Потерянные сведения о дочернем контроллере домена не реплицируются на другие контроллеры домена

  • Статья

В этой статье описывается решение проблемы, из-за которой потерянный дочерний контроллер домена не может быть реплицирован на другие контроллеры домена.

Применимо к: Windows Server 2019, Windows Server 2016
Оригинальный номер базы знаний: 887430

Симптомы

Дочерний домен на основе Microsoft Windows Server потерян из остальной части леса. Этот дочерний домен может получать изменения, которые реплицируются контроллерами домена в родительском (корневом) домене, но ни контроллеры домена в корневом домене, ни другие дочерние домены не обладают знаниями о контроллерах домена в затронутом дочернем домене.

Когда администратор пытается просмотреть контроллеры домена в потерянном дочернем домене из другого домена, контроллеры домена не отображаются. Например, контроллеры домена не отображаются в следующем контексте именования конфигурации:
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com

В этом случае Site_Name и Domain_Name являются атрибутами потерянного домена.

Причина

Эта проблема может возникнуть, если дочерний домен потерян из родительского домена.

Разрешение

Важно!

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы устранить эту проблему, необходимо создать ссылку репликации, а затем включить односторонную проверку подлинности вместо двусторонней проверки подлинности. Для этого выполните следующие действия:

  1. На контроллере домена в корневом домене добавьте значение реестра Replicator Allow SPN Fallback registry (Разрешить имя субъекта-службы). Для этого выполните следующие действия на контроллере домена.

    1. Выберите Запустить>запуск и введите regedt32.
    2. Выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    3. Выберите Изменить>новое>значение DWORD.
    4. Введите репликатор Разрешить резервное имя субъекта-службы.
    5. В правой области дважды щелкните Репликатор Разрешить резервный номер субъекта-службы, введите 1 в поле Значение и нажмите кнопку ОК.
    6. Перезапустите контроллер домена.

  2. Откройте окно командной строки и выполните следующие команды:

    repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE  
repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller  
repadmin /showreps

    Для контекста именования конфигурации из дочернего контроллера домена должно отображаться успешное входящее подключение.

    Примечание.

    Сведения о средстве Repadmin.exe см. в статье Мониторинг и устранение неполадок репликации Active Directory с помощью Repadmin.

  3. В командной строке выполните команду : repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE.

  4. Удалите запись резервного реестра репликатора Разрешить имя субъекта-службы . Для этого выполните следующие действия:

    1. Запустите Редактор реестра и выберите следующий подраздел реестра:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    2. Щелкните правой кнопкой мыши Репликатор Разрешить резервное имя субъекта-службы, выберите Удалить и нажмите кнопку ОК.

  5. Принудительная репликация между всеми контроллерами домена в корневом домене. Для этого выполните следующие действия:

    1. На контроллере домена в корневом домене выберите Запустить>программы>Администрирование Active>Directory Сайты и службы.

    2. Разверните узлы Серверы сайтов>, разверните папку Server_Name, а затем выберите NtDS Settings (Параметры NTDS).

    3. Если в вашей среде есть другие контроллеры домена для репликации, они будут перечислены в области справа. Щелкните правой кнопкой мыши первый контроллер домена в списке, выберите Все задачи, а затем выберите Проверить топологию репликации , чтобы запустить средство проверки согласованности знаний (KCC).

      Отображается объект входящего подключения из одного или нескольких дочерних контроллеров домена. Возможно, потребуется обновить дисплей, нажав клавишу F5.

    4. Повторите шаг 3 для каждого контроллера домена в корневом домене.

  6. Разрешить репликацию во всем лесу. Затем выполните repadmin /showreps команду на корневом контроллере домена и на дочерних контроллерах домена. Этот шаг гарантирует успешное выполнение репликации службы Active Directory (AD DS).

Запись резервного реестра "Разрешить репликацию имени субъекта-службы " позволяет контроллеру домена использовать односторонней проверки подлинности, если двусторонняя проверка подлинности не может быть выполнена из-за сбоя при разрешении имени субъекта-службы (SPN) в учетной записи компьютера.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.