Active Directory-Replikation und KCC schlagen ohne TDO fehl

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 257844 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D43988
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
257844 Active Directory Replication and KCC Fail without TDO
Alles erweitern | Alles schließen

Problembeschreibung

Im Ereignisprotokoll eines Windows 2000-Domänencontrollers kann eine der folgenden Fehlermeldungen erscheinen:

Aus der Quelle "NTDS-Replikation", Ereigniskennung 1645:
   "Fehler beim Durchführen eines authentifizierten RPC-Aufrufs
    an einen anderen Domänencontroller. Der gewünschte SPN
    (Service Principal Name) ist auf dem Zielserver nicht
    registriert. Server: afb720fd-38c7-4505-aa9f-b658ca124773.
    _msdcs.MyDomain.com.
    SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-
    4505-aa9f-b658ca124773/mydomain.com@mydomain.com.
Stellen Sie sicher, dass die Namen des Zielservers und der
    Domäne richtig sind. Stellen Sie außerdem sicher, dass die
    SPN auf dem Computerkontoobjekt für den Zielserver auf dem
    KDC, der die Anfrage bearbeitet, registriert ist. Wenn der
    Zielserver vor kurzem heraufgestuft wurde, müssen Daten
    dieser Identität des Computers auf den KDC repliziert werden,
    bevor dieser Computer authentifiziert werden kann."
Aus der Quelle "NTDS KCC", Ereigniskennung 1265:
   "Der Versuch, eine Replikationsverknüpfung mit den Parametern
    Partition:
    CN=Configuration,DC=osram,DC=net Quell-DAS-DN: CN=NTDS     Settings,CN=MyServer,CN=Servers,CN=Default-First-Site-Name,
    CN=Sites,CN=Configuration,DC=MyDomain,DC=com Quell-DAS-Adresse:
    5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com
    Intersite Transport (falls vorhanden) ist mit folgendem Status
    fehlgeschlagen: Anmeldung fehlgeschlagen:
    Der Zielkontenname ist ungültig. Die Daten befinden sich im
    Statuscode. Der Vorgang wird wiederholt."
Nach dem Versuch der Synchronisierung von Replikationspartnern mit "Active Directory-Standorte und -Dienste", "Active Directory-Replikationsmonitor" (REPLMON) oder "Repadmin.exe" wird die folgende Fehlermeldung angezeigt:
   "Anmeldung fehlgeschlagen: Der Zielkontenname ist ungültig."

Ursache

Gilt diese Fehlermeldung für die Active Directory-Replikation zwischen zwei Domänencontrollern, zwischen denen Vertrauensstellungen wie "übergeordnet/untergeordnet" oder "Struktur/Stamm" bestehen, beruht diese Fehlermeldung möglicherweise auf dem Fehlen eines entscheidenden Objekts, das die Vertrauensstellung zwischen den beiden Domänen repräsentiert. Dieses Objekt wird als "trustedDomain" (vertrauenswürdige Domäne, Abkürzung: TDO) bezeichnet und befindet sich im Systemcontainer im Snap-In "Active Directory-Benutzer und -Computer". Dieser Objekttyp verweist direkt auf die Vertrauensstellungen, die im Administrationsprogramm "Active Directory-Domänen und -Vertrauensstellungen" angezeigt werden. Ist dieses Objekt in Active Directory nicht präsent, kann die domänenübergreifenden Authentifizierung nicht erfolgreich sein, was zu den vorstehend beschriebenen Fehlern beiträgt.

Lösung

Um dieses Problem zu beheben, führen Sie bitte die folgenden Schritte aus:

Hinweis: Dieses Verfahren sollte nur angewendet werden, wenn sich das TDO für die Remote-Domäne nicht im Systemcontainer befindet.
  1. Öffnen Sie von der Domäne aus, in der die vorstehend beschriebenen Fehlermeldungen erzeugt werden, das Administrationsprogramm "Active Directory-Domänen und -Vertrauensstellungen" auf dem Domänencontroller, der Inhaber der FSMO-Rolle (Flexible Single Master Operations) für die Domäne ist. Klicken Sie mit der rechten Maustaste auf das Objekt, das die Domäne repräsentiert, und klicken Sie dann auf EIGENSCHAFTEN.
  2. Klicken Sie auf die Registerkarte VERTRAUENSSTELLUNGEN und dann auf HINZUFÜGEN, um beide Seiten der Vertrauensstellung zu der Remote-Domäne zu erstellen. Da es sich hierbei in der Regel um eine Kerberos-Vertrauensstellung handelt, müssen beide Seiten der Vertrauensstellung erstellt werden. Wird zuerst die vertrauenswürdige Seite erstellt, kommt es zu der folgenden Fehlermeldung:
       "Die Vertrauensstellung kann nicht bestätigt werden.
        Zugriff verweigert."
Klicken Sie auf OK. Beachten Sie bitte, dass "Active Directory-Domänen und -Vertrauensstellungen" den Typ der Vertrauensstellung als "Verknüpfung" angibt und dass diese transitiv ist. Fügt man die vertrauende Seite hinzu, wird die folgende Fehlermeldung angezeigt:
   "Sie müssen über die Berechtigungen verfügen, Vertrauensstellung
    für die Domäne XXX verwalten zu können, um diese neue Vertrauens-
    stellung zu bestätigen. Soll die neue Vertrauensstellung bestätigt
    werden?"
Klicken Sie auf JA und geben Sie dann die Anmeldeinformationen für den Administrator der Remote-Domäne ein. Wenn Sie nach den Anmeldeinformationen gefragt werden, stellen Sie bitte sicher, dass Sie sowohl den Domänennamen als auch den Benutzernamen eingeben. Zum Beispiel: NetBIOSDomainName\Administrator. Die folgende Fehlermeldung wird generiert:
   "Die Vertrauensstellung kann nicht bestätigt werden. Zugriff verweigert."
Klicken Sie auf OK. Beachten Sie bitte, dass "Active Directory-Domänen und -Vertrauensstellungen" auch jetzt den Typ der Vertrauensstellung als "Verknüpfung" angibt und dass diese transitiv ist.
  1. Nachdem beide Seiten der Vertrauensstellung erstellt worden sind, lassen Sie bitte den nachstehenden Befehl ausführen.
Hinweis: Das Dienstprogramm NETDOM ist Bestandteil der Windows 2000-Supporttools im Ordner "\Support\Tools" auf Ihrer CD-ROM mit Windows 2000 Server oder Windows 2000 Professional.
   NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator
     /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
wobei "local_domain" für die Domäne steht, in der die Vertrauensstellung erstellt wird, und "remote_domain" die übergeordnete, untergeordnete oder Strukturstammdomäne repräsentiert, der vertraut werden soll. In beiden Fällen sollte der vollständige Domänenname (Fully Qualified Domain Name = FQDN) verwendet werden. Zum Beispiel "MyDomain.com". Diese Vorgehensweise müsste zu der folgenden Meldung führen (sinngemäß):
   "Geben Sie das dem Domänenbenutzer zugewiesene Kennwort ein: (UserD)
    Geben Sie das dem Objektbenutzer zugewiesene Kennwort ein: (UserO)
    Kennwörter für die Vertrauensstellung zwischen local_domain.com und
    remote_domain.com werden neu festgelegt
    Die Vertrauensstellung zwischen local_domain.com und remote_domain.com
    wurde erfolgreich zurückgesetzt und bestätigt
    Der Befehl wurde erfolgreich ausgeführt."
4. Starten Sie den primären Domänencontroller (PDC) neu, auf dem die Änderungen vorgenommen wurden.
  1. Nach dem Neustart warten Sie bitte, bis Active Directory einen sicheren Kanal eingerichtet hat und die Konsistenzprüfung (KCC) versuchen konnte, die Replikationsverknüpfungen zu den Domänencontrollern in der Remote-Domäne neu einzurichten. Prüfen Sie während dieses Zeitraums bitte, ob die Anmeldungen innerhalb der Vertrauensstellung erfolgreich waren und stellen Sie sicher, dass die Fehlermeldungen im Ereignisprotokoll nicht mehr angezeigt werden.

Status

Microsoft hat bestätigt, dass es sich bei der Anzeige der neu erstellten Vertrauensstellung als "Verknüpfung" um ein Problem handelt, das in Microsoft Windows 2000 auftritt.

Weitere Informationen

Die zweiseitige Vertrauensstellung wird auch weiterhin als Verknüpfung in "Active Directory-Domänen und -Vertrauensstellungen" angezeigt werden, sie wird jedoch einwandfrei funktionieren und transitiv sein. Wichtig ist, dass diese Vertrauensstellung nicht als Optimierung der Vertrauensstellungshierarchie verstanden und erst dann entfernt wird, wenn Microsoft ein unterstütztes Update für dieses Problem freigegeben hat.

Die in der Knowledge Base angebotenen Artikel stellen eine Serviceleistung von Microsoft dar. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt allein bei Ihnen. Sie verwenden die in den Artikeln angebotenen Informationen auf eigene Gefahr. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Weitere Suchbegriffe: windows2000 win2000 active directory replikation domänencontroller vertrauensstellungen

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 257844 - Geändert am: Dienstag, 9. November 2004 - Version: 2.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Keywords: 
kbtshoot KB257844
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com