域控制器的问题,大家看看.......doc

域名为,以前没有问题.现在服务器上打开Active Directory 用户和计算机时出现以下对话框.怎么回事啊,怎样解决?是不是你的域控制器在安装的时候出什么错了，或者是指定的不正确呢？在微软的网站上终于找到了解决方法.就在下面其中某个地方,:),因为我觉得这章太好了,所以就全copy过来了.呵呵!_第11章 分支机构环境的疑难解答指南 部署与操作指南 摘要 本章概述了诊断、了解和解决大型 Active Directory 目录服务分支机构部署中可能出现的问题所要执行的步骤。 目录 简介 TCP/IP 和 DNS 配置 active directory 复制疑难解答 “没有入站邻居”的疑难解答 复制错误的疑难解答 后援规划 FRS 疑难解答 非权威性 FRS 恢复 总结 简介 本章提供的信息可帮助您解决在 Active Directory 目录服务环境下可能产生的任何问题。本章所含的信息并非特定于分支机构环境，而是可以用来排除任何类型 Active Directory 部署中的 Active Directory 故障。 资源需求 需要下列小组中的成员来执行本章中的疑难解答任务： Microsoft® Windows® 2000 Active Directory 管理 基础结构管理 网络管理 准备事项 除了贵单位的规划和最终部署的配置之外，还需要参考完整的分支机构部署规划指南以及分支机构部署和操作指南的前几章。此外，建议准备一份 Microsoft Windows 2000 Resource Kit，特别是其中的“TCP/IP Core Networking Guide”。 注意事项 必须了解网络疑难解答的基本知识，包括 ipconfig、ping、arp 和 nslookup 等工具以及“事件查看器”的用法。 排除任何网络故障的首要任务是正确地识别问题。在 Active Directory 的大型分支机构部署中，技术上的分布式和分层性质可能使问题诊断更具挑战性。为了有助于进行疑难解答，必须了解各种技术存在于分层结构中的什么地方，如下图所示： 不稳定或不正确的配置会给上图所示的某些分层带来问题。要成功排除这些故障，必须从最底层开始分析，逐层向上，直到所有问题解决为止。 TCP/IP 和 DNS 配置 Active Directory 要求传输控制协议/Internet 协议 (TCP/IP) 及关联服务（如“域名系统”）必须正确运行。其前提是必须正确配置 Internet 协议 (IP) 和 DNS，让 Active Directory 得以正确运行，特别是必须正确配置下列参数： IP 地址和子网掩码 默认网关 首选和备用 DNS 服务器的 IP 地址 DNS 转发器 DNS 的可用性直接影响 Active Directory 的可用性。DNS 提供 Active Directory 所用的名称空间和名称解析机制，因此，每一台计算机都必须有适当 DNS 服务器的正确 IP 地址。 本地 DNS 服务器也必须正确配置。它应当具有其客户端所在的 DNS 名称空间的授权，而且 DNS 服务器服务本身也应正确配置并正常运行。 TCP/IP 和 DNS 疑难解答所需的工具如下： ipconfig ping arp nslookup 本文假定您熟悉这些工具。有关使用这些工具的详细信息，请参阅 Microsoft Windows 2000 Resource Kit 随附的“TCP/IP Core Networking Guide”第 3 章“疑难解答”。 active directory 复制疑难解答 在 TCP/IP 和 DNS 配置成功经过检查之后，还要检查 Active Directory 是否正常运行。只有确定 Active Directory 可正常运行后，才能开始进行文件复制服务 (FRS) 和组策略的疑难解答。检查两个复制伙伴之间 Active Directory 复制状态所用的主要工具是“副本管理”工具，或叫 Repadmin。 Repadmin 包括在 Windows 2000 随附的“支持工具”中，它有许多开关参数，可以让管理员检查域控制器所用的复制伙伴，并显示和修正复制配置。其中有很多开关参数将在复制作业的疑难解答中使用。这里我们将列出常见的复制错误事件，并介绍如何使用 Repadmin 来分析和更正这些错误。 检查复制伙伴 在进行复制错误疑难解答时，最好能了解某个特定域控制器的复制伙伴是谁以及每一个复制伙伴的复制状态，这可以通过使用 repadmin /showreps 命令来实现。其输出会显示“入站邻居”部分中的复制伙伴，以及三个命名上下文（域、架构和配置）中每一个的复制状态。 案例信息 在本文档的示例中，分支机构域名是 ，根域名是 ，而分支机构域控制器是 BODC1.，位于 BOSite1 站点。其复制伙伴是 BH1.，位于 HubSite 站点。 的PDC 模拟器是 H。 Repadmin 工具 如果复制正确运行，可在下面的示例中看到 repadmin /showreps 命令的输出。