Samenvatting

In dit stapsgewijze artikel worden de verschillende symptomen en oplossingsmethoden beschreven die u kunt gebruiken om problemen met intrasite-replicatie op te lossen.

Belangrijk Hoewel replicatie van Active Directory en FRS (File Replication Services) gebruikmaken van dezelfde mechanismen voor het opzetten van een verbinding en dezelfde replicatieschema's, zijn het twee volkomen verschillende onderdelen. In dit artikel worden algemene hulpprogramma's en technieken beschreven voor het oplossen van problemen met replicatieverbindingsobjecten en het diagnosticeren van problemen met intrasite-replicatie.

Terug naar begin

Algemene symptomen van replicatiestoring

Algemene symptomen van een storing van intrasite-replicatie zijn onder meer:

• Gebruikers en computers ontvangen geen bijgewerkt beleid.
• De juiste inhoud van de SYSVOL-share wordt niet gerepliceerd naar alle domeincontrollers (DC's).
  
  Opmerking Dit probleem kan zich ook voordoen vanwege een FRS-fout.

U kunt deze problemen oplossen met behulp van de volgende hulpprogramma's:

• De hulpprogramma's Domain Controller Diagnostics (Dcdiag.exe) en Network Diagnostics (Netdiag.exe). De betreffende hulpprogramma's maken deel uit van de ondersteuningsprogramma's voor Windows 2000 op de cd-rom van Windows 2000. Als u meer informatie wilt over het verkrijgen en gebruiken van de diagnostische hulpprogramma's Dcdiag.exe en Netdiag.exe, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

  265706 DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation

• Diagnostisch hulpprogramma voor replicatie (Repadmin.exe). U kunt dit hulpprogramma gebruiken om de juiste site-koppelingen te controleren en om inkomende en uitgaande verbindingen weer te geven. U kunt het hulpprogramma ook gebruiken om de replicatiewachtrij weer te geven. De betreffende hulpprogramma's maken deel uit van de ondersteuningsprogramma's voor Windows 2000 op de cd-rom van Windows 2000. Als u meer informatie wilt over het verkrijgen en gebruiken van het hulpprogramma Repadmin.exe, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

  229896 Using Repadmin.exe to Troubleshoot Active Directory Replication

• Hulpprogramma voor bestandsreplicatieservice (Ntfrsutil.exe).
• Active Directory Replicatiecontrole (Replmon.exe). De betreffende hulpprogramma's maken deel uit van de ondersteuningsprogramma's voor Windows 2000 op de cd-rom van Windows 2000.

In de volgende lijst worden de basisstappen beschreven die u moet volgen wanneer u problemen van dit type tracht op te lossen:

• Controleer of de DNS (Domain Name Service) correct is geconfigureerd. Een correcte DNS-configuratie is vereist voor correcte mapreplicatie.
• Controleer of u het hulpprogramma Ping.exe kunt gebruiken om de domeincontroller te 'pingen' op hostnaam en IP-adres vanaf de hubpartner.
• Controleer of de computers in de structuur namen kunnen omzetten in de hub. Voorbeeld: 'Ping' server1.domain1.site1.forest.com.
• Controleer of u servers kunt pingen op hun GUID's (Globally Unique Identifiers) zoals deze zijn vermeld in de gebeurtenislogboeken. Als u een server kunt pingen op de hostnaam, maar niet op de GUID, is er een probleem met de DNS-configuratie.
• Voer het hulpprogramma Dcdiag.exe uit. Dit hulpprogramma voert een serie tests uit die 'Geslaagd' of 'Mislukt' als uitslag hebben. Controleer of alle tests zijn gelukt.
• Bekijk in Logboekinzage het Active Directory-logboek van de structuur waar het probleem optreedt. Onderzoek alle fouten en corrigeer ze.
• Controleer correcte site-koppelingen met het hulpprogramma Repadmin.exe met de schakeloptie /showreps.
• Controleer inkomende verbindingen met het hulpprogramma Repadmin.exe met de schakeloptie /showconn.
• Bekijk alle logboekbestanden in de map Winnt\Debug.

