没有受信任的域对象 Active Directory 复制和知识一致性检查器将失败

文章翻译 文章翻译
文章编号: 257844 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在 Windows 2000 域控制器的事件日志中,可能会出现下列错误消息之一:

来自源“NTDS 复制”,Event ID 1645:
The Directory Service received a failure while trying to perform an authenticated RPC call to another Domain Controller.The failure is that the desired Service Principal Name (SPN) is not registered on the target server.The server being contacted is afb720fd-38c7-4505-aa9f-b658ca124773._msdcs.MyDomain.com.The SPN being used is E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Please verify that the names of the target server and domain are correct.Please also verify that the SPN is registered on the computer account object for the target server on the KDC servicing the request.If the target server has been recently promoted, it will be necessary for knowledge of this computer's identity to replicate to the KDC before this computer can be authenticated.
来自源“NTDS KCC”,Event 1265:
The attempt to establish a replication link with parameters Partition:CN=Configuration,DC=MyDomain,DC=net Source DSA DN:CN=NTDS Settings,CN=MyServer,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=MyDomain,DC=com Source DSA Address:5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com Inter-site Transport (if any): failed with the following status: Logon Failure:The target account name is incorrect. The record data is the status code.This operation will be retried.
来自尝试通过“Active Directory 站点和服务”、Active Directory 复制监视器 (REPLMON) 或 Repadmin.exe 对复制伙伴进行的同步:
Logon Failure:The target account name is incorrect.

原因

如果在具有父/子或树根信任关系的不同域的两个域控制器之间的 Active Directory 复制期间报告此错误,则此错误的原因可能是缺少一个可代表这两个域之间的信任关系的关键对象。此对象即所谓“trustedDomain”对象 (TDO),在“Active Directory 用户和计算机”工具中的“系统”容器中可看到此对象。此类对象直接与“Active Directory 域和信任关系”管理工具中显示的信任关系有关。如果此对象不在 Active Directory 中,则由于上述错误,跨域身份验证将不能成功执行。

解决方案

要解决这一问题,请:

备注:只有在远程域的 TDO 不在“系统”容器中时,才应执行此过程。
  1. 从生成本文前面所列错误消息的域中,在担任域的 PDC Flexible Single Master Operations (FSMO) 角色的域控制器上打开“Active Directory 域和信任关系”管理工具。右键单击代表该域的对象,然后单击属性
  2. 单击信任 选项卡,然后单击添加 以创建到远程域的双向信任关系。因为这通常是 Kerberos 信任关系,所以要求创建双向信任关系。若先创建受信任方会生成下面的错误消息:
    Active Directory cannot verify the trust.Access is denied.
    单击确定。注意,“Active Directory 域和信任关系”将此信任显示为“快捷方式”类型,并且它是可传递的。添加信任方将生成下面的错误消息:
    To verify the new trust, you must have permissions to administer trusts for the domain XXX.Do you want to verify the new trust?
    单击,然后提供远程域的管理员凭证。每当提示您提供凭证时,一定要指定域名和用户名,例如,NetBIOSDomainName\Administrator。将生成下面的错误消息:
    Active Directory cannot verify the trust.Access is denied.
    单击确定。您会再次注意到,“Active Directory 域和信任关系”将此信任关系显示为“快捷方式”类型,并且它是可传递的。
  3. 创建了信任关系的双方后,运行下面的命令。

    备注:NETDOM 工具包括在“Windows 2000 支持工具”中,后者在 Windows 2000 Server 或 Windows 2000 Professional 光盘上的 \Support\Tools 文件夹中。
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay
    						
    其中“local_domain”是在其上创建信任关系的域,而“remote_domain”则是受信任的父域、子域或根目录域树。在其中任何一种情况中,都应使用完全合格的域名称 (FQDN)。例如,“MyDomain.com”。这会引发下面的消息:
    Type the password associated with the domain user: (This is UserD)
    Type the password associated with the object user: (This is UserO)
    Resetting the trust passwords between local_domain.com and remote_domain.com
    The trust between local_domain.com and remote_domain.com
    has been successfully reset and verified
    The command completed successfully.
    						
  4. 重新启动在其中执行这些更改的 PDC。
  5. 重启后,等一段时间让 Active Directory 建立安全通道,让“知识一致性检查器”尝试重新建立到远程域中的域控制器的复制链接。在此期间,您可以测试跨信任关系的登录是否成功以及事件日志错误是否已消除。

状态

Microsoft 已确认将重新创建的信任关系显示为“快捷方式”是 Microsoft Windows 2000 中的一个问题。

更多信息

此双向信任关系在“Active Directory 域和信任关系”中将继续显示为一个“快捷方式”,不过,此信任关系将能够正确工作而且可传递。一定不要把此信任误认为是对信任层次的优化,而且将来在 Microsoft 发行了受支持的对此问题的修补程序后要将其删除,这一点非常重要。

属性

文章编号: 257844 - 最后修改: 2003年6月9日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kbprb KB257844
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com