Потерянные сведения о дочернем контроллере домена не реплицируются на другие контроллеры домена
В этой статье описывается решение проблемы, из-за которой потерянный дочерний контроллер домена не может быть реплицирован на другие контроллеры домена.
Применимо к: Windows Server 2019, Windows Server 2016
Оригинальный номер базы знаний: 887430
Симптомы
Дочерний домен на основе Microsoft Windows Server потерян из остальной части леса. Этот дочерний домен может получать изменения, которые реплицируются контроллерами домена в родительском (корневом) домене, но ни контроллеры домена в корневом домене, ни другие дочерние домены не обладают знаниями о контроллерах домена в затронутом дочернем домене.
Когда администратор пытается просмотреть контроллеры домена в потерянном дочернем домене из другого домена, контроллеры домена не отображаются. Например, контроллеры домена не отображаются в следующем контексте именования конфигурации:
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com
В этом случае Site_Name и Domain_Name являются атрибутами потерянного домена.
Причина
Эта проблема может возникнуть, если дочерний домен потерян из родительского домена.
Разрешение
Важно!
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы устранить эту проблему, необходимо создать ссылку репликации, а затем включить односторонную проверку подлинности вместо двусторонней проверки подлинности. Для этого выполните следующие действия:
На контроллере домена в корневом домене добавьте значение реестра Replicator Allow SPN Fallback registry (Разрешить имя субъекта-службы). Для этого выполните следующие действия на контроллере домена.
- Выберите Запустить>запуск и введите regedt32.
- Выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
- Выберите Изменить>новое>значение DWORD.
- Введите репликатор Разрешить резервное имя субъекта-службы.
- В правой области дважды щелкните Репликатор Разрешить резервный номер субъекта-службы, введите 1 в поле Значение и нажмите кнопку ОК.
- Перезапустите контроллер домена.
Откройте окно командной строки и выполните следующие команды:
repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller repadmin /showreps
Для контекста именования конфигурации из дочернего контроллера домена должно отображаться успешное входящее подключение.
Примечание.
Сведения о средстве Repadmin.exe см. в статье Мониторинг и устранение неполадок репликации Active Directory с помощью Repadmin.
В командной строке выполните команду :
repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE
.Удалите запись резервного реестра репликатора Разрешить имя субъекта-службы . Для этого выполните следующие действия:
Запустите Редактор реестра и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Щелкните правой кнопкой мыши Репликатор Разрешить резервное имя субъекта-службы, выберите Удалить и нажмите кнопку ОК.
Принудительная репликация между всеми контроллерами домена в корневом домене. Для этого выполните следующие действия:
На контроллере домена в корневом домене выберите Запустить>программы>Администрирование Active>Directory Сайты и службы.
Разверните узлы Серверы сайтов>, разверните папку Server_Name, а затем выберите NtDS Settings (Параметры NTDS).
Если в вашей среде есть другие контроллеры домена для репликации, они будут перечислены в области справа. Щелкните правой кнопкой мыши первый контроллер домена в списке, выберите Все задачи, а затем выберите Проверить топологию репликации , чтобы запустить средство проверки согласованности знаний (KCC).
Отображается объект входящего подключения из одного или нескольких дочерних контроллеров домена. Возможно, потребуется обновить дисплей, нажав клавишу F5.
Повторите шаг 3 для каждого контроллера домена в корневом домене.
Разрешить репликацию во всем лесу. Затем выполните
repadmin /showreps
команду на корневом контроллере домена и на дочерних контроллерах домена. Этот шаг гарантирует успешное выполнение репликации службы Active Directory (AD DS).
Запись резервного реестра "Разрешить репликацию имени субъекта-службы " позволяет контроллеру домена использовать односторонней проверки подлинности, если двусторонняя проверка подлинности не может быть выполнена из-за сбоя при разрешении имени субъекта-службы (SPN) в учетной записи компьютера.
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по