找资料,解决KCC ID 1311错误:
症状
本文介绍如何对 Windows 2000 域中目录服务事件日志中的事件 ID 1311 消息进行疑难解答。
“知识一致性检查器”(KCC) 负责构建和维护 Active Directory 的复制拓扑。为此,KCC 将检查驻留在林中的所有名称上下文的总数,以及管理员为站点、站点链接和链接开销定义的所有约束。
如果不能在域控制器或站点之间复制 Active Directory 域、架构、配置、应用程序分区或全局编录名称上下文,目录服务事件日志中将会记录类似以下内容的事件 ID 1311 消息:
Event Type:Error
Event Source:NTDS KCC
Event Category:Knowledge Consistency Checker
Event ID:1311
Date:MM/DD/YYYY
Time:HH:MM:SS AM|PM
User:N/A
Computer:<domain_controller_name>
Description:
The Directory Service consistency checker has determined that either (a) there is not enough physical connectivity published via the Active Directory Sites and Services Manager to create a spanning tree connecting all the sites containing the Partition CN=<partition name>,DC=<root domain of forest>,DC=com, or (b) replication cannot be performed with one or more critical servers in order for changes to propagate across all sites (most often because of the servers being unreachable).
返回页首
原因
如果满足下列条件中的一个或多个,就会出现这种情况: • 在不支持在两个域控制器(它们位于由 KCC 链接所连接的不同站点内)之间进行物理网络连接的网络中启用了站点链接桥接。
• 站点链接中不包含一个或多个站点。
• 站点链接包含所有站点,但是站点链接没有相互连接。这种情况被称为脱节的站点链接。
• 一个或多个域控制器处于脱机状态。
• 桥头域控制器处于联机状态,但是当它们试图在 Active Directory 站点之间复制必需的名称上下文时发生错误。
• 管理员定义的首选桥头处于联机状态,但是它们没有承载必需的名称上下文。
• 管理员正确定义了首选桥头,但是它们目前都处于脱机状态。
• 桥头服务器负载过重,原因是服务器不够大,试图从同一个集线器域控制器复制更改的分支站点太多,或者站点链接调度太频繁。
• 如果 KCC 环绕站点到站点连接故障构建了一个不同的路径,但是因为处在“保持连接模式”下,它每隔 15 分钟就会重试失败的连接。
事件 ID 1311 消息的常见原因可分为两类:不正确的逻辑配置和基础结构故障。当发生不正确的逻辑配置或复制错误时,就会记录事件 ID 1311 消息。 • 不正确的逻辑配置:
在“配置”名称上下文 (NC)(可在“站点和服务”管理单元中看到)中的信息与承载 Active Directory 林的网络的物理拓扑不匹配时,就表明逻辑配置不当。例如,某个站点可能没有正确定义,可能包括了站点链接中所没有的站点,站点链接可能没有相互连接或者管理员可能选择了错误的桥头。
• 基础结构故障
以下一个或多个事件会导致发生基础结构故障: • 广域网 (WAN) 链接失败。
• 承载必需的名称上下文的域控制器处于脱机状态。
• 复制一个或多个名称上下文时出现故障。
返回页首
解决方案
要对事件 ID 1311 消息进行疑难解答,请使用下列方法。 • 确定事件 ID 1311 消息是特定于站点的还是林范围内的。
• 确定站点链接桥接是否打开以及网络是否完全路由。
• 验证站点链接中的所有站点都已定义。
• 检测并删除首选桥头。
• 解决林中的 Active Directory 复制故障。
• 确定源服务器是否负载过重。
• 确定站点链接是否脱节。
• 如果 KCC 处于“保持连接”模式则删除连接。
确定事件 ID 1311 消息是特定于站点的还是林范围内的
确定事件 ID 1311 消息是记录在林中所有站点间拓扑生成器 (ISTG) 域控制器上,还是只记录在特定于站点的 ISTG 域控制器上。要查找 ISTG 域控制器,请使用 Ldp.exe 工具搜索下列属性:
基准 DN:CN=Sites,CN=Configuration,DC=RootDomainName,DC=Com
筛选器:(cn=NTDS 站点设置)
范围:子树
属性:interSiteTopologyGenerator