（请注意，加在右边的注解会告诉您命令运行到此处时所提供的信息，这些文本有时候会折到下一行首）。 repadmin /showrepsBOSite1BODC1 - 站点名称和计算机DSA Options : (none)objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2 - Globally unique 本地计算机 NTDS 设置对象的全局唯一标识符 (GUID)invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370= INBOUND NEIGHBORS = DC=branches,DC=corp,DC=hay-buv,DC=com - 域命名上下文的复制链接 HubSiteBH1 via RPC - 与复制伙伴进行复制的复制状态objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 - 复制伙伴的 NTDS 设置对象的 GUID复制伙伴的 NTDS 设置对象的 GUIDLast attempt 2000-10-15 20:09.57 was successful. - 上次复制的状态 CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com - 架构命名上下文的复制链接HubSiteBH1 via RPC - 与复制伙伴进行复制的复制状态 partner objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 - 复制伙伴的 NTDS 设置对象的 GUID 与复制伙伴进行复制的复制状态 Last attempt 2000-10-15 19:54.18 was successful. - 上次复制的状态 CN=Configuration,DC=corp,DC=hay-buv,DC=com - 配置命名上下文的复制链接HubSiteBH1 via RPC - 与复制伙伴进行复制的复制状态partner objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 - 复制伙伴的 NTDS 设置对象的 GUID与复制伙伴进行复制的复制状态Last attempt 2000-10-15 19:54.10 was successful . - 上次复制的状态 = OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS =DC=branches,DC=corp,DC=hay-buv,DC=comHubSiteBH1 via RPCobjectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=comHubSiteBH1 via RPCobjectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 CN=Configuration,DC=corp,DC=hay-buv,DC=comHubSiteBH1 via RPCobjectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 检查复制失败 通过使用 Repadmin 工具，当 repadmin /showreps 显示下面的输出时，表示检测到了复制失败： No inbound neighbors（没有入站邻居） Replication status error（复制状态错误） 下面我们将分别讨论这两种错误及其代表意义： 没有入站邻居 发生此错误时，Repadmin 工具会显示下面的输出： BOSite1BODC1 DSA Options : (none)objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2 invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370= INBOUND NEIGHBORS = = OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS =此错误表明出现了下列情况之一： 没有连接对象可以指出这个域控制器应该从哪一个域控制器复制。 虽有一个或多个连接对象，但是域控制器无法联系源域控制器，因此也无法创建复制链接。 复制状态错误 此错误消息告诉您，在所示的特定命名上下文中与复制伙伴的复制失败：例如： DC=branches,DC=corp,DC=hay-buv,DC=com HubSiteBH1 via RPCobjectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 Last attempt 2000-10-16 14:50.05 failed, result 8442:复制系统遇到一个内部错误。