Не удалось определить принадлежат ли учетные записи пользователя и компьютера одному и тому же лесу
Обновлено: 04.07.2024
Вот что мне показал ipconfig /all на "пострадавшем" компе
Настройка протокола IP для Windows
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/10
0/1000Base-T Adapter, Copper RJ-45
Физический адрес. . . . . . . . . : 00-11-2F-62-A3-AF
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.1.112
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DHCP-сервер . . . . . . . . . . . : 192.168.1.2
DNS-серверы . . . . . . . . . . . : 192.168.1.2
192.168.1.3
192.168.1.1
Основной WINS-сервер . . . . . . : 192.168.1.2
Дополнительный WINS-сервер. . . . : 192.168.1.3
Аренда получена . . . . . . . . . : 15 марта 2007 г. 9:15:42
Аренда истекает . . . . . . . . . : 23 марта 2007 г. 9:15:42
Добавлено:
dcdiag на серваке выдало следующее
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Doing primary tests
Running enterprise tests on : company.donbass
Starting test: Intersite
. company.donbass passed test Intersite
Starting test: FsmoCheck
. company.donbass passed test FsmoCheck
Per interface results:
Adapter : Local Area Connection
Netcard queries test . . . : Failed
NetCard Status: UNKNOWN
Host Name. . . . . . . . . : swetlana
IP Address . . . . . . . . : 192.168.1.2
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.1.1
Primary WINS Server. . . . : 192.168.1.2
Dns Servers. . . . . . . . : 192.168.1.2
192.168.1.1
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
WINS service test. . . . . : Passed
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_
1 NetBt transport currently configured.
Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_
The browser is bound to 1 NetBt transport.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run "netsh ipsec dynamic show /?" for more detailed information
Такие проблемы наблюдаются со всеми оффисами(2000,2003,ХР проф, ХР для малого бизнеса), только 97 работает нормально.
P.S. у пользователей Windows XP prof SP1,SP2, Windows 2000 prof и как правило стоит office ХР для малого бизнеса
. Эта проблемма видимо исходит из другой - основной уже несколько месяцев не работает репликация. в dns-ах были кое какие проблеммы . те что я нашел невооружонным глазом я поправил но всеравно при попытке репликации в логах пишет, что не может установить репликационную связь между серверами.
The attempt to establish a replication link for the following writable directory partition failed.
Directory partition:
%1
Source domain controller:
%4
Source domain controller address:
%2
Intersite transport (if any): - здесь у меня в логе вместо %5 ничего не записано
%5
This domain controller will be unable to replicate with the source domain controller until this problem is corrected.
User Action
Verify if the source domain controller is accessible or network connectivity is available.
Additional Data
Error value:
%6 %3
Еще ругается по поводу Kerberos key :
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server %1. The target name used was %3. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (%2), and the client realm. Please contact your system administrator.
Структура сети следующая: Главный сервер с ГК запасной сервер в этом же помещении и еще один удаленный сервер который включен через WAN. Вся маршрутизация между удаленным и этими серваками работает через BSD gateway. В принципе все работает нормально связь и маршрутизация стабильная.
NSLOOKUP показывает все записи DNS имен правильно
Что интересно, на другом сервере который находится в этой же комнате запустил repadmin /showreps и он показал следующее:
DC2:
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = dc2
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Connectivity
. DC2 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \\dc1.XXX.corp
при попытке получения доступа к DC2.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
. DC2 - не пройдена проверка Advertising
Запуск проверки: FrsEvent
. DC2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
. DC2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. DC2- пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. DC2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. DC2 - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
. DC2- пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. DC2- пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. DC2- пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. DC2- пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
. DC2- пройдена проверка Replications
Запуск проверки: RidManager
. DC2- пройдена проверка RidManager
Запуск проверки: Services
Служба w32time в [DC2] остановлена
Служба NETLOGON в [DC2] остановлена
. DC2- не пройдена проверка Services
Запуск проверки: SystemLog
Возникло событие Error. Код события (EventID): 0x00000456
Время создания: 12/23/2009 15:19:55
Строка события:
Ошибка при обработке групповой политики. Не удалось определить, прин
адлежат ли учетные записи пользователя и компьютера одному и тому же лесу. Обесп
ечьте, чтобы имя домена пользователя соответствовало имени доверенного домена, н
аходящегося в том же лесу, что и учетная запись компьютера.
