Verificador de consistência de Conhecimento e replicação do Active Directory falha sem objeto de domínio confiável

Traduções deste artigo Traduções deste artigo
ID do artigo: 257844 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

No log de eventos de um controlador de domínio do Windows 2000, uma das seguintes mensagens de erro pode aparecer:

Da fonte "Duplicação de NTDS," 1645 de identificação de evento:
O serviço de diretório recebeu uma falha ao tentar executar uma chamada RPC autenticada para outro controlador de domínio. A falha é que o nome principal de desejado serviço (SPN) não é registrado no servidor de destino. O servidor que está sendo contatado é 38 afb720fd c 7-4505-aa9f-b658ca124773._msdcs.MyDomain.com. O SPN que está sendo usado é E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Verifique se os nomes de servidor de destino e domínio estão corretos. Consulte também verificar se o SPN está registrado no objeto de conta de computador para o servidor de destino no KDC atendendo a solicitação. Se o servidor de destino tiver sido promovido recentemente, será necessário para conhecimento de identidade deste computador para replicar para o KDC antes que este computador pode ser autenticado.
Da fonte "NTDS KCC," evento 1265:
A tentativa de estabelecer um link de duplicação com parâmetros partição: CN = Configuration, DC = Meu_domínio, DC = net fonte DSA DN: CN = NTDS Settings, CN = MeuServidor, CN = Servers, CN = Default-First-Site-Name, CN = Sites, CN = Configuration, DC = Meu_domínio, DC = com endereço de DSA de origem: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com entre transporte (se houver): falhou com o seguinte status: falha de logon: O nome da conta de destino está incorreto. Os dados do Registro são o código de status. Esta operação será repetida.
De tentar sincronizar parceiros de replicação através de sites do Active Directory e serviços, Active Directory Replication Monitor (REPLMON) ou Repadmin.exe:
Falha de logon: O nome de conta de destino está incorreto.

Causa

Se este erro está sendo relatado replicação do Active Directory entre dois controladores de domínio de diferentes domínios que têm uma relação de confiança pai/filho ou árvore raiz, esse erro pode ser devido a um objeto crítico ausente que representa a relação de confiança entre dois domínios. Este objeto é conhecido como um objeto de "trustedDomain" (TDO) e localizado no recipiente sistema na ferramenta do Active Directory Users and Computers. Esse tipo de objeto se relaciona diretamente com as relações de confiança exibidas na ferramenta administrativa de Active Directory domínios e relações de confiança. Se este objeto não estiver presente no Active Directory, autenticação de domínio cruzado não poderão ser bem-sucedida contribuindo para os erros descritos acima.

Resolução

Para resolver esse problema:

Observação : este procedimento só deve ser executado se o TDO para o domínio remoto não estiver presente no recipiente do sistema.
  1. Do domínio que está gerando as mensagens de erro listadas neste artigo, abra o domínios do Active Directory e a ferramenta administrativa de relações de confiança no controlador de domínio que detém a função PDC FSMO Flexible Single Master Operations () para o domínio. Clique com o botão direito do mouse o objeto que representa o domínio e, em seguida, clique em Propriedades .
  2. Clique na guia relações de confiança e, em seguida, clique em Adicionar para criar ambos os lados da relação de confiança para o domínio remoto. Porque isso normalmente seria uma relação de confiança Kerberos, é necessário criar ambos os lados da relação de confiança. Primeiro criar o lado confiável gera a seguinte mensagem de erro:
    O Active Directory não pode verificar a relação de confiança. O acesso foi negado.
    Clique em OK . Observe que domínios do Active Directory e relações de confiança exibe a relação de confiança enquanto digita "Atalho" e que é transitiva. Adicionar o lado confiante gera a seguinte mensagem:
    Para verificar a nova relação de confiança, você deve ter permissões para administrar confianças para o domínio XXX. Você deseja verificar a nova relação de confiança?
    Clique em Sim e, em seguida, forneça as credenciais de administrador para o domínio remoto. Sempre que você for solicitado credenciais, certifique-se de especificar o nome de domínio, bem como o nome de usuário, por exemplo, NetBIOSDomainName\Administrator. A seguinte mensagem de erro é gerada:
    O Active Directory não pode verificar a relação de confiança. O acesso foi negado.
    Clique em OK . Novamente, observe que domínios do Active Directory e relações de confiança exibe a relação de confiança enquanto digita "Atalho" e que ele é transitivo.
  3. Após ambos os lados da relação de confiança tem sido criados, execute o seguinte comando.

    Observação : O NETDOM utilitário está incluído com as ferramentas de suporte do Windows 2000 incluído na pasta \Support\Tools do CD-ROM Professional ou Windows 2000 Server.
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    						
    onde "local_domain" é o domínio no qual a relação de confiança é criada e "remote_domain" é o pai, filho ou domínio raiz da árvore sejam confiáveis. Em ambos os casos, o nome de domínio totalmente qualificado (FQDN) deve ser usado. Por exemplo, "MyDomain.com". Isso deve resultar na seguinte mensagem:
    Type the password associated with the domain user: (This is UserD)
    Type the password associated with the object user: (This is UserO)
    Resetting the trust passwords between local_domain.com and remote_domain.com
    The trust between local_domain.com and remote_domain.com
    has been successfully reset and verified
    The command completed successfully.
    						
  4. Reinicialize o PDC onde essas alterações foram feitas.
  5. Após a reinicialização, permita para o Active Directory para estabelecer um canal seguro e o Knowledge Consistency Checker para tentar restabelecer a replicação de links aos controladores de domínio no domínio remoto. Durante esse período, teste que logons entre a relação de confiança são bem-sucedidos e que os erros de log de eventos tiverem deixou.

Situação

A Microsoft confirmou a exibição de relação de confiança recriada como "Atalho" é um problema no Microsoft Windows 2000.

Mais Informações

A relação de confiança bidirecional continuará a ser exibido como uma relação de confiança "Atalho" em domínios do Active Directory e relações de confiança, no entanto, a relação de confiança funcionará corretamente e serão transitiva. É importante que esta relação de confiança não ser confundidas como uma otimização a hierarquia de confiança e ser removido no futuro até que uma correção com suporte para esse problema é lançada pela Microsoft.

Propriedades

ID do artigo: 257844 - Última revisão: quarta-feira, 28 de fevereiro de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbprb KB257844 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 257844

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com