域名為server.com, 以前沒有問題.現(xiàn)在服務(wù)器上打開"Active Directory 用戶和計算機(jī)" 時出現(xiàn)以下對話框. 怎么回事啊, 怎樣解決?是不是你的域控制器在安裝的時候出什么錯了，或

域名為server.com, 以前沒有問題.

現(xiàn)在服務(wù)器上打開"Active Directory 用戶和計算機(jī)" 時出現(xiàn)以下對話框. 怎么回事啊, 怎樣解決?

是不是你的域控制器在安裝的時候出什么錯了，或者是指定的不正確呢？

在微軟的網(wǎng)站上終于找到了解決方法. 就在下面其中某個地方,:),因為我覺得這章太好了, 所以就全copy 過來了. 呵呵!

__________________________________________________________

第11章 分支機(jī)構(gòu)環(huán)境的疑難解答指南

部署與操作指南

摘要

本章概述了診斷、了解和解決大型 Active Directory™ 目錄服務(wù)分支機(jī)構(gòu)部署中可能出現(xiàn)的問題所要執(zhí)行的步驟。

目錄

簡介

TCP/IP 和 DNS 配置

active directory 復(fù)制疑難解答

“沒有入站鄰居”的疑難解答

復(fù)制錯誤的疑難解答

后援規(guī)劃

FRS 疑難解答

非權(quán)威性 FRS 恢復(fù)

總結(jié)

簡介

本章提供的信息可幫助您解決在 Active Directory™ 目錄服務(wù)環(huán)境下可能產(chǎn)生的任何問題。本章所含的信息并非特定于分支機(jī)構(gòu)環(huán)境，而是可以用來排除任何類型 Active Directory 部署中的 Active Directory 故障。

資源需求

需要下列小組中的成員來執(zhí)行本章中的疑難解答任務(wù)：

Microsoft® Windows® 2000 Active Directory 管理

基礎(chǔ)結(jié)構(gòu)管理

網(wǎng)絡(luò)管理

準(zhǔn)備事項

除了貴單位的規(guī)劃和最終部署的配置之外，還需要參考完整的《分支機(jī)構(gòu)部署規(guī)劃指南》以及《分支機(jī)構(gòu)部署和操作指南》的前幾章。此外，建議準(zhǔn)備一份 Microsoft Windows 2000 Resource Kit，特別是其中的“TCP/IP Core Networking Guide”。

注意事項

必須了解網(wǎng)絡(luò)疑難解答的基本知識，包括 ipconfig 、ping 、arp 和 nslookup 等工具以及“事件查看器”的用法。

排除任何網(wǎng)絡(luò)故障的首要任務(wù)是正確地識別問題。在 Active Directory 的大型分支機(jī)構(gòu)部署中，技術(shù)上的分布式和分層性質(zhì)可能使問題診斷更具挑戰(zhàn)性。為了有助于進(jìn)行疑難解答，必須了解各種技術(shù)存在于分層結(jié)構(gòu)中的什么地方，如下圖所示：

不穩(wěn)定或不正確的配置會給上圖所示的某些分層帶來問題。要成功排除這些故障，必須從最底層開始分析，逐層向上，直到所有問題解決為止。

TCP/IP 和 DNS 配置

Active Directory 要求傳輸控制協(xié)議/Internet 協(xié)議 (TCP/IP) 及關(guān)聯(lián)服務(wù)（如“域名系統(tǒng)”）必須正確運(yùn)行。其前提是必須正確配置 Internet 協(xié)議 (IP) 和 DNS ，讓 Active Directory 得以正確運(yùn)行，特別是必須正確配置下列參數(shù)：

IP 地址和子網(wǎng)掩碼

默認(rèn)網(wǎng)關(guān)

首選和備用 DNS 服務(wù)器的 IP 地址

DNS 轉(zhuǎn)發(fā)器

DNS 的可用性直接影響 Active Directory 的可用性。DNS 提供 Active Directory 所用的名稱空間和名稱解析機(jī)制，因此，每一臺計算機(jī)都必須有適當(dāng) DNS 服務(wù)器的正確 IP 地址。

