As informações do controlador de domínio filho órfão não são replicadas para outros controladores de domínio

  • Artigo

Este artigo fornece uma solução para um problema em que um controlador de domínio filho órfão não pode ser replicado para outros controladores de domínio.

Aplica-se a: Windows Server 2019, Windows Server 2016
Número de KB original: 887430

Sintomas

Um domínio filho baseado no Microsoft Windows Server é órfão do resto da floresta. Esse domínio filho pode receber alterações que são replicadas por controladores de domínio no domínio pai (raiz), mas nenhum controlador de domínio no domínio raiz ou qualquer outro domínio filho tem conhecimento dos controladores de domínio no domínio filho afetado.

Quando um administrador tenta exibir os controladores de domínio no domínio filho órfão de outro domínio, nenhum controlador de domínio é exibido. Por exemplo, nenhum controlador de domínio é exibido no seguinte contexto de nomenclatura de configuração:
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com

Nesse caso, Site_Name e Domain_Name são atributos do domínio órfão.

Motivo

Esse problema poderá ocorrer se o domínio filho estiver órfão do domínio pai.

Resolução

Importante

Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça backup do Registro para restauração em caso de problemas.

Para resolve esse problema, você deve criar um link de replicação e habilitar a autenticação unidirecional em vez de autenticação bidirecional. Para fazer isso, siga estas etapas:

  1. Em um controlador de domínio no domínio raiz, adicione o valor do registro de fallback do Replicator Allow SPN . Para fazer isso, siga estas etapas no controlador de domínio.

    1. Selecione Iniciar>Execução e insira regedt32.
    2. Selecione a seguinte subchave de registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    3. Selecione Editar>Novo>Valor DWORD.
    4. Insira o Replicador Permitir Fallback do SPN.
    5. No painel direito, clique duas vezes em Replicador Permitir Fallback do SPN, digite 1 na caixa de dados Valor e selecione OK.
    6. Reinicie o controlador de domínio.

  2. Abra uma janela prompt de comando e execute os seguintes comandos:

    repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE  
repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller  
repadmin /showreps

    Uma conexão de entrada bem-sucedida deve ser exibida para o contexto de nomenclatura de configuração do controlador de domínio filho.

    Observação

    Para obter informações sobre a ferramenta Repadmin.exe, consulte Monitoramento e solução de problemas de replicação do Active Directory usando o Repadmin.

  3. No prompt de comando, execute o comando: repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE.

  4. Remova a entrada do registro de fallback do Replicator Allow SPN . Para fazer isso, siga estas etapas:

    1. Inicie o Registro Editor e selecione a seguinte subchave de registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    2. Clique com o botão direito do mouse em Permitir Fallback do SPN, selecione Excluir e, em seguida, selecione OK.

  5. Forçar a replicação entre todos os controladores de domínio no domínio raiz. Para fazer isso, siga estas etapas:

    1. Em um controlador de domínio no domínio raiz, selecione Iniciar>Programas Ferramentas>AdministrativasSites e Serviços> do Active Directory.

    2. ExpandaServidores deSites>, expanda sua pasta Server_Name e selecione Configurações do NTDS.

    3. Se houver outros controladores de domínio em seu ambiente para replicar, eles serão listados no painel direito. Clique com o botão direito do mouse no primeiro controlador de domínio da lista, selecione Todas as Tarefas e selecione Verificar Topologia de Replicação para iniciar o KCC (Verificador de Consistência de Conhecimento).

      Um objeto de conexão de entrada de um ou mais controladores de domínio filho é exibido. Talvez você precise atualizar a exibição pressionando F5.

    4. Repita a etapa 3 para cada controlador de domínio no domínio raiz.

  6. Permitir que a replicação ocorra em toda a floresta. Em seguida, execute o repadmin /showreps comando no controlador de domínio raiz e nos controladores de domínio filho. Esta etapa garante que a replicação do AD DS (Active Directory Directory Service) seja bem-sucedida.

A entrada do Registro de Fallback do SPN permite que o controlador de domínio use a autenticação unidirecional se a autenticação bidirecional não puder ser executada devido a uma falha em resolve um SPN (Nome da Entidade de Serviço) em uma conta de computador.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.