Terug naar begin

Specifieke symptomen en procedures voor probleemoplossing

Opmerking In de volgende secties wordt de domeincontroller die het probleem rapporteert, aangeduid als de 'doelserver'. De domeincontroller waarvan inhoud wordt gerepliceerd door de doelserver, wordt aangeduid als de 'bronserver'.

Foutbericht 'Toegang geweigerd'

Wanneer u het programma Repadmin.exe gebruikt met de schakeloptie /showreps, worden er een of meer foutberichten 'Toegang geweigerd' weergegeven in de replicatiestatusinformatie die wordt geretourneerd. Dit geeft aan dat de domeincontroller de laatste keer geen contact heeft kunnen maken met de andere domeincontroller. Aangezien een domeincontroller lid is van de groep Ondernemings-domeincontrollers, kan de domeincontroller alle functies op een andere domeincontroller aanroepen. Als u ziet dat oproepen tussen domeincontrollers het foutbericht 'Toegang geweigerd' tot gevolg hebben, wil dat niet zeggen dat de juiste referenties ontbreken, maar dat een van de domeincontrollers niet correct is geconfigureerd.

• Als het foutbericht 'ERROR_ACCESS_DENIED' wordt weergegeven, kijkt u of er een probleem met Kerberos is.
• Als het foutbericht 'ERROR_DRA_ACCESS_DENIED' wordt weergegeven, kijkt u of de computeraccounts voor beide betrokken computers, voor beide mappen, correct zijn. Controleer of het veld userAccountControl correct is voor een domeincontroller.

Terug naar begin

Het foutbericht 'Toegang geweigerd' voor een bepaalde mappartitie wordt weergegeven door Repadmin.exe of Replmon.exe

Dit geeft normaal gesproken een probleem met Kerberos-verificatie aan, hoewel er enkele uitzonderingen zijn. Als u de replicatiestoring in dit geval wilt oplossen, moet u eerst de verificatiestoring oplossen voordat u probeert het replicatieprobleem te herstellen. U kunt dit probleem als volgt oplossen:

1. Controleer of het gebruikersrecht 'Toegang tot deze computer vanaf het netwerk' in het beveiligingsbeleid van de bronserver de computeraccount van de doelserver omvat. Dit kunt u doen in de groep Iedereen, in de groep Ondernemings-domeincontrollers of door het gebruikersrecht afzonderlijk op te geven.
2. Controleer of de service Key Distribution Center is gestart. U kunt Dcdiag.exe gebruiken om te testen op servicestoring op alle domeincontrollers door de opdracht dcdiag /test:services te gebruiken.
   
