Felsökning av virtualiserad domänkontrollant

Den här artikeln innehåller en detaljerad metod för felsökning av funktionen för virtualiserade domänkontrollanter.

• Felsöka kloning av virtualiserade domänkontrollanter

• Felsöka säker återställning av virtualiserade domänkontrollanter

Introduction

Det viktigaste sättet att förbättra dina felsökningsfärdigheter är att bygga ett testlabb och noggrant undersöka normala arbetsscenarier. Om du stöter på fel är de mer uppenbara och lätta att förstå, eftersom du då har en solid grund för hur befordran av domänkontrollanter fungerar. På så sätt kan du också bygga upp dina färdigheter i analys och nätverksanalys. Detta gäller för alla tekniker för distribuerade system, inte bara distribution av virtualiserade domänkontrollanter.

De kritiska elementen för avancerad felsökning av domänkontrollantkonfiguration är:

1. Linjär analys i kombination med fokus och uppmärksamhet på detaljer.

2. Förstå analys av nätverksinsamling

3. Förstå de inbyggda loggarna

Den första och den andra ligger utanför ramen för den här artikeln, men den tredje kan förklaras i detalj. Felsökning av virtualiserade domänkontrollanter kräver en logisk och linjär metod. Nyckeln är att närma sig problemet med hjälp av de data som tillhandahålls och endast tillgripa komplexa verktyg och analyser när du har uttömt de angivna utdata och loggning.

Felsöka kloning av virtualiserade domänkontrollanter

I det här avsnittet behandlas:

• Verktyg för felsökning

• Loggningsalternativ

• Allmän metodik för felsökning av kloning av domänkontrollanter

• Server Core och händelseloggen

• Felsökning av specifika problem

Felsökningsstrategin för kloning av virtualiserade domänkontrollanter följer det här allmänna formatet:

Verktyg för felsökning

Loggningsalternativ

De inbyggda loggarna är det viktigaste verktyget för felsökning av problem med kloning av domänkontrollanter. Alla dessa loggar är aktiverade och konfigurerade för maximal utförlighet som standard.

Verktyg och kommandon för felsökning av domänkontrollantkonfiguration

Om du behöver felsöka problem som inte förklaras i loggarna använder du följande verktyg som utgångspunkt:

• Dcdiag.exe

• Repadmin.exe

• Nätverksövervakare 3.4

Allmän metodik för felsökning av kloning av domänkontrollanter

1. Startar den virtuella datorn i DS Repair Mode (DSRM)? Detta indikerar att felsökning är nödvändig. Om du vill logga in i DSRM använder du .\Administratörskonto och anger DSRM-lösenordet.

   1. Undersök Dcpromo.log.

      1. Lyckades de första kloningsstegen men befordran av domänkontrollanten misslyckades?

      2. Indikerar fel problem med den lokala domänkontrollanten eller med AD DS-miljön, till exempel fel som returneras från PDC-emulatorn?

   2. Granska händelseloggarna för system- och katalogtjänster och dccloneconfig.xml och CustomDCCloneAllowList.xml

      1. Måste ett inkompatibelt program finnas i listan över tillåtna CustomDCCloneAllowList.xml?

      2. Är IP-adressen eller datornamnet antingen duplicerad eller ogiltig i dccloneconfig.xml?

      3. Är Active Directory-platsen ogiltig i dccloneconfig.xml?

      4. Är IP-adressen inte inställd i dccloningconfig.xml och det finns ingen tillgänglig DHCP-server?

      5. Är PDC-emulatorn online och tillgänglig via RPC-protokollet?

      6. Är domänkontrollanten medlem i gruppen Klonbara domänkontrollanter? Är behörigheten Tillåt att en domänkontrollant skapar en klon av sig själv inställd på domänroten för den gruppen?

      7. Innehåller Dccloneconfig.xml-filen syntaxfel som förhindrar korrekt tolkning?

      8. Stöds hypervisorn?

      9. Misslyckades befordran av domänkontrollant efter att kloningen har börjat?

      10. Har det maximala antalet automatiskt genererade domänkontrollantnamn (9999) överskridits?

      11. Är MAC-adressen duplicerad?

2. Är värdnamnet för klonen detsamma som källdomänkontrollanten?

   1. Finns det en Dccloneconfig.xml fil på någon av de tillåtna platserna?

3. Startar den virtuella datorn i normalt läge och kloningen är klar, men domänkontrollanten fungerar inte korrekt?

   1. Kontrollera först om värdnamnet har ändrats på klonen. Om värdnamnet är ett annat har kloningen åtminstone delvis slutförts.

   2. Har domänkontrollanten en dubblett av IP-adressen till källdomänkontrollanten från dccloneconfig.xml, men källdomänkontrollanten var offline under kloningen?

