Não é possível criar uma relação de confiança e ocorre um erro STATUS_OBJECT_NAME_COLLISION

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 311242
Sintomas
Se você adicionar um domínio confiante do Windows NT 4.0 a partir de um domínio do Windows 2000, talvez não seja capaz de criar uma relação de confiança e a seguinte mensagem de erro:
Título do Windows: Active Directory
A relação de confiança não pode ser modificada. Isso pode ser causado pelo problema de rede ou os objetos que representam a relação de confiança tem sido danificados. Se o mais tarde, a relação de confiança deve ser removida e recriada.
Se você usar um utilitário de linha de comando (por exemplo, Trustdom.exe) para adicionar um domínio confiante, você receberá a seguinte mensagem de erro:
...
LsaCreateTrustedDomainEx em trusted_domain para trusting_domain falhou com 0xc0000035
...
O comando falhou: erro 0xc0000035
O 0xc0000035 código de erro é mapeado para STATUS_OBJECT_NAME_COLLISION. O erro STATUS_OBJECT_NAME_COLLISION pode ocorrer se um identificador de segurança (SID) do domínio duplicado é detectado.
Causa
Esse problema pode ocorrer se o domínio ao qual você está adicionando que um novo domínio confiante já já uma confiança com outro domínio e os dois domínios tiverem o mesmo SID do domínio. Considere o seguinte cenário:
  • Você usar um domínio do Windows 2000 que atua como o domínio de conta, que é chamado de "AccountDom."
  • Usar dois outros domínios Windows NT 4.0 que atuam como domínios de recursos, que são chamados de "ResourceDom1" e "ResourceDom2."
Nesse cenário, ResourceDom1 e ResourceDom2 têm o mesmo SID do domínio. Os domínios podem ter o mesmo SID se você clonar ou a instalação ou um domínio Windows NT 4.0 original você dividir em dois domínios. O domínio do Windows 2000 já tem uma relação de confiança com um desses domínios, por exemplo, ResourceDom1 já confia AccountDom. Se você tentar adicionar um novo domínio confiante (ResourceDom2) do domínio AccountDom, você receberá a mensagem de erro que é descrita na seção "Sumário" deste artigo.
Mais Informações
Se você adicionar um novo domínio confiante de um domínio do Windows 2000, o controlador de domínio para o qual você define a nova relação de confiança executa as seguintes tarefas:
  1. O controlador de domínio envia consultas de nomes sobre Trusting_domain_ 1c.

    O controlador de domínio eventualmente envia consultas de nome sobre Trusting_domain_ 1b).
  2. O controlador de domínio envia o Gerenciador de conta de segurança (SAM) a solicitação de logon
  3. O controlador de domínio envia uma consulta para o controlador de domínio primário (PDC).
  4. O controlador de domínio estabelece uma sessão SMB (Server Message Block Protocol) para IPC $ de um controlador de domínio do domínio confiante.

    Se esse procedimento falhar, o controlador de domínio estabelece uma sessão SMB sem usar credenciais (ele estabelece uma conexão anônima).
  5. O controlador de domínio cria um pipe \LSARPC.
  6. Os dados a seguintes descreve o tráfego Microsoft Remote Procedure Call (RPC) que está relacionado à LSA:
    Bind to UUID12345678-1234-ABCD-EF00-0123456789AB (is related to LSARPC)Calls Lsarpc:LsarOpenPolicy2 (Opnum : 0x2C)Calls Lsarpc: LsarQueryInformationPolicy2 (OpNum : 0x2E) 
    Observação : A chamada anterior ocorre duas vezes se o código de retorno for 0x1c010002.
    Calls Lsarpc:LsarQueryInformationPolicy (Opnum : 0x7) 
    Observação : esta chamada anterior permite que você recuperar o nome e o SID do domínio primário do sistema.
  7. O controlador de domínio faz logoff da sessão SMB e em seguida, desconectará.
Nesse cenário, se você adicionar domínio confiante ao confiar em todos os confiar em controladores de domínio são inacessíveis (por exemplo, se o SID do domínio confiante não pode ser coletado pelo processo que é descrito na seção anterior), o objeto de confiança é criado com êxito mas o tipo de relação de confiança é definido como "Não-Windows Kerberos Realm."

Um domínio confiável do Windows não pode usar esta relação de confiança. O rastreamento de rede lista o SID do domínio confiante. Use a seguinte linha de comando para recuperar os SIDs para todos os domínios para os quais um determinado domínio possui relações de confiança:
trustdom - sidlist
Se você comparar as relações de confiança, você pode determinar se existe SIDs duplicados.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 311242 - Última Revisão: 03/01/2007 23:52:53 - Revisão: 1.3

Microsoft Windows 2000 Advanced Server

  • kbmt kbenv kbnetwork kbprb KB311242 KbMtpt
Comentários