DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 2742970 - Ultima modifica: venerdì 14 settembre 2012 - Revisione: 1.0

 

Sintomi

Si consideri il seguente scenario:
  • Si utilizza il Controller di dominio virtualizzato clonazione funzionalità in un computer che esegue Windows Server 2012.
  • È possibile utilizzare l'indirizzamento automatico.
  • Tentare di clonare un controller di dominio (DC).
In questo scenario, il controller di dominio originale non viene duplicato e viene avviato normalmente. Tuttavia, un secondo controller di dominio viene creato, ovvero non un clone del DC di origine ma è un duplicato esatto del controller di origine. Sebbene questo secondo controller di dominio di servizi attivamente le richieste, non viene replicato in modo affidabile le modifiche di servizi di dominio Active Directory (AD DS), in uscita o in entrata, quando entrambi i controller di dominio sono in esecuzione contemporaneamente. Inoltre, entrambi i controller di dominio consentono modifiche locali di dominio Active Directory.

Cause

Questo problema può verificarsi per uno dei seguenti motivi:
  • Il file DcCloneConfig.xml creato durante l'operazione di clonazione non è in uno dei seguenti percorsi appropriati:
    • La directory di lavoro di DSA
    • %systemroot%\ntds.
    • Supporto rimovibile di lettura/scrittura, a livello di unità principale
  • Il file DcCloneConfig.xml è in uno dei percorsi appropriati, ma il riavvio del computer di origine prima di eseguire l'operazione di clonazione. Questa azione ha causato il sistema rinominare il file DcCloneConfig.xml con un timestamp. Il sistema ha impiegato questa azione per impedire la duplicazione accidentali perché l'ID di generazione VM non è stata modificata.

Risoluzione

Per risolvere questo problema, attenersi alla seguente procedura.

Note
  • In questa procedura vengono utilizzati i termini e gli esempi seguenti:
    • DC1.corp.contoso.com – "esistente/nuovo domain controller": un controller di dominio non duplicati che esiste già nell'ambiente o che è stato promosso come parte del processo di ripristino
    • DC2.corp.contoso.com – "Controller di dominio di origine originale": il controller di dominio che è stato copiato per rendere il clone
    • DC2.corp.contoso.com – "Duplica il controller di dominio": il controller di dominio che che doveva essere duplicata dal controller di dominio originale ma che ora è una copia identica
  • Mentre è connessi come membro del gruppo Domain Admins, è necessario eseguire questi passaggi da un prompt dei comandi con privilegi elevati. Per semplificare il ripristino, tutti i controller di dominio che fanno riferimento principalmente allo stesso server DNS.
  • Prima di iniziare questa procedura, assicurarsi che si conosce (o impostare) la password modalità ripristino servizi Directory sul controller di dominio di origine originale utilizzando il comando Ntdsutil. exe con le opzioni set dsrm password .
  1. In origine DC, eseguire i comandi di esempio riportato di seguito:
    bcdedit /set dsrepair safeboot

    Shutdown. exe /s /t 0
    Nota Questi comandi arrestare dal controller di dominio di origine originale. Inizia quindi il controller di dominio in modalità riparazioni DS. In questo modo, se il controller di dominio viene riavviato accidentalmente in qualsiasi momento prima di completare questa procedura, non è necessario riavviare la procedura dall'inizio.
  2. Riavviare normalmente il controller di dominio duplicati utilizzando il comando di esempio riportato di seguito:
    shutdown /r /t 0
  3. Sospendere il servizio Netlogon nel controller di dominio duplicati utilizzando il comando di esempio riportato di seguito:
    sc pause netlogon
    Nota Questo comando impedisce ulteriormente individuazione automatica del controller di dominio duplicati da utenti e computer.
  4. Disattivare localmente replica di Active Directory in ingresso sul controller di dominio duplicati utilizzando il comando di esempio riportato di seguito:
    repadmin /options <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    Ad esempio, eseguire il comando riportato di seguito:
    repadmin /options DC2.corp.contoso.com + DISABLE_INBOUND_REPL
    Nota Questo comando impedisce ulteriori aggiornamenti al controller di dominio duplicati da altri controller di dominio.
  5. Opzionale: Se non si dispone già un terzo "esistente DC" (ovvero, si è cercato di clonare solo controller di dominio nel dominio), è necessario promuovere un nuovo controller di dominio normalmente nella stesso dominio di Active Directory e siti di controller di dominio duplicati. Se un controller di dominio esistente in questo dominio non è stato duplicato, ignorare questo passaggio.
  6. Se si esegue il passaggio 5, assicurarsi che il controller di dominio nuovi o esistenti ha una relazione di replica in ingresso dal domain controller duplicati. Se necessario, utilizzare il comando Dssites o /addrepsto di Repadmin. exe per creare una connessione manuale. Verificare che il controller di dominio duplicati è configurato per replicare correttamente in uscita con il controller di dominio nuovi o esistenti localmente eseguendo il comando seguente sul controller di dominio duplicati:
    Repadmin /showrepl<new dc="" name=""></new>
    Ad esempio, eseguire il comando riportato di seguito:
    repadmin /showrepl dc1.corp.contoso.com
    Importante Il controller di dominio nuovi o esistenti deve avere una connessione di replica in ingresso dal controller di dominio duplicato prima di procedere al passaggio successivo.

