与AD复制相关的故障

域控之间的相互复制，包括目录服务复制（主要指AD数据库，包括复制用户和计算机等）和文件复制服务（例如登录脚本和组策略等），提高了系统的可用性。但是由此也会带来一些问题。

对于前者的复制来说，使用Active Directory Replication Monitor这一工具，可以以图形化的方式检查AD复制的拓扑结构，检查复制过程中出现的一些问题，以及执行强制复制等操作。使用REPADMIN这一命令行工具，可以诊断域控之间的复制故障，确认复制伙伴和AD对象复制来源，执行强制复制等操作。

对于后者的复制来说，可以使用NTFRSUTL这一工具，来检查文件复制的服务状态，检查复制日程安排，强制轮训，检查复制集等。

经常遇到的和复制有关的故障有很多，例如拒绝访问，这可能是某个环节的网络故障、时钟不同步等原因造成。因为DNS查找故障导致DSA操作失败，这可能和域控上的DNS服务没有存在正确的SRV记录造成的。

对于不显示任何复制链接或者复制被排队、复制访问被拒绝或者提示删除名称上下文、站点之间存在多个重复的连接对象、多个域控应用的组策略不一致、目录服务繁忙导致复制操作无法完成等故障来说，如果多站点的结构，可能需要等待一段时间再进行观察。如果长时间无法自动解决问题，就说明AD数据库自身的问题了。

复制的故障从原理上分析，大体上是由于网络故障或者DNS故障，造成无法确定对方的位置。另外在进行操作时，在等待复制完成过程中，因为各种并发的操作，相互之间会造成影响。

在复制时，并非一股脑将所有的数据全部复制过去，而是每次复制一部分，因此必须等待上一步完成后才可以执行下一步的操作。因为AD数据库中内容异常，错误的复制拓扑结构等底层的原因，也会造成复制出现问题。

打开Active Directory站点和服务窗口，在其中显示站点的结构信息，可以查看所有的域控制器。在同一个站点内，系统会自动生成域复制的拓扑结构，在域控之间生成一个通道。

在对应域控的复制链接项的右键菜单上点击“立即复制副本”项，来执行强制复制操作。如果没有出现“Active Directory已复制了连接”之类的信息，说明复制出现了问题。

执行“replmon”命令，打开复制监视器窗口，相比Active Directory站点和服务程序，该工具可以提供更加详细的信息。在左侧的“Monited Servers”项的右键菜单上点击“Add Monited Server”项，在向导界面中选择“Switch for directory find server is add”项，选择域名后，在下一步窗口中添加需要监控的所有域控。在左侧显示已经添加的域控，其下包括域内数据、配置信息、架构数据、DNS配置信息等。对于全局编录服务器来说，会显示特殊的图标。在目标域控的右键菜单上点击“Check Replication Topology”项，来检测复制拓扑结构，并强制建立复制通道。

等待一段时间后，选择上述菜单中的“Show Replication Topologies”项，在打开窗口中显示所有的域控以及彼此之间的复制连接。

例如，选择某台域控，在右键菜单上点击“Show InterSite Connection” 项，显示站点内的连接情况。当存在多台域控时，可以通过拓扑图来发现存在的问题。

对于多站点来说，可以在站点之间显示不同域控的连接信息。在某台域控的右键菜单上点击“Properties”项，在属性窗口中的“FSMO Roles”面板中显示操作主机角色信息，在不同角色的右侧点击“Query”按钮，可以检测其功能是否正常。在“Inbound Replication Connections”面板中显示复制连接对象信息。当出现复制失败的情况后，可以采取缩小复制范围的方法进行排查。

例如，在左侧选择某台域控节点下的某个分区项目，在右键菜单上点击“Synchronize with this Replication Partner” 项，使其和复制伙伴进行同步，来检测复制是否成功。选择某个分区项，在右键菜单上点击“Check Current USN and Un-replicated Objects”项，显示更新序列号信息，在不同的域控上，如果相同的分区其USN存在差异，说明其内容存在一些不同。

如果两者的USN差异很大，说明在很长时间内没有进行同步。如果目标域控的USN和当前域控的相同或者较低，就不会向其复制数据，同时，在右侧窗口中会显示相关的错误信息。

通过复制监视器，可以发现各种问题，如哪些域控之间在进行复制、哪些复制操作失败、哪些内容没有被成功复制等。在命令行下执行“dsastat”命令，可以检查目录服务的状态信息。该命令提供了一些有用的参数，例如执行“dsastat -s dc1 dc2”命令，可以比较DC1和DC2上AD数据库的状态是否一致。

为了避免因为时间不同步造成AD同步失败，可以执行“net time /rtsdomain:xxx.com”之类的命令，将目标域控设置为时钟服务器，来精确调整时间。在执行AD复制时，如果出现复制未完成或者未发生故障，可能的原因是站点未通过站点链接连接，对应的执行“dcdiag /test:Topology”命令，可以进行检测。

执 行“repadmin /bridgeheads”命 令，可 以检测站点组中有无桥头服务器。如果出现复制缓慢的故障，说明站点拓扑和计划效率较低，需要重新进行合理规划。对应的执行“repadmin /latency” 命令，可以进行检测。执行“dcdiag /test:replication”或 者“dcdiag/test”connectivity”命令，可以检测站点中有无域控制器联机。

如果出现客户端主机收到缓慢响应问题，说明客户端网络带宽不足。执行“repadmin /test:intersite”命令，可以检测站点拓扑是否正确。利用资源监视器中的NTDS计数器，可以检测域控数量是否不足。如果在复制时网络流量大增，说明网络带宽不足或者站点拓扑不正确。

使 用“Repadmin” 命令，可以查看和手动创建复制拓扑，强制发生域控之间的复制事件，查看复制元数据。例如执行“repadmin/showreps xxx.com”命令，来查看指定域控的复制伙伴信息。执行“repadmin /showvector dc=xxx,dc=com yyy.xxx.com”命令，可以查看域控上最高更新的USN序列 号。“yyy.xxx.com”为某台域控的域名。执行“repadmin /showconn yyy.xxx.com”命令，可以查看其连接对象。