解决与升级域控制器到全局编录服务器问题

http://support.microsoft.com/kb/910204

症状

域控制器当您尝试提升 Microsoft Windows Server 2003 域控制器或 Microsoft Windows 2000 域控制器到全局编录服务器, 可能不公布自身作为全局编录。如果域控制器提升编程或通过单击以选择 全局编录 选项如此。 发生此问题时, 目录服务日志中记录事件消息。

此外, 输出可能显示该域控制器未通过广告测试并不是公布全局编录。 此输出时发生域控制器记录事件 ID 1578 和时该域控制器上运行域控制器诊断检查 (Dcdiag.exe)。

注意 要运行域控制器诊断检查, 执行下列操作： 1.单击 开始 ， 单击 运行 , 类型 cmd然后单击 确定 。2.在命令提示符处, 键入 dcdiag /v /f:logfile.txt然后按 Enter。以下部分描述发生此问题时， 目录服务日志中记录事件消息。

Windows 2000 事件消息

•每 30 分钟记录是类似于以下信息性事件消息： •事件 ID 1559

事件 ID 1559：
NTDS 复制事件源:
信息性事件类型：
说明： A 请求对提升到全局编录 (GC) 此 DSA 作了。 要成为 GC 前提是此服务器主持企业中所有分区的只读副本。此服务器应该有一份分区 DC 子, DC = 根, DC = = com 但是它没有。 直到满足此条件此系统将不会提升为 GC。

这可能是由于 KCC 没有运行, 或， 很无法添加分区的副本因为所有源都处于关闭状态。 请查阅事件日志对于 KCC 错误。

KCC 将重试添加副本。

•事件 ID 1578

事件 ID： 1578
NTDS 复制事件源:
信息性事件类型：
说明： 与该服务器向全局编录提升被推迟， 因为分区占有要求没有被满足。

参数用于控制， 强制目录分区占有要求 strictness。
参数是:
HKLM/SYSTEM/CurrentControlSet/Services/NTDS/Parameters/Global 目录分区占有

级别如下无占用要求 ； (1) 至少一个只读分区由 KCC 添加站点中 ； (2) 完全同步站点中至少一个分区 ； (3) 所有只读分区由 KCC （至少一个同步） 添加站点中 ； 完全同步站点中 (4) 所有分区 (0)：。

大于级别包括低级别的要求。 当前占用要求是 4。 此服务器是当前在级别 0。

注意 虽然此事件消息, 中所述 " 全局编录分区 Occupancy " 注册表子项应不减少占有级别以人工加速全局编录提升。 我们强烈建议以便自动公布全局编录， 首先解决目录服务复制问题。•事件 ID 1110

事件 ID 1110：
NTDS 复制事件源:
信息性事件类型：
与该服务器向全局编录提升说明： 将会延迟达到 30 分钟。 此延迟是必需这样 GC 公布之前准备进行必需分区。此时将发生操作包括正在运行以生成新拓扑, KCC 企业中所有只读分区被添加到此服务器和这些分区复制到此系统的内容。

如果您想立即提升 GC 不强制此先决条件, 设置注册表变量
HKLM/SYSTEM/CurrentControlSet/Services/NTDS/Parameters/Global 编录延迟广告 (秒)

为 0 的 DWORD 值。 GC 将提升下次尝试检查 preconditions 上。 该值可也被设置大， 将 DSA 等待提升为 GC 的秒数。

•警告是类似于以下事件消息可能会记录每 15 分钟： •事件 ID 1265

事件 ID 1265：
NTDS KCC 事件源:
信息性事件类型：
说明：： 尝试建立与参数复制链接

分区： DC = com 根, DC = 子, DC =
源 DSADN: CN = NTDS
设置、 CN = com = Servers, CN = DC CN WIN2K -, = 站点默认事先 CN, 名称 = Sites, CN = Configuration, DC 根, DC =
8789 e31f225c47ec._msdcs.root.com b5ed 4506 源 DSA 地址: e91ab89f - - - -
站间传输 （如果有）： 失败， 状态如下:

DSA 操作将无法继续因 DNS 查找失败。

记录数据是状态代码。 将重试此操作。

注意 事件 ID 1265： 说明可能有所不同。 若干可能性将导致事件 ID 1265 到记录。这些可能性也导致知识一致性检查器 (KCC) 无法生成复制链接。 下面是一些典型可能性： •DSA 操作无法继续因 DNS 查找失败。 解决 DNS 问题, 或如果源 DSA 地址表示旧域控制器删除元数据。•RPC 服务器不可用。 这通常表明网络连接问题。确定是否目标域控制器是脱机还是网络端口是否被阻止。•目标主要名称不正确。 检查源和目标域控制器之间安全通道。•收到 " AccessDenied " 错误信息。•每小时将记录以下事件错误信息：

事件 ID 1126

事件 ID： 1126
事件源： NTDS 常规
信息性事件类型：
说明： 无法建立与全局编录

Windows Server 2003 事件消息

•事件 ID 1559

事件类型： 信息
NTDS 复制事件源:
事件类别： 全局编录
事件 ID 1559：
日期: 日期
次 时间:
NT AUTHORITY/ANONYMOUS 登录用户：
计算机： 服务器名
说明： 本地域控制器尚未选择将全局编录。 但是, 域控制器不承载只读副本的下列目录分区。

目录分区:
DC = 根, DC = com < 缺少分区的 DN 路径 >

要成为全局编录预处理是， 域控制器必须承载只读副本的林中所有目录分区。 由于知识一致性检查器 (KCC) 任务没有完成或者域控制器不能添加副本的目录分区到可用源域控制器由于可能发生此事件。 试图添加副本将在下一个 KCC 间隔重试。

•事件 ID 1578

事件类型： 信息
NTDS 复制事件源:
事件类别： 全局编录
事件 ID： 1578
日期: 日期
次 时间:
NT AUTHORITY/ANONYMOUS 登录用户：
计算机： 服务器名称
说明： 对本地域控制器到全局编录提升被推迟因为目录分区占有要求没有被满足。 占有要求级别和当前域控制器级别如下。

占有要求级别： 6
域控制器级别 4：
以下注册表项值定义目录分区占有要求级别。

HKLM/System/CurrentControlSet/Services/NTDS/Parameters/Global 目录分区占有

•如果您启用诊断日志有关知识一致性检查器 (KCC) 在级别 1, 记录下列事件。

事件 ID 1801

NTDS KCC 事件源:
知识一致性检查事件类别:
事件 ID： 1801
日期: 日期
次 时间:
NT AUTHORITY/ANONYMOUS 登录用户：
计算机： 服务器名称
说明： 将不构造拓扑对于分区 DC： 知识一致性检查 = domain, DC = com 因为尚未复制到此域控制器的分区的 objectGuid 知识。

原因

必须之前全局编录可公布全局编录角色全局编录从林中所有域分区复制站副本的所有对象。

当选中以便维护全局编录, 一个域控制器是正在升级域控制器上 KCC 使用其判断来建立连接对象从源域控制器承载必需分区。这些源域控制器可能由承载位于其林中所有域分区的可写副本林或域控制器中现有全局编录。 每域分区的内容是然后站从由 KCC 指定源域控制器复制。 内容被复制到新升级全局编录通过现有或新创建连接链接。

如果满足下列条件之一是全局编录升级可能失败： 1.一个或多个域控制器上配置分区包含交叉引用对象到陈旧或孤立域, 但位于没有域控制器为该域是林中。2.对于源域控制器被指定通过 KCC 元数据是位于配置分区的一个或多个域控制器但不代表当前存在林中域控制器。3.由 KCC 被提升， 全局编录上所选源域控制器是脱机。4.由 KCC 被提升， 全局编录上所选源域控制器是通过网络访问。此域控制器是访问的原因是没有网络连接或部分网络连接。 下面是示例网络连通性问题： •阻止端口•筛选是 IP 地址•网络未完全路由， 但是， 有启用 链接站点 bridge - - - 所有 选项5.源域全局编录将限制从因为非全局编录域控制器有正确被选定作为首选桥头由管理员作为桥头。6.因之一摘要部分中列出事件中记录错误状态全局编录被提升，无法建立连接链接从选定的源域控制器。
孤立域将使域控制器无法完成复制。 自身直到完成复制域控制器无法公布为全局编录服务器。 有几个问题， 会向孤立域： 1.有 ActiveDirectory 已从所有域控制器是域, 删除但域分区交叉引用对象仍保留。2.从域控制器, 已删除有 ActiveDirectory 并删除目录分区的域控制器。域控制器被然后重建已完成复制之前。 这些事件导致延迟幻像， 正确引用交叉引用对象。3.对域命名域更新没有达到域控制器遇到问题。对于域是新提升域的域名更新可能未到达该域之外任何域控制器或。 此问题可能是临时问题。

