在域控制器之间手动复制数据时出现“Target Principal Name is Incorrect”(目标主要名称不正确)错误信息

文章翻译 文章翻译
文章编号: 288167 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在使用“Active Directory 站点和服务”管理单元在 Windows 2000 域控制器之间手动复制数据时,可能会收到下列错误信息之一:
The Target Principal Name is incorrect
- 或 -
Access is denied
此外,系统日志中还会记录以下事件 ID 信息:
Event Source:Netlogon
Event Category:None Event ID: 3210
User:N/A Event Description:
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller fordomain DOMAIN.
- 和 -
Event Source:Netlogon
Event ID: 5722
Event Category:None User:N/A Event Description:
The session setup from the computer 1 failed to authenticate.The name of the account referenced in the security database is 2.The following error occurred:n3

解决方案

要解决此问题,应首先确定哪个域控制器是当前的主域控制器 (PDC) 模拟器操作主机角色担任者。为此,请使用下面两种方法之一:
  • 从 Windows 2000 支持工具中安装 Netdom.exe 实用工具,然后运行下面的命令:
    netdom query fsmo
  • 启动“Active Directory 用户和计算机”管理单元,右键单击该域,然后单击操作主机。单击 PDC 选项卡,当前的角色担任者将显示在“操作主机”窗口中。在此选项卡上,您可以将操作主机角色更改为第二个窗口中的当前计算机(如果此计算机不是当前担任者)。
  • 使用 Ntdsutil.exe 实用工具(包括在 Windows 2000 中)和资源工具包中的命令行实用工具。不过,这些界面是建议更高级的用户使用的。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
234790 如何查找 FSMO 角色担任者(服务器)
在遇到此问题的域控制器上,禁用 Kerberos 密钥发行中心服务 (KDC)。为此,请按照下列步骤操作:
  1. 单击开始,指向程序,单击管理工具,然后单击服务
  2. 双击 KDC,将启动类型设置为禁用,然后重新启动计算机。
在计算机重启后,使用 Netdom 实用工具重置这些域控制器和 PDC 模拟器操作主机角色担任者之间的安全通道。为此,请从 PDC 模拟器操作主机角色担任者以外的域控制器运行下面的命令:
netdom resetpwd /server:服务器名 /userd:域名\administrator /passwordd:管理员密码
其中服务器名是作为 PDC 模拟器操作主机角色担任者的服务器的名称。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260575 如何使用 Netdom.exe 重置 Windows 2000 域控制器的机器帐户密码
在重置安全通道后,请重新启动域控制器。即使您尝试使用 Netdom 实用工具重置安全通道而且该命令未成功完成,也要执行重启过程。

如果仅 PDC 模拟器操作主机角色担任者正在运行,KDC 将强制其他域控制器重新与该计算机同步,而不是向它们本身发放新的 Kerberos 票证。

在计算机完成重新启动之后,请启动“服务”程序,重新启动 KDC 服务器,然后再次尝试复制。

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。

更多信息

如果在该域中有多个域控制器,则在此问题发生时收到的错误信息将会有所变化,具体取决于尝试复制的方式,以及复制中涉及的域控制器之一是否同时也是 PDC 模拟器操作主机角色担任者。

在某些情况下,当您使用 net view \\计算机名尝试从另一域控制器连接到具有 PDC 模拟器操作主机角色的域控制器时,会收到“Access denied”(访问被拒绝)错误信息。但是,如果您使用 Internet 协议 (IP) 地址,该命令可能会成功。

发生此问题时,事件日志中可能会报告多种错误。这些错误内容不一,具体取决于下列情况:
  • 在出现问题之前域控制器没有充分发挥功能。
  • 域控制器未成功完成“Active Directory 安装向导”过程。
  • 域控制器上的 Sysvol 文件夹未被共享。
  • 域控制器在域名称文件夹下和位于 %SystemRoot%\Sysvol\Sysvol\域名称\Policies 中的 Policies(策略)文件夹下没有完整的文件结构。
下面是一个可能报告的事件的示例:
Event ID: 3034
Type:Warning
Source:MRxSmb
Description:The redirector was unable to initialize security context or query context attributes.

属性

文章编号: 288167 - 最后修改: 2004年5月14日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Advanced Server
关键字:?
kberrmsg kbenv kbprb KB288167
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com