   Opmerking In deze opdracht staat een dubbele punt tussen 'test' en 'services'.
3. Controleer of de doelserver verbindingsobjecten heeft vanaf andere bronservers. Als dat niet het geval is, moet u handmatig verbindingen maken als de KCC (Knowledge Consistency Checker) de verbindingen niet automatisch maakt of als de KCC is uitgeschakeld.
4. Controleer of de KCC-topologie is verbonden. Als de KCC geen volledige topologie heeft gevormd, kunnen er geen wijzigingen worden gerepliceerd. Als u dit wilt testen, gebruikt u de opdracht dcdiag/test:topology, waarbij u de domeintopologie opgeeft die u wilt controleren.
5. Controleer of het selectievakje Computer vertrouwen voor overdracht is ingeschakeld op het tabblad Algemeen van het dialoogvenster Eigenschappen van domeincontroller in de MMC-module Active Directory: gebruikers en computers.
6. Als het probleem optreedt tussen domeincontrollers van verschillende domeinen, controleert u de vertrouwensrelatie. Daartoe gebruikt u de module Active Directory: domeinen en vertrouwensrelaties of de opdracht netdom trust naam_vertrouwend_domein /domain:naam_vertrouwd_domein /verify /kerberos.
7. Controleer of elke computer is gesynchroniseerd voor de naamgevingscontext Configuratie (Config NC). Bij de KCC moet bekend zijn wat de servers en sites zijn. U kunt de opdracht repadmin/syncall gebruiken om een server te dwingen een update uit te voeren tot het niveau van de gehele onderneming. Geef de Config NC op als de naamgevingscontext die u wilt synchroniseren. Controleer of de site-koppelingstopologie correct is. Dwing de KCC op elke server de topologie te reconstrueren of wacht 15 minuten.
8. Controleer of de belangrijkste bruggenhoofdservers functioneren. U moet vaststellen of wijzigingen de gehele onderneming kunnen doorlopen. Voer de opdracht dcdiag/test:intersite voor elke site afzonderlijk uit. Deze opdracht retourneert de namen van de bruggenhoofdservers en of op deze servers foutberichten worden gerapporteerd.
9. Controleer het kenmerk van de eigenschap userAccountControl. Controleer of de kenmerken UF_SERVER_TRUST_ACCOUNT 0x2000 en UF_TRUSTED_FOR_DELEGATION 0x80000 zijn gedefinieerd. Als u bijvoorbeeld de decimale kenmerkwaarde 532480 converteert naar hexadecimaal, wordt deze waarde x82000, waarvan 0x8000 overeenkomt met UF_TRUSTED_FOR_DELEGATION en waarvan 0x2000 overeenkomt met UF_SERVER_TRUST_ACCOUNT.
10. Gebruik het hulpprogramma Replmon.exe om vast te stellen of de kenmerken pwdLastSet en unicodePwd consistente tijd/datumstempels hebben op computers.
11. Controleer of SPN's (Service Principal Names) op elke domeincontroller zijn geregistreerd. Gebruik de opdracht dcdiag/test:outboundsecurechannels om dit te testen. U kunt de SPN identificeren die wordt gebruikt voor replicatie door de vorige GUID: E3514235-4B06-11D1-AB04-00C04FC2DCD2/b2f6f255-4446-45e8-81a3-0649d5d71a66/domein.com.
12. Dwing alle computeraccounts door de gehele onderneming tot replicatie. Dit betekent dat alle domeincontrollers moeten worden gesynchroniseerd met alle andere exemplaren van hun domein. Voor elke computer die een replicatiefout zoals 'Toegang geweigerd' rapporteert, gebruikt u de opdracht repadmin/syncall om de betreffende computer te dwingen zichzelf bij te werken. U moet het domein opgeven dat u wilt synchroniseren.
13. Wanneer u de vorige opdracht Repadmin.exe uitvoert, kan het volgende foutbericht worden weergegeven:
    De beveiligingscontext kan niet tot stand worden gebracht vanwege een fout in de aangevraagde servicekwaliteit.
    Als dat zo is, vergroot u de interne verwerking en zoekt u naar DSID's. Neem contact op met Microsoft Product Support Services (PSS) voor informatie over de wijze waarop u het hulpprogramma Dsid.exe kunt verkrijgen. Op de volgende Microsoft-website vindt u informatie over de wijze waarop u contact kunt opnemen met Microsoft PSS:

    http://support.microsoft.com

14. Controleer of de groep Ondernemings-domeincontrollers over de vereiste machtigingen beschikt op de ACL's van de mappartities:
    1. Start de module Active Directory: gebruikers en computers.
    2. Klik op Geavanceerd in het menu Beeld, als deze optie nog niet is geselecteerd.
    3. Klik met de rechtermuisknop op het hoofddomeinobject en klik op Eigenschappen.
    4. Open het tabblad Beveiliging, klik in de lijst met namen op ONDERNEMINGS-DOMEINCONTROLLERS en controleer of de volgende machtigingen zijn geselecteerd onder Toestaan:

       Replicatietechnologie beheren
       Alle wijzigingen in Active Directory repliceren
       Replicatiesynchronisatie

15. Gebruik de module Active Directory: sites en services om te controleren of het serverobject en het bijbehorende, onderliggende object 'NTDS-instellingen' zich op de juiste site bevinden.
16. Controleer de doelserver op oude of ongeldige tickets naar de bronserver. Gebruik de hulpprogramma's Kerbtray, Krbtest en Klist uit de Windows 2000 Resource Kit om deze tests uit te voeren. Gebruik de opdracht NETDOM RESETPWD om het accountwachtwoord opnieuw in te stellen en schrijf deze wijziging naar een directe replicatiepartner. Hierdoor wordt het wachtwoord effectief gewijzigd, worden het oude en het nieuwe wachtwoord als identiek ingesteld en wordt deze wijziging naar de replicatiepartner geschreven. Hiervoor is vereist dat u de volgende opdracht gebruikt of dat u de computer opnieuw opstart:

    krbtest /system /callpackage:purge
    
    -of-
    
    klist purgeall

Terug naar begin

Foutbericht 'De DSA-bewerking kan niet verdergaan vanwege een lookup-fout van DNS'

