Сообщение об ошибке репликации 1326 и событии с кодом 1265 «Имя пользователя или пароль не опознаны»

Переводы статьи Переводы статьи
Код статьи: 328701 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

Контроллеру домена под управлением Windows 2000 не удается выполнить репликацию разделов схемы и конфигурации с партнерами из других доменов леса. Кроме того, контроллер домена, который является сервером глобального каталога, не выполняет с такими партнерами репликацию разделов других доменов.

В рассматриваемом примере MYDC1 — это контроллер домена mydomain.com, а MYDC2 — его партнер по репликации из домена subdom.mydomain.com.

Каждые 15 минут в журнале событий службы каталогов регистрируется следующее событие.
Код (ID): 1265
Источник: NTDS KCC
Неудачная попытка установить связь репликации с параметрами
Раздел: CN=Schema,CN=Configuration,DC=mydomain,DC=com DN исходного DSA: CN=NTDS Settings,CN=MYDC1,CN=Servers,CN=MYSITE,CN=Sites,CN=Configuration,DC=MYDOMAIN,DC=COM
Адрес исходного DSA: e7453dd3-63b9-4ea1-ab78-e0f16115c84d._msdcs.mydomain.com
Межсайтовый транспорт (если есть): прервана в следующем состоянии:
Вход в систему не произведен: имя пользователя или пароль не опознаны. В данных содержится код состояния. Операция будет повторена.
Данные 0000052e
Кроме того, в журнале системных событий регулярно регистрируется следующее сообщение.
Код (ID): 63
Источник: W32Time
Службе времени не удалось предоставить безопасное (подписанное) время клиенту х.х.х.х, поскольку попытка проверить учетную запись этого компьютера закончилась ошибкой 1317. Восстановлено небезопасное (неподписанное) время для этого клиента.
Запуск на контроллере домена MYDC1 команды repadmin/showreps приводит к отображению следующих данных.
...
CN=Configuration,DC=mydomain,DC=com
    MySite\MYDC2 via RPC
        objectGuid: a6999e16-99b5-432f-9bc5-3eecf5dc192f<BR/>
        Last attempt @ 2002-08-26 17:30.54 failed, result 1326:<BR/>
        Logon failure: unknown user name or bad password.<BR/>
        Last success @ 2002-08-19 14:42.40.<BR/>
        1995 consecutive failure(s).
				
Запуск на контроллере домена MYDC1 команды dcdiag приводит к отображению следующих данных.
DC Diagnosis
... 
     [Replications Check,DC-LV1] A recent replication attempt failed:
            From MYDC2 to MYDC1
            Naming Context: CN=Configuration,DC=mydomain,DC=com
            The replication generated an error (1326):
            Logon failure: unknown user name or bad password.
            The failure occurred at 2002-08-22 14:02.04.
            The last success occurred at 2002-08-20 17:10.52.
            617 failures have occurred since the last success.
            Kerberos Error.
            The machine account is not present, or does not match on the.
            destination, source or KDC servers.
            Verify domain partition of KDC is in sync with rest of enterprise.
            The tool repadmin/syncall can be used for this purpose.
				
Для просмотра доверительных отношений между доменами воспользуйтесь одним из представленных ниже способов.
  • С помощью оснастки «Active Directory — домены и доверие».
    1. Запустите оснастку «Active Directory — домены и доверие».
    2. Щелкните правой кнопкой мыши элемент Mydomain и откройте вкладку Доверия.
    3. Выделите элемент sub.mydomain.com в списке Домены, которым доверят этот домен, нажмите кнопку Изменить, а затем — Проверить.
    Появляется следующее сообщение:
    Доверие проверено. Оно работоспособно и активно.
  • С помощью средства netdom. Введите в командной строке
    c:\>netdom trust domdid /domain:sub /verify
    Появится следующее сообщение:
    The trust between domdid and sub has been successfully verified
    The command completed successfully.
Хотя средства проверки сообщают о том, что доверие находится в работоспособном состоянии, в процессе проверки подлинности между контроллером домена и его партнером по репликации появляется сообщение об ошибке.

Решение

Для устранения этой проблемы необходимо вернуть доверительное отношение в исходное состояние.
  1. Запустите команду
    c:\>netdom trust mydomain /domain:subdom /reset
    Появится следующее сообщение.
    Resetting the trust passwords between mydomain and subdom
    The trust between domdid and sub has been successfully reset and verified
    The command completed successfully.
  2. Чтобы убедиться в успешности выполнения репликации между доменами, введите в командной строке:
    C:\repadmin/sync CN=Configuration,DC=mydomain,DC=com MYDC1 a6999e16-99b5-432f-9bc5-3eecf5dc192f
    Появится следующее сообщение:
    Sync from a6999e16-99b5-432f-9bc5-3eecf5dc192f to mydc1 completed successfully.

Дополнительная информация

Перед репликацией с MYDC2 контроллер домена MYDC1 должен пройти на нем проверку подлинности. Для этого MYDC1 отправляет запрос Kerberos KRB_TGS_REQ в центр распространения ключей домена subdom. Для проверки подлинности и репликации MYDC1 использует одно и то же имя участника службы (E3514235-4B06-11D1-AB04-00C04FC2DCD2/a6999e16-99b5-432f-9bc5-3ee//mydomain.com).

В ответ на запрос центр распространения ключей дочернего домена возвращает следующее сообщение об ошибке KRB_ERROR:
Message stream modified.
Это свидетельствует о том, что центру распространения ключей не удается расшифровать включенные в запрос данные (в первую очередь билет на выдачу билета). Поскольку ключ, который используется для расшифровки данных, создан на основе пароля учетной записи междоменного доверия, сброс ключа приводит к повторной синхронизации пароля каждой из участвующих сторон (т. е. решению проблемы).

Свойства

Код статьи: 328701 - Последний отзыв: 22 апреля 2004 г. - Revision: 1.0
Информация в данной статье применима к:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
Ключевые слова: 
kberrmsg kbprb KB328701

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com