Last success (never).“没有入站邻居”的疑难解答 当看到“没有入站邻居”的输出时，首先必须启动“Active Directory 站点和服务”，看看在域控制器及其复制伙伴之间是否创建了连接对象。您可以用鼠标右键单击“Active Directory 站点和服务”，选择“连接到域控制器”，然后选择“站点”（“站点”是站点的名称）、“服务器”（“服务器”是服务器的名称）和“NTDS设置”，以连接到目标域控制器。为了有效地进行疑难解答，请按下述过程操作。 如果没有连接对象存在，则必须创建一个。创建的方式如下： 使用“Active Directory 站点和服务”，以手动方式创建连接对象。 如果启用了“知识一致性检查器”(KCC) 的“站点间拓朴生成器”(ISTG) 功能，就会自动创建连接对象。 使用 Mkdsx 脚本。这是在分支机构环境不同站点的域控制器之间创建连接对象的最佳方法。有关 Mkdsx 的详细信息，请参阅Active Directory 分支机构规划指南第 3 章“规划分支机构环境的复制作业”、Active Directory 分支机构部署和操作指南第 4 章“集线站点的预接移配置”以及Active Directory 分支机构部署和操作指南第 7 章“分支机构域控制器的预交付配置”。 在连接对象创建之后（或者如果原本就存在），请运行 repadmin /kcc。然后域控制器将联系其复制伙伴，并与它们验证自己的身份。这是创建复制链接的必要步骤。 复制过程执行之后，请在“事件查看器”的目录服务事件日志中查找下列事件： 事件ID 1264: 已添加了来自服务器CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分区 CN=NTDS Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链接。 这个事件是 KCC 在正确创建复制链接之后记录的。该事件记录之后，到了下一个计划好的时间，就会自动进行复制。您可以利用下列命令，对本地域控制器的每一个命名上下文，分别用手动方式启动此过程： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% 如果事件标识符 (ID) 1264 没有记录在“事件查看器”中，则表明复制链接未能建立。然后目录服务事件日志将记录事件 ID 1265，说明失败的原因。在这种情况下，请使用与处理运行 repadmin /showreps 命令时产生的错误所用的相同过程来解决。 在运行 repadmin /showreps 时，可能会显示多种错误。这些错误及其对应的解决机制将在本章下面部分讨论。 复制错误的疑难解答 复制错误由 repadmin /showreps 的输出来显示。此命令的输出所显示的是，各命名上下文中通过一个现有复制链接所进行的上一个复制的状态。这些复制失败通常不会记录在“目录服务”事件日志中。 如前一节所述，复制错误是在 KCC 无法建立一个与给定复制伙伴的复制链接时发生的。这时候，repadmin /showreps 不显示任何信息。您必须在“事件查看器”的“目录服务”事件日志中，查看事件 ID 1265 中对错误的解释。 下面我们将讨论由事件 ID 1265 所产生的错误列表以及对应的解决方法列表。 禁止访问 如果本地域控制器在创建复制链接或尝试通过现有链接进行复制时，无法与复制伙伴进行身份验证，就会发生此错误。这种情况通常是在域控制器与网络其余部分断开连接较长一段时间时发生。在这种情形下，计算机帐户密码可能与存储在其复制伙伴的 Active Directory 中的对应值不同。下面我们将讨论每一种情况及其对应的输出。 无法建立复制链接 在这种情况下，repadmin /showreps 不显示任何入站邻居。当然，也就不会显示任何错误。请查看“事件查看器”中的“目录服务”事件日志，您会看到下面的事件： dir事件ID 1265 尝试建立一个用参数 分区:DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN: CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 源 DSA 地址: 62d85225-76bf-4b46-b929-25a1bb295f51._ 站点间传输(如果有的话): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链路失败，状态如下: 禁止访问。. 记录数据为状态编码。将重试此操作 复制失败并显示错误 当两个域控制器之间有复制链接存在，但复制却无法正确执行时，repadmin /showreps 将显示所列的一个或多个命名上下文的前一个复制的失败状态。这些信息的格式如下：“上一次尝试 失败”，后面跟着“禁止访问”这一错误消息。与建立复制链接失败不同的是，建立复制链接失败的原因在“事件查看器”错误日志中的错误消息中表明，不会在事件日志中记录任何事件。 