有关如何查找 ISTG 域控制器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
224599 Determining the Inter-Site Topology Generator (ISTG) of a Site in the Active Directory
要确定该事件的影响范围,请使用下列方法之一: • 检查林中适当数量的 ISTG 域控制器的目录服务事件日志。
• 使用 Eventcombmt.exe 工具(可从 Microsoft 产品支持服务部门获得)在林中适当数量的 ISTG 域控制器上搜索事件 ID 1311 消息。
返回页首
确定站点链接桥接是否打开以及网络是否完全路由
当您在“Active Directory 站点和服务”管理单元中启用站点链接桥接时,必须确保 Active Directory 中定义的任意站点与管理员定义的其他任意站点之间存在完全路由的网络连接。如果 KCC 在两个未连接的站点之间建立一个连接链接,并在其中启用站点链接桥接,则可能会记录事件 ID 1311 消息。
如果满足下列条件,Active Directory 中将会启用站点链接桥接: • 在“Active Directory 站点和服务”管理单元中为 IP 协议和 SMTP 协议选中了“为所有站点链接搭桥”复选框。
• IP 协议和 SMTP 协议的 Options 属性为 NULL,或者对于以下域名 (DN) 路径,该属性被设置为 0(零): • CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=林的根域
• CN=SMTP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=林的根域
要确定两个站点之间是否存在完全路由的网络连接,请与您的 NOS 管理员、网络管理员或 Active Directory 结构设计人员联系。
如果在非路由环境中启用了站点链接桥接,则应使网络完全路由,或者禁用站点链接桥接,然后创建站点链接和您必须使用的站点链接桥。随后请等待,等待时间为林中最长复制间隔的两倍。如果仍然记录事件 ID 1311 消息,或者如果完全路由网络中启用了站点链接桥接,则请继续使用“验证站点链接中的所有站点都已定义”方法。
默认情况下会启用站点链接桥接。另外,最佳做法指导原则也建议您启用站点链接桥接。
下面的关系图使用加号 (+) 和减号 (-) 来阐释两个 Active Directory 站点之间的物理网络连接。站点 AZ 在站点链接 WEST 中列出,站点 GA 在站点链接 EAST 中列出;但是在启用了站点链接桥接的 Active Directory 配置中,站点 AZ 和 GA 与站点 WA 和 NY 之间没有完全路由的网络连接。 WA<-- Site Link WANY --> NY
+- +-
+ - + -
+ - + -
+ - + -
CA + + + AZ IL + + + GA
站点链接 WEST 站点链接 EAST
验证站点链接中的所有站点都已定义
Active Directory 中定义的每个站点都必须寄宿或驻留在某个站点链接中。例如,如果定义了站点 WA、CA、AZ、NY、IL 和 GA 以及站点链接 WEST、EAST 和 WANY,只要任一个站点(例如 AZ 或 GA)没有在站点链接(其中各站点之间存在物理连接)内列出,就会记录事件 ID 1311 消息。如果不将已删除的站点链接中的站点添加到适当的现有站点链接中,这些站点将成为孤立站点。 WA -- 站点链接 WANY -- NY
/ /
/ /
/ /
CA (AZ) IL (GA)
站点链接 WEST 站点链接 EAST
由于站点 AZ 和 GA 未在任何站点链接中列出,因此它们是
孤立站点,KCC 在构建
Active Directory 的复制拓扑时不会考虑它们。
repadmin /showism 命令在查找配置不当的站点时很有用。repadmin /showism 命令的输出与以下示例类似(该示例摘自名为“corp”的林): ==== TRANSPORT CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=com CONNECTIVITY INformATION FOR 3 SITES: ====
0, 1, 2
( 0) CN=US-NC,CN=Sites,CN=Configuration,DC=corp,DC=com
0:0:0, 100:15:0, 200:15:0
( 1) CN=US-TX,CN=Sites,CN=Configuration,DC=corp,DC=com
100:15:0, 0:0:0, 100:15:0
( 2) CN=US-WA,CN=Sites,CN=Configuration,DC=corp,DC=com
200:15:0, 100:15:0, 0:0:0