回到顶端

解决方案

警告 您应该不启用减少占有级别人工加速全局编录提升到。我们强烈建议以便自动公布全局编录， 首先解决目录服务复制问题。

要解决此问题, 首先标识的复制问题, 根本原因并解决该问题。 确定是否复制问题是由以下条件之一： •复制延迟•孤立域目录林环境位于•无法建立连接链接•无法通过该连接协议复制如果没有 NTDS KCC 事件 ID 1265 目录服务日志, 中记录， 使用该事件来确定对同一域分区复制失败的原因。确保网络连接是良好并且阻止不需要网络端口。 需要网络端口是和由 RPC 使用短暂端口 TCP 135 例如。 查看 DNS 记录以确保是所有正确注册注册主机和 SRV 记录。 如果没有正确记录, 您必须清除它们出并注册这些记录。

相关事件 ID 中列出林中删除元对任何域控制器和域所有陈旧数据。 必须这样做以确保复制不因存在非域控制器或域失败。 有关如何删除 ActiveDirectory 元数据, 请单击下列文章编号以查看 Microsoft 知识库中相应：

216498 (http://support.microsoft.com/kb/216498/) 如何删除 ActiveDirectory 中域控制器降级失败后数据

您已经验证域控制器之间复制是否工作正常后, 确定是否有孤立的域对象。 可使用 Ntdsutil.exe 实用工具来清除孤立域对象。如果没有任何孤立域控制器对象该域, 还必须删除域控制器对象。 有关如何删除孤立的域, 请单击下列文章编号以查看 Microsoft 知识库中相应：

230306 (http://support.microsoft.com/kb/230306/) 如何从 ActiveDirectory 删除孤立的域

有关如何删除孤立的域控制器对象, 请单击下列文章编号以查看 Microsoft 知识库中相应：

216498 (http://support.microsoft.com/kb/216498/) 如何删除 ActiveDirectory 中域控制器降级失败后数据

回到顶端

更多信息

域控制器提升为全局编录服务器后, 林中域分区将复制到新全局编录服务器。当所有分区有成功复制到新全局编录服务器, 事件 ID 1119 中将记录目录服务登录域控制器。 事件描述指出计算机，是现在公布自身作为全局编录服务器。

要确认域控制器是全局编录服务器, 请按照下列步骤： 1.单击 开始 ， 单击 运行 , 类型 cmd然后单击 确定 。2.类型 nltest /dsgetdc: Domain_name /server: Server_Name然后按 Enter。3.验证该服务器是公布 " GC " （全局编录） 标志。 例如, 在步骤 2, 中键入命令时会出现是类似于是否 GC 标志存在以下消息：

DC: // Server_Name
地址： // IP 地址
Dom guid bac3 4a2a 47bc7d87 - c9866a66bab8 - - - 309e：
Domain_name Dom 名称:
Domain_name .com 林名称:
dc 网站名称: 默认事先站点名称
我们网站名称: 默认事先站点名称
PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE 命令成功标志:

注意 ： Nltest 工具是随 Windows 2000 支持工具。 要安装 Windows 2000 支持工具, 打开 Windows 2000 启动磁盘, 上 Support/Tools 文件夹， 然后运行安装程序。 必须作为要安装这些工具的 Administrators 组成员登录。有关详细信息, 请单击下列文章编号， 查看 Microsoft 知识库文章中文章：

842208 (http://support.microsoft.com/kb/842208/) 您无法将基于 Windows 2000 域控制器到全局编录服务器

889711 (http://support.microsoft.com/kb/889711/) 您无法将基于 Windows Server 2003 域控制器为全局编录服务器

810089 (http://support.microsoft.com/kb/810089/) 当存在冲突命名上下文无法提升新全局编录

230306 (http://support.microsoft.com/kb/230306/) 如何从 ActiveDirectory 删除孤立的域