La replica di Active Directory e il Controllo di coerenza informazioni non hanno esito positivo senza un oggetto dominio trusted

Traduzione articoli Traduzione articoli
Identificativo articolo: 257844 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Nel registro eventi di un controller di dominio Windows 2000 Ŕ possibile che venga visualizzato uno dei seguenti messaggi di errore:

Dall'origine "Replica NTDS", ID evento 1645:
Il servizio directory ha ricevuto un messaggio di errore nel tentativo di eseguire una chiamata RPC non autenticata ad un altro controller di dominio. L'errore consiste nel fatto che il nome principale del servizio (SPN) desiderato non Ŕ registrato sul server di destinazione. Il server che si stava contattando Ŕ afb720fd-38c7-4505-aa9f-b658ca124773._msdcs.MyDomain.com. L'SPN utilizzato Ŕ E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Verificare che i nomi del server e del dominio di destinazione siano corretti. Verificare inoltre che l'SPN sia registrato sull'oggetto account del computer per il server di destinazione sul KDC che espleta la richiesta. Se il server di destinazione Ŕ stato recentemente alzato di livello, per conoscere l'identitÓ di questo computer sarÓ necessaria la replica al KDC prima che questo computer possa essere autenticato.
Dall'origine "NTDS KCC", Evento ID 1265:
Tentativo di stabilire un collegamento di replica con parametri Partizione: CN=Configuration,DC=MyDomain,DC=net DN origine DSA: CN=NTDS Settings,CN=MyServer,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=MyDomain,DC=com Indirizzo origine DSA: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com Trasporto tra siti (se presente): non riuscito con il seguente stato: Errore durante l'accesso. Il nome dell'account di destinazione non Ŕ corretto. I dati del record sono il codice stato. L'operazione sarÓ ripetuta in seguito.
Dal tentativo di sincronizzare partner di replica mediante Siti e servizi di Active Directory, il Monitoraggio replica di Active Directory (REPLMON) o Repadmin.exe:
Errore durante l'accesso. Il nome dell'account di destinazione non Ŕ corretto.

Cause

Se questo errore viene segnalato per la replica di Active Directory tra due controller di dominio di domini diversi che presentano una relazione di trust con padre, figlio od origine di struttura, l'errore potrebbe essere dovuto alla mancanza di un oggetto critico che rappresenta la relazione di trust tra i due domini. Questo oggetto Ŕ chiamato "trustedDomain" (TDO) e si trova nel contenitore Sistema e nello strumento Utenti e computer di Active Directory. Si tratta di un tipo di oggetto direttamente correlato alle relazioni di trust visualizzate nello strumento amministrativo Domini e trust di Active Directory. Se tale oggetto non Ŕ presente in Active Directory, l'autenticazione tra domini non andrÓ a buon fine, contribuendo cosý alla comparsa degli errori descritti in precedenza.

Risoluzione

Per risolvere il problema:

NOTA: questa procedura dovrebbe essere eseguita solo se il TDO per il dominio remoto non Ŕ presente nel contenitore Sistema.
  1. Dal dominio che genera i messaggi di errore elencati in precedenza, aprire lo strumento Domini e trust di Active Directory nel controller di dominio che detiene il ruolo FSMO (Flexible Single Master Operations) PDC per il dominio. Fare clic con il pulsante destro del mouse sull'oggetto che rappresenta il dominio, quindi scegliere ProprietÓ.
  2. Fare clic sulla scheda Trust, quindi scegliere Aggiungi per creare entrambi i lati della relazione di trust al dominio remoto. PoichÚ si tratta solitamente di un trust Kerberos, Ŕ necessario creare entrambi i lati del trust. Creando il lato trusted per primo viene generato il seguente messaggio di errore:
    Impossibile verificare il trust. Accesso negato.
    Scegliere OK. In Domini e trust di Active Directory il trust visualizzato Ŕ di tipo "Collegamento" ed Ŕ transitivo. Aggiungendo il lato trusting viene generato il seguente messaggio:
    Per verificare la nuova relazione di trust, occorre avere le autorizzazioni per amministrare le relazioni di trust per il dominio XXX. Verificare la nuova relazione di trust?
    Scegliere , quindi fornire le credenziali amministrative per il dominio remoto. Ogni volta che vengono chieste le credenziali, specificare il nome del dominio oltre a quello dell'utente, ad esempio NetBIOSDomainName\Administrator. Viene generato il seguente messaggio di errore:
    Impossibile verificare il trust. Accesso negato.
    Scegliere OK. Di nuovo, in Domini e trust di Active Directory il trust che viene visualizzato Ŕ di tipo "Collegamento" ed Ŕ transitivo.
  3. Una volta creati entrambi i lati della relazione di trust, eseguire il seguente comando.

    NOTA: l'utilitÓ NETDOM Ŕ inclusa negli strumenti di supporto di Windows 2000, disponibili nella cartella \Support\Tools del CD di Windows 2000 Server o Professional.
    NETDOM TRUST dominio_locale /Domain:dominio_remoto /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    						
    dove "dominio_locale" Ŕ il dominio su cui viene creato il trust e "dominio_remoto" il padre, il figlio o il dominio principale di struttura che viene considerato trusted. In entrambi i casi, utilizzare il nome di dominio completo (FQDN), ad esempio, "MyDomain.com". Dovrebbe essere generato un messaggio analogo al seguente:
    Digitare la password dell'utente del dominio: (UserD)
    Digitare la password dell'utente dell'oggetto: (UserO)
    Reimpostazione delle password della relazione di trust tra 
    dominio:locale.com e dominio:remoto.com
    Il trust tra dominio_locale.com e dominio_remoto.com
    Ŕ stato reimpostato e verificato.
    Esecuzione comando riuscita.
    						
  4. Riavviare il PDC su cui sono state apportate le modifiche.
  5. Una volta riavviato il PDC, dare il tempo ad Active Directory di stabilire un canale protetto e al Controllo di coerenza informazioni di tentare di ristabilire i collegamenti di replica ai controller di dominio nel dominio remoto. Durante questo periodo, verificare che gli accessi tramite la relazione di trust abbiano successo e che gli errori in questione non vengono pi¨ registrati nel registro degli eventi.

Status

Microsoft ha confermato che il fatto che il trust ricreato viene visualizzato come "Collegamento" costituisce un problema in Microsoft Windows 2000.

Informazioni

La relazione di trust bidimensionale continuerÓ a essere visualizzata come trust di tipo "Collegamento" in Domini e trust di Active Directory, sebbene funzionerÓ correttamente e sarÓ transitiva. ╚ importante che questo trust non venga confuso con un'ottimizzazione nella gerarchia dei trust e venga rimosso in futuro finchÚ Microsoft non rilasci una correzione supportata per questo problema.

ProprietÓ

Identificativo articolo: 257844 - Ultima modifica: giovedý 18 marzo 2004 - Revisione: 2.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbprb KB257844
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com