本地 DNS 服務(wù)器也必須正確配置。它應(yīng)當(dāng)具有其客戶端所在的 DNS 名稱空間的授權(quán)，而且 DNS 服務(wù)器服務(wù)本身也應(yīng)正確配置并正常運(yùn)行。

TCP/IP 和 DNS 疑難解答所需的工具如下：

ipconfig

ping

arp

nslookup

本文假定您熟悉這些工具。有關(guān)使用這些工具的詳細(xì)信息，請參閱 Microsoft Windows 2000 Resource Kit 隨附的“TCP/IP Core Networking Guide”第 3 章“疑難解答”。

active directory 復(fù)制疑難解答

在 TCP/IP 和 DNS 配置成功經(jīng)過檢查之后，還要檢查 Active Directory 是否正常運(yùn)行。只有確定 Active Directory 可正常運(yùn)行后，才能開始進(jìn)行文件復(fù)制服務(wù) (FRS) 和組策略的疑難解答。檢查兩個復(fù)制伙伴之間 Active Directory 復(fù)制狀態(tài)所用的主要工具是“副本管理”工具，或叫 Repadmin 。

Repadmin 包括在 Windows 2000 隨附的“支持工具”中，它有許多開關(guān)參數(shù)，可以讓管理員檢查域控制器所用的復(fù)制伙伴，并顯示和修正復(fù)制配置。其中有很多開關(guān)參數(shù)將在復(fù)制作業(yè)的疑難解答中使用。這里我們將列出常見的復(fù)制錯誤事件，并介紹如何使用 Repadmin 來分析和更正這些錯誤。

檢查復(fù)制伙伴

在進(jìn)行復(fù)制錯誤疑難解答時，最好能了解某個特定域控制器的復(fù)制伙伴是誰以及每一個復(fù)制伙伴的復(fù)制狀態(tài)，這可以通過使用 repadmin /showreps 命令來實現(xiàn)。其輸出會顯示“入站鄰居”部分中的復(fù)制伙伴，以及三個命名上下文（域、架構(gòu)和配置）中每一個的復(fù)制狀態(tài)。

案例信息

在本文檔的示例中，分支機(jī)構(gòu)域名是 branches.corp.hay-buv.com ，根域名是 corp.hay-buv.com ，而分支機(jī)構(gòu)域控制器是 BODC1.branches.corp.hay-buv.com ，位于 BOSite1 站點(diǎn)。其復(fù)制伙伴是 BH1.branches.corp.hay-buv.com ，位于 HubSite 站點(diǎn)。 branches.corp.hay-buv.com 的PDC 模擬器是 Hubdc1.branches.corp.hay-buv.com 。

Repadmin 工具

如果復(fù)制正確運(yùn)行，可在下面的示例中看到 repadmin /showreps 命令的輸出。（請注意，加在右邊的注解會告訴您命令運(yùn)行到此處時所提供的信息，這些文本有時候會折到下一行首）。

repadmin /showreps

BOSite1BODC1 <-- 站點(diǎn)名稱和計算機(jī)

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2 <-- Globally unique 本地計算機(jī) NTDS 設(shè)置對象的全局唯一標(biāo)識符 (GUID)

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ====================================== DC=branches,DC=corp,DC=hay-buv,DC=com <-- 域命名上下文的復(fù)制鏈接

HubSiteBH1 via RPC <-- 與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 復(fù)制伙伴的 NTDS 設(shè)置對象的 GUID

復(fù)制伙伴的 NTDS 設(shè)置對象的 GUID

Last attempt @ 2000-10-15 20:09.57 was successful. <-- 上次復(fù)制的狀態(tài)

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 架構(gòu)命名上下文的復(fù)制鏈接

HubSiteBH1 via RPC <-- 與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 復(fù)制伙伴的 NTDS 設(shè)置對象的 GUID

與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

Last attempt @ 2000-10-15 19:54.18 was successful. <-- 上次復(fù)制的狀態(tài)

CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 配置命名上下文的復(fù)制鏈接

HubSiteBH1 via RPC <-- 與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 復(fù)制伙伴的 NTDS 設(shè)置對象的

GUID

與復(fù)制伙伴進(jìn)行復(fù)制的復(fù)制狀態(tài)

Last attempt @ 2000-10-15 19:54.10 was successful . <-- 上次復(fù)制的狀態(tài)