. DC2 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. DC2 - пройдена проверка
VerifyReferences
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: XXX
Запуск проверки: CheckSDRefDom
. XXX - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. XXX - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: XXX.corp
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
1355
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
. XXX.corp - не пройдена проверка
LocatorCheck
Запуск проверки: Intersite
. XXX.corp - пройдена проверка Intersite
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC1
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC1
Запуск проверки: Connectivity
. DC1 - пройдена проверка Connectivity
Выполнение основных проверок
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: XXX
Запуск проверки: CheckSDRefDom
. XXX- пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. XXX- пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: XXX.corp
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
1355
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
А покажите "netdom query /domain:<Ваше имя домена AD> FSMO".
Похоже. у Вас проблема с эмулятором PDC.
netdom query /domain:XXX FSMO
Хозяин схемы dc2.XXX.corp
Хозяин именования доменов dc2.XXX.corp
PDC dc2.XXX.corp
Диспетчер пула RID dc2.XXX.corp
Хозяин инфраструктуры dc2.XXX.corp
Команда успешно выполнена.
А с разрешением имен все нормально?
Покажите IP-конфигурацию с контроллеров.
DC1 - 192.168.0.52
DC2 - 192.168.0.53
DC1:
ipconfig /all
Имя компьютера . . . . . . . . . : dc1
Основной DNS-суффикс . . . . . . : XXX.corp
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : XXX.corp
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-1F-29-0E-1B-7A
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::7:bb85:ba85:de8%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.52(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.100
IAID DHCPv6 . . . . . . . . . . . : 167780137
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-10-AD-C5-F5-00-1F-29-0E-1B-7A
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.0.53
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер Подключение по локальной сети*:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.3D0>
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 8:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 02-00-54-55-4E-01
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : dc2
Основной DNS-суффикс . . . . . . : XXX.corp
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : XXX.corp
Ethernet adapter Подключение по локальной сети 2:
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.0.52
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети*:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.296>
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 2:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.72C>
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Для начала в IP-конфигурацию на контроллерах домена определите предпочтительным адресом сервера DNS, их собственный адрес, а не loopback-адрес (127.0.0.1). Затем "пните" репликацию ("repadmin /syncall") и посмотрите, как она пройдет.
А Вы домен не переименовывали, не восстанавливали из архивной копии контроллеры.
Для начала в IP-конфигурацию на контроллерах домена определите предпочтительным адресом сервера DNS, их собственный адрес, а не loopback-адрес (127.0.0.1). Затем "пните" репликацию ("repadmin /syncall") и посмотрите, как она пройдет.
Домен не переименовывал. Восстанавливал из резервной копии 5 месяцев назад (DC2), проблема не наблюдалась.
Текущая-продолжает меня напрягать.
В системном журнале после рестарта очень интересные события:
Имя журнала: System
Подача: Microsoft-Windows-Time-Service
Дата: 23.12.2009 21:23:43
Код события: 46
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2Описание:
Служба времени обнаружила ошибку и была вынуждена завершить работу. Ошибка: 0x80070700: Попытка входа в сеть при отключенной сетевой службе входа.
