Vérificateur de cohérence et de réplication Active Directory échouent sans objet domaine approuvé

Traductions disponibles Traductions disponibles
Numéro d'article: 257844 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Dans le journal des événements d'un contrôleur de domaine Windows 2000, un des messages d'erreur suivants peut s'afficher :

À partir de la source «Réplication NTDS», événement ID 1645 :
Le service d'annuaire a reçu une défaillance en essayant d'effectuer un appel RPC authentifié vers un autre contrôleur de domaine. L'échec est que le souhaité nom principal de service (SPN) n'est pas enregistré sur le serveur cible. Le serveur contacté est 38 afb720fd c 7-4505-aa9f-b658ca124773._msdcs.MyDomain.com. Le SPN utilisé est E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Veuillez vérifier que les noms du serveur cible et du domaine sont corrects. Vérifiez également que le SPN est enregistré sur l'objet compte ordinateur pour le serveur cible sur le KDC traite la demande. Si le serveur cible a été promu récemment, il sera nécessaire de connaissance de l'identité de cet ordinateur pour répliquer vers le KDC avant que cet ordinateur puisse être authentifié.
À partir de la source "KCC NTDS", événement 1265 :
La tentative d'établissement d'un lien de réplication avec les paramètres partition : CN = configuration, DC = MonDomaine, DC = net DN de DSA source : CN = NTDS Settings, CN = mon_serveur, CN = Servers, CN = Default-First-Site-Name, CN = sites, CN = configuration, DC = MonDomaine, DC = com adresse la DSA source : 41977dee176d._msdcs.MyDomain.com du a326 48e2 5e5abf03 e902 inter-sites transport (le cas échéant): a échoué avec l'état suivant : échecs d'ouvertures de session : le nom de compte cible est incorrect. Les données d'enregistrement sont le code d'état. Cette opération sera tentée à nouveau.
D'essayer de synchroniser les partenaires de réplication par le biais de Active Directory Sites et services, Active Directory Replication Monitor (REPLMON) ou Repadmin.exe :
Échec d'ouverture de session : Le nom de compte cible est incorrect.

Cause

Si cette erreur est signalée pour la réplication Active Directory entre deux contrôleurs de domaine de domaines différents qui ont une relation d'approbation parent/enfant ou arborescence de racine, cette erreur peut être dû à un objet critique absent qui représente la relation d'approbation entre les deux domaines. Cet objet est appelé un objet «trustedDomain» (TDO) et se trouve dans le conteneur System de l'outil utilisateurs et ordinateurs. Ce type d'objet est lié directement aux relations d'approbation affichées dans l'outil d'administration Directory domaines et approbations Active. Si cet objet n'est pas présent dans Active Directory, authentification entre domaines ne peut pas réussir contribuant aux erreurs décrites ci-dessus.

Résolution

Pour résoudre ce problème, procédez comme suit :

Remarque : cette procédure doit être effectuée uniquement si le TDO pour le domaine distant n'est pas présent dans le conteneur System.
  1. À partir du domaine qui génère les messages d'erreur répertoriés plus haut dans cet article, ouvrez le domaines Active Directory et l'outil d'administration approbations sur le contrôleur de domaine qui joue le rôle PDC FSMO Flexible Single Master Operations () pour le domaine. Cliquez avec le bouton droit sur l'objet qui représente le domaine, puis cliquez sur Propriétés.
  2. Cliquez sur l'onglet approbations, puis cliquez sur Ajouter pour créer les deux côtés de la relation d'approbation au domaine distant. Dans la mesure où cela serait normalement une approbation Kerberos, création de deux côtés de l'approbation est requise. Création du côté approuvé génère d'abord message d'erreur suivantes :
    Active Directory ne peut pas vérifier la relation d'approbation. L'accès est refusé.
    Cliquez sur OK. Notez que Directory domaines et approbations Active affiche à l'approbation de la frappe «Raccourci» et qu'il est transitive. Ajouter le côté autorisé à approuver génère le message suivant :
    Pour vérifier la nouvelle relation d'approbation, vous devez disposer des autorisations pour l'administration des approbations dans le domaine XXX. Êtes-vous sûr de vouloir vérifier la nouvelle relation d'approbation ?
    Cliquez sur Oui et puis fournissez les informations d'identification d'administration pour le domaine distant. Chaque fois que vous êtes invité pour les informations d'identification, veillez à spécifier le nom de domaine, ainsi que le nom d'utilisateur, par exemple, NetBIOSDomainName\Administrator. Message d'erreur suivant est généré :
    Active Directory ne peut pas vérifier la relation d'approbation. L'accès est refusé.
    Cliquez sur OK. Une fois de plus, notez que Directory domaines et approbations Active affiche à l'approbation de la frappe «Raccourci» et qu'elle est transitive.
  3. Après les deux côtés de la relation d'approbation ont été créés, exécutez la commande suivante.

    Remarque : NETDOM l'utilitaire est inclus avec les outils de Support Windows 2000 inclus dans le dossier \Support\Tools du votre CD-ROM de professionnel ou Windows 2000 Server.
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    						
    où «local_domain» est le domaine sur lequel l'approbation est créée et «remote_domain» est le parent, un enfant ou un domaine racine de l'arborescence approuvé. Dans les deux cas, le nom de domaine pleinement qualifié (FQDN) utilisez. Par exemple, «MyDomain.com». Cela doit provoquer le message suivant :
    Type the password associated with the domain user: (This is UserD)
    Type the password associated with the object user: (This is UserO)
    Resetting the trust passwords between local_domain.com and remote_domain.com
    The trust between local_domain.com and remote_domain.com
    has been successfully reset and verified
    The command completed successfully.
    						
  4. Redémarrez le contrôleur de domaine principal où ces modifications ont été apportées.
  5. Après le redémarrage, laissez le temps de Active Directory établir un canal sécurisé et le vérificateur de cohérence des données pour tenter de rétablir les liens de réplication vers les contrôleurs de domaine dans le domaine distant. Pendant cette période, tester que les ouvertures de session sur la relation d'approbation sont réussies et que les erreurs du journal des événements ont cessé.

Statut

Microsoft a confirmé l'existence de l'affichage de l'approbation recréée en tant que «Raccourci» comme un problème dans Microsoft Windows 2000.

Plus d'informations

La relation d'approbation bidirectionnelle continuera à être affiché sous la forme d'une approbation «Raccourci» dans Active Directory domaines et approbations, toutefois, la relation d'approbation fonctionne correctement et sera transitive. Il est important que cette approbation ne pas être interprétées à tort comme une optimisation pour la hiérarchie d'approbation et être supprimé à l'avenir, jusqu'à ce qu'un correctif pris en charge pour résoudre ce problème soit publié par Microsoft.

Propriétés

Numéro d'article: 257844 - Dernière mise à jour: mercredi 28 février 2007 - Version: 2.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbprb KB257844 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 257844
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com