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============ DC=branches,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

檢查復(fù)制失敗

通過使用 Repadmin 工具，當(dāng) repadmin /showreps 顯示下面的輸出時，表示檢測到了復(fù)制失敗：

No inbound neighbors（沒有入站鄰居）

Replication status error（復(fù)制狀態(tài)錯誤）

下面我們將分別討論這兩種錯誤及其代表意義：

沒有入站鄰居

發(fā)生此錯誤時，Repadmin 工具會顯示下面的輸出：

BOSite1BODC1

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ======================================

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

此錯誤表明出現(xiàn)了下列情況之一：

沒有連接對象可以指出這個域控制器應(yīng)該從哪一個域控制器復(fù)制。

雖有一個或多個連接對象，但是域控制器無法聯(lián)系源域控制器，因此也無法創(chuàng)建復(fù)制鏈接。

復(fù)制狀態(tài)錯誤

此錯誤消息告訴您，在所示的特定命名上下文中與復(fù)制伙伴的復(fù)制失?。豪纾?/p>

DC=branches,DC=corp,DC=hay-buv,DC=com

HubSiteBH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

Last attempt @ 2000-10-16 14:50.05 failed, result 8442:

復(fù)制系統(tǒng)遇到一個內(nèi)部錯誤。

Last success @ (never).

“沒有入站鄰居”的疑難解答

當(dāng)看到“沒有入站鄰居”的輸出時，首先必須啟動“Active Directory 站點(diǎn)和服務(wù)”，看看在域控制器及其復(fù)制伙伴之間是否創(chuàng)建了連接對象。您可以用鼠標(biāo)右鍵單擊“Active Directory 站點(diǎn)和服務(wù)”，選擇“連接到域控制器”，然后選擇“站點(diǎn)”（“站點(diǎn)”是站點(diǎn)的名稱）、“服務(wù)器”（“服務(wù)器”是服務(wù)器的名稱）和“NTDS 設(shè)置”，以連接到目標(biāo)域控制器。為了有效地進(jìn)行疑難解答，請按下述過程操作。

如果沒有連接對象存在，則必須創(chuàng)建一個。創(chuàng)建的方式如下：

使用“Active Directory 站點(diǎn)和服務(wù)”，以手動方式創(chuàng)建連接對象。

如果啟用了“知識一致性檢查器”(KCC) 的“站點(diǎn)間拓樸生成器”(ISTG) 功能，就會自動創(chuàng)建連接對象。

使用 Mkdsx 腳本。這是在分支機(jī)構(gòu)環(huán)境不同站點(diǎn)的域控制器之間創(chuàng)建連接對象的最佳方法。有關(guān) Mkdsx 的詳細(xì)信息，請參閱《Active Directory 分支機(jī)構(gòu)規(guī)劃指南》第 3 章“規(guī)劃分支機(jī)構(gòu)環(huán)境的復(fù)制作業(yè)”、《Active Directory 分支機(jī)構(gòu)部署和操作指南》第 4 章“集線站點(diǎn)的預(yù)接移配置”以及《Active Directory 分支機(jī)構(gòu)部署和操作指南》第 7 章“分支機(jī)構(gòu)域控制器的預(yù)交付配置”。

在連接對象創(chuàng)建之后（或者如果原本就存在），請運(yùn)行 repadmin /kcc。然后域控制器將聯(lián)系其復(fù)制伙伴，并與它們驗證自己的身份。這是創(chuàng)建復(fù)制鏈接的必要步驟。

復(fù)制過程執(zhí)行之后，請在“事件查看器”的目錄服務(wù)事件日志中查找下列事件： 事件ID 1264: 已添加了來自服務(wù)器CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分區(qū) CN=NTDS Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的復(fù)制鏈接。

這個事件是 KCC 在正確創(chuàng)建復(fù)制鏈接之后記錄的。該事件記錄之后，到了下一個計劃好的時間，就會自動進(jìn)行復(fù)制。您可以利用下列命令，對本地域控制器的每一個命名上下文，分別用手動方式啟動此過程： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴

GUID> repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴GUID>

如果事件標(biāo)識符 (ID) 1264 沒有記錄在“事件查看器”中，則表明復(fù)制鏈接未能建立。然后目錄服務(wù)事件日志將記錄事件 ID 1265，說明失敗的原因。在這種情況下，請使用與處理運(yùn)行 repadmin /showreps 命令時產(chǎn)生的錯誤所用的相同過程來解決。

在運(yùn)行 repadmin /showreps 時，可能會顯示多種錯誤。這些錯誤及其對應(yīng)的解決機(jī)制將在本章下面部分討論。

復(fù)制錯誤的疑難解答

復(fù)制錯誤由 repadmin /showreps 的輸出來顯示。此命令的輸出所顯示的是，各命名上下文中通過一個現(xiàn)有復(fù)制鏈接所進(jìn)行的上一個復(fù)制的狀態(tài)。這些復(fù)制失敗通常不會記錄在“目錄服務(wù)”事件日志中。

如前一節(jié)所述，復(fù)制錯誤是在 KCC 無法建立一個與給定復(fù)制伙伴的復(fù)制鏈接時發(fā)生的。這時候，repadmin /showreps 不顯示任何信息。您必須在“事件查看器”的“目錄服務(wù)”事件日志中，查看事件 ID 1265 中對錯誤的解釋。

下面我們將討論由事件 ID 1265 所產(chǎn)生的錯誤列表以及對應(yīng)的解決方法列表。

禁止訪問

如果本地域控制器在創(chuàng)建復(fù)制鏈接或嘗試通過現(xiàn)有鏈接進(jìn)行復(fù)制時，無法與復(fù)制伙伴進(jìn)行身份驗證，就會發(fā)生此錯誤。這種情況通常是在域控制器與網(wǎng)絡(luò)其余部分?jǐn)嚅_連接較長一段時間時發(fā)生。在這種情形下，計算機(jī)帳戶密碼可能與存儲在其復(fù)制伙伴的 Active Directory 中的對應(yīng)值不同。下面我們將討論每一種情況及其對應(yīng)的輸出。

無法建立復(fù)制鏈接

在這種情況下，repadmin /showreps 不顯示任何入站鄰居。當(dāng)然，也就不會顯示任何錯誤。請查看“事件查看器”中的“目錄服務(wù)”事件日志，您會看到下面的事件： dir>事件ID 1265 嘗試建立一個用參數(shù) 分區(qū):DC=branches,DC=corp,DC=hay-buv,DC=com 源 DSA DN: CN=NTDS

Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configu

ration,DC=corp,DC=hay-buv,DC=com 源 DSA 地址: 62d85225-76bf-4b46-b929-

25a1bb295f51._msdcs.corp.hay-buv.com 站點(diǎn)間傳輸(如果有的話): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的復(fù)制鏈路失敗，狀態(tài)如下:: 禁止訪問。. 記錄數(shù)據(jù)為狀態(tài)編碼。將重試此操作

復(fù)制失敗并顯示錯誤

當(dāng)兩個域控制器之間有復(fù)制鏈接存在，但復(fù)制卻無法正確執(zhí)行時，repadmin /showreps 將顯

示所列的一個或多個命名上下文的前一個復(fù)制的失敗狀態(tài)。這些信息的格式如下：“上一次嘗試 <日期 - 時間> 失敗”，后面跟著“禁止訪問”這一錯誤消息。與建立復(fù)制鏈接失敗不同的是，建立復(fù)制鏈接失敗的原因在“事件查看器”錯誤日志中的錯誤消息中表明，不會在事件日志中記錄任何事件。

復(fù)制失敗的解決方法

解決的方法有許多種，具體取決于給定問題的性質(zhì)。下面我們將討論每一種方法。

第一種復(fù)制失敗解決方法

應(yīng)先嘗試下面這一組步驟。您需要停止密鑰發(fā)行中心 (KDC) 服務(wù)，刪除 Kerberos 票證，然后重設(shè)計算機(jī)密碼。接著需要同步域命名上下文，并確定復(fù)制是否正常進(jìn)行。最后，需要同步每一個命名上下文。

在本地域控制器上的命令提示符下鍵入“net stop KDC”，以停止 KDC 服務(wù)。如果 KDC 服務(wù)沒有停止，則將其啟動狀態(tài)設(shè)置為“停用”，然后重新啟動。