U kunt deze fout als volgt oplossen:

1. Gebruik de opdracht Nltest /dsgetdc: /pdc /force /avoidself om vast te stellen of de juiste PDC wordt geretourneerd.
2. Als er een verbindingsobject en geen replicatiekoppeling wordt gerapporteerd door de opdrachten REPLMON of REPADMIN, heeft het probleem wellicht betrekking op de KCC.
3. Voer de volgende opdrachten uit op de PDC en verzend de uitkomst naar Microsoft PSS voor verdere probleemoplossing:

   nltest /DBFLAG:0x2000FFFF
   
   -en-
   
   nltest /DSGETDC: /GC

4. Gebruik de opdracht nltest /dsgetdc: /gc /force om vast te stellen of u contact kunt maken met een GC-server (Global Catalog).
5. Controleer de parameter 'laatste wijziging van wachtwoord' op de PDC en de server(s) waarop het probleem optreedt.

Terug naar begin

Bewerking is in wachtrij geplaatst of er worden geen replicatiekoppelingen weergegeven

Er worden geen replicatiekoppelingen gerapporteerd wanneer u de hulpprogramma's Repadmin.exe of Replmon.exe uitvoert. Als u dit probleem wilt oplossen, activeert u de KCC en doorzoekt u het Active Directory-logboek op gebeurtenissen die betrekking hebben op de KCC. Dit wijst normaal gesproken op een storing in de communicatie met een domeincontroller.

Terug naar begin

Replicatietoegang wordt geweigerd of naamgevingscontext wordt verwijderd

Een van de volgende berichten wordt weergegeven wanneer u replicatie activeert:-of-Dit kan zich voordoen als de gebruiker die de module Active Directory: sites en services gebruikt om replicatie te activeren op een domeincontroller, niet over de juiste machtiging beschikt om replicatie te initiëren. Controleer de referenties van de gebruiker die de betreffende handeling uitvoert.

Terug naar begin

Dubbele verbindingsobjecten tussen sites

U kunt dit probleem als volgt oplossen: WAARSCHUWING: een onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.

1. Bepaal of er in het verleden expliciete bruggenhoofden tussen sites zijn gebruikt en niet zijn verwijderd of dat deze bruggenhoofden momenteel worden gebruikt maar onjuist zijn geconfigureerd. Een manier om dit te controleren is het gebruik van het hulpprogramma LDP om verbinding te maken met de ISTG (Inter-Site Topology Generator) op de site die over dubbele verbindingen beschikt. Als u via de Config NC naar de Intersite Transports-container kijkt en vervolgens naar cn=ip, bekijkt u dit object. Als het betreffende object het kenmerk 'bridgeheadServerListBL' bevat, bestaan er expliciete bruggenhoofden. Voor meer informatie over het bepalen van de ISTG van een site, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

   224599 Determining the Inter-Site Topology Generator (ISTG) of a Site in the Active Directory

2. Stel vast of de dubbele verbindingen worden weergegeven op alle sites of in een bepaalde deelverzameling. Zoek naar een patroon zoals dubbele verbindingen tussen bepaalde verzamelingen servers. Op een site die dubbele verbindingen heeft, bekijkt u het kenmerk fromServer op de dubbele verbinding. Bekijk de site waar het kenmerk 'fromServer' zich bevindt. Probeer de activiteiten op die site te isoleren. Hoeveel servers zijn er op die site? Zijn er servers die bereikbaar zijn met het hulpprogramma Ping van de ISTG?
3. Controleer of het replicatie-interval juist is ingesteld en of de ISTG de replicatie kan voltooien.
4. Problemen met dubbele verbindingen isoleren:
   1. Kies een DC die dubbele, inkomende intersite-verbindingen opzet. Bijvoorbeeld dezelfde bron-DC en doel-DC en niet alleen dezelfde bronsite en doelsite. De geselecteerde DC moet de ISTG voor de betreffende site zijn. U kunt de ISTG voor een site bepalen door de eigenschappen voor NTDS Site Settings voor die site te bekijken in de module Active Directory: sites en services.
   2. Maak het Active Directory-gebeurtenislogboek extra groot, bijvoorbeeld 64 megabyte (MB).
   3. Gebruik de Register-editor om de waarde 1 Knowledge-consistentiecontrole op een gegevenswaarde van 5 en de waarde 9 Interne verwerking op een gegevenswaarde van 1 in te stellen in de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

