你目前正处于脱机状态,正在等待 Internet 重新连接

域控制器克隆事件 2224年提供了不正确的指南

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 2747974
概要
克隆功能,在 Windows 服务器 2012年中引入虚拟化的域控制器 (VDC) 实现新的事件 ID 2224 报告克隆失败的原因。

例如,会记录类似于以下事件:

目录服务日志的名称:
来源: Microsoft Windows ActiveDirectory_DomainService
日期: 8/8/2012年下午 12: 11: 25
事件 ID: 2224年
任务类别: 无
级别: 错误
关键字:
用户: 系统
计算机: DC2-FULL.root.fabrikam.com
说明:
虚拟域控制器复制失败。托管服务帐户存在克隆计算机下列 %1:

%2

为克隆成功,必须删除所有托管服务帐户。可以使用删除 ADComputerServiceAccount PowerShell cmdlet。


但是,在这种情况的信息不正确,或者提供了不完整的指南:
  • 事件未写明的托管服务帐户,克隆的计算机上存在的类型。
  • 该事件不能提供正确的 Windows PowerShell cmdlet。
更多信息
托管的服务帐户

在 Windows Server 2008 R2 VDC 不支持独立托管服务帐户 (sMSA) 引入的。SMSA 不能同时存在多个计算机上。因此,Windows 检测到 sMSAs,并防止克隆。

有关 sMSAs 的详细信息,请参见以下 web 页: 组管理服务帐户 (gMSAs) 可以存在多个计算机,并克隆不会阻止 gMSAs。不过,您必须确保新的克隆计算机被授权使用 gMSA。如果通过组成员身份提供了授权,gMSA 在克隆上自动工作。这是因为在克隆过程中被复制的所有组成员身份。但是,如果 gMSA 授权进入直接计算机帐户,则必须使用与下面的参数集 AdServiceAccount Windows PowerShell 命令 授权克隆:
-PrincipalsAllowedToRetrieveManagedPassword
有关 gMSA 的详细信息,请转到下面的 Microsoft TechNet 网站:
Windows PowerShell 命令

要从源计算机中卸载 sMSA,请不要使用删除 ADComputerServiceAccount cmdlet。该 命令 从 活动目录(AD) 域服务中删除托管服务帐户,并将源计算机上导致停机。相反,使用以下 命令 暂时从源计算机上卸载 sMSA:
卸载 AdServiceAccount

要暂时卸载从源计算机的 sMSA,请执行以下步骤:
  1. 在源计算机上进行克隆,运行下面的 Windows PowerShell cmdlet:
    卸载 AdServiceAccount-标识 <name of="" the="" managed="" service="" account=""></name>
  2. 关闭源计算机,然后将复制用于克隆的源计算机。
  3. 启动源计算机,并使用以下 命令 添加 MSA:
    设置 AdServiceAccount-标识 <name of="" the="" managed="" service="" account=""></name>

    注意如果您已经尝试复制的域控制器,阻止卸载 AdServiceAccount 命令 克隆上同时运行目录服务修复模式 (DSRM)。然后,删除 DSRM 的安全启动选项,然后重试克隆。若要执行此操作,请运行以下命令:
    Bcdedit.exe /deletevalue

    安全引导Shutdown.exe /r 0 /t

警告:本文已自动翻译

属性

文章 ID:2747974 - 上次审阅时间:09/13/2012 17:01:00 - 修订版本: 1.0

Windows Server 2012 Datacenter, Windows Server 2012 Standard

  • kbmt KB2747974 KbMtzh
反馈