传输 FSMO 角色返回的 Win32 错误为 0x20af

对于客户，我必须测试一些域控制器场景和问题。有两个域控制器（DC01 和 DC02），并添加了一个新域控制器 (NewDC)。 FSMO 角色已移至 NewDC，并且 DC01 必须停用。你会说没什么大不了的……

域 FSMO 角色（RID 主机、PDC 和基础设施主机）立即移动，但移动林 FSMO 角色（架构主机和域命名主机）失败，并在 GUI 和 NTDSUTIL 中出现以下错误：

返回的 Win32 错误为 0x20af（请求的 FSMO 操作失败。无法联系当前 FSMO 持有者。）
根据错误代码，这可能表示连接、LDAP 或角色转移错误。

使用Netdom查询FSMO我可以看到角色。

当登录 AD01 和 NewDC 时会发生这种情况，连接不是问题，而且我没有注意到 Exchange 和 Outlook 或 OWA 客户端有任何奇怪的问题。

通过 Google，我发现了其他几个类似的问题，总体建议是抓住 FSMO 角色。当旧的域控制器不再可用时，夺取 FSMO 角色是一种选择，但在我的场景中，我必须保留旧的域控制器进行测试。

但我没有使用谷歌，而是首先查看事件日志。我发现的第一个条目是确认角色无法转移，但附加数据错误值：4 并不是很有帮助：

尝试传输由以下对象表示的操作主机角色失败。

对象：
CN=Partitions,CN=Configuration,DC=msexchangebook,DC=com
当前操作主机角色：
CN=NTDS 设置、CN=DC01、CN=服务器、CN=默认第一个站点名称、CN=站点、CN=配置、DC=msexchangebook、DC=com
建议的操作主机角色:
CN=NTDS 设置、CN=NIEUWEDC、CN=服务器、CN=默认第一个站点名称、CN=站点、CN=配置、DC=msexchangebook、DC=com

其他数据
错误值：
4

后续条目更有帮助，Event 2019，ActiveDirectory_DomainService 指示复制问题：

或者在 tekst 中进行搜索优化：

此服务器是以下 FSMO 角色的所有者，但认为它无效。对于包含 FSMO 的分区，自从该服务器重新启动以来，该服务器尚未与其任何伙伴成功复制。复制错误导致无法验证此角色。

需要联系 FSMO 操作主机的操作将会失败，直到这种情况得到纠正。

FSMO 角色：CN=Partitions、CN=Configuration、DC=msexchangebook、DC=com

用户操作：

1. 初始同步是系统在启动时完成的第一次早期复制。最初同步失败可能可以解释为什么无法验证 FSMO 角色。知识库文章 305476 中解释了此过程。
2. 此服务器有一个或多个复制伙伴，并且所有这些伙伴的复制均失败。使用命令repadmin /showrepl 显示复制错误。纠正有问题的错误。例如，IP 连接、DNS 名称解析或安全身份验证可能存在问题，从而阻止成功复制。
3. 在极少数情况下，预计所有复制伙伴都会脱机（例如，由于维护或灾难恢复），您可以强制验证角色。这可以通过使用 NTDSUTIL.EXE 将角色夺取到同一服务器来完成。这可以使用 http://support.microsoft.com 上的知识库文章 255504 和 324801 中提供的步骤来完成。

以下操作可能会受到影响：
架构：您将无法再修改此林的架构。
域命名：您将无法再在此林中添加或删除域。
PDC：您将无法再执行主域控制器操作，例如非 Active Directory 域服务帐户的组策略更新和密码重置。
RID：您将无法分配新的安全标识符用于新用户帐户、计算机帐户或安全组。
基础设施：如果目标对象被移动或重命名，跨域名引用（例如通用组成员资格）将无法正确更新。

最后发现 DNS 配置不正确，因此出现了复制问题。修复了域控制器上的 DNS 设置，不久之后域控制器恢复了复制，我能够将林 FSMO 角色移动到新的域控制器。

简而言之，在排除域控制器问题时，请务必检查事件日志、复制和 DNS ?