复制失败的解决方法 解决的方法有许多种，具体取决于给定问题的性质。下面我们将讨论每一种方法。 第一种复制失败解决方法 应先尝试下面这一组步骤。您需要停止密钥发行中心 (KDC) 服务，删除 Kerberos 票证，然后重设计算机密码。接着需要同步域命名上下文，并确定复制是否正常进行。最后，需要同步每一个命名上下文。 在本地域控制器上的命令提示符下键入“net stop KDC”，以停止 KDC 服务。如果 KDC 服务没有停止，则将其启动状态设置为“停用”，然后重新启动。 打开命令提示符，并键入下列命令，在域 PDC 模拟器上重设计算机帐户的密码： netdom resetpwd /server: /userd:administrator /passwordd:* 这时会出现下列输出： 本地计算机的帐户密码已成功重设。命令成功完成。 如果命令失败，出现“登录失败，目标帐户名称不正确”的错误，表示该域控制器可能不在“域控制器”组织单位中。 同步和检查复制 您可以在命令提示符下键入下列命令，以将复制伙伴的域命名上下文与 HUBDC1 PDC 模拟器进行同步： repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com 这将强制进行计算机帐户的复制。 通过使用下列命令，输出中会显示 HUBDC1 PDC 模拟器 NTDS 设置对象的 GUID（显示为 ObjectGUID）： repadmin /showreps 如果本地域控制器的复制伙伴本身不是 HUBDC1 PDC 模拟器的复制伙伴，则此命令将会失败。在这种情况下，您可以在命令提示符下使用下列命令，以在复制伙伴和 HUBDC1 PDC 模拟器之间以手动方式创建一个复制链接。 repadmin /add /u:administrator /pw:* 此复制链接的创建将在 HUBDC1 PDC 模拟器和复制伙伴之间，自动触发域命名上下文的复制。上述过程执行之后，本地域控制器的计算机帐户就应当与其复制伙伴同步了。现在这两个域控制器之间的复制可以正常运行了。 如果要检查复制是否正常运行，请在命令提示符下键入下列命令： Repadmin /showreps 如果输出结果中出现复制伙伴连接，就表示一切运行正常。如果命令输出空白，请在命令提示符下键入 repadmin /kcc。域控制器将联系其对应的复制伙伴，验证自己的身份，以创建复制链接。然后在“目录服务”事件日志中查找下列事件： 事件ID 1264 : 已添加了来自服务器 CN=Configuration,DC=corp,DC=hay-buv,DC=com的分区Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com的复制链接。 这个事件是 KCC 在正确创建复制链接之后记录的。此事件记录之后，只要到了下一个计划好的时间，就会自动进行复制。如果未记录此事件，请检查错误消息，并参阅本章中相关章节。 同步每一个命名上下文 在复制链接成功创建之后，请使用下列相关命令来同步每一个命名上下文。 “架构”命名上下文最小，因此最先使用。这样才能在最快的时间内确认操作是否成功。请在命令提示符下键入下列命令，以同步本地域控制器上的架构命名上下文： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% 在命令提示符下键入下列命令，也可以触发配置和域命名上下文的复制： repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% 如果 repadmin /sync 命令因发生新的错误而失败，请参阅本章中的相关章节，以解决新识别的问题。 如果 repadmin /sync 命令成功，repadmin /showreps 应不显示任何错误。请在本地域控制器重新启动 KDC 服务，方法是在命令提示符下键入下列命令： net start kdc 第二种复制失败解决方法 此方法是在本地域控制器及其命名上下文的复制伙伴之间创建一个临时链接。如果在运行 repadmin /kcc 时出现新的禁止访问情况并记录了新的事件 ID 1265，或者如果 repadmin /sync 失败并显示另一个“禁止访问”消息时，就可以采用这个方法。