安徽快三开奖结果今天开奖号
首頁 | 郵件資訊 | 技術教程 | 解決方案 | 產品評測 | 郵件人才 | 郵件博客 | 郵件系統論壇 | 軟件下載 | 郵件周刊 | 熱點專題 | 工具
網絡技術 | 操作系統 | 郵件系統 | 客戶端 | 電子郵箱 | 反垃圾郵件 | 郵件安全 | 郵件營銷 | 移動電郵 | 郵件軟件下載 | 電子書下載

操作系統

Windows 9X | Linux&Uinx | Windows Server | 其它操作系統 | Vista | FreeBSD | Windows 7/8 |
首頁 > 操作系統 > Windows Server > 域控超過墓碑生存周期處理 > 正文

域控超過墓碑生存周期處理

出處:www.canway.net 作者:張敏 時間:2013-5-31 9:43:04

本文討論如下情景的域控修復:當域控超過墓碑生存周期后,即其他域控認為此域控已脫離域后,應如何修復。

         筆者在這個月內企業服務的工作中,就遇到兩起此事件,目錄服務日志中出現2042錯誤,報錯太長時間未進行復制,在AD站點和服務控制臺中直接復制報錯:拒絕訪問,更直接的判斷方法可通過repadmin /showrepl命令來查看,此故障會直接導致客戶對應的AD站點內所有用戶無法使用,服務器無法正常使用域帳戶登錄,AD復制無法正常進行,給業務正常運行帶來比較大的中斷影響。

         此故障一般發生于比較大的架構中,由于網絡或建設時期操作不當的原因,未及時解決或監控AD復制及其運行狀態,而直到超過一個時間段后,對應的域控脫離域內,而出現域控功能受損的情況。

         首先,我們需要理解墓碑生存周期的概念,墓碑生存時間(tombstoneLifetime)是指:從在AD中刪除某對象開始,到該對象真正被刪除的時間間隔,默認值為60(2003 sp12008后增加為180),這樣做是為了保證:這種刪除操作被復制到域中其它的DC。需要提到的是在windows server 2008 R2中,增加了目錄回收站的功能,AD對象存活時間相當于延長至160天(默認),詳細內容可參考:http://technet.microsoft.com/zh-cn/library/dd392261(WS.10).aspxAD只備份當前有效的數據,對于已經標記刪除的對象,不備份。而AD中的對象刪除并不是立即的,需要有60天的刪除標記時間。因此,應避免恢復60天前的AD備份,以免導致AD不完整。

明白了墓碑生存時間及其作用后,我們很容易想到:可手動將墓碑生存時間的默認值,由60天修改為更大的值,具體操作步驟如下:

1.開始/運行:ADSIedit.msc
2.
找到Configuration\Services\Windows NT\Directory Service,在其上右鍵/屬性;
3.
找到tombstoneLifetime屬性,將其值由(注意:并不顯示默認的60天)改為365天或更大;

         然后如果我們遇到這種情況時,一般可在完成正常域控系統狀態備份后按需選擇如下任一種操作;

找出超過墓碑生存周期的域控,離線,然后再AD數據庫中通過Ntdsutil工具清除此域控數據,若此域控承載相應的操作主機角色,則需要進行相應的角色奪取(詳細的過程不在此描述,可參考如下KBhttp://support.microsoft.com/kb/216498http://support.microsoft.com/kb/255504);

強制復制,這種情況可能會導致不一致的對象進行復制,但對AD功能無其他影響,將Allow Replication With Divergent and Corrupt Partner注冊表鍵值添加進損壞域控HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters注冊表下,并將值設置為1,在完成復制后將此值改為0,詳細的說明可參考KBhttp://technet.microsoft.com/en-us/library/cc757610(WS.10).aspx

使用 "repadmin /removelingeringobjects" 工具來刪除不一致的已刪除對象,然后繼續復制,可參考KBhttp://technet.microsoft.com/en-us/library/cc780362(WS.10).aspx

重置損壞域控的安全密碼通道;

筆者擇第四點進行詳細的描述:

假設正常域控為DC1,損壞域控為DC2,操作步驟如下:

1. DC2上禁用KDC服務,打開管理工具中的服務管理控制臺,禁用Kerberos Key Distribution Center服務,然后重新啟動服務器;

2. 在重新啟動完成后,點擊開始,指向程序,選擇Windows Support Tools中的Command Prompt,打開命令提示符,輸入命令:

Netdomresetpwd /server: DC2 /userd:domain \administrator /passwordd:密碼

注意上面的命令中紅色部分為userdpasswordd,后面都多了個d

命令完成后,重新啟動計算機;

3. 在重新啟動完成后,打開服務管理控制臺,將Kerberos Key Distribution Center服務更改為自動啟動,并啟動之;服務啟動完成后,嘗試進行復制。

4. 如果不行,則繼續嘗試如下步驟,在服務器DC2上,點擊開始,指向程序,指向Windows Support Tools,打開Command Prompt

5. 在打開的命令行中輸入replmon,打開Active directory replication monitor

6. 在站點Default-first-site-name上右鍵,選擇Add monitored Server

7. 選擇Add the server explicitly by name,輸入計算機名DC2,點擊Finish,將在站點下出現服務器名DC2

8. 在服務器DC2上右鍵,選擇Synchronize Each Directory Partition with All Servers,按照默認選項,點擊確定;