    L'argomento /repsto può essere utilizzato anche per stabilire connessioni di replica in uscita del controller di dominio duplicati all'interno del sito stesso o per determinare se la notifica delle modifiche è configurata su collegamenti tra siti.
  7. Sul controller di dominio duplicati, configurare Windows Firewall con protezione avanzata (o un firewall di terze parti) impostando le regole per le seguenti porte in ingresso blocco:
    • Porte 138 e 445 (su TCP e UDP)
    • Porte 389 e 636 (su TCP)
    Ad esempio, eseguire i seguenti comandi:
    netsh advfirewall firewall aggiungere il nome della regola = "MSFT blocco LDAP in" protocol = tcp dir = in PortaLocale = 389 azione = block

    netsh advfirewall firewall aggiungere il nome della regola = "MSFT blocco LDAPS in" protocol = tcp dir = in PortaLocale = azione 636 = block

    netsh advfirewall firewall aggiungere il nome della regola = "MSFT blocco SMB in" protocol = tcp dir = in PortaLocale = 445 azione = block

    netsh advfirewall firewall aggiungere il nome della regola = "MSFT blocco NB DG in" protocol = tcp dir = in PortaLocale = azione 138 = block
    Nota Questo passaggio impedisce originarie ulteriori aggiornamenti sul controller di dominio duplicati tramite protocolli comuni di Active Directory.
  8. Assicurarsi che tutte le modifiche in sospeso replica del controller di dominio duplicati per il controller di dominio nuovi o esistenti. Per effettuare questa operazione, utilizzare il comando seguente sul controller di dominio duplicati localmente per assicurarsi che tutte le modifiche siano state replicate in uscita dalla denominazione dei domini, dei nomi di configurazione e contesti dei nomi DNS.

    Nota In questi comandi, è necessario il GUID di DSA viene visualizzata mediante il comando repadmin nel passaggio 6.
    Repadmin. exe /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    Ad esempio, eseguire i seguenti comandi:
    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp, dc = contoso, dc = com

    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = configuration, dc = corp, dc = contoso, dc = com

    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    Repadmin. exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    Nota Una volta sincronizzate tutte le repliche, il valore di statistiche per i campi di tutti gli oggetti e attributi è "0" (zero). Se si rimuove l'argomento /statistics, è possibile visualizzare gli attributi in attesa di replica e oggetti specifici.
  9. Utilizzare lo snap-in Console Gestione criteri di gruppo (GPMC. msc) in Windows Server 2012 GPMC. msc per assicurarsi che tutte le modifiche SYSVOL siano state replicate dal controller di dominio duplicati al partner DC nuovo o esistente. Per effettuare questa operazione, scegliere il Stato scheda nello snap-in e quindi esaminare il contenuto della scheda.

    Note
    • Impostare il controller di dominio duplicati come linea di base.
    • Se tutti i server di eseguono un'installazione Server Core, è possibile utilizzare GPMC da un client Windows 8 con Microsoft Remote Server strumenti di amministrazione installato.
    • Se i server sono di non sincronizzazione, assicurarsi prima di continuare con il passaggio successivo che gli aggiornamenti mancanti replicati da un altro controller di dominio. In questo caso, gli aggiornamenti sarebbero le modifiche dei criteri di gruppo che sono state apportate dopo la replica in ingresso è stata disabilitata sul server nel passaggio 4.
  10. Impedire che il controller di dominio duplicati mai avviare nuovamente come duplicato. Per effettuare questa operazione, arrestare normalmente il controller di dominio duplicati, eseguire il backup dei relativi dischi per custodia e quindi eliminare la macchina virtuale e relativi dischi.
  11. Assicurarsi che il controller di dominio nuovi o esistenti è stato replicato tutti i duplicati DC aggiornamenti in uscita verso altri controller di dominio.