要创建此链接，请执行下列步骤： 如果是配置命名上下文，请在命令提示符下键入下列命令： repadmin /add /u:administrator /pw:* 如，您可以在 BODC1 上输入： repadmin /add CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername%. HubDC1. /u:branchesadministrator /pw:* 如果是架构命名上下文，请在命令提示符下键入下列命令： repadmin /add /u:administrator /pw:* 例如，您可以在 BODC1 上输入： repadmin /add CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername%. HubDC1. /u:branchesadministrator /pw:* 如果是域命名上下文，请在命令提示符下键入下列命令： repadmin /add /u:administrator /pw:* 例如，您可以在 BODC1 上输入： repadmin /add DC=branches,DC=corp,DC=hay-buv,DC=com %computername%. HubDC1. /u:branchesadministrator /pw:* 如果成功，所有这些命令均应返回下列结果： One-way replication from source:HubDC1. to dest:BODC1. established. 注意：如果 KCC 在进行此过程期间启动，而且没有对应的连接对象存在，此命令将会失败。如果发生这种情形，KCC 将删除没有对应连接对象存在的任何复制链接。因此您应首先确定是否有连接对象存在。 注意：这些命令因为要触发对应的命名上下文的复制，因此可能需要很长时间来完成。所有命名上下文都必须正确复制。如果一个复制被抢先，请重新运行命令，直到成功完成为止，否则可能再此出现“禁止访问”的错误。 验证是否成功 可以使用前面所用的方法，来检查操作是否成功。请在命令提示符下运行 repadmin /showreps。如果此命令的输出没有显示任何对应的复制伙伴，请在命令提示符下运行 repadmin /kcc，然后在“事件查看器”的“目录服务”事件日志中查找事件 ID 1264。 接着用 repadmin /showreps 触发架构命名上下文的复制。请在命令提示符下键入下列命令，在本地 DC 上重新启动 KDC： net start kdc 如果上述方法成功，到了下一个计划好的时段，这三个命名上下文的复制就会正确进行。在每一个命名上下文复制之后，本地域控制器上的 repadmin /showreps 将显示一个成功状态。 验证服务未知 当两个域控制器之间有复制链接存在，但复制无法正确运行时，就会发生验证服务未知的错误。如第一节所述，在这种情形中，虽然 repadmin /showreps 显示了入站邻居，但却有一个或多个命名上下文的上一次复制状态返回“上一次尝试 失败”及“验证服务未知”的错误。这样，没有任何事件记录在事件日志中。 此错误可能会发生在下列一种情况中： 本地域控制器尝试与其复制伙伴建立复制链接，但却失败。在此情形中，repadmin /showreps 没有显示任何入站邻居，因此也无错误描述。如果要查看此错误，请查看记录了下列事件的“目录服务”事件日志： 事件 ID 1265分区: DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN: CN=NTDS Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 源 DSA 地址: 62d85225-76bf-4b46-b929-25a1bb295f51._ 站点间传输 (如果有的话): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 失败，状态如下: 验证服务未知。 记录数据为状态码。将重试此操作。 这两种类型的错误通常与本地 KDC 服务有关。发生的原因是下列各项中的一种： 域控制器无法建立复制链接。 两个域控制器之间已有复制链接。 请按下面的适当步骤进行更正。 域控制器无法建立复制链接 在此情形中，您需要停止 KDC 服务，清除票证缓存，然后创建复制链接。 要更正域控制器无法创建复制链接的问题，请： 在命令提示符下键入下列命令，停止 KDC 服务： net stop KDC 要停止服务可能很难。在此情形中，您可以将 KDC 服务启动状态设置为“停用”，然后重新启动。 用“Computer Management Microsoft Management Console (MMC)”工具， 将 KDC 服务启动状态设置为“停用”，然后重新启动域控制器。 在域控制器的命令提示符下，运行 repadmin /kcc。域控制器将联系其复制伙伴，与它们验证自己的身份，以创建复制链接。 在“事件查看器”的“目录服务”事件日志中，查找下列事件： 事件 ID 1264 : 已添加了来自服务器 CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分区CN=Configuration,DC=corp,DC=hay-buv,DC=com 复制链接。 此事件是 KCC 在正确创建复制链接之后记录的。此事件记录之后，只要到了下一个计划好的时间，就会自动进行复制。为了确保它能够正确运行，您可以用下列命令以手动方式对三个命名上下文触发此操作： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% 如果没有记录任何事件 ID 1264，则表明未能建立复制链接。