9. 選擇Add the server explicitly by name,輸入計算機名DC1,點擊Finish,將在站點下出現服務器名DC1

10. 在服務器DC1上右鍵,選擇Synchronize Each Directory Partition with All Servers,按照默認選項,點擊確定;

11. 測試2DC之間的復制。

處理超過墓碑生存周期的域控故障過程介紹到此,其實除了此種情況外,AD復制的很多排錯方法和思路都可以從這個過程中獲得。AD復制排錯像一個黑匣子,只有一步一步分析,熟悉的使用工具,方能撥開云霧,解決問題。

相關文章 熱門文章
  • Active Directory系列教程之手動刪除域控以及子域
  • Windows 2003提升域控錯誤
  • 恢復安裝在Windows 2008域控制器上的Exchange 2010
  • 重命名域控制器和Exchange服務器
  • 詳解雙域控制器中Exchange的遷移
  • windows 2003域控制器的無縫遷移
  • 使用System Center Essentials 2007監視域控制器
  • 搶救網域控制站大作戰
  • 域控制器活動目錄之備份與恢復
  • 在域控制器上安裝Exchange 2003的注意事項
  • 如何恢復Windows Server 2003域控制器
  • 快速修復一個非復制的域控制器
  • “http 500內部服務器錯誤”的解決方法
  • 利用Windows 2000 Server的RRAS實現VPN服務器
  • 用鳳凰萬能啟動盤解決本地/域管理員密碼丟失
  • Win2003 Server企業版安裝配置
  • Active directory 災難恢復
  • Windows 2000/03域和活動目錄
  • 如何在vmware4上創建windows 2003群集
  • MSI文件制作全過程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系統的本地策略不允許您采用交互式登錄解決方法
  • Win2000路由的安裝與設置實現不同網段互通
  • 自由廣告區
     
    最新軟件下載
  • Exchange Serer 2013 安裝指南
  • Exchange Server 2013 Cumulative upd...
  • Acronis Disk Director 10
  • WinWebMail Server 3.8.5.1 標準版
  • WinWebMail Server 3.8.5.1 企業版
  • ORF Fusion 5.0 反垃圾郵件軟件正式版
  • MDaemon Server 簡體中文版
  • Exchange Server 2010 Service Pack 3
  • WinWebMail Server 3.8.3.3 標準版本
  • WinWebMail Server 3.8.3.3 &nbs...
  • WinWebMail Server 3.8.2.1 標準版
  • WinWebMail Server 3.8.2.1 企業版
  • 今日郵件技術文章
  • 域控超過墓碑生存周期處理
  • qmail查看隊列和清除隊列
  • php在windows配置下sendmail 詳解 圖解..
  • Qmail郵件問題
  • 快速安裝配置sendmail服務器的腳本
  • RHEL4系統Sendmail郵件服務器的架設
  • 用 javamail 發送郵件
  • 解決Postfix pop3d:Maximum connecti...
  • postfix隊列管理
  • uchome sendmail fail
  • postfix認證出錯 sasl
  • 關于Postfix RBL設置的問題
  • 最新專題
  • Windows Server 2012技術專題
  • Windows 8 技術專題
  • Exchange Server 2013技術專題
  • Exchange 2003升級到Exchange 2010
  • 鳥哥的Linux私房菜之Mail服務器
  • Exchange Server 2010技術專題
  • Windows 7 技術專題
  • Sendmail 郵件系統配置
  • 組建Exchange 2003郵件系統
  • Windows Server 2008 專題
  • ORF 反垃圾郵件系統
  • Exchange Server 2007 專題
  • 分類導航
    郵件新聞資訊:
    IT業界 | 郵件服務器 | 郵件趣聞 | 移動電郵
    電子郵箱 | 反垃圾郵件|郵件客戶端|網絡安全
    行業數據 | 郵件人物 | 網站公告 | 行業法規
    網絡技術:
    郵件原理 | 網絡協議 | 網絡管理 | 傳輸介質
    線路接入 | 路由接口 | 郵件存儲 | 華為3Com
    CISCO技術 | 網絡與服務器硬件
    操作系統:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系統
    郵件服務器:
    程序與開發 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛郵件系統 | 其它 |
    反垃圾郵件:
    綜述| 客戶端反垃圾郵件|服務器端反垃圾郵件
    郵件客戶端軟件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鳥 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    電子郵箱: 個人郵箱 | 企業郵箱 |Gmail
    移動電子郵件:服務器 | 客戶端 | 技術前沿
    郵件網絡安全:
    軟件漏洞 | 安全知識 | 病毒公告 |防火墻
    攻防技術 | 病毒查殺| ISA | 數字簽名
    郵件營銷:
    Email營銷 | 網絡營銷 | 營銷技巧 |營銷案例
    郵件人才:招聘 | 職場 | 培訓 | 指南 | 職場
    解決方案:
    郵件系統|反垃圾郵件 |安全 |移動電郵 |招標
    產品評測:
    郵件系統 |反垃圾郵件 |郵箱 |安全 |客戶端
    廣告聯系 | 合作聯系 | 關于我們 | 聯系我們
    版權所有:郵件技術資訊網©2003-2016 www.mpmgk.icu, All Rights Reserved
    www.mpmgk.icu Web Team   粵ICP備09060656號
    安徽快三开奖结果今天开奖号