Le informazioni sul controller di dominio figlio orfano non vengono replicate in altri controller di dominio

  • Articolo

Questo articolo fornisce una soluzione a un problema per cui un controller di dominio figlio orfano non può essere replicato in altri controller di dominio.

Si applica a: Windows Server 2019, Windows Server 2016
Numero KB originale: 887430

Sintomi

Un dominio figlio basato su Microsoft Windows Server è orfano dal resto della foresta. Questo dominio figlio può ricevere modifiche replicate dai controller di dominio nel dominio padre (radice), ma nessun controller di dominio nel dominio radice o in altri domini figlio è a conoscenza dei controller di dominio nel dominio figlio interessato.

Quando un amministratore tenta di visualizzare i controller di dominio nel dominio figlio orfano da un altro dominio, non vengono visualizzati controller di dominio. Ad esempio, nel contesto di denominazione della configurazione seguente non vengono visualizzati controller di dominio:
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com

In questo caso, Site_Name e Domain_Name sono attributi del dominio orfano.

Causa

Questo problema può verificarsi se il dominio figlio è orfano del dominio padre.

Risoluzione

Importante

Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare seri problemi. Prima di apportare le modifiche, eseguire il backup del Registro di sistema per il ripristino nel caso si verifichino dei problemi.

Per risolvere questo problema, è necessario creare un collegamento di replica e quindi abilitare l'autenticazione unidirezionale anziché l'autenticazione bidirezionale. A tal fine, attenersi alla seguente procedura:

  1. In un controller di dominio nel dominio radice aggiungere il valore del Registro di sistema Replicator Allow SPN Fallback.On a domain controller in the root domain, add the Replicator Allow SPN Fallback registry value. A tale scopo, seguire questa procedura nel controller di dominio.

    1. Selezionare Avvia>esecuzione e quindi immettere regedt32.
    2. Selezionare la sottochiave del Registro di sistema seguente:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    3. Selezionare Modifica>nuovo>valore DWORD.
    4. Immettere Replicator Allow SPN Fallback (Consenti fallback SPN).
    5. Nel riquadro destro fare doppio clic su Replicator Consenti fallback SPN, digitare 1 nella casella Dati valore e quindi selezionare OK.
    6. Riavviare il controller di dominio.

  2. Aprire una finestra del prompt dei comandi ed eseguire i comandi seguenti:

    repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE  
repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller  
repadmin /showreps

    Deve essere visualizzata una connessione in ingresso corretta per il contesto di denominazione della configurazione dal controller di dominio figlio.

    Nota

    Per informazioni sullo strumento Repadmin.exe, vedere Monitoraggio e risoluzione dei problemi di replica di Active Directory tramite Repadmin.

  3. Al prompt dei comandi eseguire il comando : repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE.

  4. Rimuovere la voce del Registro di sistema Replicator Allow SPN Fallback . A tal fine, attenersi alla seguente procedura:

    1. Avviare Editor del Registro di sistema e selezionare la sottochiave del Registro di sistema seguente:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    2. Fare clic con il pulsante destro del mouse su Replicator Allow SPN Fallback(Consenti fallback SPN), scegliere Elimina e quindi scegliere OK.

  5. Forzare la replica tra tutti i controller di dominio nel dominio radice. A tal fine, attenersi alla seguente procedura:

    1. In un controller di dominio nel dominio radice selezionare Avvia>programmi>Strumenti> di amministrazioneSiti e servizi di Active Directory.

    2. Espandere Server siti>, espandere la cartella Server_Name e quindi selezionare Impostazioni NTDS.

    3. Se nell'ambiente sono presenti altri controller di dominio da replicare, verranno elencati nel riquadro di destra. Fare clic con il pulsante destro del mouse sul primo controller di dominio nell'elenco, selezionare Tutte le attività e quindi selezionare Controlla topologia di replica per avviare Verifica coerenza conoscenze (KCC).

      Viene visualizzato un oggetto connessione in ingresso da uno o più controller di dominio figlio. Potrebbe essere necessario aggiornare la visualizzazione premendo F5.

    4. Ripetere il passaggio 3 per ogni controller di dominio nel dominio radice.

  6. Consentire la replica in tutta la foresta. Eseguire quindi il repadmin /showreps comando nel controller di dominio radice e nei controller di dominio figlio. Questo passaggio assicura che la replica del servizio Active Directory (AD DS) abbia esito positivo.

La voce del Registro di sistema Replication Allow SPN Fallback consente al controller di dominio di usare l'autenticazione unidirezionale se non è possibile eseguire l'autenticazione bidirezionale a causa di un errore di risoluzione di un nome dell'entità servizio (SPN) in un account computer.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.