“事件查看器”的“目录服务”事件日志将记录下事件 ID 1265，说明失败原因。请找出此事件，并执行本章中介绍的有关疑难解答步骤。 如果此过程没有问题，那么到了下一个计划好的时间，这三个命名上下文就会正确进行复制。请在命令提示符下键入下列命令，重新启动本地域控制器的 KDC 服务： net start kdc 复制链接已经存在 在这种情形中，请运行下列过程。 要更正复制链接已经存在的问题，请： 在命令提示符下键入下列命令，停止 KDC 服务： net stop kdc 要停止服务可能很难。在此事件中，可以用“Computer Management MMC”工具，将服务的启动状态设置为“停用”，然后重新启动。 用“Computer Management MMC”工具，将 KDC 服务启动状态设置为“停用”， 重新启动域控制器。 请在命令提示符下键入下列命令，以同步本地域控制器上的架构命名上下文： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% 架构命名上下文最小，因此最先使用，这样才能在最快的时间内确认操作是否成功。 在命令提示符下键入下列命令，也可以触发配置和域命名上下文的复制： repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% 如果 repadmin /sync 命令因发生新的错误而失败，请参阅本文档的相应章节。如果 repadmin /sync 命令成功，repadmin /showreps 应不显示任何错误。请在本地域控制器重新启动 KDC。方法是在命令提示符下键入下列命令： net start kdc 目标帐户名不正确 发生此错误可能是因为无法创建复制链接，或者因为虽有链接，但目标帐户名不正确。 无法创建复制链接 本地域控制器尝试与其复制伙伴建立复制链接，但却失败。在此事件中，repadmin /showreps 没有显示任何入站邻居，因此也就不会显示错误的原因。要想知道原因，请查看“事件查看器”中的“目录服务”事件日志，检查记录的事件。 事件 ID 1645 目录服务在执行到另一个域控制器的已身份验证的 RPC 调用时收到一个失败。此失败是因为要求的服务主要名称 (SPN) 没有在目标服务器上注册。联系的服务器是 62d85225-76bf-4b46-b929-25a1bb295f51._。使用的 SPN 是 E3514235-4B06-11D1-AB04-00C04FC2DCD2/62d85225-76bf-4b46-b929-25a1bb295f51/。 请确认目标服务器和域的名称正确。同时确认 SPN 已经在计算机帐户对象上为目标服务器在 KDC 服务请求注册。如果目标服务器最近被提升，在此计算机被身份验证之前，此计算机的身份知识需要被复制到 KDC。 虽有复制链接，但目标名称不正确 当两个域控制器之间虽有复制链接，但复制没有正常运行时,就会发生这种情况。如第一节所述，在此事件中，repadmin /showreps 虽显示有入站邻居，但却有一个或多个命名上下文的上一次复制状态返回“上一次尝试 失败”及“目标帐户名不正确”的错误。在这种情况下，不会有任何事件记录到事件日志中。此错误是在交换 Kerberos 票证时，由于在本地和目标服务器上找不到所需的那一组服务主要名称 (SPN) 所造成的。 要更正此错误，请： ping“事件查看器”中的事件所示的名称，以确定目标域控制器的 IP 地址： ping 62d85225-76bf-4b46-b929-25a1bb295f51._ Pinging HubDC1. 9 with 32 bytes of data: Reply from 9:bytes=32 time=94ms TTL=124 . 在远程或通过“终端服务”（如果已安装的话），直接针对两个复制伙伴的域命名上下文启动 Adsiedit.msc。 在这两个域控制器上，找到本地域控制器计算机帐户，并获得其属性。 在属性列表中，找出“servicePrincipalName”。您会看到一个由多值项构成的列表。其中一个项具有两个 GUID，例如，“E3514235-4B06-11D1-AB04-00C04FC2DCD2/62d85225-76bf-4b46-b929-25a1bb295f51/” 选择此项，然后按“删除”按钮。 在“编辑”控件中，选择所有文本，将它们复制到“剪贴板”，然后按“添加”按钮。 “编辑”控件现在应当是空的。粘贴剪贴板的内容，找到并附加“”，让它匹配下面的字符串：“E3514235-4B06-11D1-AB04-00C04FC2DCD2/62d85225-76bf-4b46-b929-25a1bb295f51/” 将整个字符串复制到剪贴板，然后按“添加”按钮，再单击“确定”。 在另一个域控制器上，将该字符串粘贴到“编辑”控件，然后按“添加”按钮，再单击“确定”。 然后重试复制操作。 有时候您会遇到下列问题： 复制伙伴有一对不同的 GUID （第二个不同）。