   4. Voer de opdracht ldifde -f before.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com" uit.
   5. Stel T0 in op het huidige tijdstip.
   6. Voer de opdracht repadmin /kcc uit en wacht tot deze opdracht is voltooid.
   7. Start Logboekinzage en controleer of er in het Active Directory-gebeurtenislogboek informatieve gebeurtenissen zijn opgetekend die teruggaan tot het tijdstip T0 (inclusief KCC-gebeurtenis 1009: 'de consistentiecontrole is begonnen met het bijwerken van de replicatietopologie voor deze server'). Als dat niet het geval is, verdubbelt u de grootte van het gebeurtenislogboek en gaat u terug naar stap e: Stel T0 in op het huidige tijdstip.
   8. Sla het Active Directory-gebeurtenislogboek op.
   9. Voer de opdracht ldifde -f after.ldf -d "CN=Sites,CN=Configuration,DC=Site1,DC=Forest1,DC=com" uit.
   10. Bekijk de gebeurtenislogboeken Before.ldf, After.ldf en Active Directory voor nadere analyse.

Terug naar begin

Het groepsbeleid wordt inconsistent toegepast op de diverse domeincontrollers

U kunt aan de hand van het volgende voorbeeldscript controleren of het groepsbeleid op de juiste wijze is gerepliceerd naar de domeincontrollers in het domein. De door Microsoft gebruikte programmeervoorbeelden dienen uitsluitend ter illustratie. Microsoft verleent dan ook geen enkele impliciete of expliciete garantie met betrekking tot deze voorbeelden. Er gelden geen impliciete garanties met betrekking tot verkoopbaarheid en/of geschiktheid voor een bepaald doel, noch enigerlei andere garanties. In dit artikel wordt ervan uitgegaan dat u bekend bent met de programmeertalen VBScript en VBA, alsmede met de hulpprogramma's waarmee procedures worden gemaakt en waarmee fouten in procedures worden opgespoord. U kunt desgewenst contact opnemen met Microsoft Productondersteuning voor uitleg over de functie van een bepaalde procedure. Microsoft Productondersteuning is echter niet bereid de voorbeelden aan te passen om extra functies toe te voegen of om procedures te maken die aan uw specifieke eisen voldoen. Als u nog niet zoveel programmeerervaring hebt, kunt u desgewenst contact opnemen met een Microsoft Certified Partner. Als u meer informatie wilt over Microsoft Certified Partners, bezoekt u de volgende website van Microsoft: Als u meer informatie wilt over de beschikbare ondersteuningsopties van Microsoft, gaat u naar de volgende Microsoft-website: Gebruik de opdracht chkpolicy naam van uw domein om dit script uit te voeren:
@echo off
REM \logs\chkpolicy domain_name
set filename=sysvol\%dom_name%\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Machine\Microsoft\Windows NT\SecEdit\GPTTMPL.INF
nltest /dclist:%dom_name% > dclist.tmp
del dclist1.tmp
FOR /F "eol=; tokens=1 delims=, " %%i in (dclist.tmp) do (
@echo %%i >> dclist1.tmp
)
FOR /F "eol=. tokens=1 delims=. " %%i in (dclist1.tmp) do (
@echo %%i
dir "\%%i\%filename%"
)

