FusionAccess AD域控信息不同步问题解决方法

发布时间:  2015-03-10 浏览次数:  1527 下载次数:  0
问题描述
主备AD域OU中的域账号不一致,且在分配虚拟机时失败,报找不到虚拟机。
在AD上运行命令repadmin /showreps,可以看到同步失败,错误码8614,原因是未同步时间已经超过墓碑时间:
C:\Users\Administrator>repadmin /showreps

Repadmin: running command /showrepl against full DC localhost
Default-First-Site-Name\AD-1
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 52c28fce-9444-4f2e-ad8f-07f706e14735
DSA invocationID: 52c28fce-9444-4f2e-ad8f-07f706e14735

==== INBOUND NEIGHBORS ======================================

DC=cavimccs,DC=com
    Default-First-Site-Name\AD-2 via RPC
        DSA object GUID: ac378625-dd84-40de-bfcd-618b2e0f1948
        Last attempt @ 2014-05-21 15:04:13 failed, result 8614 (0x21a6):
            The directory service cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone life time.
        59460 consecutive failure(s).
        Last success @ 2013-09-20 16:07:26.
处理过程
1. 同步时间

1.1 修改备AD的NTP服务器:
打开注册表(运行-->regedit),\HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\W32TIME\PARAMETERS
修改Ntpserver为正确的ntp server IP或域名:



1.2 注册并同步NTP时间
在CMD命令行中,运行net stop w32time停止NTP服务,w32tm /unregister 注销NTP;
w32tm /register重新注册,net start w32time启动,w32tm /resync,同步NTPserver时间。




2. 在长期未同步的备AD上修改注册表:
\HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NTDS\PARAMETERS
把Strict Replication Consistency的键值改为0,disabled严格信息一致性同步

3. 在长期未同步的备AD上运行:
repadmin /removelingeringobjects AD服务器域名 AD服务器域GUID DC=XX,DC=xx  ,清除在墓碑时间开始之前(最后一次同步)就删除和失效的账号信息。
repadmin /removelingeringobjects AD-2 af00859b-537b-4ce9-83a0-908de82b1bf9 DC=vdesktop,DC=huawei,DC=com
上面域名,GUID,DC信息可以再响应AD上运行repadmin /showreps查看到:


 
4. 在主备两个AD上修改注册表键值:
Allow Replication With Divergent and Corrupt Partner,允许AD间同步不一致的信息
\HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NTDS\PARAMETERS
若parameters下面没有这个键值,就手动创建,类型为Dword(32-bit),命名为Allow Replication With Divergent and Corrupt Partner
值为1.



5. 重启长期未同步的备AD,会自动同步AD信息,使用命令repadmin /showreps查看同步情况

根因
因时间不一致导致主备AD的信息一直同步失败,最终未同步时间超出墓碑时间(tombstone lifetime一般为60天),主备AD纠正时间后,信息还是不能同步。

END