你目前正处于脱机状态,正在等待 Internet 重新连接

没有受信任的域对象 Active Directory 复制和知识一致性检查器将失败

症状
在 Windows 2000 域控制器的事件日志中,可能会出现下列错误消息之一:

来自源“NTDS 复制”,Event ID 1645:
The Directory Service received a failure while trying to perform an authenticated RPC call to another Domain Controller.The failure is that the desired Service Principal Name (SPN) is not registered on the target server.The server being contacted is afb720fd-38c7-4505-aa9f-b658ca124773._msdcs.MyDomain.com.The SPN being used is E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com.

Please verify that the names of the target server and domain are correct.Please also verify that the SPN is registered on the computer account object for the target server on the KDC servicing the request.If the target server has been recently promoted, it will be necessary for knowledge of this computer's identity to replicate to the KDC before this computer can be authenticated.
来自源“NTDS KCC”,Event 1265:
The attempt to establish a replication link with parameters Partition:CN=Configuration,DC=MyDomain,DC=net Source DSA DN:CN=NTDS Settings,CN=MyServer,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=MyDomain,DC=com Source DSA Address:5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com Inter-site Transport (if any): failed with the following status: Logon Failure:The target account name is incorrect. The record data is the status code.This operation will be retried.
来自尝试通过“Active Directory 站点和服务”、Active Directory 复制监视器 (REPLMON) 或 Repadmin.exe 对复制伙伴进行的同步:
Logon Failure:The target account name is incorrect.
原因
如果在具有父/子或树根信任关系的不同域的两个域控制器之间的 Active Directory 复制期间报告此错误,则此错误的原因可能是缺少一个可代表这两个域之间的信任关系的关键对象。此对象即所谓“trustedDomain”对象 (TDO),在“Active Directory 用户和计算机”工具中的“系统”容器中可看到此对象。此类对象直接与“Active Directory 域和信任关系”管理工具中显示的信任关系有关。如果此对象不在 Active Directory 中,则由于上述错误,跨域身份验证将不能成功执行。
解决方案
要解决这一问题,请:

备注:只有在远程域的 TDO 不在“系统”容器中时,才应执行此过程。
  1. 从生成本文前面所列错误消息的域中,在担任域的 PDC Flexible Single Master Operations (FSMO) 角色的域控制器上打开“Active Directory 域和信任关系”管理工具。右键单击代表该域的对象,然后单击属性
  2. 单击信任 选项卡,然后单击添加 以创建到远程域的双向信任关系。因为这通常是 Kerberos 信任关系,所以要求创建双向信任关系。若先创建受信任方会生成下面的错误消息:
    Active Directory cannot verify the trust.Access is denied.
    单击确定。注意,“Active Directory 域和信任关系”将此信任显示为“快捷方式”类型,并且它是可传递的。添加信任方将生成下面的错误消息:
    To verify the new trust, you must have permissions to administer trusts for the domain XXX.Do you want to verify the new trust?
    单击,然后提供远程域的管理员凭证。每当提示您提供凭证时,一定要指定域名和用户名,例如,NetBIOSDomainName\Administrator。将生成下面的错误消息:
    Active Directory cannot verify the trust.Access is denied.
    单击确定。您会再次注意到,“Active Directory 域和信任关系”将此信任关系显示为“快捷方式”类型,并且它是可传递的。
  3. 创建了信任关系的双方后,运行下面的命令。

    备注:NETDOM 工具包括在“Windows 2000 支持工具”中,后者在 Windows 2000 Server 或 Windows 2000 Professional 光盘上的 \Support\Tools 文件夹中。
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay						
    其中“local_domain”是在其上创建信任关系的域,而“remote_domain”则是受信任的父域、子域或根目录域树。在其中任何一种情况中,都应使用完全合格的域名称 (FQDN)。例如,“MyDomain.com”。这会引发下面的消息:
    Type the password associated with the domain user: (This is UserD)Type the password associated with the object user: (This is UserO)Resetting the trust passwords between local_domain.com and remote_domain.comThe trust between local_domain.com and remote_domain.comhas been successfully reset and verifiedThe command completed successfully.						
  4. 重新启动在其中执行这些更改的 PDC。
  5. 重启后,等一段时间让 Active Directory 建立安全通道,让“知识一致性检查器”尝试重新建立到远程域中的域控制器的复制链接。在此期间,您可以测试跨信任关系的登录是否成功以及事件日志错误是否已消除。
状态
Microsoft 已确认将重新创建的信任关系显示为“快捷方式”是 Microsoft Windows 2000 中的一个问题。
更多信息
此双向信任关系在“Active Directory 域和信任关系”中将继续显示为一个“快捷方式”,不过,此信任关系将能够正确工作而且可传递。一定不要把此信任误认为是对信任层次的优化,而且将来在 Microsoft 发行了受支持的对此问题的修补程序后要将其删除,这一点非常重要。
属性

文章 ID:257844 - 上次审阅时间:06/09/2003 03:12:00 - 修订版本: 1.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbprb KB257844
反馈