   3. Om domänkontrollanten annonserar behandlar du problemet som ett normalt problem efter befordran som du skulle ha utan kloning.

   4. Om domänkontrollanten inte annonserar undersöker du händelseloggarna för katalogtjänsten, systemet, programmet, filreplikeringen och DFS Replication efter befordran.

Inaktivera DSRM-start

När du har startat upp i DSRM på grund av något fel, diagnostisera orsaken till felet och om dcpromo.log inte indikerar att kloning inte kan försökas igen, åtgärda orsaken till felet och återställ DSRM-flaggan. En misslyckad klon återgår inte till normalt läge på egen hand vid nästa omstart. du måste ta bort startflaggan för DS Restore Mode för att kunna försöka klona igen. Alla dessa steg kräver att du körs som en upphöjd administratör.

Ta bort DSRM med Msconfig.exe

För att stänga av DSRM-start med ett GUI, använd verktyget för systemkonfiguration:

1. Kör msconfig.exe

2. På fliken Start under Startalternativ avmarkerar du Säker start (den är redan markerad med alternativet Active Directory-reparation aktiverat)

3. Välj OK och starta om när du uppmanas att göra det

Ta bort DSRM med Bcdedit.exe

Om du vill inaktivera DSRM-start från kommandoraden använder du Boot Configuration Data Store Editor:

1. Öppna en CMD-prompt och kör:

   Bcdedit.exe /deletevalue safeboot
   

2. Starta om datorn med:

   Shutdown.exe /t /0 /r
   

Server Core och händelseloggen

Händelseloggarna innehåller mycket användbar information om kloningsåtgärder för virtualiserade domänkontrollanter. Som standard är en Windows Server 2012-datorinstallation en Server Core-installation, vilket innebär att det inte finns något grafiskt gränssnitt och därför inget sätt att köra den lokala snapin-modulen Loggboken.

Så här granskar du händelseloggarna på en server som kör en Server Core-installation:

• Kör Wevtutil.exe verktyget lokalt

• Köra PowerShell-cmdlet Get-WinEvent lokalt

• Om du har aktiverat Windows Advanced Firewall-reglerna för grupperna "Hantering av fjärrhändelselogg" (eller motsvarande portar) för att tillåta inkommande kommunikation kan du fjärrhantera händelseloggen med hjälp av Eventvwr.exe, wevtutil.exeeller Get-Winevent. Detta kan göras vid Server Core-installation med hjälp av NETSH.exe, grupprincip eller den nya cmdleten Set-NetFirewallRule i Windows PowerShell 3.0.

Felsökning av specifika problem

Events

Alla kloningshändelser för virtualiserade domänkontrollanter skriver till händelseloggen för katalogtjänster för den klonade domänkontrollantens virtuella dator. Händelseloggarna för programmet, filreplikeringstjänsten och DFS Replication kan också innehålla användbar felsökningsinformation för misslyckad kloning. Fel under RPC-anropet till PDC-emulatorn kan vara tillgängliga i händelseloggen på PDC-emulatorn.

Nedan visas kloningsspecifika händelser för Windows Server 2012 i händelseloggen för katalogtjänster, med anteckningar och förslag på lösningar på fel.

Händelselogg för katalogtjänster

Felmeddelanden

Det finns inga direkta interaktiva fel för misslyckad kloning av virtualiserade domänkontrollanter. alla loggar för kloningsinformation i system- och katalogtjänstloggarna och domänkontrollantens befordringsloggar i dcpromo.log. Men om servern startar i DS-återställningsläge ska du undersöka omedelbart, eftersom befordran eller kloning misslyckades.

Den dcpromo.log är det första stället att kontrollera om kloningen misslyckas. Beroende på vilket fel som visas kan det vara nödvändigt att därefter granska katalogtjänster och systemloggar för ytterligare diagnos.

Kända problem och supportscenarier

Följande är exempel på vanliga problem som kan uppstå under Windows Server 2012-utvecklingsprocessen. Samtliga av dessa fel är designfel och har antingen en lämplig lösning eller teknik som gör att de kan undvikas helt. Vissa kan lösas i senare versioner av Windows Server 2012.

Avancerad felsökning

Den här modulen syftar till att lära ut avancerad felsökning med hjälp av arbetsloggar som exempel, med en förklaring av vad som hände. Om du förstår hur en lyckad virtualiserad domänkontrollantoperation ser ut blir fel uppenbara i din miljö. Dessa loggar visas av deras källa, med den stigande ordningen för förväntade händelser (även när de är varningar och fel) relaterade till en klonad domänkontrollant i varje logg.

Klona en domänkontrollant

I det här exemplet använder den klonade domänkontrollanten DHCP för att hämta en IP-adress, replikerar SYSVOL med hjälp av FRS eller DFSR (se lämplig logg efter behov), är en global katalog och använder en tom dccloneconfig.xml fil.