Имя журнала: System
Подача: Wins
Дата: 23.12.2009 21:23:45
Код события: 4224
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
WINS обнаружил ошибку базы данных. Неизвестно, насколько серьезна эта ошибка. WINS попытается устранить ее последствия. В качестве источника для поиска более детального описания ошибок базы данных можно использовать события категории "Журнал приложения" средства "Просмотр событий" компонента Exchange (ESENT). Если же подобные ошибки регулярно возникают в течение продолжительного времени (нескольких часов), то может потребоваться восстановление базы данных WINS из резервной копии. Номер ошибки содержится во втором значении типа DWORD раздела данных.
Имя журнала: System
Подача: Wins
Дата: 23.12.2009 21:23:45
Код события: 4337
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
WINS-сервер не смог проинициализировать подсистему безопасности, чтобы разрешить операции "Только чтение".
Имя журнала: System
Подача: Wins
Дата: 23.12.2009 21:23:45
Код события: 4097
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
WINS инициализирован нормально и полностью готов к работе.
Имя журнала: System
Подача: Service Control Manager
Дата: 23.12.2009 21:23:45
Код события: 7022
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
Служба "Сервер" зависла при запуске.
Имя журнала: System
Подача: Service Control Manager
Дата: 23.12.2009 21:23:45
Код события: 7001
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
Служба "Сетевой вход в систему" является зависимой от службы "Сервер", которую не удалось запустить из-за ошибки
Сразу после запуска служба "зависла".
Имя журнала: System
Подача: Service Control Manager
Дата: 23.12.2009 21:23:45
Код события: 7001
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
Служба "Пространство имен DFS" является зависимой от службы "Сервер", которую не удалось запустить из-за ошибки
Сразу после запуска служба "зависла".
Имя журнала: System
Подача: Service Control Manager
Дата: 23.12.2009 21:23:45
Код события: 7023
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
Служба "Служба времени Windows" завершена из-за ошибки
Попытка входа в сеть при отключенной сетевой службе входа.
И ВОТ ЕЩЕ ИЗ ЖУРНАЛА DNS:
Имя журнала: DNS Server
Подача: Microsoft-Windows-DNS-Server-Service
Дата: 23.12.2009 21:23:43
Код события: 4007
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
DNS-сервер не может открыть зону raum в Active Directory из раздела каталога приложений DomainDnsZones.YYY.local. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
Имя журнала: DNS Server
Подача: Microsoft-Windows-DNS-Server-Service
Дата: 23.12.2009 21:23:43
Код события: 4007
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2-raid.RAUMGROUP.corp
Описание:
DNS-сервер не может открыть зону YYY.local в Active Directory из раздела каталога приложений DomainDnsZones.YYY.local. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
Имя журнала: DNS Server
Подача: Microsoft-Windows-DNS-Server-Service
Дата: 23.12.2009 21:23:43
Код события: 4007
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
DNS-сервер не может открыть зону _msdcs.YYY.local в Active Directory из раздела каталога приложений ForestDnsZones.YYY.local. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
Имя журнала: DNS Server
Подача: Microsoft-Windows-DNS-Server-Service
Дата: 23.12.2009 21:23:44
Код события: 4
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: dc2
Описание:
Сервер DNS завершил фоновую загрузку зон. Все зоны теперь доступны для обновлений DNS и передачи зон в соответствии с разрешениями их индивидуальной настройки.
не удалось выполнить сопоставление сетевого диска из-за следующей ошибки: указанное сетевое имя недоступно
Всем привет. нужна ваша помощь!) такая проблема, пришли 20 ноутбуков, на всех всё работает 1 как.
"Сетевое окружение" недоступно.
Имеется локальная сеть W2000 с единственным доменом. Два сервера - контроллеры домена. DHCP и DNS.
Сетевое имя
Всем привет! ребят,упустил ,наверно,маленький момент. подскажите пожалуйста в чем косяк. есть.
Также какая редакция: Home, Pro или иное?
Сборка, или оригинал?
Сетевые имена компьютеров с ХР на латинице? Все по высшему классу!
SP3, PRO, все оригинальное. имена тоже в порядке.
