Репликация Active Directory и проверку согласованности знаний сбой без объект доверенного домена

Переводы статьи Переводы статьи
Код статьи: 257844 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

В журнале событий контроллера домена Windows 2000 может появиться одно из следующих сообщений об ошибке:

Из источника NTDS «репликация», 1645 код события:
Служба каталогов получила сбой при попытке выполнить проверку подлинности вызова RPC к другому контроллеру домена. Ошибка является, что требуемое основное имя службы (SPN) не зарегистрирован на целевом сервере. Сервер, к которому будет afb720fd-38 c 7-4505-aa9f-b658ca124773._msdcs.MyDomain.com. SPN используется — E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Убедитесь в правильности имен сервера и домена. Убедитесь также, что зарегистрированные SPN на объект учетной записи компьютера для целевого сервера для обслуживания запроса KDC. Если недавно повышен целевой сервер будет необходимо знание удостоверения данного компьютера для репликации на KDC, прежде чем данный компьютер может пройти проверку подлинности.
Из источника «ntds КСС» 1265 событий:
Неудачная попытка установить связь репликации с параметрами Раздел: CN = Configuration, DC = MyDomain, DC = net Исходного DSA DN: CN = Параметры NTDS, CN = MyServer, CN серверы, CN = по умолчанию First-Site-Name, CN = сайты, CN = Конфигурация, DC = = MyDomain, DC = com Адрес исходного DSA: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com Межсайтовый транспорт (если таковые имеются): ошибка в следующем состоянии: Ошибка входа в систему: Неверное имя конечной учетной записи. В данных содержится код состояния. Эта операция будет повторена.
При попытке синхронизировать партнеров репликации Active Directory — сайты и службы, монитор репликации Active Directory (REPLMON) или Repadmin.exe:
Ошибка входа в систему: Неверное имя конечной учетной записи.

Причина

Если эта ошибка регистрируется для репликации Active Directory между контроллерами домена из разных доменов, имеющих доверительные отношения подчинения или дерева корневого, эта ошибка возможно отсутствует критический объект, представляющий отношение доверия между двумя доменами. Этот объект называется объект «trustedDomain» (TDO) и находится в контейнере System в оснастке «Active Directory — пользователи и компьютеры». Этот тип объекта, непосредственно связанный с доверительными отношениями, отображаемые в оснастке «Active Directory-домены и доверие». Если этот объект не существует в Active Directory, проверка подлинности между доменами не сможет успешно вклад ошибок, описанных выше.

Решение

Для решения этой проблемы:

ПРИМЕЧАНИЕ: Эту процедуру следует выполнять, только если TDO удаленного домена не существует в контейнере System.
  1. Из домена, который создает ранее в этой статье перечислены сообщения об ошибках откройте Active Directory-домены и доверие программы администрирования на контроллер домена, выполняющий роль основного контроллера ДОМЕНА гибкие одного хозяина операций (FSMO) для домена. Щелкните правой кнопкой мыши объект, который представляет домен и нажмите кнопку Свойства.
  2. Нажмите кнопку Доверительные отношения вкладки, а затем нажмите кнопку Добавить Чтобы создать обе стороны отношения доверия для удаленного домена. Так как это обычно будет Kerberos доверия, создание обоих направлений доверия является обязательным. Создание доверенная сторона сначала генерирует следующее сообщение об ошибке:
    Active Directory не удалось проверить доверие. Отказано в доступе.
    Нажмите кнопку ОК. Следует иметь в виду, Active Directory-домены и доверие отображает доверие как тип «Ярлык» и что является транзитивным. Добавление доверяющая сторона создает следующее сообщение:
    Чтобы проверить новое доверие, необходимо иметь разрешения на управление доверием для домена XXX. Вы хотите проверить новое доверие?
    Нажмите кнопку Да, а затем предоставить учетные данные администратора для удаленного домена. Каждый раз вводить учетные данные, необходимо указать имя домена, а также имя пользователя, например, NetBIOSDomainName\Administrator. Следующее сообщение об ошибке:
    Active Directory не удалось проверить доверие. Отказано в доступе.
    Нажмите кнопку ОК. Опять же Обратите внимание, Active Directory-домены и доверие отображает доверие как тип «Ярлык» и что является транзитивным.
  3. После создания обе стороны отношения доверия выполните следующую команду.

    ПРИМЕЧАНИЕ: Программа NETDOM включается с помощью средств поддержки Windows 2000 в папке \Support\Tools компакт-диска Professional или Windows 2000 Server.
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    						
    где «local_domain» — домен, на котором создается доверие и «remote_domain» является родительским, дочерние или корневого домена дерева считаться надежными. В любом случае следует использовать полное доменное имя (FQDN). Например «MyDomain.com.» Это должно привести следующее сообщение:
    Type the password associated with the domain user: (This is UserD)
    Type the password associated with the object user: (This is UserO)
    Resetting the trust passwords between local_domain.com and remote_domain.com
    The trust between local_domain.com and remote_domain.com
    has been successfully reset and verified
    The command completed successfully.
    						
  4. Перезагрузите основной контроллер ДОМЕНА, где были внесены следующие изменения.
  5. После перезагрузки, дождитесь окончания проверки согласованности знаний, чтобы попытаться восстановить связи репликации с контроллерами домена в удаленном домене и Active Directory, чтобы установить безопасный канал. В течение этого периода тестирования, что вход в систему через отношения доверия успешно и что ceased ошибки журнала событий.

Статус

Корпорация Майкрософт подтвердила отображения заново доверия как «Ярлык» проблемой в Microsoft Windows 2000.

Дополнительная информация

Двусторонние доверительные отношения по-прежнему отображаться как доверия «Ярлык» в Active Directory — домены и доверие, однако отношения доверия будет правильно работать и будет транзитивными. Важно, что это отношение доверия не означает, что оптимизации для иерархии доверия и в дальнейшем удален пока не поддерживаемых исправление, устраняющее эту проблему, выпущенного корпорацией Майкрософт.

Свойства

Код статьи: 257844 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbprb kbmt KB257844 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:257844

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com