Händelselogg för katalogtjänster

Katalogtjänstloggen innehåller de flesta händelsebaserade kloningsuppgifterna. Hypervisor-programmet ändrar VM-Generation-ID:t och NTDS-tjänsten noterar det, ogiltigförklarar sedan RID-poolen och ändrar anrops-ID:t. Det nya VM-Generation-ID:t anges och servern replikerar inkommande Active Directory-data. DFSR-tjänsten stoppas och dess databas som är värd för SYSVOL tas bort, vilket tvingar fram en icke-auktoritativ inkommande synkronisering. USN-högvattenmärket justeras.

Systemhändelselogg

Nästa indikationer på kloningsåtgärder finns i systemhändelseloggen. När hypervisor-programmet talar om för gästdatorn att den har klonats eller återställts från en ögonblicksbild, ogiltigförklarar domänkontrollanten omedelbart sin RID-pool för att undvika duplicering av säkerhetsobjekt senare. När kloningen fortsätter visas olika förväntade åtgärder och meddelanden, främst kring tjänster som startar och stoppas och vissa förväntade fel som orsakas av detta. När det är klart noterar systemhändelseloggen den övergripande kloningsframgången.

DCPROMO.LOG

Den Dcpromo.log innehåller den faktiska befordringsdelen av kloning som händelseloggen för Directory Services inte beskriver. Eftersom loggen inte ger den förklaringsnivå som händelseloggposterna ger innehåller det här avsnittet av modulen ytterligare anteckningar.

Befordringsprocessen innebär att kloningen startar, domänkontrollanten rensas från sin aktuella konfiguration och befordras på nytt med hjälp av den befintliga AD-databasen (ungefär som en IFM-befordran), sedan replikerar domänkontrollanten inkommande ändringsdeltan för AD och SYSVOL och kloningen är klar.

• Starta klonbaserad marknadsföring

• Ställ in flaggan Återställningsläge för katalogtjänster så att servern inte startar upp normalt som den ursprungliga klonen och orsakar namngivnings- eller katalogtjänstkollisioner

• Uppdatera händelseloggen för Directory Services

15:14:01 [INFO] vDC Cloneing: Setting Boot into DSRM flag succeeded.
15:14:01 [WARNING] Cannot get user Token for Format Message: 1725l
15:14:01 [INFO] vDC Cloning: Created vDCCloningUpdate event.
15:14:01 [INFO] vDC Cloning: Created vDCCloningComplete event.

• Stoppa NetLogon-tjänsten så att domänkontrollanten inte annonserar

15:14:01 [INFO] Stopping service NETLOGON
15:14:01 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0)
15:14:01 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7 states
15:14:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=3
15:14:02 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=1
15:14:02 [INFO] DsRolepWaitForService: exiting because NETLOGON entered STOPPED state
15:14:02 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service returned 0
15:14:02 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
15:14:02 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
15:14:02 [INFO] StopService on NETLOGON returned 0
15:14:02 [INFO] Configuring service NETLOGON to 1 returned 0
15:14:02 [INFO] Updating service status to 4
15:14:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Undersök dccloneconfig.xml-filen för att se om det finns administratörsdefinierade anpassningar.

• I det här exempelfallet är det en tom fil, så alla inställningar genereras automatiskt och automatisk IP-adressering krävs från nätverket

15:14:02 [INFO] vDC Cloning: Clone config file C:\Windows\NTDS\DCCloneConfig.xml is considered to be a blank file (containing 0 bytes)
15:14:02 [INFO] vDC Cloning: Parsing clone config file C:\Windows\NTDS\DCCloneConfig.xml returned HRESULT 0x0

• Kontrollera att det inte finns några tjänster eller program installerade som inte ingår i DefaultDCCloneAllowList.xml eller CustomDCCloneAllowList.xml

15:14:02 [INFO] vDC Cloning: Checking allowed list:
15:14:03 [INFO] vDC Cloning: Completed checking allowed list:
15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Aktivera DHCP på nätverkskorten, eftersom IP-information inte har angetts av administratören

15:14:03 [INFO] vDC Cloning: Enable DHCP:
15:14:03 [INFO] WMI Instance: Win32_NetworkAdapterConfiguration.Index=12
15:14:03 [INFO] Method: EnableDHCP
15:14:03 [INFO] HRESULT code: 0x0 (0)
15:14:03 [INFO] Return Value: 0x0 (0)
15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Leta upp PDC-emulatorn

• Ställ in klonens plats (genereras automatiskt i det här fallet)

• Ställ in klonens namn (genereras automatiskt i det här fallet)