Машины "нюхали" домен. т.е. были в дугой организации в домене. Переехали к нам, по этому было решено и у нас поднять КД. Кд был на win2003, я же делаю на 2012. Чего то я не докрутил %( как бы -да, но это не значит что нужно разом все ХР переустанавливать на win8.. а ее ведь еще надо купить. И должны разрабы были об этом подумать. Поддержка ХР окончена еще 8 апреля 2014 года, поэтому разрабы Вам вряд ли помогут.
Хотя у меня в конторе ХР прекрасно работают в домене на базе WS 2012 R2.
Скорее всего Ваша проблема связана с тем, что ранее машины с ХР были в другом домене.
Как вариант возьмите машину, установите на нее чистую ХР и попробуйте загнать ее в домен. Конечно попробуйте, тогда уже по результатам можно будет точно сказать, где проблема: в машине, или сервере.
Не разрабы, а админ, 2012 вполне себе чуть ли не 2003 уровень AD умеет, а так админа на мороз с волчьим билетом, особенно если ещё и даунгрейд если чистый AD сделать руками не умеет. Не всем же быть СРАЗУ умными и всепонимающими. На то и помощи просил, чтоб разобраться.
Давайте не будем о "философии" Макис, проверьте службы "Модуль поддержки NetBIOS через TCP/IP" и "DNS-клиент" на предмет запуска.
Также на проблемных машинах попробуйте включить (или отключить, если включен) брандмауэр.
Ну и третий момент: если адреса раздаются DHCP, то попробуйте задать сетевые параметры вручную, с указанием шлюза и ДНС серверов (предпочитаемый ДНС должен быть ip-адресом домена). Согласен, если только машина ранее побывала в другом домене, а на чистую ОСь, гле ни локальная, ни групповая политики не тронуты - проблем возникнуть не должно.
Именно поэтому я попросил ТС попробовать загнать в домен машину со свежеустановленной ХР. Не загонится всё равно без правки ограничений в релаксацию требований к шифрованию на сервере даже после даунгрейда уровня AD.
При настройке КД имеется выбор, режим леса, режим домена. Я поставил 2012R2, можно и даунгрейд сделать, соответственно и функциональность понизить.
Dr_Quake, обязательно ли делать даунгрейд? Думаю у Maks, нету понижения, и все же ХР работает.
, я как раз на стадии "тестов"
Добавлено через 2 минуты
побежал ставить чистую винду
Добавлено через 7 минут
Вывалилось куча ошибок.
Ошибка при обработке групповой политики. Не удалось определить, принадлежат ли учетные записи пользователя и компьютера одному и тому же лесу. Обеспечьте, чтобы имя домена пользователя соответствовало имени доверенного домена, находящегося в том же лесу, что и учетная запись компьютера.
Сбой автоматической регистрации сертификатов Локальная система (0x8007054b) Указанный домен не существует или к нему невозможно подключиться.
Служба DHCP не смогла обнаружить папку для авторизации сервера.
Добавлено через 1 минуту
и еще с десяток других. Может эту операцию надо проводить до настройки КД?
В этой статье описывается, как устранить проблему, при которой репликация Active Directory сбой и создает ошибку (-2146893022: целевое основное имя неправильно).
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2090913
Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь с проблемой, обратитесь в microsoft Community.
Сводка
Эта ошибка возникает, когда контроллер домена источника не расшифровыет билет службы, предоставляемый контроллером домена назначения (целевой).
Верхняя причина
Контроллер домена назначения получает билет на обслуживание из Центра рассылки ключей Kerberos (KDC). А в KDC есть старая версия пароля для контроллера домена источника.
Верхнее разрешение
Остановите службу KDC на контроллере домена назначения. Для этого запустите следующую команду по командной подсказке:
Начните репликацию на контроллере домена назначения из контроллера домена источника. Используйте сайты и службы AD или Repadmin .
