Informationen zu verwaisten untergeordneten Domänencontrollern werden nicht auf andere Domänencontroller repliziert
Dieser Artikel bietet eine Lösung für ein Problem, bei dem ein verwaister untergeordneter Domänencontroller nicht auf andere Domänencontroller repliziert werden kann.
Gilt für: Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer: 887430
Symptome
Eine auf Microsoft Windows Server basierende untergeordnete Domäne ist gegenüber dem Rest der Gesamtstruktur verwaist. Diese untergeordnete Domäne kann Änderungen empfangen, die von Domänencontrollern in der übergeordneten Domäne (Stammdomäne) repliziert werden, aber keine Domänencontroller in der Stammdomäne oder andere untergeordnete Domänen haben Kenntnis von den Domänencontrollern in der betroffenen untergeordneten Domäne.
Wenn ein Administrator versucht, die Domänencontroller in der verwaisten untergeordneten Domäne aus einer anderen Domäne anzuzeigen, werden keine Domänencontroller angezeigt. Beispielsweise werden keine Domänencontroller im folgenden Konfigurationsnamenskontext angezeigt:
CN=Servers,CN= Site_Name,CN=Sites,CN=Configuration,DC= Domain_Name,DC=com
In diesem Fall sind Site_Name und Domain_Name Attribute der verwaisten Domäne.
Ursache
Dieses Problem kann auftreten, wenn die untergeordnete Domäne von der übergeordneten Domäne verwaist ist.
Lösung
Wichtig
Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.
Um dieses Problem zu beheben, müssen Sie einen Replikationslink erstellen und dann die unidirektionale Authentifizierung anstelle der bidirektionalen Authentifizierung aktivieren. Gehen Sie dazu wie folgt vor:
Fügen Sie auf einem Domänencontroller in der Stammdomäne den Registrierungswert Replikationsdienst zulassen SPN-Fallback hinzu. Führen Sie dazu die folgenden Schritte auf dem Domänencontroller aus.
- Wählen Sie Ausführung starten> aus, und geben Sie dann regedt32 ein.
- Wählen Sie den folgenden Registrierungsunterschlüssel aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters - Wählen SieNeuen>DWORD-Wertbearbeiten> aus.
- Geben Sie Replikationsgeber SPN-Fallback zulassen ein.
- Doppelklicken Sie im rechten Bereich auf Replikationsgeber SPN-Fallback zulassen, geben Sie 1 in das Feld Wert ein , und wählen Sie dann OK aus.
- Starten Sie den Domänencontroller neu.
Öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie die folgenden Befehle aus:
repadmin /options fully_qualified_domain_name_(FQDN)_of_the_root_domain_controller +DISABLE_NTDSCONN_XLATE repadmin /add CN=Configuration,DC=Domain_Name,DC=Domain_Name FQDN_of_the_root_domain_controller FQDN_of_the_child_domain_controller repadmin /showrepsEine erfolgreiche eingehende Verbindung sollte für den Konfigurationsnamenskontext vom untergeordneten Domänencontroller angezeigt werden.
Hinweis
Informationen zum Repadmin.exe-Tool finden Sie unter Überwachung und Problembehandlung für die Active Directory-Replikation mithilfe von Repadmin.
Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:
repadmin /options FQDN_of_the_root_domain_controller -DISABLE_NTDSCONN_XLATE.Entfernen Sie den Registrierungseintrag Replikationsgeber SPN-Fallback zulassen . Gehen Sie dazu wie folgt vor:
Starten Sie registrierungs Editor, und wählen Sie den folgenden Registrierungsunterschlüssel aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersKlicken Sie mit der rechten Maustaste auf Replikationsgeber SPN-Fallback zulassen, wählen Sie Löschen und dann OK aus.
Erzwingen der Replikation zwischen allen Domänencontrollern in der Stammdomäne. Gehen Sie dazu wie folgt vor:
Wählen Sie auf einem Domänencontroller in der Stammdomäne StartProgramme>>Verwaltungstools>Active Directory-Standorte und -Dienste aus.
Erweitern Sie Standortserver>, erweitern Sie den Ordner Server_Name, und wählen Sie dann NTDS-Einstellungen aus.
Wenn in Ihrer Umgebung andere Domänencontroller zum Replizieren vorhanden sind, werden diese im rechten Bereich aufgeführt. Klicken Sie mit der rechten Maustaste auf den ersten Domänencontroller in der Liste, wählen Sie Alle Aufgaben und dann Replikationstopologie überprüfen aus, um die Wissenskonsistenzprüfung (Knowledge Consistency Check, KCC) zu starten.
Ein eingehendes Verbindungsobjekt von einem oder mehreren untergeordneten Domänencontrollern wird angezeigt. Möglicherweise müssen Sie die Anzeige aktualisieren, indem Sie F5 drücken.
Wiederholen Sie Schritt 3 für jeden Domänencontroller in der Stammdomäne.
Lassen Sie die Replikation in der gesamten Gesamtstruktur zu. Führen Sie dann den
repadmin /showrepsBefehl auf dem Stammdomänencontroller und auf den untergeordneten Domänencontrollern aus. Dieser Schritt stellt sicher, dass die Active Directory Directory Service(AD DS)-Replikation erfolgreich ist.
Der Registrierungseintrag Replikations-SPN-Fallback zulassen ermöglicht es dem Domänencontroller, unidirektionale Authentifizierung zu verwenden, wenn die bidirektionale Authentifizierung aufgrund eines Fehlers beim Auflösen eines Dienstprinzipalnamens (Service Principal Name, SPN) in ein Computerkonto nicht durchgeführt werden kann.
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für