15:14:03 [INFO] vDC Cloning: Found PDC. Name: DC1.root.fabrikam.com
15:14:04 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:04 [INFO] vDC Cloning: Winlogon UI Notification #1: Domain Controller cloning is at 5% completion...
15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #2: Domain Controller cloning is at 10% completion...
15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:05 [INFO] Site of the cloned DC: Default-First-Site-Name

• Skapa det nya klondatorobjektet

• Byt namn på klonen så att den matchar det nya namnet

15:14:05 [INFO] vDC Cloning: Clone DC objects are created on PDC.
15:14:05 [INFO] Name of the cloned DC: DC2-CL0001
15:14:05 [INFO] DsRolepSetRegStringValue on System\CurrentControlSet\Services\NTDS\Parameters\CloneMachineName to DC2-CL0001 returned 0
15:14:05 [INFO] vDC Cloning: Save CloneMachineName in registry: 0x0 (0)

• Ange kampanjinställningar baserat på tidigare dccloneconfig.xml eller regler för automatisk generering

15:14:05 [INFO] vDC Cloning: Promotion parameters setting:
15:14:05 [INFO] DNS Domain Name: root.fabrikam.com
15:14:05 [INFO] Replica Partner: \\DC1.root.fabrikam.com
15:14:05 [INFO] Site Name: Default-First-Site-Name
15:14:05 [INFO] DS Database Path: C:\Windows\NTDS
15:14:05 [INFO] DS Log Path: C:\Windows\NTDS
15:14:05 [INFO] SysVol Root Path: C:\Windows\SYSVOL
15:14:05 [INFO] Account: root.fabrikam.com\DC2-CL0001$
15:14:05 [INFO] Options: DSROLE_DC_CLONING (0x800400)

• Starta befordran

15:14:05 [INFO] Promote DC as a clone
15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #3: Domain Controller cloning is at 15% completion...
15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #4: Domain Controller cloning is at 16% completion...
15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:05 [INFO] Validate supplied paths
15:14:05 [INFO] Validating path C:\Windows\NTDS.
15:14:05 [INFO] Path is a directory
15:14:05 [INFO] Path is on a fixed disk drive.
15:14:05 [INFO] Validating path C:\Windows\NTDS.
15:14:05 [INFO] Path is a directory
15:14:05 [INFO] Path is on a fixed disk drive.
15:14:05 [INFO] Validating path C:\Windows\SYSVOL.
15:14:05 [INFO] Path is on a fixed disk drive.
15:14:05 [INFO] Path is on an NTFS volume
15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #5: Domain Controller cloning is at 17% completion...
15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:05 [INFO] Start the worker task
15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #6: Domain Controller cloning is at 20% completion...
15:14:05 [INFO] Request for promotion returning 0
15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #7: Domain Controller cloning is at 21% completion...
15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Stoppa och konfigurera alla AD DS-relaterade tjänster (NTDS, NTFRS/DFSR, KDC, DNS)