Запустите службу KDC Kerberos на контроллере домена назначения, заверив следующую команду:
Если проблема не решается, см. в разделе Разрешение альтернативного решения, в котором используется команда для сброса пароля учетной записи компьютера netdom resetpwd контроллера домена источника. Если эти действия не устраняют проблему, просмотрите остальную часть этой статьи.
Симптомы
При этой проблеме возникает один или несколько следующих симптомов:
DCDIAG сообщает, что тест репликации Active Directory не справился с ошибкой и 2146893022: целевое основное имя некорректно.
[Репликации Проверить, <DC Name> ] Недавняя попытка репликации не удалась:
От <source DC> до <destination DC>
Контекст именования: <DN path of directory partition>
Репликация вызвала ошибку (-2146893022):
Целевое основное имя некорректно.
Сбой произошел в <date> <time> .
Последний успех произошел в <date> <time> .
<X> сбои произошли с момента последнего успеха.
Repadmin.exe сообщает о сбой попытки репликации и сообщает о состоянии -2146893022 (0x80090322).
Repadmin Команды, которые обычно указывают состояние -2146893022 (0x80090322) включают, но не ограничиваются следующими:
Пример вывода, из которого указывается, что целевое основное имя является неправильной ошибкой, REPADMIN /SHOWREPS REPADMIN /SYNCALL является следующим образом:
Проверка согласованности знаний NTDS (KCC), NTDS General или события Microsoft-Windows-ActiveDirectory_DomainService с состоянием -2146893022 регистрируются в журнале событий службы каталогов.
События Active Directory, которые обычно ссылаются на состояние -2146893022, включают, но не ограничиваются следующими:
Причина
Код ошибки 2146893022 0x80090322 SEC_E_WRONG_PRINCIPAL не является \ \ ошибкой Active Directory. Он может быть возвращен следующими компонентами нижнего слоя для различных корневых причин:
Ошибки Kerberos, которые Windows кодом на -2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL включают:
Некоторые конкретные корневые причины для \ -2146893022 0x80090322 \ SEC_E_WRONG_PRINCIPAL включают:
Сопоставление с плохим именем и IP в DNS, WINS, HOST или LMHOST-файле. Это привело к подключению контроллера домена назначения к неправильному контроллеру домена источника в другой области Kerberos.
Контроллер домена KDC и исходный домен имеют различные версии пароля учетной записи компьютера контроллера домена источника. Так что целевой компьютер Kerberos (контроллер домена источника) не мог расшифровать данные проверки подлинности Kerberos, отправленные клиентом Kerberos (контроллер домена назначения).
Служба управления не смогла найти домен для поиска SPN контроллера домена источника.
Данные проверки подлинности в зашифрованных кадрах Kerberos были изменены с помощью оборудования (включая сетевые устройства), программного обеспечения или злоумышленника.
Решение
Запуск dcdiag /test:checksecurityerror на источнике DC
SpNs могут быть отсутствуют, недействительны или дублируются из-за простой задержки репликации, особенно после продвижения по службе или сбоев репликации.
Дублирование spNs может привести к плохой spN для имен сопоставлений.
DCDIAG /TEST:CheckSecurityError может проверять отсутствующие или дублировать SPNs и другие ошибки.
Запустите эту команду на консоли всех контроллеров исходных доменов, которые с ошибкой SEC_E_WRONG_PRINCIPAL исходящие репликации.
Вы можете проверить регистрацию SPN в определенном расположении, используя следующий синтаксис:
Убедитесь, что зашифрованный сетевой трафик Kerberos достиг целевой цели Kerberos (сопоставление между именем и IP)
Рассмотрим следующий сценарий.
Контроллеры домена запрашивают активный DNS-сервер для совпада с отчетом CNAME dc GUIDED. Затем он соедем с записью A/AAAA, содержащей IP-адрес контроллера домена источника.
В этом сценарии Active Directory выполняет откат разрешения имен. Он включает запросы для полностью квалифицированных имен компьютеров в DNS или одноклейных именах хостов в WINS.