打開命令提示符，并鍵入下列命令，在域 PDC 模擬器上重設(shè)計算機(jī)帳戶的密碼： netdom resetpwd /server: /userd:<域>?ministrator /passwordd:*

這時會出現(xiàn)下列輸出： 本地計算機(jī)的帳戶密碼已成功重設(shè)。命令成功完成。

如果命令失敗，出現(xiàn)“登錄失敗，目標(biāo)帳戶名稱不正確”的錯誤，表示該域控制器可能不在“域控制器”組織單位中。

同步和檢查復(fù)制

您可以在命令提示符下鍵入下列命令，以將復(fù)制伙伴的域命名上下文與 HUBDC1 PDC 模擬器進(jìn)行同步： repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com <集線服務(wù)器>

這將強(qiáng)制進(jìn)行計算機(jī)帳戶的復(fù)制。

通過使用下列命令，輸出中會顯示 HUBDC1 PDC 模擬器 NTDS 設(shè)置對象的 GUID （顯示為 ObjectGUID ）： repadmin /showreps < Hubdc1 PDC 模擬器的名稱>

如果本地域控制器的復(fù)制伙伴本身不是 HUBDC1 PDC 模擬器的復(fù)制伙伴，則此命令將會失敗。在這種情況下，您可以在命令提示符下使用下列命令，以在復(fù)制伙伴和 HUBDC1 PDC 模擬器之間以手動方式創(chuàng)建一個復(fù)制鏈接。 repadmin /add <域 NC> <復(fù)制伙伴 FQDN> /u:<域>?ministrator /pw:*

此復(fù)制鏈接的創(chuàng)建將在 HUBDC1 PDC 模擬器和復(fù)制伙伴之間，自動觸發(fā)域命名上下文的復(fù)制。上述過程執(zhí)行之后，本地域控制器的計算機(jī)帳戶就應(yīng)當(dāng)與其復(fù)制伙伴同步了?，F(xiàn)在這兩個域控制器之間的復(fù)制可以正常運(yùn)行了。

如果要檢查復(fù)制是否正常運(yùn)行，請在命令提示符下鍵入下列命令： Repadmin /showreps

如果輸出結(jié)果中出現(xiàn)復(fù)制伙伴連接，就表示一切運(yùn)行正常。如果命令輸出空白，請在命令提示符下鍵入 repadmin /kcc。域控制器將聯(lián)系其對應(yīng)的復(fù)制伙伴，驗證自己的身份，以創(chuàng)建復(fù)制鏈接。然后在“目錄服務(wù)”事件日志中查找下列事件： 事件ID 1264 : 已添加了來自服務(wù)器 CN=Configuration,DC=corp,DC=hay-buv,DC=com的分區(qū)

Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configurati

on,DC=corp,DC=hay-buv,DC=com的復(fù)制鏈接。

這個事件是 KCC 在正確創(chuàng)建復(fù)制鏈接之后記錄的。此事件記錄之后，只要到了下一個計劃好的時間，就會自動進(jìn)行復(fù)制。如果未記錄此事件，請檢查錯誤消息，并參閱本章中相關(guān)章節(jié)。

同步每一個命名上下文

在復(fù)制鏈接成功創(chuàng)建之后，請使用下列相關(guān)命令來同步每一個命名上下文。

“架構(gòu)”命名上下文最小，因此最先使用。這樣才能在最快的時間內(nèi)確認(rèn)操作是否成功。請在命令提示符下鍵入下列命令，以同步本地域控制器上的架構(gòu)命名上下文： repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴 GUID>

在命令提示符下鍵入下列命令，也可以觸發(fā)配置和域命名上下文的復(fù)制： repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴 GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com computername <復(fù)制伙伴 GUID>

如果 repadmin /sync 命令因發(fā)生新的錯誤而失敗，請參閱本章中的相關(guān)章節(jié)，以解決新識別的問題。

如果 repadmin /sync 命令成功，repadmin /showreps 應(yīng)不顯示任何錯誤。請在本地域控制器重新啟動 KDC 服務(wù)，方法是在命令提示符下鍵入下列命令： net start kdc

