Ενεργού καταλόγου αναπαραγωγής και το Knowledge Consistency Checker αποτυγχάνει χωρίς αντικειμένου αξιόπιστου τομέα

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 257844 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Στο αρχείο καταγραφής συμβάντων του ελεγκτή τομέα των Windows 2000, ένα από τα ακόλουθα μηνύματα λάθους ενδέχεται να εμφανιστεί:

Από το αρχείο προέλευσης "NTDS αναπαραγωγής" 1645 Αναγνωριστικό συμβάντος:
Η υπηρεσία καταλόγου έλαβε ένα σφάλμα ενώ προσπαθείτε να πραγματοποιήσετε μια κλήση RPC με έλεγχο ταυτότητας άλλον ελεγκτή τομέα. Η αποτυχία είναι ότι το επιθυμητό κύριο όνομα υπηρεσίας (SPN) δεν είναι καταχωρημένος στο διακομιστή προορισμού. Ο διακομιστής την επικοινωνία είναι afb720fd-38 c 7-4505-aa9f-b658ca124773._msdcs.MyDomain.com. Το SPN που χρησιμοποιείται είναι E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Βεβαιωθείτε ότι είναι σωστά τα ονόματα του διακομιστή προορισμού και του τομέα. Βεβαιωθείτε επίσης ότι το SPN είναι καταχωρημένη στο αντικείμενο λογαριασμού υπολογιστή για το διακομιστή προορισμού από το KDC εξυπηρέτηση της αίτησης. Εάν έχει γίνει πρόσφατα προωθηθεί στο διακομιστή προορισμού, θα χρειαστεί για γνώση της ταυτότητας του υπολογιστή για αναπαραγωγή με το KDC πριν από αυτόν τον υπολογιστή μπορεί να πιστοποιηθεί.
Από το αρχείο προέλευσης "NTDS KCC" 1265 συμβάντων:
Η προσπάθεια δημιουργίας μιας σύνδεσης αναπαραγωγής με παραμέτρους διαμερίσματος: CN = Configuration, DC = ΈναςΤομέας, DC = καθαρή DN DSA προέλευσης: CN = ρυθμίσεων NTDS, CN = MyServer, CN = Servers, CN = προεπιλογή--τοποθεσία-όνομα, CN = τοποθεσιών, CN = Configuration, DC = ΈναςΤομέας, DC = com διευθύνσεων DSA προέλευσης: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com Inter-site μεταφοράς (Εάν υπάρχουν): απέτυχε με την ακόλουθη κατάσταση: Αποτυχία σύνδεσης: το όνομα λογαριασμού προορισμού είναι εσφαλμένο. The record data is the status code. This operation will be retried.
Να επιχειρήσει να συγχρονίσετε τους συνομιλητές αναπαραγωγής μέσω του Active Directory Sites και υπηρεσίες, REPLMON (Active Directory αναπαραγωγής Monitor) ή Repadmin.exe:
Αποτυχία σύνδεσης: Το όνομα λογαριασμού προορισμού είναι εσφαλμένο.

Αιτία

Εάν αυτό το σφάλμα που αναφέρεται για την αναπαραγωγή της υπηρεσίας καταλόγου Active Directory μεταξύ δύο ελεγκτές τομέα διαφορετικών τομέων που έχουν μια σχέση αξιοπιστίας ρίζας γονική/θυγατρική ή το δέντρο, αυτό το σφάλμα μπορεί να οφείλεται λείπει κρίσιμου αντικειμένου που αναπαριστά τη σχέση αξιοπιστίας μεταξύ δύο τομέων. Αυτό το αντικείμενο είναι γνωστή ως αντικείμενο "trustedDomain" (TDO) και βρίσκεται στο κοντέινερ συστήματος στο εργαλείο Active Directory χρηστών και υπολογιστών. Αυτός ο τύπος του αντικειμένου σχετίζεται άμεσα στις σχέσεις αξιοπιστίας εμφανίζεται στο εργαλείο διαχείρισης Active Directory τομείς και σχέσεις αξιοπιστίας. Εάν δεν υπάρχει αυτό το αντικείμενο της υπηρεσίας καταλόγου Active Directory, έλεγχο ταυτότητας μεταξύ τομέων δεν θα έχετε τη δυνατότητα να επιτύχει προκαλούν τα σφάλματα που περιγράφονται παραπάνω.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το θέμα:

ΣΗΜΕΙΩΣΗ: Αυτή η διαδικασία πρέπει να πραγματοποιηθεί μόνο εάν το TDO για τον απομακρυσμένο τομέα δεν υπάρχει στο κοντέινερ συστήματος.
  1. Από τον τομέα που δημιουργεί τα μηνύματα λάθους που αναφέρονται παραπάνω σε αυτό το άρθρο, ανοίξτε το Active Directory Domains και το εργαλείο διαχείρισης σχέσεις αξιοπιστίας στον ελεγκτή τομέα που κατέχει το ρόλο PDC ευέλικτο προς κύριων λειτουργιών (FSMO) για τον τομέα. Κάντε δεξιό κλικ στο αντικείμενο που αναπαριστά τον τομέα και, στη συνέχεια, κάντε κλικ στο κουμπίΙδιότητες (Properties).
  2. Κάντε κλικ στην καρτέλαΣχέσεις αξιοπιστίαςκαρτέλα και στη συνέχεια κάντε κλικADDΓια να δημιουργήσετε και στις δύο πλευρές της σχέσης αξιοπιστίας στον απομακρυσμένο τομέα. Επειδή αυτό θα είναι συνήθως μια σχέση αξιοπιστίας Kerberos, απαιτείται δημιουργία και στις δύο πλευρές της σχέσης αξιοπιστίας. Πρώτα τη δημιουργία της αξιόπιστης πλευράς της εμφανίζεται το ακόλουθο μήνυμα λάθους:
    Active Directory cannot verify the trust. Δεν επιτρέπεται η πρόσβαση. Date Timestamp Error IUCTL Failed to download iuident.cab from http://www.windowsupdate.com/v4/ to C:\Program Files\WindowsUpdate\V4\temp Error 0x80070005: Access is denied.
    Κάντε κλικOk. Σημειώστε ότι Active Directory τομείς και σχέσεις αξιοπιστίας εμφανίζει την αξιοπιστία ως "Συντόμευση" και να είναι μεταβατικές. Προσθήκη της αξιόπιστης πλευράς δημιουργεί το ακόλουθο μήνυμα:
    Για να επαληθεύσετε τη νέα σχέση αξιοπιστίας, πρέπει να έχετε δικαιώματα για τη διαχείριση σχέσεων αξιοπιστίας για τον τομέα XXX. Για να επαληθεύσετε τη νέα σχέση αξιοπιστίας
    Κάντε κλικYES, και στη συνέχεια δώστε τα διαπιστευτήρια διαχειριστή για τον απομακρυσμένο τομέα. Κάθε φορά που ζητούνται πιστοποιήσεις, θα πρέπει να καθορίσετε το όνομα του τομέα, καθώς και το όνομα χρήστη, για παράδειγμα, NetBIOSDomainName\Administrator. Δημιουργείται το ακόλουθο μήνυμα λάθους:
    Active Directory cannot verify the trust. Δεν επιτρέπεται η πρόσβαση. Date Timestamp Error IUCTL Failed to download iuident.cab from http://www.windowsupdate.com/v4/ to C:\Program Files\WindowsUpdate\V4\temp Error 0x80070005: Access is denied.
    Κάντε κλικOk. Και πάλι, σημειώστε ότι Active Directory τομείς και σχέσεις αξιοπιστίας εμφανίζει την αξιοπιστία ως "Συντόμευση" και ότι είναι μεταβατικές.
  3. After both sides of the trust relationship have been created, run the following command.

    ΣΗΜΕΙΩΣΗ: The NETDOM utility is included with the Windows 2000 Support Tools included in the \Support\Tools folder of your Windows 2000 Server or Professional CD-ROM.
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    						
    where "local_domain" is the domain on which the trust is being created and "remote_domain" is the parent, child, or tree root domain being trusted. In either case, the fully qualified domain name (FQDN) should be used. For example, "MyDomain.com". This should result in the following message:
    Type the password associated with the domain user: (This is UserD)
    Type the password associated with the object user: (This is UserO)
    Resetting the trust passwords between local_domain.com and remote_domain.com
    The trust between local_domain.com and remote_domain.com
    has been successfully reset and verified
    The command completed successfully.
    						
  4. Reboot the PDC where these changes were made.
  5. After rebooting, allow time for the Active Directory to establish a secure channel and the Knowledge Consistency Checker to attempt to re-establish replication links to the domain controllers in the remote domain. During this period, test that logons across the trust relationship are successful and that the event log errors have ceased.

Κατάσταση

Microsoft has confirmed the display of the re-created trust as "Shortcut" to be a problem in Microsoft Windows 2000.

Περισσότερες πληροφορίες

The two-way trust relationship will continue to be displayed as a "Shortcut" trust in Active Directory Domains and Trusts, however, the trust relationship will function correctly and will be transitive. It is important that this trust not be mistaken as an optimization to the trust hierarchy and be removed in the future until a supported fix for this problem is released by Microsoft.

Ιδιότητες

Αναγν. άρθρου: 257844 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Λέξεις-κλειδιά: 
kbprb kbmt KB257844 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:257844

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com