DNS Servers также может выполнять просмотры WINS в сценариях отката.
- Устаревшие объекты NTDS Параметры
- Ненадеженные сопоставления между именем и IP в записях хозяйных записей DNS и WINS
- Устаревшие записи в файлах HOST
Чтобы проверить это условие, либо возьмите сетевой след, либо вручную убедитесь, что запросы имен DNS/NetBIOS решаются на целевой компьютер.
Метод 1. Метод трассировки сети (в качестве размыкания с помощью сетевого монитора 3.3.1641 с включенными полными разгонами по умолчанию)
В следующей таблице показан синопсис сетевого трафика, который возникает, когда входящий пункт назначения DC1 реплицирует каталог Active Directory из источника DC2.
Realm: <verify that realm returned by the source DC matches the Kerberos realm intended by the destination DC> .
Управляемое значение 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 справа от E351. UUID службы репликации — объект GUID для объекта параметров NTDS исходных контроллеров домена. В настоящее время она определена в копии контроллеров домена назначения Active Directory. Убедитесь, что GUID этого объекта соответствует значению в поле GUID объекта DSA при запуске с консоли repadmin /showreps источника DC.
A ping или nslookup из исходных контроллеров домена, полностью квалифицированных CNAME, совмещенных with_msdcs.<forest root DNS name> с консоли конечного dc необходимо вернуть контроллерам домена источник текущего IP-адреса:
nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>
В ответе, показанном в столбце 2, сосредоточься на поле и убедитесь, что оно содержит имя хост-источника Sname репликации AD.
Метод 2. Проверка сопоставления между именем и IP (без использования сетевого трассировки)
С консоли контроллера домена Source:
| Команда | Комментарий |
|---|---|
| IPCONFIG /ALL |MORE | Примечание IP-адреса NIC, используемого контроллерами домена назначения |
| REPADMIN /SHOWREPS |MORE | Примечание значения GUID объекта DSA. Он обозначает объект GUID для контроллеров исходных доменов NTDS Параметры объект в копии контроллеров домена источника active Directory. |
Из консоли конечной dc:
Повторите каждый дополнительный IP-адрес DNS Server, настроенный в пункте назначения DC.
Цель Kerberos не может расшифровать данные проверки подлинности Kerberos из-за несоответствия пароля.
Эта проблема может возникнуть, если пароль для контроллера домена источника отличается от копии каталога Active Directory контроллера домена KDC и контроллера домена источника. Копия пароля учетной записи контроллера домена может быть устаревшим, если она не использует себя в качестве KDC.
Сбои репликации могут помешать контроллерам домена иметь текущее значение пароля для контроллеров домена в заданном домене.
Каждый контроллер домена запускает службу KDC для своей области домена. Для тех же транзакций области контроллер домена назначения выступает за получение билетов Kerberos из себя. Однако он может получить билет от удаленного контроллера домена. Рефералы используются для получения билетов Kerberos из других областей.
Команда, запускаемая по повышенной командной подсказке в непосредственной близости от SEC_E_WRONG_PRINCIPAL ошибки, может быть использована для быстрого определения того, на какой KDC нацелен клиент NLTEST /DSGETDC:<DNS domain of target domain> /kdc Kerberos.
Окончательный способ определить, какой контроллер домена клиент Kerberos получил билет, это взять сетевой след. Отсутствие трафика Kerberos в сетевом следе может указывать на:
- Клиент Kerberos уже приобрел билеты.
- Он получает билеты вне провода из себя.
- Ваше сетевое приложение трассировки неправильно разберет трафик Kerberos.
Билеты Kerberos для системной учетной записи, используемой репликацией Active Directory, можно без перезапуска с помощью KLIST -li 0x3e7 purge .
Контроллеры домена можно сделать для использования других контроллеров домена, остановив службу KDC на локальном или удаленном контроллере домена.