第二種復(fù)制失敗解決方法

此方法是在本地域控制器及其命名上下文的復(fù)制伙伴之間創(chuàng)建一個臨時鏈接。如果在運(yùn)行 repadmin /kcc 時出現(xiàn)新的禁止訪問情況并記錄了新的事件 ID 1265，或者如果 repadmin /sync 失敗并顯示另一個“禁止訪問”消息時，就可以采用這個方法。要創(chuàng)建此鏈接，請執(zhí)行下列步驟：

如果是配置命名上下文，請在命令提示符下鍵入下列命令： repadmin /add <配置 NC> <本地 DC FQDN> <復(fù)制伙伴 FQDN> /u:?ministrator /pw:*

如，您可以在 BODC1 上輸入： repadmin /add CN=Configuration,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches?ministrator /pw:*

如果是架構(gòu)命名上下文，請在命令提示符下鍵入下列命令： repadmin /add <架構(gòu) NC> <本地 DC FQDN> <復(fù)制伙伴 FQDN> /u:<域>?ministrator /pw:*

例如，您可以在 BODC1 上輸入： repadmin /add CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches?ministrator /pw:*

如果是域命名上下文，請在命令提示符下鍵入下列命令： repadmin /add <域 NC> <本地 DC FQDN> <復(fù)制伙伴 FQDN> /u:<域>?ministrator /pw:*

例如，您可以在 BODC1 上輸入： repadmin /add DC=branches,DC=corp,DC=hay-buv,DC=com computername.branches.corp.hay-buv.com HubDC1.branches.corp.hay-buv.com /u:branches?ministrator /pw:*

如果成功，所有這些命令均應(yīng)返回下列結(jié)果： One-way replication from source:HubDC1.branches.corp.hay-buv.com to dest:BODC1.branches.corp.hay-buv.com established.

注意：如果 KCC 在進(jìn)行此過程期間啟動，而且沒有對應(yīng)的連接對象存在，此命令將會失敗。如果發(fā)生這種情形，KCC 將刪除沒有對應(yīng)連接對象存在的任何復(fù)制鏈接。因此您應(yīng)首先確定是否有連接對象存在。

注意：這些命令因為要觸發(fā)對應(yīng)的命名上下文的復(fù)制，因此可能需要很長時間來完成。所有命名上下文都必須正確復(fù)制。如果一個復(fù)制被搶先，請重新運(yùn)行命令，直到成功完成為止，否則可能再此出現(xiàn)“禁止訪問”的錯誤。

驗證是否成功

可以使用前面所用的方法，來檢查操作是否成功。請在命令提示符下運(yùn)行 repadmin /showreps。如果此命令的輸出沒有顯示任何對應(yīng)的復(fù)制伙伴，請在命令提示符下運(yùn)行 repadmin /kcc，然后在“事件查看器”的“目錄服務(wù)”事件日志中查找事件 ID 1264。

接著用 repadmin /showreps 觸發(fā)架構(gòu)命名上下文的復(fù)制。請在命令提示符下鍵入下列命令，在本地 DC 上重新啟動 KDC ： net start kdc

如果上述方法成功，到了下一個計劃好的時段，這三個命名上下文的復(fù)制就會正確進(jìn)行。在每一個命名上下文復(fù)制之后，本地域控制器上的 repadmin /showreps 將顯示一個成功狀態(tài)。

驗證服務(wù)未知

當(dāng)兩個域控制器之間有復(fù)制鏈接存在，但復(fù)制無法正確運(yùn)行時，就會發(fā)生驗證服務(wù)未知的錯誤。如第一節(jié)所述，在這種情形中，雖然 repadmin /showreps 顯示了入站鄰居，但卻有一個或多個命名上下文的上一次復(fù)制狀態(tài)返回“上一次嘗試 <日期 - 時間> 失敗”及“驗證服務(wù)未知”的錯誤。這樣，沒有任何事件記錄在事件日志中。

此錯誤可能會發(fā)生在下列一種情況中：

本地域控制器嘗試與其復(fù)制伙伴建立復(fù)制鏈接，但卻失敗。在此情形中，repadmin /showreps 沒有顯示任何入站鄰居，因此也無錯誤描述。如果要查看此錯誤，請查看記錄了下列事件的“目錄服務(wù)”事件日志： 事件 ID 1265