    Nota Questa azione garantisce che il delta delle modifiche che sono stati creati sul controller di dominio duplicati non siano forever persa all'insieme di strutture.
  12. Opzionale: Se è stato creato un nuovo controller di dominio nel passaggio 5, abbassare di livello normalmente il nuovo controller di dominio.
  13. Avviare l'origine DC e accedere utilizzando l'account di amministratore modalità ripristino servizi directory.
  14. Eseguire i seguenti comandi:
    Modalità provvisoria di bcdedit. exe /deletevalue

    Shutdown /r /t 0
    Nota Questi comandi rimuovono il flag di avvio modalità ripristino servizi directory automatico per tutti i successivi riavvii.
  15. Attivare localmente replica di Active Directory in ingresso sui controller di dominio di origine originale utilizzando il comando di esempio riportato di seguito:
    repadmin /options <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    Ad esempio, utilizzare il comando seguente:
    repadmin /options DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. Assicurarsi che nuovi oggetti creati nell'ambiente (a e dall'origine DC) vengano replicati in qualsiasi altro controller di dominio esistente.

Informazioni

Se si clona un controller di dominio, virtualizzato Controller di dominio implementa misure di salvaguardia creando un nuovo ID di chiamata e quindi invalidare il pool RID locale. In questo modo il controller di dominio duplicato della replica in ingresso e di creare nuove identità di protezione. Tuttavia, altri metadati server duplicato impedisce la replica di Active Directory e SYSVOL in uscita dal lavoro con altri controller di dominio sono attualmente presenti nell'ambiente. Un nuovo DC che non ha alcuna associazione precedente con il controller di dominio duplicati può consentire la replica in ingresso dal controller di dominio duplicati.

La procedura nella sezione "Risoluzione" non assicurarsi che nessun delta delle modifiche persa definitivamente. Questa perdita si verifica se si disattiva il controller di dominio duplicati e quindi annullare le modifiche. Se si avvia il controller di dominio duplicati e si nota subito che è un duplicato, è possibile disattivare il controller di dominio duplicati e annullare le modifiche senza eseguire la procedura descritta in questo articolo. Tuttavia, tenere presente che qualsiasi modifica apportata sul controller di dominio duplicati (ad esempio la creazione di oggetti recenti, le modifiche delle password o modifica l'appartenenza al gruppo) saranno definitivamente persi.

Inizio in Windows 2000 esiste il potenziale per la duplicazione di controller di dominio. Tuttavia, Windows Server 2012 VDC rende la duplicazione di controller di dominio più probabile rispetto a versioni precedenti di sistemi operativi. Questi passaggi sono applicabili anche se non clonare un controller di dominio ma, al contrario, provare a recuperare da un DC duplicato (virtuale o fisico) è stato creato tramite la clonazione dei dischi.

È consigliabile che tutti i domini hanno uno o più controller di dominio.

La Directory di lavoro di DSA è definita dalla seguente chiave di registro valore REG_SZ:HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters Directory di lavoro di DSA

Riferimenti

Per scaricare Remote Server Administration Tools per Windows 8, visitare il seguente sito Web area Download Microsoft:
http://www.microsoft.com/en-us/Download/Details.aspx?ID=28972 (http://www.microsoft.com/en-us/download/details.aspx?id=28972)
Per ulteriori informazioni su come reimpostare la password DSRM, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322672  (http://support.microsoft.com/kb/322672/ ) Come reimpostare la Password dell'Account Directory Services Restore modalità amministratore in Windows Server 2003
Per ulteriori informazioni su come configurare e risolvere i Controller di dominio virtualizzato, vedere gli argomenti seguenti di Microsoft TechNet:
Introduzione alla virtualizzazione di dominio di Active Directory Services (AD DS) (livello 100) (http://technet.microsoft.com/en-us/library/hh831734.aspx)

Riferimento tecnico virtualizzato Domain Controller (livello 300) (http://go.microsoft.com/fwlink/p/?LinkId=236370)
Chiavi: 
kbmt KB2742970 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2742970  (http://support.microsoft.com/kb/2742970/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store