注意:与 repadmin 命令的其他参数不同,您不能从远程计算机中运行 repadmin /showism 命令。而必须从您要检查的域控制器(多数情况下是 ISTG 域控制器)的控制台中运行 repadmin /showism 命令。
对于每一个配置为基于 IP 复制或基于 SMTP 复制(不显示)的站点,repadmin /showism 命令都将返回一个站点矩阵,该矩阵代表到林中所有站点的连接。站点矩阵中的每一项都包含用冒号 (:) 分隔的三个数值,它们分别代表到 Active Directory 林中另一个站点的每个复制链接的开销、复制间隔和选项。矩阵项中的数值按以下顺序显示:
开销:复制间隔:选项
• 开销 值表示在站点之间复制目录信息时使用的网络链接首选项。管理员使用“Active Directory 站点和服务”管理单元为每个站点链接定义开销 值。
• 复制间隔 值表示链接的复制频率,以分钟为单位。
• 选项 值表示站点链接的选项,包括站点链接通知。
注意:当您对事件 ID 1311 消息进行疑难解答时,可以忽略选项 值。
在摘自“corp.com”林的示例中,站点链接桥接被启用,并且该林包含三个 Active Directory 站点: • 站点 0:US-NC,一个使用 TX<->NC 链接连接到站点 1 (US-TX) 的未被覆盖站点。
• 站点 1:US-TX,它承载两个域控制器。
• 站点 2:US-WA,一个使用 TX<->WA 链接连接到站点 1 (US-TX) 的被覆盖站点。
每一个站点矩阵都包含一个“0:0:0”项,该项指向站点本身。如果矩阵项包含的开销值和复制间隔值都为正数(例如“200:15:0”或“100:15:0”),表示站点连接正常。“-1:0:0”项则表示站点连接不起作用。如果满足以下一个或多个条件,则会出现该问题: • 未使用复制协议。例如,如果未配置 SMTP 复制,/SHOWISM 矩阵的 SMTP 部分中的项将全部显示为“-1:0:0”。
• 站点未承载任何域控制器(这被称为“未被覆盖”站点)。
• 站点未包含在站点链接中。
如果站点链接桥接已启用,并且 repadmin /showism 命令对一个或多个被覆盖的 Active Directory 站点返回了“-1:0:0”项,请确保在站点链接中列出了受影响的站点。
如果一个站点所对应的项除一个“0:0:0”外其余全都是“-1:0:0”,则该站点是孤立站点,除非它未被覆盖(该站点中未驻留任何域控制器)。当您对事件 ID 1311 消息进行疑难解答时,请记录所有孤立站点的名称,但不要记录未被覆盖的站点的名称。
如果站点链接桥接被禁用,则“-1:0:0”项将没有多大意义。如果是这样,您必须手动判断每个站点是否包含在站点链接中。为此,请记下站点和站点链接的列表,并手动将每个站点映射到一个站点链接中。
注意:对于未被覆盖的站点,repadmin /showism 命令始终返回“-1:0:0”项。
在下面的 repadmin /showism 示例中,“corp.com”林中启用了站点链接桥接,并且站点链接 TX<->WA 已被删除。站点 2 (US-WA) 被孤立于林中所有其他站点之外,您必须将它添加到适当的站点链接中。 ==== TRANSPORT CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=com CONNECTIVITY INformATION FOR 3 SITES: ====
0, 1, 2
( 0) CN=US-NC,CN=Sites,CN=Configuration,DC=corp,DC=com
0:0:0, 100:15:0, -1:0:0
( 1) CN=US-TX,CN=Sites,CN=Configuration,DC=corp,DC=com
100:15:0, 0:0:0, -1:0:0
( 2) CN=US-WA,CN=Sites,CN=Configuration,DC=corp,DC=com
-1:0:0, -1:0:0, 0:0:0
检测并删除首选桥头
由于在多域林中选择正确的桥头比较困难,而且 Windows 2000 具有良好的故障转移逻辑可应对 KCC 所选桥头脱机的情况,因此,Microsoft 强烈建议您不要定义首选桥头服务器。
要搜索首选桥头服务器,请执行下列操作: 1. 使用 Ldp.exe 命令行工具根据以下条件执行 LDAP 搜索:
DN 路径:cn=sites,cn=configuration,dc=<root domain of forest>
对象类:server
属性:bridgeheadTransportList
2. 对来自“CN=Sites,CN=Configuration”容器的 LDIFDE 导出文件使用 FINDSTR 命令:
LDIFDE CN=SITES,CN=CONFIGURATION,DC=<林中的根域> SITEDUMP.LDF
FINDSTR /i "bridgeheadTransportList" SITEDUMP.LDF
如果返回了任何搜索结果,请记下域名路径中服务器的名称(该路径由 bridgeheadTransportList 属性填充)。
