活动目录之故障解决：AD服务器间复制错误称超过tombstone生存时间

AD服务器间复制错误称超过tombstone生存时间

在操作域站点间 执行AD复制副本时出现如下错误：

AD不能与此服务器复制，因为距上一次与此服务器复制的时间已经超过了tombstone生存时间，此操作不能继续。

环境:

有A、B两台win2003域服务器，B相当于备份域服务器，手动执行从A到B的AD复制副本动作，出现如上提示。A、B服务器均能访问对方，DNS解析应该正常，但A与B的AD数据已经不同步了。

这个应该怎么处理啊？

降级再提升为DC的方法是在不得已的情况下才用的，谢谢啦。我已经找到方法了。跟大家共享一下，tombstone超时的问题应该会比较多人遇到。

如何修改默认的墓碑生存时间

1. Windows 2000和Windows 2003不带SP1的默认墓碑生存时间是60天，Windows 2003+SP1的默认墓碑生存时间是180天。

2. 修改墓碑生存时间的方法如下：

(1) 安装Windows 2003的管理工具。

(2) 运行adsiedit.msc，展开“Configuration”->“CN=configuration,DC=xxx…”->“CN=Services”->“CN=Windows NT”，右击“CN=Directory Service”->“属性”。

(3) 找到一个叫“TombstoneLifetime”的属性，设上您希望的值即可。

3. 由于配置分区是在整个森林中同步的，所以这个设置会自动复制到子域上，我们无需手动操作，但是会有一些延迟。

如果DC长时间没有复制，已经超过墓碑时间，如何恢复呢？

关于修复的详细信息，请参考以下文章：

Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042)
http://technet.microsoft.com/zh-cn/library/cc738018.aspx
http://technet.microsoft.com/zh-cn/library/34c15446-b47f-4d51-8e4a-c14527060f90

操作步骤：

1. 首先确认这个DC是否能够联系上GC，使用NSlookup命令来尝试解析GC的SRV记录，具体方法请参考：
   How to verify that SRV DNS records have been created for a domain controller

http://support.microsoft.com/?id=816587

2. 在长时间没有复制的DC上运行net time [url=file://\PDC_IP]\PDC_IP[/url]，使DC的时间与PDC同步。

3. 在长时间没有开机的DC上运行以下命令：

repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition /advisory mode

注：ServerName为长时间没有开机的DC的DNS名称，ServerGUID为DC的GUID名称，DirectoryPartition为分区名称，类似DC=example,DC=com。

确定DC的GUID请运行以下命令

repadmin /showrepl ServerName

4. 运行Regedit.exe 编辑注册表，定位到以下位置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
编辑Strict Replication Consistency，改为1。

注意：在对注册表进行操作前，应先备份注册表，“注册表编辑器”使用不当可造成严重问题，这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。

5. 然后在两台DC上都进行如下操作：

运行regedit，找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner，将这个键值设置为1。

如果没有，请您手动新建Allow Replication With Divergent and Corrupt Partner，类型为DW（双字节值）。
在做完以上操作后，重启DC，查看DC的复制情况。