域控制器不同步的原因、處理方法及監控。最近Exchange 2007 Information store服務無法啓動，檢查發現活動目錄複制服務有大(dà)量的報錯信息，查找相關日志(zhì)信息是關于域控制器長時間不同步導緻。請幫忙分(fēn)析日志(zhì)内容是否現有域環境内存在由于長時間域控直接沒有同步成功導緻域控制器不能再進行同步。如果是這種情況需要如何處理。

    現在的域環境是2003，所有域控是2003的系統，共有四台域控。另外(wài)請教下(xià)如何發現并确定域控制器由于長時間沒有成功同步導緻脫離(lí)域。

    回答：根據您的描述，我(wǒ)了解到您現面臨的情況如下(xià)。

    情況：Windows 2003的域中(zhōng)部署了4台域控制器。

    問題：

    1. Exchange 2007 Information Store服務無法啓動；

    2. 日志(zhì)中(zhōng)出現大(dà)量活動目錄複制錯誤信息。

    根據您的描述和您發給我(wǒ)的日志(zhì)，我(wǒ)分(fēn)析在您的環境存在的問題如下(xià)：

    1、 ADSERVER1這台域控确實長期沒有和域中(zhōng)的其它DC同步，。

    2、 沒有同步的時間已經超過墓碑記錄的時間（180天）。

    3、 您給的日志(zhì)是ADSERVER1上的日志(zhì)，隻能判斷出該DC存在複制問題，至于域中(zhōng)的其它三台DC是否也存在複制問題，則無法判斷。

    4、 Exchange 2007 Information Store服務無法正常啓動可能是由于活動目錄複制造成的，但不排除有其它可能。

    要解決該台DC無法同步的錯誤，我(wǒ)建議您在ADSERVER1上執行如下(xià)操作：

    1、 強制降級域控

    dcpromo /forceremoval

        2、 清理活動目錄中(zhōng)的ADSERVER1元數據

    使用Ntdsutil命令行工(gōng)具清理元數據

        3、 提升域控

    dcpromo

    同時我(wǒ)建議您在域中(zhōng)的其它域控上檢查其活動目錄複制是否正常。

    1、 檢查目錄服務日志(zhì)中(zhōng)是否存在複制錯誤；

    2、 使用repadmin工(gōng)具檢查活動目錄複制

    repadmin /syncall

    repadmin /showreps

    注意：repadmin 工(gōng)具是在Support Tools中(zhōng)，您可以在安裝光盤中(zhōng)找到該工(gōng)具。

        根據您的描述，我(wǒ)了解到ADSERVER1在您的環境中(zhōng)非常重要，不能輕意清理與降級。同時根據您的測試，該DC對于客戶端的驗證，GPO的下(xià)發等功能都是正常。所以我(wǒ)建議通過修改注冊表的方式來解決您活動目錄複制的問題。

    修改注冊表鍵值

    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner

    其鍵值爲1

    該鍵值是允許DC在活動目錄複制時忽略對于“墓碑”周期的檢查，修改之後隻是會造成部分(fēn)被清除的對象會被複制。我(wǒ)建議您在完成一(yī)次域中(zhōng)所有DC同步之後，将該注冊表鍵值關閉。

    設置該注冊表鍵值是爲了在DC複制前不再檢查數據源的最後更新時間是否超過“墓碑”記錄周期。

    修改該注冊表鍵值不會産生(shēng)大(dà)的負面影響，唯一(yī)的負面影響就是會将一(yī)部分(fēn)已删除的對象加入到活動目錄複制中(zhōng)去(qù)，增加部分(fēn)網絡流量。

    在未設置該注冊表鍵值前，對于超過“墓碑”記錄周期的數據源，DC将停止和該數據源的複制。這是由于兩台DC上已删除的對象可能不同，數據源可能還存在那些未被garbage collect真正清理仍存在于Deleted Objects container中(zhōng)的對象。如果默認就不檢查，則可能會将數據源中(zhōng)那些本應該已被清理的對象再次複制到目标DC上。

    您可以使用repadmin命令來确認複制是否已經正常。

    repadmin /showreps

    針對您之後提出的在主域控上創建用戶對象可以複制到其它域控上的現象，我(wǒ)再次檢查了您發給我(wǒ)的日志(zhì)後，發現與主域控存在複制問題的主要是一(yī)台别名爲ef244731-6d7f-4546-965a-2398c390fcde._msdcs.southernfund.com的域控。

    我(wǒ)建議您執行如下(xià)操作：

    1. 在DNS中(zhōng)找出ef244731-6d7f-4546-965a-2398c390fcde._msdcs.southernfund.com所對應的主機名稱；

    2. 使用repadmin /showreps命令檢查是不是主域控與該台域控之間确定存在複制問題。若是，請按照上一(yī)個帖子中(zhōng)修改注冊表的方法進行修複，并且建議您在确定複制已成功後，将注冊表鍵值改回。