如果找到任何首选桥头服务器,请使用“站点和服务”管理单元删除它们,然后等待,等待时间为林中最长复制间隔的两倍。如果仍然记录事件 ID 1311 消息,请继续使用下一个方法。
解决林中的 Active Directory 复制故障
Active Directory 复制需要将林中的所有名称上下文以可传递方式复制到所有域控制器(这些域控制器复制公用分区)中。
应尽快解决联机域控制器的复制故障,尤其是那些承载林中独一无二的名称上下文的域控制器(例如,林中某个特定域的唯一域控制器)。如果您无法让域控制器进行复制,作为最后一种解决方法,您可以从林中删除它。
如果域控制器脱机的时间少于 tombstone 存留时间(默认情况下为 60 天),则应使该域控制器联机并强制它进行复制,或者如果没有其他方法,则从林中删除它。
如果域控制器脱机的时间或它不复制入站更改的时间超过了 tombstone 存留时间,则不要恢复它。相反,应立即从林中删除它。 有关 TombstoneLifetime 值的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
216993 Backup of the Active Directory Has 60-Day Useful Life
314282 Lingering Objects May Remain After You Bring an Out-of-Date Global Catalog Server Back Online
如果您想要发现并排除复制故障,可使用以下工具: • repadmin /failcache:从林中每个 ISTG 域控制器的控制台中运行该命令,以发现该 ISTG 所在站点中的桥头的复制故障。
注意:您也可以使用远程方式对林中的其他 ISTG 域控制器运行该命令。
• repadmin /showreps:从林中每个 ISTG 域控制器的控制台中运行该命令,以分析 repadmin /failcache 命令所暴露的特定域控制器的复制。
• dcdiag /test:intersite /e /q:该命令测试林中桥头域控制器的站点间连通性。此结果集被限制为使用 /q 开关时会出错的域控制器。
• dcdiag /test:connectivity /e /q:该命令测试林中所有域控制器的名称解析以及 ldap / rpc 连通性。此结果集被限制为使用 /q 开关时会出错的域控制器。
• 对 NTDS 诊断级别使用以下设置,以检查 ISTG 域控制器和桥头服务器上的目录服务事件日志: • 1 知识一致性检查器:3
• 5 复制事件:3
• 内部处理:1
repadmin /failcache 命令将列出 KCC 知道的复制故障。repadmin /failcache 命令的输出分为两部分:
“KCC Link Failures”(KCC 链接故障)缓存列出现有连接链接错误。ISTG 域控制器为其站点内的每一个桥头服务器导入 showreps(“repsfroms”)数据。但是,ISTG 域控制器不列出错误。每次开始运行 KCC 时,链接故障缓存都会被清空,并在当前运行过程中重新被填充。
“KCC Connection Failures”(KCC 连接故障)缓存列出在域控制器之间建立连接对象(“reps from”或“reps to”)的不成功尝试。当您从 ISTG 域控制器中运行 repadmin /failcache 命令时,它将列出从站点内的桥头中导入的项。每次开始运行 KCC 时,KCC 都将检查连接故障缓存中的每一项,并尝试使用 DsBind 将其绑定到故障服务器上。如果绑定成功,将删除该项。
repadmin /failcache 命令与 repadmin /showreps 命令存在两方面的差异: • repadmin /showreps 命令显示失败的名称上下文。repadmin /failcache 命令则不显示。
• repadmin /failcache 命令生成的数据不会在域控制器之间不复制。
以下示例显示 repadmin /failcache 命令的示例输出。
Z:\>repadmin /failcache
==== KCC CONNECTION FAILURES ============================
(none)
==== KCC LINK FAILURES ==================================
USA-WA-24\C-24-DC03
DC object GUID:134244cd-26be-4944-82a7-ac3eb74fc02f
No Failures.
USA-WA-24\B-24-DC02
DC object GUID:21b050d6-33b5-424d-aa9b-060fe209233d
No Failures.
USA-WA-24\Z-24-DC-05
DC object GUID:bfb3b008-3849-4e5d-81d8-53dbb76d587a
No Failures.