Terug naar begin

Active Directory is bezig en kan de bewerking niet voltooien

Het foutbericht 8438: ERROR_DS_DRA_BUSY, 'Active Directory is bezig en kan de replicatiebewerking momenteel niet voltooien' wordt weergegeven. Dit is het foutbericht dat wordt geretourneerd door Active Directory wanneer er voortgang is geboekt bij het verwijderen van de naamgevingscontext (er zijn 500 objecten verwijderd), maar er te veel objecten zijn om in één keer te verwijderen zonder beslag te leggen op de replicatiewachtrij. Als replicatie wordt verhinderd door het opschonen van de globale catalogus, kunt u een batchbestand maken om de procedure te versnellen. U kunt de computer vervolgens opnieuw wijzigen in een GC-server. Het volgende voorbeeldscript voorziet in deze functionaliteit: De door Microsoft gebruikte programmeervoorbeelden dienen uitsluitend ter illustratie. Microsoft verleent dan ook geen enkele impliciete of expliciete garantie met betrekking tot deze voorbeelden. Er gelden geen impliciete garanties met betrekking tot verkoopbaarheid en/of geschiktheid voor een bepaald doel, noch enigerlei andere garanties. In dit artikel wordt ervan uitgegaan dat u bekend bent met de programmeertalen VBScript en VBA, alsmede met de hulpprogramma's waarmee procedures worden gemaakt en waarmee fouten in procedures worden opgespoord. U kunt desgewenst contact opnemen met Microsoft Productondersteuning voor uitleg over de functie van een bepaalde procedure. Microsoft Productondersteuning is echter niet bereid de voorbeelden aan te passen om extra functies toe te voegen of om procedures te maken die aan uw specifieke wensen voldoen. Als u nog niet zoveel programmeerervaring hebt, kunt u contact opnemen met een Microsoft Certified Partner. Als u meer informatie wilt over Microsoft Certified Partners, bezoekt u de volgende website van Microsoft: Als u meer informatie wilt over de beschikbare ondersteuningsopties van Microsoft, gaat u naar de volgende Microsoft-website:
setlocal
set destgc=__setgcnamehere__.site1.forest1.com
:domain1
repadmin /delete DC=domain1,DC=site1,DC=forest1,DC=com %destgc% /nosource
if %errorlevel% == 8438 goto :domain2
:domain2
repadmin /delete DC=domain2,DC=Site1,DC=forest1,DC=com %destgc% /nosource
if %errorlevel% == 8438 goto :domain3
REM ...
endlocal
Terug naar begin

Geavanceerde technieken voor probleemoplossing

Knowledge-consistentiecontrole en ISTG

U kunt voor de Knowledge-consistentiecontrole een gebeurtenislogboek maken dat meer diagnostische gegevens bevat. Hiertoe voert u de volgende procedures uit op de ISTG van de site waar dubbele verbindingen worden weergegeven:

1. Sla de inhoud van het gebeurtenislogboek op en wis het gebeurtenislogboek daarna.
2. Stel de DWORD-registerwaarde 1 Knowledge-consistentiecontrole in op 5 in de volgende registersubsleutel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

3. Voer de Knowledge-consistentiecontrole uit met behulp van de opdracht repadmin /kcc.
4. Stel de DWORD-registerwaarde 1 Knowledge-consistentiecontrole weer in op 0 (nul).
5. Sla het nieuwe gebeurtenislogboek op.

Een nieuwe basislijnafmeting verkrijgen:

1. Controleer of de computer een site-koppeling met de hub heeft. Als deze koppeling niet aanwezig is, voegt u deze alsnog toe.
2. Verwijder alle verbindingsobjecten die de computer binnenkomen.
3. Voer de Knowledge-consistentiecontrole uit met behulp van de opdracht repadmin /kcc.
4. Controleer of de verwachte verbindingen zijn gemaakt door de opdracht repadmin /showconn uit te voeren.
5. Kijk of er fouten voorkomen in het Active Directory-gebeurtenislogboek. Er kunnen fouten worden weergegeven (bijvoorbeeld gebeurtenis-id 1265) die aangeven dat er geen replica kan worden toegevoegd voor naamgevingscontext X en fout Y. Bepaal of de fout betrekking heeft op een DNS-probleem of dat het een connectiviteitsfout betreft en probeer het overeenkomstige probleem te verhelpen. Als de fout aangeeft dat de naam van een doelaccount onjuist is of dat het een SPN-fout betreft, is het lastiger om het probleem te verhelpen.
6. Als het gebeurtenislogboek rapporteert dat de replica zonder problemen is toegevoegd, controleert u dat met behulp van de opdracht repadmin /showreps.

