源服务器目前拒绝服务请求|dssite.msc手动强制同步活动目录

dssite.msc手动强制同步活动目录时出现:源服务器目前拒绝服务请求(目标服务器目前拒绝服务请求)错误错误症状：两台服务器不能进行同步。
打开[活动目录seo%20http://gnaw0725.blogbus.com/c1404552/">活动目录站点和服务]-[sites]-[default-first-site-name]-[server]-[server1]-[ntds
settings]手动复制从服务器[server2]出现错误提示：在尝试同步从域控制器server2到域控制器server1的命名上下问office时出现如下错误"源服务器目前拒绝服务请求.

打开[活动目录站点和服务]-[sites]-[default-first-site-name]-[server]-[server2]-[ntds
settings]手动复制从服务器[server1]出现错误提示：在尝试同步从域控制器server1到域控制器server2的命名上下问office时出现如下错误:目标服务器目前拒绝服务请求

PS:按照错误提示，我想应该是server2出了问题。因为以server2为源地址复制出现拒绝服务。以server2为目标地址复制出现拒绝服务。您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com

环境：
server1主域服务器，DNS服务器（192.168.2.200）[X64 win2003 sp2]
server2是辅助域服务器，辅助DNS服务器（192.168.2.210）[X32 win2003 sp2]

检查：
两个server都可以相互ping通。（IP、主机名、FQDN名都能正常ping通）
由于server1是主域服务器，两台server的DNS都指向server1.
在server1的C:\WINDOWS\SYSVOL\sysvol\office.net\Policies新建一个文件夹，可以自动迅速复制到server2的C:\WINDOWS\SYSVOL\sysvol\office.net\Policies
在server2中建立一个新用户，可以马上同步到server2上

使用过的排错方法：
重新启动两台server的File Replication Service服务。
删除两台server的dns数据文件:C:\WINDOWS\system32\config\netlogon.dns和dnd。重新启动Net Logon
在两台server上分别运行：repadmin /options server1(server2).office.net
-DISABLE_OUTBOUND_REPL。提示：Current DC Options: IS_GC    New DC Options: IS_GC
repadmin /options BUGFREE -DISABLE_INBOUND_REPL 提示：Repadmin experienced the
following error trying to resolve the DC_NAME: BUGFREE。Error: An error
occured:Win32 Error 8419(0x20e3): 找不到 DSA 对象。
还在server2中修改了HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow
Replication With Divergent and Corrupt Partner。把此word值改为10进制1。

微软的这个KB感觉可以解决我所遇见的问题。但是KB中所提到的[要变通解决此问题, 使用 Repadmin.exe 或 Replmon.exe 工具来启动特定命名上下文上复制。]我不会操作Repadmin.exe和Replmon.exe。所以也无从下手。http://support.microsoft.com/kb/303305/zh-cn 您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com


server2的dcdiag

Domain Controller Diagnosis

Performing initial setup:   Done gathering initial info.

Doing initial required tests   
   Testing server: Default-First-Site-Name\SERVER2
      Starting test: Connectivity
         ......................... SERVER2 passed test Connectivity

Doing primary tests   
   Testing server: Default-First-Site-Name\SERVER2
      Starting test: Replications
         [Replications Check,SERVER2] Inbound replication is disabled.
         To correct, run "repadmin /options SERVER2 -DISABLE_INBOUND_REPL"
         [Replications Check,SERVER2] Outbound replication is disabled.
         To correct, run "repadmin /options SERVER2 -DISABLE_OUTBOUND_REPL"
         ......................... SERVER2 failed test Replications
      Starting test: NCSecDesc
         ......................... SERVER2 passed test NCSecDesc
      Starting test: NetLogons
         ......................... SERVER2 passed test NetLogons
      Starting test: Advertising
         Warning: DsGetDcName returned information for \\server1.office.net,
when we were trying to reach SERVER2.
         Server is not responding or is not considered suitable.
         ......................... SERVER2 failed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... SERVER2 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... SERVER2 passed test RidManager
      Starting test: MachineAccount
         ......................... SERVER2 passed test MachineAccount
      Starting test: Services
            NETLOGON Service is paused on [SERVER2]
         ......................... SERVER2 failed test Services
      Starting test: ObjectsReplicated
……
      Starting test: kccevent
         An Error Event occured.  EventID: 0xC0250837
            Time Generated: 01/12/2008   16:10:47
            (Event String could not be retrieved)
         An Warning Event occured.  EventID: 0x8000051C
            Time Generated: 01/12/2008   16:15:17
            (Event String could not be retrieved)
         ......................... SERVER2 failed test kccevent
      Starting test: systemlog

server2的netdiag 您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com/c1404552/

..................................

    Computer Name: SERVER2
    DNS Host Name: server2.office.net
    System info : Microsoft Windows Server 2003 R2 (Build 3790)
    Processor : x86 Family 15 Model 6 Stepping 5, GenuineIntel
    List of installed hotfixes :
        KB921503
        KB924667-v2
……
The command completed successfully

server2的[事件查看器]-[目录服务]

来源：NTDS Replication 类别：复制 事件ID：2095（错误）
Active Directory 复制请求过程中，本地域控制器(DC) 识别出一个远程 DC 已经从本地 DC 接收了复制数据， 并且使用已知 USN 跟踪号。 
 由于远程 DC 确信其 Active Directory 数据库比本地 DC 的更新，远程 DC 不会将以后的更改应用到自己的 Active Directory 数据库副本，或将更改复制到自己的 直接和可传递的复制伙伴(来自本地 DC)。
 
 如果不立即纠正这个问题，将导致此源 DC 和一个或多个直接 和可传递的复制伙伴之间的 Active Directory 数据库不一致。 特别是用户、计算机和信任关系、相应密码、安全组、安全组 成员身份和其他 Active Directory 配置数据可能不同， 这将影响登录、查找有关对象和执行其他重要操作。
 
 要确定是否存在此错误配置，请使用此事件 ID 搜索 http://support.microsoft.com，或与您的 Microsoft 产品支持联系。 此情况的常见原因是，在本地域控制器上 Active  Directory 的还原不正确。
 
 用户操作: 如果此情况由于还原错误或失误造成的，请强制降级该 DC。
 
远程 DC:f4f13981-8e8d-439b-8a8b-d0a3f10739e8
分区:CN=Configuration,DC=office,DC=net
远程 DC 报告的 USN:479396
本地 DC 报告的 USN:471411

来源：NTDS Replication 类别：复制 事件ID：1699（错误）
本地域控制器无法检索下列目录分区请求的更改。因此无法发送更改请求到如下网络地址的域控制器。
 
目录分区:CN=Configuration,DC=office,DC=net
网络地址:f4f13981-8e8d-439b-8a8b-d0a3f10739e8._msdcs.office.net
扩展请求码:0
 
其他数据
错误值:8451 复制操作遇到一个数据库错误。

来源：NTDS Replication 类别：复制 事件ID：1863（错误）
这是本地域控制器上下列目录分区的复制状态。
 
目录分区:DC=DomainDnsZones,DC=office,DC=net  
本地域控制器在配置的延迟间隔内没有收到来自一系列域控制器的复制信息。
 
延迟间隔 (小时): 24
所有站点内的域控制器数量:1
此站点内的域控制器数量:1
 
可以用下列注册表项修改延迟间隔。
 
注册表项:  HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Replicator latency
error interval (hours)  
要用名称识别域控制器，请安装 installation CD 上包含 的支持工具并运行 dcdiag.exe。
您也可以用支持工具 repadmin.exe 来显示林内域控制器的 复制延迟。命令是 "repadmin /showvector /latency "。

来源：NTDS General 类别：服务控制 事件ID：2103（错误）
描述：Active Directory 数据库已经使用不受支持的还原过程还原。 如果此情况持续，Active Directory 将无法登录用户。因此，Net Logon 服务已经暂停。 您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
 
用户操作
查看前一个事件日志以获得详细信息。

来源：NTDS KCC 类别：知识一致性检查器 事件ID：1308(警告)
描述：知识一致性检查器(KCC)已经检测到与下列域控制器复制的持续尝试一直失败。
 
尝试:1548
域控制器:CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=office,DC=net
时间周期(分钟):3060
 
此域控制器的连接对象将被忽略，而且将建立新的临时连接以确保复制继续。一旦此域控制器的复制恢复，将删除临时连接。
 
额外数据
错误值:8457 目标服务器目前拒绝复制请求。

来源：NTDS General 类别：复制 事件ID：1115(警告)
描述：出站复制已经被用户禁用。

来源：NTDS General 类别：复制 事件ID：1113(警告)
描述：入站复制已经被用户禁用。

来源：NTDS General 类别：正在进行内部处理 事件ID：1173(警告)
内部事件: Active Directory 遇到下列异常及相关参数。
 
异常:e0010002 参数:0
 
额外数据
错误值:8451
内部 ID:108132e

来源：NTDS Replication 类别：复制 事件ID：2093(警告)
远程服务器(即 FSMO 角色的所有者)没有响应。此服务器 最近没有与 FSMO 角色所有者复制。  
此情况被更正之前，需要与 FSMO 操作主机联系的操作 将失败。
 
FSMO 角色: CN=Schema,CN=Configuration,DC=office,DC=net
FSMO 服务器 DN: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=office,DC=net
延迟阀值(小时): 24
自上一次成功复制后的运行时间(小时): 46
 
用户操作:  
此服务器尚未与 FSMO 角色主持服务器成功地复制。
1. FSMO 角色主持服务器可能关机或没有响应。请解决 此服务器的故障。
2. 确定角色是否在 FSMO 角色主持服务器上正确设置。如果角色需要调整，请使用 NTDSUTIL.EXE 转移或获取角色。可以使用 http://support.microsoft.com 上 KB 文章 255504 和324801 中提供的步骤来完成。 您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
3. 如果 FSMO 角色主持服务器曾经是域控制器，但是降级 失败，那么代表该服务器的对象仍然存在于林中。如果
域控制器重新安装了操作系统或执行了强制删除，可能 发生这种情况。应该使用 NTDSUTIL.EXE 元数据清除功能 删除这些延迟状态对象。
4.  FSMO 角色主持者可能不是直接复制伙伴。如果它是 间接或可传递的伙伴，那么复制数据必须流经这些中间复制伙伴(一个或多个)。端到端的总复制滞后时间应该小于复制 滞后时间阀值，否则总是报告这个警告。
5. 复制在 FSMO 角色主持服务器和此服务器之间的 服务器路径上某处受阻。请查阅林拓扑计划以确定这些服务器之间复制的最佳路由。请在这些服务器的每一台上 使用 repadmin /showrepl 检查复制的状态。
 
下列操作可能受影响:
架构: 您不再能够修改此林的架构。
域命名: 您将不再能够向此林添加域或从此林删除域。
PDC: 您将不再能够执行主域控制器操作，如组策略更新和重置非 Active Directory 帐户的密码。
RID: 您将不能够为新用户帐户、计算机帐户和安全组分配新安全标识符。
结构: 跨域名称引用(如通用组成员)在其目标对象被移动或重命名后将不再正确更新。

server1的dcdiag

Domain Controller Diagnosis Performing initial setup:
   Done gathering initial info.
Doing initial required tests   
   Testing server: Default-First-Site-Name\SERVER1
      Starting test: Connectivity
         ......................... SERVER1 passed test Connectivity

Doing primary tests   
   Testing server: Default-First-Site-Name\SERVER1
      Starting test: Replications
         [Replications Check,SERVER1] A recent replication attempt failed:
            From SERVER2 to SERVER1
            Naming Context: DC=DomainDnsZones,DC=office,DC=net
            The replication generated an error (8456):
            源服务器目前拒绝复制请求。
            The failure occurred at 2008-01-12 12:54:52.
            The last success occurred at 2008-01-10 14:48:30.
            47 failures have occurred since the last success.
            Replication has been explicitly disabled through the server
options.
         [Replications Check,SERVER1] A recent replication attempt failed:
            From SERVER2 to SERVER1
            Naming Context: CN=Schema,CN=Configuration,DC=office,DC=net
            The replication generated an error (8456):
            源服务器目前拒绝复制请求。
            The failure occurred at 2008-01-12 12:54:52.
            The last success occurred at 2008-01-10 14:48:30.
            47 failures have occurred since the last success.
            Replication has been explicitly disabled through the server
options.
         [Replications Check,SERVER1] A recent replication attempt failed:
            From SERVER2 to SERVER1
            Naming Context: CN=Configuration,DC=office,DC=net
            The replication generated an error (8456):
            源服务器目前拒绝复制请求。
            The failure occurred at 2008-01-12 13:21:21.
            The last success occurred at 2008-01-10 15:10:44.
            118 failures have occurred since the last success.
            Replication has been explicitly disabled through the server
options.
         [Replications Check,SERVER1] A recent replication attempt failed:
            From SERVER2 to SERVER1
            Naming Context: DC=office,DC=net
            The replication generated an error (8456):
            源服务器目前拒绝复制请求。
            The failure occurred at 2008-01-12 13:44:25.
            The last success occurred at 2008-01-10 15:10:35.
            194 failures have occurred since the last success.
            Replication has been explicitly disabled through the server
options.
         REPLICATION-RECEIVED LATENCY WARNING
         SERVER1:  Current time is 2008-01-12 13:46:04.
            DC=DomainDnsZones,DC=office,DC=net
               Last replication recieved from SERVER2 at 2008-01-10 14:48:30.
            CN=Schema,CN=Configuration,DC=office,DC=net
               Last replication recieved from SERVER2 at 2008-01-10 14:48:30.
            CN=Configuration,DC=office,DC=net
               Last replication recieved from SERVER2 at 2008-01-10 15:10:44.
            DC=office,DC=net
               Last replication recieved from SERVER2 at 2008-01-10 15:10:35.
         ......................... SERVER1 passed test Replications

server1上的[事件查看器]-[目录服务]
同上错误有：您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
来源：NTDS Replication 类别：复制 事件ID：1863（错误）
来源：NTDS KCC 类别：知识一致性检查器 事件ID：1308(警告)

来源：NTDS Replication 类别：复制 事件ID：2092（错误）
此服务器是下列 FSMO 角色的所有者，但认为其无效。 对于包含 FSMO 的分区，此服务器自重新启动后尚未 成功地与其伙伴中的任何一个复制。复制错误阻止验证 此角色。  
在此情况被更正之前，需要与 FSMO 操作主机联系的操作 将失败。  
FSMO 角色: CN=Schema,CN=Configuration,DC=office,DC=net
 
用户操作:
 
1. 初始同步是系统启动后由系统执行的第一次复制。初始同步故障可能说明 FSMO 角色无法被验证的原因。KB 文章 305476 解释了这一过程。
2. 此服务器拥有一个或多个复制伙伴，而且与所有这些伙伴的复制都失败。 请使用命令 repadmin /showrepl
显示复制错误。请更正有疑问的错误。 例如，IP 连接、DNS 名称解析或安全身份验证可能存在问题， 这些问题将导致复制失败。
3. 在最罕见的情况下，所有复制伙伴都没有联机，这可能发生，可能的原因包括维护和灾难恢复，您可以强制验证该角色。可以通过使用 NTDSUTIL.EXE
获取同一服务器的角色来完成。也可以使用 http://support.microsoft.com 上 KB 文章 255504 和 324801 中提供的步骤来完成。
 
下列操作可能受影响:
架构: 您不再能够修改此林的架构。
域命名: 您将不再能够向此林添加域或从此林删除域。
PDC: 您将不再能够执行主域控制器操作，如组策略更新和重置非 Active Directory 帐户的密码。
RID: 您将不能够为新用户帐户、计算机帐户和安全组分配新安全标识符。
结构: 跨域名称引用(如通用组成员)在其目标对象被移动或重命名后将不再正确更新。

来源：NTDS Replication 类别：DS RPC 客户端 事件ID：2087（错误）
Active Directory 无法将下列源域控制器的 DNS 主机名 解析为 IP 地址。这个错误阻止在林中的一个或多个 域控制器之间复制 Active Directory 中的添加、删除 和更改。除非纠正这个错误，域控制器之间的安全组、 组策略、用户和计算机及其密码将不一致，这可能影响登录身份验证和访问网络资源。 
 
源域控制器:  server2
失败的 DNS 主机名:  e4baf897-1d8a-4c8b-8516-67002577bfe0._msdcs.office.net
 
注意: 默认地，最多只显示任意给定 12 小时内的 10 个 DNS 故障，即使发生的故障多于 10 个。要记录所有独立故障事件，请将下列诊断注册表值设置为 1:  
注册表路径:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
 
用户操作:
 
 1) 如果这个源域控制器不再工作，或其操作系统已经 重新安装并使用其他计算机名或 NTDSDSA 对象 GUID， 请用 ntdsutil.exe 删除源域控制器元数据，这些操作 步骤可以在 MSKB 文章 216498 中找到。  您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
 2) 确认这个源域控制器正在运行 Active directory， 而且可以在网络上通过输入 "net view \\" 或 "ping " 访问。
 
 3) 验证这个源域控制器是否正在为 DNS 服务使用 有效的 DNS 服务器，并且源域控制器的主机记录和 CNAME 记录已经使用 DCDIAG.EXE 的 DNS 增强版本(可以从 http://www.microsoft.com/dns 下载)正确地注册。    dcdiag /test:dns
 
 4) 验证此目标域控制器是否正在为 DNS 服务使用 有效的 DNS 服务器，可以通过在目标或控制器的控制台上 运行 DCDIAG.EXE 的 DNS
增强版本来验证，命令如下:   dcdiag /test:dns
 
 5) 有关 DNS 错误故障的进一步分析，请参阅 KB 824449:
   http://support.microsoft.com/?kbid=824449
 
其他数据 错误值:
 11004 请求的名称有效，但是没有找到请求的类型的数据。

回答：根据您提供的信息，我们发现了以下错误信息“Error: An error occured:Win32 Error 8419(0x20e3): 找不到 DSA 对象。”，建议您尝试以下步骤进行排错：

1. 在Server1，Server2上把DNS服务器地址只指向192.168.2.200，不要指向192.168.2.210。

2. 重建连接对象
=========
a. 在Server2上，打开“Active Directory站点与服务”。
b. 展开“Sites”——“Default-First-Site-Name”——“Servers”——“ Server2”。
c. 展开“NTDS Settings”，在右边的窗口菜单中删除自动创建的连接。
d. 在右边的窗口菜单中，点击“新建Active Directory连接”，手动创建与Server1的连接。
e. 输入名称，点击“确定”。您看到的文章源自活动目录seohttp://gnaw0725.blogbus.com/c1404552/
f. 右键点击新创建的连接点击“立即复制副本”，查看测试的结果。
g. 在Server1上，重复以上的步骤，重建连接的对象更改为Server2。

3. 注册SRV记录
=========
由于DC需要通过DNS中的SRV记录进行复制，请在Server2上通过以下命令重新注册SRV记录。
a. 在命令提示符中输入：net stop netlogon
b. 进入以下文件夹%systemroot%\system32\config，重命名netlogon.dns 和netlogon.dnb。
c. 在命令提示符中输入：net strat netlogon
d. 重启DC，测试问题是否依然存在。