确定源服务器是否负载过重
当域控制器因为直接复制伙伴数量太多或者复制调度过份频繁而负载过重时,它可能会引起积压,在这种情况下,有些伙伴永远不会收到集线器域控制器的更改。在 repadmin /showreps 命令的输出中,负载过重的源域控制器的伙伴域控制器的状态将显示为“at never”(从不)。
要解决此问题,应根据需要调整硬件大小、重新配置站点链接以及重新配置站点链接或连接调度,以降低负载过重的域控制器上的负载。
确定站点链接是否脱节
“脱节站点链接”是一种 Active Directory 配置,在该配置中,拓扑被分为两部分,或者有些站点由于站点定义和站点链接定义不正确而无法复制。例如,下面的关系图显示这样一种配置:Sitelink_ABC 包含站点 A、B 和 C,Sitelink_DEF 包含站点 D、E 和 F,但是,没有任何站点链接将 Sitelink_ABC 中的任意站点与 Sitelink_DEF 中的任意站点连接起来。要解决这种脱节站点链接情况,必须建立新的站点链接,以将 Sitelink_ABC 中的至少一个站点与 Sitelink_DEF 中的至少一个站点连接起来(例如,站点 A 和站点 D 之间的新站点链接)。 A D
/ \ / \
/ \ / \
/ \ / \
B C E F
Sitelink_ABC Sitelink_DEF
下面的关系图显示另一种可能的脱节站点链接配置。在本例中,要解决这种脱节站点链接情况,必须建立新的站点链接,以将 Sitelink_ABDC 中的任意站点与 Sitelink_FG 中的至少一个站点联接起来(例如,站点 A 和站点 F 之间的新站点链接)。 A F
/ \ \
/ \ \
/ \ \
B C \
\ / \
\ / \
\ / \
D G
Sitelink_ABDC Sitelink_FG
脱节站点链接是最难进行疑难解答的错误配置。只有在排除其他所有已知原因后才可以查找脱节站点链接。用铅笔和纸描绘出站点拓扑并找到孤立的站点。
如果 KCC 处于“保持连接模式”则删除连接
如果 KCC 围绕站点到站点连接故障生成一个不同的路径,但是因为它处于“保持连接模式”,它每隔 15 分钟就会重试失败的连接,这时,请删除所有断开的连接,并让 KCC 重新建立连接。然后请等待,等待时间为林中最长复制调度的两倍。
返回页首
更多信息
术语和概念
• 桥头服务器:可以是 Active Directory 站点内的任何域控制器,该控制器将 Active Directory 分区(例如架构、配置、域、应用程序分区或全局编录)复制到另一个 Active Directory 站点内的域控制器上。
将为 Active Directory 站点内每个唯一的目录分区、域或应用程序分区选择一个桥头;因此,承载三个不同域的站点就拥有三个站点内桥头服务器。
域控制器将复制所有与它们的直接复制伙伴所共有的名称上下文,因此,“corp.com”域中的域控制器除了复制其站点间桥头伙伴的“corp.com”域名称上下文外,还将复制 CN=SCHEMA 和 CN=CONFIGURATION。
• 站点间拓扑生成器 (ISTG):对于每一个 Active Directory 站点,将提名一个服务器(称为 ISTG)来建立站点间复制拓扑。 有关 ISTG 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
224815 The Role of the Inter-Site Topology Generator in Active Directory Replication
• 未被覆盖站点:在“站点和服务”管理单元中定义的、当前不包含任何 Windows 2000 域控制器的 Active Directory 站点。未被覆盖站点可能正在等待它的来自分段站点的域控制器到来。此外,还可能会将某个站点定义为未被覆盖站点,以便向客户端操作提供站点首选项。
REPADMIN /SHOWISM 命令的输出被截断
在有些环境中,由于存在一个内部错误,Windows 2000 内部版本号 2195 中的 repadmin /showism 命令在执行期间会提前退出,并且其输出会被截断。例如,在“corp.com”域内的一个域控制器上,此成功的 /SHOWISM 输出的顶部指示定义了 128 个站点 (0-127)。
==== TRANSPORT CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=com
CONNECTIVITY INformATION FOR 128 SITES: ====
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13,
14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28,
29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43,
44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58,
59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73,
74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88,
89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103,
104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118,
119, 120, 121, 122, 123, 124, 125, 126, 127
在下面的示例中,repadmin /showism 输出在站点 115、CN=HeadQuarters 这一行的中间停止。
All DCs in site CN=Headquarters,CN=Sites,CN=Configuration,DC=corp,DC=com (with trans & hosting NC) are bridgehead candidates.
(115) CN=headquarters,CN=Sites,CN=Configuration,DC=corp,DC=com
-1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0,
-1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0,
-1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0,
-1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0,
-1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0,
-1:0:0, -1:0:0, -1:0:0, -1:0:0, -1:0:0, 100:0:0, 150:0:0, 150:0:0, 100:0:0,
要解决该截断问题,请从 Microsoft 产品支持服务 (PSS) 部门获取 Repadmin.exe 文件的更新版本。
==========================================================
1 出于保险考虑,还是在活动目录站点和服务里检查一下site link是否存在
2 虽然可以ping通,但还没有回答我是否有防火墙,如果有防火墙,需要一些设置的。
3 根据上面的kb把能做的检查都做了,看看问题是否依然存在(另外手动复制可以吗?)