15:14:15 [INFO] Stopping service NTDS
15:14:15 [INFO] Stopping service NtFrs
15:14:15 [INFO] ControlService(STOP) on NtFrs returned 1(gle=0)
15:14:15 [INFO] DsRolepWaitForService: waiting for NtFrs to enter one of 7 states
15:14:15 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1 (gle=0), SvcStatus.dwCS=3
15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1 (gle=0), SvcStatus.dwCS=1
15:14:16 [INFO] DsRolepWaitForService: exiting because NtFrs entered STOPPED state
15:14:16 [INFO] DsRolepWaitForService(for any end state) on NtFrs service returned 0
15:14:16 [INFO] ControlService(STOP) on NtFrs returned 0(gle=1062)
15:14:16 [INFO] Exiting service-stop loop after service NtFrs entered STOPPED state
15:14:16 [INFO] StopService on NtFrs returned 0
15:14:16 [INFO] Configuring service NtFrs to 1 returned 0
15:14:16 [INFO] Stopping service Kdc
15:14:16 [INFO] ControlService(STOP) on Kdc returned 1(gle=0)
15:14:16 [INFO] DsRolepWaitForService: waiting for Kdc to enter one of 7 states
15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1 (gle=0), SvcStatus.dwCS=3
15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1 (gle=0), SvcStatus.dwCS=1
15:14:17 [INFO] DsRolepWaitForService: exiting because Kdc entered STOPPED state
15:14:17 [INFO] DsRolepWaitForService(for any end state) on Kdc service returned 0
15:14:17 [INFO] ControlService(STOP) on Kdc returned 0(gle=1062)
15:14:17 [INFO] Exiting service-stop loop after service Kdc entered STOPPED state
15:14:17 [INFO] StopService on Kdc returned 0
15:14:17 [INFO] Configuring service Kdc to 1 returned 0
15:14:17 [INFO] Stopping service DNS
15:14:17 [INFO] ControlService(STOP) on DNS returned 1(gle=0)
15:14:17 [INFO] DsRolepWaitForService: waiting for DNS to enter one of 7 states
15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:18 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:19 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:20 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:21 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:22 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:23 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:24 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:25 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:26 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:27 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:28 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:29 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:30 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:31 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:32 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:33 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:34 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:35 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:36 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:37 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:38 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:39 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:40 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:41 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:42 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:43 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:44 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:45 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:46 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:47 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:48 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:49 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:50 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:51 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:52 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:53 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:54 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:55 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:56 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:57 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:58 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:14:59 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3
15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=1
15:15:00 [INFO] DsRolepWaitForService: exiting because DNS entered STOPPED state
15:15:00 [INFO] DsRolepWaitForService(for any end state) on DNS service returned 0
15:15:00 [INFO] ControlService(STOP) on DNS returned 0(gle=1062)
15:15:00 [INFO] Exiting service-stop loop after service DNS entered STOPPED state
15:15:00 [INFO] StopService on DNS returned 0
15:15:00 [INFO] Configuring service DNS to 1 returned 0
15:15:00 [INFO] ControlService(STOP) on NTDS returned 1(gle=1062)
15:15:00 [INFO] DsRolepWaitForService: waiting for NTDS to enter one of 7 states
15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1 (gle=0), SvcStatus.dwCS=3
15:15:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1 (gle=0), SvcStatus.dwCS=1
15:15:01 [INFO] DsRolepWaitForService: exiting because NTDS entered STOPPED state
15:15:01 [INFO] DsRolepWaitForService(for any end state) on NTDS service returned 0
15:15:01 [INFO] ControlService(STOP) on NTDS returned 0(gle=1062)
15:15:01 [INFO] Exiting service-stop loop after service NTDS entered STOPPED state
15:15:01 [INFO] StopService on NTDS returned 0
15:15:01 [INFO] Configuring service NTDS to 1 returned 0
15:15:01 [INFO] Configuring service NTDS
15:15:01 [INFO] Configuring service NTDS to 64 returned 0
15:15:01 [INFO] vDC Cloning: Winlogon UI Notification #8: Domain Controller cloning is at 22% completion...
15:15:01 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:01 [INFO] vDC Cloning: Winlogon UI Notification #9: Domain Controller cloning is at 25% completion...
15:15:01 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Tvinga NT5DS-tidssynkronisering (NTP) med en annan domänkontrollant (vanligtvis PDCE)

15:15:02 [INFO] Forcing time sync

• Kontakta en domänkontrollant som innehåller klonens källdomänkontrollantkonto

• Rensa alla befintliga Kerberos-biljetter

15:15:02 [INFO] Searching for a domain controller for the domain root.fabrikam.com that contains the account DC2$
15:15:02 [INFO] Located domain controller DC1.root.fabrikam.com for domain root.fabrikam.com
15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #10: Domain Controller cloning is at 26% completion...
15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:02 [INFO] Directing kerberos authentication to DC1.root.fabrikam.com returns 0
15:15:02 [INFO] DsRolepFlushKerberosTicketCache() successfully flushed the Kerberos ticket cache
15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #11: Domain Controller cloning is at 27% completion...
15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:02 [INFO] Using site Default-First-Site-Name for server \\DC1.root.fabrikam.com
15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Stoppa NetLogon-tjänsten och ställ in dess starttyp

15:15:02 [INFO] Stopping service NETLOGON
15:15:02 [INFO] Stopping service NETLOGON
15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #12: Domain Controller cloning is at 29% completion...
15:15:02 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0)
15:15:02 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7 states
15:15:02 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=3
15:15:03 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=1
15:15:03 [INFO] DsRolepWaitForService: exiting because NETLOGON entered STOPPED state
15:15:03 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service returned 0
15:15:03 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
15:15:03 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
15:15:03 [INFO] StopService on NETLOGON returned 0
15:15:03 [INFO] Configuring service NETLOGON to 1 returned 0
15:15:03 [INFO] Stopped NETLOGON
15:15:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:03 [INFO] vDC Cloning: Winlogon UI Notification #13: Domain Controller cloning is at 30% completion...