当域控制器已被取消提升，然后又重新提升时，就会发生这个错误。解决办法是在两个域控制器上添加这两个 SPN。 其中一个列表实际上是空的。当两个不同的域控制器在同一个复制周期中更新 SPN 值时，就会发生这种情况。进行复制时，其中一组 SPN 值将会丢失，从而导致复制错误。在此情形中，解决办法是将所有丢失的项，从有这些项的一个域控制器中复制到另一个域控制器（如上所述），但不修改任何项。 RPC 服务器不可用 此错误可能是因为创建复制链接失败，或者因为连接问题所导致。 无法创建复制链接 在此情形中，repadmin /showreps 没有显示任何入站邻居，因此 repadmin 输出也没有指出错误类型。要找出失败的原因，请查看“事件查看器”中的“目录服务”事件日志。您会看到下面的事件： 事件 ID 1265 尝试建立一个用参数 分区:DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN:CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=DMZ- Administration,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 源 DSA 地址:62d85225-76bf-4b46-b929-25a1bb295f51._ 站点间传输(如果有的话):CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链路失败，状态如下: RPC 服务器不可用。 记录数据为状态编码。将重试此操作。 复制链接存在 - 连接问题 当两个域控制器之间存在复制链接，但却没有进行复制作业（如第一节所述）时，可能是有连接问题。repadmin /showreps 的输出虽显示有入站邻居，但有一个或多个命名上下文的上一次复制状态返回“上一次尝试 失败”及“目标帐户名不正确”的错误。当输出中显示这些详细信息时，没有任何事件记录到事件日志中。 如果要测试连接问题，请 ping 消息内容中显示的基于 GUID 的 DNS 名称。此名称是由复制伙伴的“NTDS 设置”对象的 GUID 后接 _ 所组成。它在目录林根的 DNS 服务器上显示为指向域控制器名称的别名。例如，您可以在命令提示符下键入： ping 62d85225-76bf-4b46-b929-25a1bb295f51._ Pinging HubDC1. 9 with 32 bytes of data: Reply from 9:bytes=32 time=94ms TTL=124 . 从 ping 命令的输出中，确保 _msdcs 记录能够由位于目录林根的 DNS 服务器正确解析。假如命令输出显示“Pinging”，后面跟着完全合格的域控制器的域名，就表示没问题。 如果出现“请求超时”错误，请继续查找连接问题。在 ping 命令可以正常执行后，复制就应该能够正确运行了。 DNS 查找失败 如果与复制伙伴之间没有复制链接，或者虽然有复制链接存在，但却无法进行 DNS 查找，这时候就会发生 DNS 查找失败。 无法创建复制链接 - DNS 查找失败 当本地域控制器尝试与其复制伙伴建立复制链接但没有成功时，就会出现此错误。在此情形中，repadmin /showreps 没有显示任何入站邻居，因此也不会返回此错误。要想看到此错误，请查看“事件查看器”的“目录服务”事件日志。您会看到下面的事件： 事件 ID 1265 尝试建立一个用参数 分区:DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN:CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=DMZ- Administration,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 源DSA 地址:62d85225-76bf-4b46-b929-25a1bb295f51._ 站点间传输(如果有的话):CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链路失败，状态如下: DNS 查找失败。 记录数据为状态编码。将重试此操作。 复制链接存在 - DNS 查找失败 如第一节所述，repadmin /showreps 虽然显示有入站邻居，但是有一个或多个命名上下文的上一次复制状态返回“上一次尝试 失败”及“DNS 查找失败”的错误。事件日志中没有记录任何事件。 此错误表示本地域控制器无法解析其复制伙伴的基于 GUID 的 DNS 名称 （此名称是由复制伙伴的“NTDS 设置”对象的 GUID 后接 _ 所组成）。它在目录林的根 DNS 服务器上声明为指向复制伙伴名称的别名。 要重新显示这个错误，请 ping 其复制伙伴的基于 GUID 的 DNS 名称。不过这样做一般不会成功。如果成功，就表示在下一间隔的复制应能够正常运