Nadat u de replicatie-intervallen van de site-koppelingen hebt aangepast, wacht u tot de configuratiewijziging naar de andere hubservers is gerepliceerd, waarna u elke hubserver opnieuw opstart om de replicatiewachtrij te wissen. Met de opdracht repadmin/sync of de module Active Directory: sites en servers kunt u replicatie van de naamgevingscontext Configuratie afdwingen zodat de bijgewerkte site-koppelingen zichtbaar zijn op elke hubserver voordat u de hubservers opnieuw opstart. Gebruik het hulpprogramma Dcdiag.exe om vast te stellen of elke site goed is gerepliceerd. Het betreffende hulpprogramma kan op afstand worden uitgevoerd en de uitvoer kan worden doorzocht op het woord 'mislukt'. U kunt het volgende voorbeeldscript gebruiken: De door Microsoft gebruikte programmeervoorbeelden dienen uitsluitend ter illustratie. Microsoft verleent dan ook geen enkele impliciete of expliciete garantie met betrekking tot deze voorbeelden. Er gelden geen impliciete garanties met betrekking tot verkoopbaarheid en/of geschiktheid voor een bepaald doel, noch enigerlei andere garanties. In dit artikel wordt ervan uitgegaan dat u bekend bent met de programmeertalen VBScript en VBA, alsmede met de hulpprogramma's waarmee procedures worden gemaakt en waarmee fouten in procedures worden opgespoord. U kunt desgewenst contact opnemen met Microsoft Productondersteuning voor uitleg over de functie van een bepaalde procedure. Microsoft Productondersteuning is echter niet bereid de voorbeelden aan te passen om extra functies toe te voegen of om procedures te maken die aan uw specifieke wensen voldoen. Als u nog niet zoveel programmeerervaring hebt, kunt u contact opnemen met een Microsoft Certified Partner. Als u meer informatie wilt over Microsoft Certified Partners, bezoekt u de volgende website van Microsoft: Als u meer informatie wilt over de beschikbare ondersteuningsopties van Microsoft, gaat u naar de volgende Microsoft-website:
REM controleert replicaties op site site1
dcdiag /s:dc1 /test:replications /a /n:domain1
dcdiag /s:dc1 /test:replications /a /n:domain2
dcdiag /s:dc1 /test:replications /a /n:domain3
REM controleert replicaties op site site2
REM gaat verder met Dcdiag-instructies voor domeinen op site2
Terug naar begin

FRS (File Replication Service)

1. Als u vermoedt dat Active Directory-replicatie goed functioneert en dat FRS niet functioneert, controleert u of de hotfix voor FRS die na Service Pack 1 (SP1) is verschenen, op alle replicatieservers is geïnstalleerd. Deze update is opgenomen in Service Pack 2 en Service Pack 3 voor Windows 2000.
2. Voer de opdracht Ntfrsutil ds uit om het volgende te controleren:
   • Controleer of er slechts één abonneeobject met de naam 'DOMEINSYSTEEMVOLUME (SYSVOL-SHARE)' bestaat en of dit object een 'Member Ref' heeft. Bijvoorbeeld:
     • SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
     • Member Ref: CN=TEST1,CN=Domain System Volume (SYSVOL share),CN=File Replication Se...
   • Zoek de uitvoer ('dump') van het lidobject voor deze domeincontroller en controleer of het lidobject over de kenmerken Server Ref en Computer Ref beschikt. Controleer ook of er ten minste één verbinding bestaat direct onder dit lidobject. Dit is de inkomende verbinding naar deze domeincontroller. Bijvoorbeeld: LID: TEST1
     • Server Ref : CN=NTDS Settings,CN=TEST1,CN=Servers,CN=Default-First-Site-Name,CN=Sit...
     • Computer Ref : cn=test1,ou=domain controllers,dc=domain1,dc=site1,dc=forest1,dc=com...
     • DN : cn=d7874204-c331-4750-82ec-30b96a8ec732,cn=ntds settings,cn=test1,cn=s...
   • Controleer of ten minste één ander lidobject deze domeincontroller als inkomende partner heeft gehad. Gebruik het kenmerk Partner Dn om aan te geven van welke partner deze verbinding afkomstig is.
     • Partner Dn : cn=ntds settings,cn=test1,cn=servers,cn=default-first-site-name,cn=sit...
3. Voer de opdracht Ntfrsutil uit om het volgende te controleren:
   • Controleer of de waarde Servicestatus van de replicaset DOMEINSYSTEEMVOLUME (SYSVOL-SHARE) is ingesteld op ACTIEF, bijvoorbeeld:

     Servicestatus: 3 (ACTIEF)

   • Controleer of er ten minste één inkomende en één uitgaande verbinding is voor deze domeincontroller. Bijvoorbeeld:

     Inkomend: ONWAAR
     Inkomend: WAAR

4. Verhoog de FRS-registratieniveaus. Hiertoe voegt u de volgende registerwaarden toe aan de registersubsleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters:

   Naam: Ernst van de fouten
   Type: REG_DWORD
   Waarde: 0x00000004

   Naam: Max. grootte van de logboekberichten
   Type: REG_DWORD
   Waarde: 50000

   Naam: Logboekbestanden met fouten
   Type: REG_DWORD
   Waarde: 0x00000032

5. Voor een betere probleemoplossing kunt u de status van de FRS op een domeincontroller 'dumpen' naar een bestand. Gebruik het volgende script als voorbeeld voor de te volgen werkwijze: De door Microsoft gebruikte programmeervoorbeelden dienen uitsluitend ter illustratie. Microsoft verleent dan ook geen enkele impliciete of expliciete garantie met betrekking tot deze voorbeelden. Er gelden geen impliciete garanties met betrekking tot verkoopbaarheid en/of geschiktheid voor een bepaald doel, noch enigerlei andere garanties. In dit artikel wordt ervan uitgegaan dat u bekend bent met de programmeertalen VBScript en VBA, alsmede met de hulpprogramma's waarmee procedures worden gemaakt en waarmee fouten in procedures worden opgespoord. U kunt desgewenst contact opnemen met Microsoft Productondersteuning voor uitleg over de functie van een bepaalde procedure. Microsoft Productondersteuning is echter niet bereid de voorbeelden aan te passen om extra functies toe te voegen of om procedures te maken die aan uw specifieke wensen voldoen. Als u nog niet zoveel programmeerervaring hebt, kunt u contact opnemen met een Microsoft Certified Partner. Als u meer informatie wilt over Microsoft Certified Partners, bezoekt u de volgende website van Microsoft:

   http://www.microsoft.com/partner/referral/

   Als u meer informatie wilt over de beschikbare ondersteuningsopties van Microsoft, gaat u naar de volgende Microsoft-website:

   http://support.microsoft.com/default.aspx?scid=fh;NL;CNTACT

   
   @echo off
REM FRS_CHECK.CMD - Legt de status van FRS vast
SETLOCAL ENABLEEXTENSIONS
SET FRSCK=C:\FRS_CHECK
if NOT EXIST %FRSCK% (md %FRSCK%)
REM run dcdiag
dcdiag > %FRSCK%\dcdiag.txt
REM Voor FRS
ntfrsutl ds > %FRSCK%\ntfrs_ds.txtntfrsutl sets > %FRSCK%\ntfrs_sets.txtntfrsutl inlog > %FRSCK%\ntfrs_inlog.txtntfrsutl outlog > %FRSCK%\ntfrs_outlog.txtntfrsutl version > %FRSCK%\ntfrs_version.txtregdmp HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters > %FRSCK%\ntfrs_reg.txtdir \.\sysvol /s > %FRSCK%\ntfrs_sysvol.txt
REM scant de FRS-foutopsporingslogboeken op fouten.
findstr /i ":SO: error invalid fail abort warn" %windir%\debug\ntfrs_*.log | findstr /v "IO_PEND ERROR_SUCCESS FrsErrorSuccess" > %FRSCK%\ntfrs_errscan.txt
REM Voor Active Directory-replicatie
repadmin /showreps > %FRSCK%\ds_showreps.txtrepadmin /showconn > %FRSCK%\ds_showconn.txt
   

Terug naar begin