Используйте для проверки очевидных различий номеров версий в атрибутах, связанных с паролем REPADMIN /SHOWOBJMETA (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) для контроллера домена источника в копию каталога Active Directory контроллера домена источника и контроллера домена назначения.
Для сброса паролей учетных записей компьютера контроллера домена можно использовать команду netdom, которая работает по повышенной командной подсказке на консоли контроллера домена, которая требует сброса resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> пароля.
Устранение неполадок определенных сценариев
Перепроцес для неправильного сопоставления между хост и IP, из-за этого контроллер домена назначения будет извлекаться из неправильного источника.
Остановите KDC на DC1 и DC2 для принудительного трафика Kerberos, который можно наблюдать в \ \ \ \ сетевом следе. End-to-end replication occurs without errors.
Создайте запись файла Host для DC2, которая указывает на \ \ IP-адрес dc в удаленном лесу. Это имитация ненадежного сопоставления между хост-ip в записи A/AAAA или, возможно, устаревший объект Параметры NTDS в копии каталога Active Directory контроллера домена назначения.
Запустите сайты и службы Active Directory на консоли \ \ DC1. Щелкните правой кнопкой \ \ мыши входящий объект подключения DC1 из DC2 и обратите внимание, что целевое имя учетной записи является \ \ неправильной ошибкой репликации.
Перепроцес для несоответствия пароля контроллера исходных доменов между KDC и контроллером исходных доменов.
Остановите KDC на DC1 и DC2 для принудительного трафика Kerberos, который можно наблюдать \ \ \ \ в сетевом следе. Репликация с концами происходит без ошибок.
Отключение входящие репликации на KDC DC3 для имитации сбоя \ \ репликации на KDC.
Сброс пароля учетной записи компьютера на DC2 три или более раз, чтобы у DC1 и DC2 был текущий пароль \ \ \ \ \ \ для \ \ DC2.
Запустите сайты и службы Active Directory на консоли \ \ DC1. Щелкните правой кнопкой мыши на входящий объект подключения DC1 из DC2 и обратите внимание, что целевое имя учетной записи является \ \ \ \ неправильной ошибкой репликации.
Ведение журнала клиента DS RPC
Установите NTDS\Diagnostics Loggings\DS RPC Client = 3. Репликация триггера. Найди событие категории задач 1962 + 1963. Обратите внимание на полностью cname квалифицированные кадры, указанные в поле службы каталогов. Контроллер домена назначения должен иметь возможность фиксировать эту запись и иметь возвращенную адресную карту на текущий IP-адрес источника dc.
Рабочий процесс Kerberos
Рабочий процесс Kerberos включает следующие действия:
Клиентский компьютер вызывает функцию IntializeSecurityContext и указывает поставщика поддержки безопасности Negotiate (SSP).
Клиент обращается к KDC с TGT и запрашивает TGS-билет для целевого контроллера домена.
KDC ищет глобальный каталог для источника (e351 или имени хост-кодов) в области контроллера домена назначения.
Если контроллер целевого домена находится в области контроллера домена назначения, KDC предоставляет клиенту билет на обслуживание.
Если целевой контроллер домена находится в другой области, KDC предоставляет клиенту билет на направление.
Клиент контактов KDC в домене целевого контроллера домена и запрашивает билет на обслуживание.
Если SPN контроллера домена источника не существует в области, вы получите KDC_ERR_S_PRINCIPAL_UNKNOWN ошибку.
Контроллер домена назначения связался с объектом и представил свой билет.
Если целевой контроллер домена владеет именем в билете и может расшифровать его, проверка подлинности работает.
Если в целевом контроллере домена размещен UUID-службы сервера RPC, ошибка Kerberos KRB_AP_ERR_NOT_US или KRB_AP_ERR_MODIFIED перенаправляется в следующее:
-2146893022 / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Целевое основное имя неправильно"
Читайте также: