域控服务器同步出错,提示“SyncAll 退出,发生 Win32 致命错误: 8440 (0x20f8)”
问题现象
意外断电后,客户端无法从域控获取用户信息
尝试repadmin /syncall主域与辅域同步出错,错误信息如下
回拨消息: 与服务器 fe0d5fdf-7432-4750-a297-97e0c236206b._msdcs.GMP.RECBIO.LOCAL 联系发生错误(网络错误): -2146893022 (0x80090322):
目标主要名称不正确。
回拨消息: 与服务器 c3417568-1d76-44c9-ae23-d0d9fbec26a8._msdcs.GMP.RECBIO.LOCAL 联系发生错误(网络错误): -2146893022 (0x80090322):
目标主要名称不正确。
SyncAll 退出,发生 Win32 致命错误: 8440 (0x20f8):
为这个复制操作所指定的命名上下文无效。解决方法
步骤一:
按照以下方式进行处理:
1.在目标域控制器上停止KDC服务。若要执行此操作,请在命令提示符下运行以下命令:net stop KDC
2.通过使用 AD 站点和服务或 Repadmin 启动从源域控制器的目标域控制器上的复制。
使用 repadmin:Repadmin replicate destinationDC sourceDC DN_of_Domain_NC
例如,如果复制失败在 ContosoDC2.contoso.com 上,在 ContosoDC1.contoso.com 上运行以下命令:Repadmin replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
3.在目标域控制器上启动 Kerberos KDC 服务。若要执行此操作,请运行以下命令:net start KDC
停止KDC服务后,使用Repadmin -replicate,报错
DsReplicaSync() 失败,状态: 8456 (0x2108):步骤二:
检查注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters,发现DSA not writable值为4
删除DSA not writable
执行以下命令启用复制
repadmin /options <servername> -DISABLE_OUTBOUND_REPL
repadmin /options <servername> -DISABLE_INBOUND_REPL重启服务器
repamin常用命令:repadmin /syncall 同步所有的域控repadmin /syncall /force 强制同步所有的域控repadmin /showrepl 查询域控之间的复制信息repadmin /replsummary 查看复制报告
https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/identity/replication-error-8456-8457
https://www.msnoob.com/fix-ad-replication-issue-because-of-usn-rollback.html