前天,服务器出现了大量的ntds kcc 1311 1865 1566的错和警告。主域控和大陆的域控都大量的出现该警告和错误。
在微软帮助中心也找到该错的解决办法,但是还是无法解决,而且解决方法复杂。。用了一天时间,查询了大量的资料,

我用备份还原了ad,问题依旧。。

无意中我手动复制ntds时,出现了目标名不正确,于是,上帮助中心,查询了大量的资料。
找到解决办法,决定用此方法来解决ntds kcc错误及域之间复制的问题。

下面是我在微软帮助中心找到的解决办法。
要解决此问题,应首先确定哪个域控制器是当前的主域控制器 (PDC) 模拟器操作主机角色担任者。为此,请使用下面两

种方法之一:
从 Windows 2000 支持工具中安装 Netdom.exe 实用工具,然后运行下面的命令:
netdom query fsmo
启动“Active Directory 用户和计算机”管理单元,右键单击该域,然后单击操作主机。单击 PDC 选项卡,当前的角色

担任者将显示在“操作主机”窗口中。在此选项卡上,您可以将操作主机角色更改为第二个窗口中的当前计算机(如果此

计算机不是当前担任者)。
使用 Ntdsutil.exe 实用工具(包括在 Windows 2000 中)和资源工具包中的命令行实用工具。不过,这些界面是建议

更高级的用户使用的。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
234790 如何查找 FSMO 角色担任者(服务器)
在遇到此问题的域控制器上,禁用 Kerberos 密钥发行中心服务 (KDC)。为此,请按照下列步骤操作:
单击开始,指向程序,单击管理工具,然后单击服务。
双击 KDC,将启动类型设置为禁用,然后重新启动计算机。
在计算机重启后,使用 Netdom 实用工具重置这些域控制器和 PDC 模拟器操作主机角色担任者之间的安全通道。为此,

请从 PDC 模拟器操作主机角色担任者以外的域控制器运行下面的命令:
netdom resetpwd /server:服务器名 /userd:域名\administrator /passwordd:管理员密码
其中服务器名是作为 PDC 模拟器操作主机角色担任者的服务器的名称。++

netdom resetpwd /server:server /userd:ist.local\administrator /passwordd: *****

首先,我上了主域控和额外域控,用netdom query fsmo查看一下当前的五角色是哪台服务器。
然后,禁用主域控的kcc服务,重启登陆。再回到额外域控,使用 
netdom resetpwd /server:server /userd:ist.local\administrator /passwordd: *****
,完成成功,安全通道被重置。。注意,一定要让主域控服务器重启并完成网络连接。不然不会成功。。
完成后,重启并开启kcc服务。。

现在看来,二台服务器的kcc错误少了很多,但是又显示出了dns报错,复制一样无法完成。。

日志显示 dns 6702错误:
Active Directory有以下的源域控制器的DNS主机名称无法解析为一个IP地址。此错误阻止的增加,删除和更改Active 

Directory中,在森林中的一个或多个域控制器之间的复制。安全组,组策略,用户和计算机和域控制器之间的不一致,

直到他们的密码将是解决此错误。可能会影响登录身份验证和访问网络资源的影响

源域控制器:
 是服务器
失败的DNS主机名称:
 c1f4a8b2 - 11C4 -4059 -8419 - fd1f97e8014b._msdcs.ist.local
 
注意:默认情况下,最多只有10个DNS故障显示为一个周期为12小时,甚至发生故障时,如果超过10个。设置以下注册表

值设为1,记录所有独立故障事件:
 
注册表路径:
HKLM \ SYSTEM \ CURRENTCONTROLSET \ \ NTDS \诊断\ 22 DS RPC客户端
 
用户操作:

 
1)如果源域控制器不再工作,或已被重新安装其操作系统使用不同的计算机的名称或NTDSDSA对象的GUID的,删除元数

据从源域控制器的NTDSUTIL.EXE MSKB文章216498列出的步骤。
 
 2)确认源域控制器,Active Directory上运行,并可以通过网络访问,可以通过源DC名称> “NET VIEW \ \ <源DC >”

或“PING “回车键。
 
 3)确保源域控制器是否使用有效的DNS服务器的DNS服务,并且源域控制器的主机记录和CNAME记录的是正式注册

的DCDIAG.EXE的DNS增强版本从http://www.microsoft.com/dns运行。
 
  DCDIAG / TEST:DNS
 
 4)验证此目标域控制器DCDIAG.EXE的命令后,在控制台上运行的DNS增强版本,使用的DNS服务使用有效的DNS服务器:
 
  DCDIAG / TEST:DNS
 
 5)有关DNS错误故障的进一步分析,请参阅KB 824449:


   http://support.microsoft.com/?kbid=824449

查看了一下主域控的dns记录,发于是我直接删掉了主域控全部dns记录:不用担心,dns删除后是能还原的。最好事前作

好备份。
操作如下。
1. 控制面板->管理工具,打开dns管理器,展开正向搜索区域,右键单击domain.com区域,选择删除,在提示对话框中

选择“是”;如果存在 _msdcs.domain.com区域,右键单击_msdcs.domain.com区域,选择删除,在提示对话框中选择“是”

2. 在dns管理器中右键单击服务器,单击“清除缓存”。
3. 打开AD用户和计算机,单击查看菜单->高级功能,展开左边system/MicrosoftDNS,如果存

在domain.com或_msdcs.domain.com,删除它们。
4. 打开控制面板->服务,停止netlogon服务。
5. 打开资源管理器,删除%windir%/system32/config下netlogon.dnb,  netlogon.dns。
删除%windir%/system32/dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
6. 进入“本地连接“属性,进入TCP/IP属性,把首选dns server设为自己的ip,清除辅助dns server.
7. 打开dns管理器,右键单击正向搜索区域->新建区域,单击主要区域,选择“在Active 
Directory中存储区域”,名称为domain.com,其余默认,完成。
8. 打开控制面板->服务,启动netlogon服务。
9. 进入命令行,输入ipconfig /flushdns, 再输入ipconfig /registerdns.


重启进入主域控后,在正向区域里面,建立区域。
在这里要建二个区域,一个是domain.com的区域,一个是_msdcs.domain.com这个区域。
打开dns,单点正向区域,右键-新建区域-主区域-后面全部直接默认,记得在填写区域名时,写上domain.com,
建立msdcs.domain.com这个区域也是一样。
建完后reload一下,等着额外域控来慢慢复制dns记录过来。。。


在建好_msdcs.domain.com这个区域后,在这里面没有发现额外域控的ns和chame记录,
手动建立一个,在额外域控复制一下额外域控的aliasname,就在额外域控的 dns的_msdcs.domain.local里面就能看到。
我的是c62fc7a6-ad5e-4150-a277-017523a082ca....就是这此一串字串就是你的服务器aliasname.

第二天过来一看,服务器基本正常了,ad复制得很完好,没有出现什么故障了。