使用中的目錄複寫及知識一致性檢查程式失敗,而且不會受信任的網域物件

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:257844
本文已封存。本文係以「現狀」提供且不會再更新。
徵狀
在 Windows 2000 網域控制站的事件日誌,其中一個下列的錯誤訊息可能會出現:

從來源 「 NTDS 複寫 」 事件識別碼 1645年:
目錄服務嘗試執行的已驗證的 RPC 呼叫的其他網域控制站時,收到失敗。 失敗是在您想要服務主要名稱 (SPN) 未在目標伺服器上註冊。正在聯繫伺服器 afb720fd 38 c 7-4505-aa9f-b658ca124773._msdcs.MyDomain.com 中取得。 所使用的 SPN 是 E3514235-4B06-11D1-AB04-00C04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mydomain.com@mydomain.com。

請檢查目標伺服器與網域的名稱正確。 請也確認 SPN 登錄在目標伺服器上 KDC 服務要求的電腦帳戶物件上。 如果目標伺服器最近已升級,就必須為這台電腦的身分識別,複寫到 KDC 之前驗證這台電腦的知識。
從來源 「 NTDS KCC"事件 1265年:
嘗試建立具有參數的複寫連結 Cube 資料分割: CN = 組態 DC = MyDomain,DC = net 來源 DSA DN: CN = NTDS 設定 CN = MyServer CN = 伺服器 CN = 預設值--站台-名,CN = CN 的網站 = 組態 DC = MyDomain,DC = com 來源 DSA 位址: 5e5abf03-e902-48e2-a326-41977dee176d._msdcs.MyDomain.com Inter-site 傳輸 (如果有的話): 失敗,下列的狀態: 登入失敗: 目標的帳戶名稱不正確。 記錄資料是狀態碼。 將重試此操作。
從嘗試同步處理複寫協力電腦透過 Active Directory 站台] 及 [服務]、 [Active Directory 複寫監視器 」 (REPLMON)] 或 [Repadmin.exe:
登入失敗: 目標的帳戶名稱不正確。
發生的原因
如果此錯誤報告的不同網域有父/子系或樹狀結構的根信任關係的兩個網域控制站之間的 Active Directory 複寫,這項錯誤可能是因為缺少重要物件,表示兩個網域之間的信任關係。這個物件稱為一個 trustedDomain 」 物件 (TDO),並在系統容器中 Active Directory 使用者和電腦] 工具中找到。這種類型的物件直接與顯示在 [Active Directory 網域和信任的系統管理工具中的信任關係。如果在 Active Directory 中沒有此物件跨網域驗證將無法成功造成上述錯誤。
解決方案
如果要解決這個問題:

注意: 如果遠端網域 TDO 不存在系統容器中,只應該執行此程序。
  1. 從網域產生本文稍早所列的錯誤訊息,開啟 [Active Directory 網域和信任存放網域的 PDC 彈性單一主機操作 (FSMO) 角色的網域控制站上的系統管理工具]。物件,代表該網域上按一下滑鼠右鍵,然後再按 [內容]
  2. 按一下 [信任] 標籤,然後再按一下 [新增] 以建立到遠端網域的信任關係的雙方。因為這通常是 Kerberos 信任,建立信任的兩方是必要。建立受信任的側邊時,首先會產生下列錯誤訊息:
    使用中的目錄無法驗證信任。存取被拒。
    按一下 [確定]。請注意 Active Directory 網域和信任信任輸入時顯示 「 捷徑 」,而且它是可轉移。新增信任的側邊會產生下列訊息:
    若要驗證新信任,您必須有權限來管理 XXX 網域的信任。您要驗證新信任嗎?
    按一下 [是],然後再提供遠端網域的系統管理員認證。當系統提示您輸入認證時,請務必指定網域名稱如使用者名稱,例如 NetBIOSDomainName\Administrator。會產生下列錯誤訊息:
    使用中的目錄無法驗證信任。存取被拒。
    按一下 [確定]。再次提醒,請注意 Active Directory 網域和信任信任輸入時顯示 「 捷徑 」,而且是可轉移。
  3. 在建立信任關係的雙方之後,執行下列命令。

    注意: [NETDOM 公用程式會包含與 Windows 2000 支援工具包含在 Windows 2000 伺服器或專業 CD-ROM] 中的 [\Support\Tools] 資料夾中。
    NETDOM TRUST local_domain /Domain:remote_domain /UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:* /Reset /TwoWay						
    其中 local_domain"是正在建立信任網域,而 remote_domain 」 是父、 子或樹狀目錄根網域所信任的。 不論是哪一種情況應該使用完整格式的網域名稱 (FQDN)。為了讓範例為 MyDomain.com 」。這應該會導致下列訊息:
    Type the password associated with the domain user: (This is UserD)Type the password associated with the object user: (This is UserO)Resetting the trust passwords between local_domain.com and remote_domain.comThe trust between local_domain.com and remote_domain.comhas been successfully reset and verifiedThe command completed successfully.						
  4. 重新啟動的 PDC 已在進行這些變更。
  5. 重新開機後, 讓 Active Directory 來建立安全通道和知識一致性檢查程式,以嘗試重新建立遠端網域中的網域控制站的複寫連結的時間。在此期間測試跨越信任關係的登入成功,且具有不事件日誌錯誤。
狀況說明
Microsoft 已確認重新建立信任顯示為 「 捷徑 」 是在 Microsoft Windows 2000 中的問題。
其他相關資訊
雙向信任關係會繼續顯示成在 Active Directory 網域和信任的捷徑"信任,但,信任關係會正確運作而且將會是可轉移。很重要而這個信任不被誤用作為信任階層的最佳化,直到此問題的修正程式釋放由 Microsoft 會在未來移除。

警告:本文為自動翻譯

內容

文章識別碼:257844 - 最後檢閱時間:12/05/2015 19:15:40 - 修訂: 2.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbprb KB257844 KbMtzh
意見反應