如何监视活动目录复制和解决相关问题

核心提示： 3. 检测被分配的动态端口没有被封闭，为了进行上述检测，如何监视活动目录复制和解决相关问题(5)，你可以使用portqry.exe 和rpcdump.exe两个工具，比如下面这个案例是用来检测TCP端口135是否打开，并且，您需要检测服务器是否注册相应的SPN 名字 (e3514235-4

3. 检测被分配的动态端口没有被封闭。

为了进行上述检测，你可以使用portqry.exe 和rpcdump.exe两个工具。比如下面这个案例是用来检测TCP端口135是否打开，并且DRS RPC endpoint的通讯是否正常：

1. 用rpcdump来查询DRS endpoint 是否已经在RPC的endpoint mapper 数据库里进行了注册

C:>Rpcdump /s /v /i > endpoint.txt

2. 打开endpoint.txt 文件，查看ncacn_ip_tcp 一段里是否有e3514235-4b06-11d1-ab04-00c04fc2dcd2 的UUID。比如：

ProtSeq:ncacn_ip_tcp

Endpoint:1025

NetOpt:

Annotation:MS NT Directory DRS Interface

IsListening:YES

StringBinding:ncacn_ip_tcp:65.53.63.15[1025]

UUID:e3514235-4b06-11d1-ab04-00c04fc2dcd2

ComTimeOutValue:RPC_C_BINDING_DEFAULT_TIMEOUT

VersMajor 4 VersMinor 0

3. 如果IsListening栏里显示的是“YES”，则TCP 135端口和DRS接口的通讯是畅通无阻的。从上面的报告，你还可以知道DRS接口使用1025动态端口。

4. 如果IsListening栏里显示“NO”，或者报告第一行就显示查寻错误，或者没有任何注册的endpoint，那么则问题可能和端口被封有关，你需要和您的网络供应商联系察看一下哪个网络设备阻断了该端口。比如：

Querying Endpoint Mapper Database...

137 registered endpoints found.

安全：

活动目录复制使用Kerberos来进行双方的身份验证，同时服务器上的安全策略配置也直接影响目录复制的正常进行。在您进行安全方面的检测时，你需要察看是否双方的服务器时间相一致，否则kerberos认证会返回相关错误。并且，您需要检测服务器是否注册相应的SPN 名字 (e3514235-4b06-11d1-ab04-00c04fc2dcd2/ntdsa_objectGUID/domainname)，保证双方的计算机密码在双方的数据库里是同步的。这里枚举了一些你在安全方面必须要进行检查的内容和步骤：