Ошибка (неправильное имя целевого субъекта) при репликации данных между контроллерами домена вручную
В этой статье описано, как устранить ошибку, возникающую при репликации данных между контроллерами домена вручную.
Применимо к: Windows 2000
Исходный номер базы знаний: 288167
Примечание.
Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений для завершения поддержки Windows 2000 — это отправная точка для планирования стратегии миграции с Windows 2000. Дополнительные сведения см. в статье Политика жизненного цикла служба поддержки Майкрософт.
Симптомы
При использовании оснастки "Сайты и службы Active Directory" для репликации данных между контроллерами домена Windows 2000 вручную может появиться одно из следующих сообщений об ошибке:
Неправильное имя целевого субъекта
Или
Доступ запрещен
Кроме того, в системном журнале могут быть зарегистрированы следующие сообщения об идентификаторе событий:
Event Source: Netlogon
Event Category: None
Event ID: 3210
User: N/A
Event Description:
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.
Event Source: Netlogon
Event ID: 5722
Event Category: None
User: N/A
Event Description:
The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred: n3
Разрешение
Чтобы устранить эту проблему, сначала определите, какой контроллер домена является текущим основным эмулятором контроллера домена (PDC) master владельца роли. Для этого используйте один из следующих методов:
Установите служебную программу Netdom.exe из средств поддержки Windows 2000, а затем выполните следующую команду:
netdom query fsmo
Запустите оснастку Пользователи и компьютеры Active Directory, щелкните правой кнопкой мыши домен и выберите пункт Мастера операций. Перейдите на вкладку PDC ; текущий владелец роли отображается в окне Мастер операций . На этой вкладке можно изменить операции master роли на текущий компьютер во втором окне (если этот компьютер не является текущим владельцем).
Используйте служебную программу Ntdsutil.exe (включенную в Windows 2000) и служебную программу командной строки Resource Kit. Однако эти интерфейсы рекомендуется использовать для более опытных пользователей. Дополнительные сведения см. в статье Поиск серверов с гибкими ролями операций с одним master.
На контроллерах домена с этой проблемой отключите службу Центра распространения ключей Kerberos (KDC):
- Нажмите кнопку Пуск, наведите указатель мыши на пункт Программы, выберите Администрирование, а затем — Службы.
- Дважды щелкните KDC, задайте для типа запуска значение Отключено, а затем перезагрузите компьютер.
После перезагрузки компьютера используйте служебную программу Netdom, чтобы сбросить безопасные каналы между этими контроллерами домена и операциями эмулятора PDC master владельца роли. Для этого выполните следующую команду из контроллеров домена, отличных от операций эмулятора PDC master владельца роли:
netdom resetpwd /server: server_name /userd: domain_name \administrator /passwordd: administrator_password
Где server_name — это имя сервера, который является операциями эмулятора PDC master владельца роли.
После сброса безопасного канала перезапустите контроллеры домена. Даже если вы пытаетесь сбросить безопасный канал с помощью программы Netdom и команда не завершается успешно, продолжайте процесс перезапуска.
Если выполняется только операция эмулятора PDC master владельца роли, KDC принуждает другие контроллеры домена выполнять повторную синхронизацию с этим компьютером вместо того, чтобы выдавать себе новый билет Kerberos.
После завершения перезапуска компьютеров запустите программу Службы, перезапустите службу KDC, а затем повторите попытку репликации.
Дополнительная информация
Если в домене несколько контроллеров домена, сообщение об ошибке, которое вы получаете при возникновении этой проблемы, зависит от того, в каком направлении выполняется репликация, и от того, является ли один из задействованных контроллеров домена также является операциями эмулятора PDC master владельца роли.
В некоторых случаях при попытке net view \\computername
подключения к контроллеру домена с операциями эмулятора PDC master роли другого контроллера домена может появиться сообщение об ошибке "Доступ запрещен". Однако при использовании IP-адреса команда может быть выполнена успешно.
При возникновении этой проблемы в журналах событий могут сообщаться многочисленные ошибки. Эти ошибки различаются в зависимости от любого из следующих условий:
Контроллер домена не был полностью функциональным до возникновения проблемы.
Контроллер домена не завершил процесс мастера установки Active Directory.
Папка Sysvol на контроллере домена не была предоставлена.
Контроллер домена не имеет полную структуру файлов в папке Domain_name и папке Policies, которая находится в папке %SystemRoot%\Sysvol\Sysvol\Domain_name\Policies. Следующее событие является примером события, которое может быть сообщено:
Event ID: 3034 Type: Warning Source: MRxSmb Description: The redirector was unable to initialize security context or query context attributes.
Сбор данных
Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по