• Konfigurera DFSR/NTFRS-tjänsterna så att de körs automatiskt

• Ta bort sina befintliga databasfiler för att tvinga fram icke-auktoritativ synkronisering av SYSVOL nästa gång tjänsten startar

15:15:03 [INFO] Configuring service DFSR
15:15:03 [INFO] Configuring service DFSR to 256 returned 0
15:15:03 [INFO] Configuring service NTFRS
15:15:03 [INFO] Configuring service NTFRS to 256 returned 0
15:15:03 [INFO] Removing DFSR Database files for SysVol
15:15:03 [INFO] Removing FRS Database files in C:\Windows\ntfrs\jet
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edb.log
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00001.jrs
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00002.jrs
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbtmp.log
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\ntfrs.jdb
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\sys\edb.chk
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\temp\tmp.edb
15:15:04 [INFO] Created system volume path
15:15:04 [INFO] Configuring service DFSR
15:15:04 [INFO] Configuring service DFSR to 128 returned 0
15:15:04 [INFO] Configuring service NTFRS
15:15:04 [INFO] Configuring service NTFRS to 128 returned 0
15:15:04 [INFO] vDC Cloning: Winlogon UI Notification #14: Domain Controller cloning is at 40% completion...
15:15:04 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Starta befordringsprocessen med hjälp av den befintliga NTDS-databasfilen

• Kontakta RID-mastern

15:15:04 [INFO] Installing the Directory Service
15:15:04 [INFO] Calling NtdsInstall for root.fabrikam.com
15:15:04 [INFO] Starting Active Directory Domain Services installation
15:15:04 [INFO] Validating user supplied options
15:15:04 [INFO] Determining a site in which to install
15:15:04 [INFO] Examining an existing forest...
15:15:04 [INFO] Starting a replication cycle between DC1.root.fabrikam.com and the RID operations master (2008r2-01.root.fabrikam.com), so that the new replica will be able to create users, groups, and computer objects...
15:15:04 [INFO] Configuring the local computer to host Active Directory Domain Services
15:15:04 [INFO] EVENTLOG (Warning): NTDS General / Service Control : 1539
Active Directory Domain Services could not disable the software-based disk write cache on the following hard disk.
Hard disk:
c:
Data might be lost during system failures.
15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal Processing : 2041
Duplicate event log entries were suppressed.
See the previous event log entry for details. An entry is considered a duplicate if
the event code and all of its insertion parameters are identical. The time period for
this run of duplicates is from the time of the previous event to the time of this event.
Event Code:
80000603
Number of duplicate entries:
2
15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2121
This Active Directory Domain Services server is disabling the Recycle Bin. Deleted objects may not be undeleted at this time.

• Ändra det befintliga anrops-ID:t som fanns i källdatorns databas

• Skapa ett nytt NTDS-inställningsobjekt för den här klonen

• Replikera i AD-objektdelta från partnerdomänkontrollanten

15:15:10 [INFO] EVENTLOG (Informational): NTDS Replication / Replication : 1109
The invocationID attribute for this directory server has been changed. The highest update sequence number at the time the backup was created is as follows:
InvocationID attribute (old value):
24e7b22f-4706-402d-9b4f-f2690f730b40
InvocationID attribute (new value):
f74cefb2-89c2-442c-b1ba-3234b0ed62f8
Update sequence number:
20520
The invocationID is changed when a directory server is restored from backup media, is configured to host a writeable application directory partition, has been resumed after a virtual machine snapshot has been applied, after a virtual machine import operation, or after a live migration operation. Virtualized domain controllers should not be restored using virtual machine snapshots. The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services-aware backup application.
15:15:10 [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1168
Internal error: An Active Directory Domain Services error has occurred.
Additional Data
Error value (decimal):
2
Error value (hexadecimal):
2
Internal ID:
7011658
15:15:11 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC1.root.fabrikam.com...
15:15:11 [INFO] Replicating the schema directory partition
15:15:11 [INFO] Replicated the schema container.
15:15:12 [INFO] Active Directory Domain Services updated the schema cache.
15:15:12 [INFO] Replicating the configuration directory partition
15:15:12 [INFO] Replicating data CN=Configuration,DC=root,DC=fabrikam,DC=com: Received 2612 out of approximately 2612 objects and 94 out of approximately 94 distinguished name (DN) values...
15:15:12 [INFO] Replicated the configuration container.
15:15:13 [INFO] Replicating critical domain information...
15:15:13 [INFO] Replicating data DC=root,DC=fabrikam,DC=com: Received 109 out of approximately 109 objects and 35 out of approximately 35 distinguished name (DN) values...
15:15:13 [INFO] Replicated the critical objects in the domain container.

• Fyll i GC-partitionerna efter behov med eventuella uppdateringar som saknas

• Slutför den viktiga AD DS-delen av kampanjen

15:15:13 [INFO] EVENTLOG (Informational): NTDS General / Global Catalog : 1110
Promotion of this domain controller to a global catalog will be delayed for the following interval.
Interval (minutes):
5
This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.
15:15:14 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1000
Microsoft Active Directory Domain Services startup complete, version 6.2.8225.0
15:15:15 [INFO] Creating new domain users, groups, and computer objects
15:15:16 [INFO] Completing Active Directory Domain Services installation
15:15:16 [INFO] NtdsInstall for root.fabrikam.com returned 0
15:15:16 [INFO] DsRolepInstallDs returned 0
15:15:16 [INFO] Installed Directory Service

• Slutför den inkommande replikeringen av SYSVOL

15:15:16 [INFO] vDC Cloning: Winlogon UI Notification #15: Domain Controller cloning is at 60% completion...
15:15:16 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] Completed system volume replication
15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #16: Domain Controller cloning is at 70% completion...
15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] SetProductType to 2 [LanmanNT] returned 0
15:15:18 [INFO] Set the product type
15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #17: Domain Controller cloning is at 71% completion...
15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #18: Domain Controller cloning is at 72% completion...
15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] Set the system volume path for NETLOGON
15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #19: Domain Controller cloning is at 73% completion...
15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] Replicating non critical information
15:15:18 [INFO] User specified to not replicate non-critical data
15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #20: Domain Controller cloning is at 80% completion...
15:15:18 [INFO] Stopped the DS
15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event.
15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #21: Domain Controller cloning is at 90% completion...
15:15:18 [INFO] Configuring service NTDS
15:15:18 [INFO] Configuring service NTDS to 16 returned 0

• Aktivera DNS-registrering för klient

15:15:18 [INFO] vDC Cloning: Set DisableDynamicUpdate reg value to 0 to enable dynamic update records registration.
15:15:18 [INFO] vDC Cloning: Set UseDynamicDns reg value to 1 to enable dynamic update records registration.
15:15:18 [INFO] vDC Cloning: Set RegistrationEnabled reg value to 1 to enable dynamic update records registration.

• Kör de SYSPREP-moduler som anges av DefaultDCCloneAllowList.xml <SysprepInformation-elementet> .

15:15:18 [INFO] vDC Cloning: Running sysprep providers.
15:15:32 [INFO] vDC Cloning: Completed running sysprep providers.

• Kloningskampanjen är klar

• Ta bort DSRM-startflaggan så att servern startar normalt nästa gång

• Byt namn på dccloneconfig.xml så att den inte läses igen vid nästa uppstart

• Starta om datorn

15:15:32 [INFO] The attempted domain controller operation has completed
15:15:32 [INFO] Updating service status to 4
15:15:32 [INFO] DsRolepSetOperationDone returned 0
15:15:32 [INFO] vDC Cloning: Set vDCCloningComplete event.
15:15:32 [INFO] vDC Cloneing: Clearing Boot into DSRM flag succeeded.
15:15:32 [INFO] vDC Cloning: Winlogon UI Notification #22: Cloning Domain Controller succeeded. Now rebooting...
15:15:33 [INFO] vDC Cloning: Renamed vDC clone configuration file.
15:15:33 [INFO] vDC Cloning: The old name is: C:\Windows\NTDS\DCCloneConfig.xml
15:15:33 [INFO] vDC Cloning: The new name is: C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml
15:15:34 [INFO] vDC Cloning: Release Ipv4 on interface 'Wired Ethernet Connection 2', result=0.
15:15:34 [INFO] vDC Cloning: Release Ipv6 on interface 'Wired Ethernet Connection 2', result=0.
15:15:34 [INFO] Rebooting machine

Händelselogg för Active Directory Web Services

Medan kloning sker, NTDS. DIT-databasen är ofta offline under längre perioder. ADWS-tjänsten loggar minst en händelse för detta. När kloningen är klar startar ADWS-tjänsten, noterar att det ännu inte finns något giltigt datorcertifikat (det kan finnas eller inte, beroende på din miljö som distribuerar en Microsoft PKI med automatisk registrering eller inte) och startar sedan instansen för den nya domänkontrollanten.

Händelselogg för DNS-server

DNS-tjänsten kommer att uppleva korta förväntade avbrott medan kloning sker, eftersom DNS-tjänsten fortfarande körs medan AD DS-databasen är offline. Detta inträffar om du använder Active Directory Integrated DNS, men inte om du använder Standard Primär eller Sekundär DNS. Dessa fel loggas flera gånger. När kloningen är klar är DNS online igen som vanligt.

Händelselogg för filreplikeringstjänsten

Filreplikeringstjänsten synkroniseras icke-auktoritativt från en partner under kloningen. Kloning åstadkommer detta genom att ta bort NTFRS-databasfilerna och lämna innehållet i SYSVOL orört, för användning som förinställda data. De två försöken att synkronisera förväntas.

Händelselogg för DFS-replikering

DFSR-tjänsterna synkroniseras icke-auktoritativt från en partner under kloningen. Kloning åstadkommer detta genom att ta bort DFSR-databasfilerna och lämna innehållet i SYSVOL orört, för användning som förinställda data. De två försöken att synkronisera förväntas.

Felsöka säker återställning av virtualiserade domänkontrollanter

Verktyg för felsökning

Loggningsalternativ

De inbyggda loggarna är det viktigaste verktyget för felsökning av problem med säker återställning av ögonblicksbilder för domänkontrollanten. Alla dessa loggar är aktiverade och konfigurerade för maximal utförlighet som standard.

