithDivergentandCorruptPartner,将这个键值设置为1。如果没有,请您手动新建AllowReplicationWithDivergentandCorruptPartner,类型为DW(双字节值)。在做完以上操作后,重启DC,查看DC的复制情况。如果域控比较重要,可以不执行降域操作,直接修改注册表,见步骤5在出问题的DC上面修改或添加(如果没有)建议:当两台域控同步完后,把此键值去掉,为了保障域控的安全。
6、补充:修改注册表键值HKLM\System\觊皱筠桡CurrentControlSet\Services\NTDS\Parameters\All泠贾高框owReplicationWithDivergentandCorruptPartner其键值为1该键值是允许DC在活动目录复制时忽略对于“墓碑”周期的检查,修改之后只是会造成部分被清除的对象会被复制。我建议您在完成一次域中所有DC同步之后,将该注册表键值关闭。设置该注册表键值是为了在DC复制前不再检查数据源的最后更新时间是否超过“墓碑”记录周期。修改该注册表键值不会产生大的负面影响,唯一的负面影响就是会将一部分已删除的对象加入到活动目录复制中去,增加部分网络流量。在未设置该注册表键值前,对于超过“墓碑”记录周期的数据源,DC将停止和该数据源的复制。这是由于两台DC上已删除的对象可能不同,数据源可能还存在那些未被garbagecollect真正清理仍存在于DeletedObjectscontainer中的对象。如果默认就不检查,则可能会将数据源中那些本应该已被清理的对象再次复制到目标DC上。
7、重启DC,问题解决。