Verktyg och kommandon för felsökning av domänkontrollantkonfiguration

Om du behöver felsöka problem som inte förklaras i loggarna använder du följande verktyg som utgångspunkt:

• Dcdiag.exe

• Repadmin.exe

• Nätverksövervakare 3.4

Allmän metod för felsökning av säker återställning av domänkontrollant

1. Förväntas den säkra återställningen av ögonblicksbilder, men har problem?

   1. Granska händelseloggen för katalogtjänster

      1. Finns det fel vid återställning av ögonblicksbilder?

      2. Finns det AD-replikeringsfel?

   2. Granska händelseloggen för systemet

      1. Finns det kommunikationsfel?

      2. Finns det AD-fel?

2. Är den säkra återställningen av ögonblicksbilden oväntad?

   1. Granska hypervisor-granskningsloggarna för att avgöra vem eller vad som orsakade en återställning

   2. Kontakta alla administratörer av hypervisor-programmet och fråga dem om vem som återställde den virtuella datorn utan föregående meddelande

3. Implementerar servern USN-återställningsskydd och återställer inte på ett säkert sätt?

   1. Granska händelseloggen för katalogtjänster för att se om det finns en hypervisor eller integreringstjänster som inte stöds

   2. Undersök operativsystemet och verifiera att du kör Windows Server 2012?

Felsökning av specifika problem

Events

Alla virtualiserade domänkontrollanter skriver till händelseloggen för katalogtjänster för den återställda virtuella domänkontrollanten. Händelseloggarna Program, System, Filreplikeringstjänst och DFS Replication kan också innehålla användbar felsökningsinformation för misslyckade återställningar.

Nedan visas Windows Server 2012 säkra återställningsspecifika händelser i händelseloggen för katalogtjänster.

Felmeddelanden

Det finns inga direkta interaktiva fel för misslyckad säker återställning av ögonblicksbilder för virtualiserad domänkontrollant. alla kloningsinformationsloggar i händelseloggarna för katalogtjänster. Naturligtvis visar sig alla kritiska replikerings- eller serverannonseringsfel som symptom någon annanstans.

Kända problem och supportscenarier

Den allmänna metoden för felsökning av säker återställning av domänkontrollanter är vanligtvis tillräcklig för att felsöka de flesta problem.

Avancerad felsökning

Den här modulen syftar till att lära ut avancerad felsökning med hjälp av arbetsloggar som exempel, med en förklaring av vad som hände. Om du förstår hur en lyckad virtualiserad domänkontrollantoperation ser ut blir fel uppenbara i din miljö. Dessa loggar presenteras av deras källa, med den stigande ordningen för förväntade händelser relaterade till en klonad domänkontrollant i varje logg.

Återställa en domänkontrollant som replikerar SYSVOL med hjälp av DFSR

Händelselogg för katalogtjänster

Katalogtjänstloggen innehåller den mest säkra driftinformationen för återställning. Hypervisor-programmet ändrar VM-Generation-ID:t och NTDS-tjänsten noterar det, ogiltigförklarar sedan RID-poolen och ändrar anrops-ID:t. Det nya VM-Generation-ID:t anges och servrarna replikerar inkommande AD-data. DFSR-tjänsten stoppas och dess databas som är värd för SYSVOL tas bort, vilket tvingar fram en icke-auktoritativ inkommande synkronisering. USN-högvattenmärket justeras.

Systemhändelselogg

I systemhändelseloggen noteras den datortid som inträffar när en virtuell dator offline tas online igen och synkroniseras med värdtiden. RID-poolen ogiltigförklaras och DFSR- eller FRS-tjänsterna startas om.

Programhändelseloggen

Programhändelseloggen noterar att DFSR-databasen stoppas och startas.

Händelselogg för DFS-replikering

DFSR-tjänsten stoppas och databasen som innehåller SYSVOL tas bort, vilket tvingar fram en icke-auktoritativ synkronisering inkommande.

Återställa en domänkontrollant som replikerar SYSVOL med hjälp av FRS

Händelseloggen för filreplikering används i stället för DFSR-händelseloggen i det här fallet. Programhändelseloggen skriver också olika FRS-relaterade händelser. I övrigt är loggmeddelandena för katalogtjänster och systemhändelser i allmänhet desamma och i samma ordning som tidigare beskrivits.

Händelselogg för filreplikeringstjänsten

FRS-tjänsten stoppas och startas om med ett D2 BURFLAGS-värde för att icke-auktoritativt synkronisera SYSVOL.

Programhändelseloggen

FRS-databasen stoppas och startar och rensas på grund av D2 BURFLAGS-åtgärden.