简洁版本
域控制器已设置,然后离线时间超过墓碑限制。现在我无法让它再次进行复制。
相关错误消息
在 dc2 上(两者都存在相同的错误消息交换和直流1):
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.
另一个相关错误(事件 ID 2042):
知识一致性检查器 (KCC) 检测到连续尝试与以下域控制器进行复制始终失败。尝试次数:12 域控制器:CN=NTDS Settings、CN=DC1、CN=Servers、CN=MainSite、CN=Sites、CN=Configuration、DC=mydomain、DC=local 时间段(分钟):105103 此域控制器的连接对象将被忽略,并将建立新的临时连接以确保复制继续。一旦恢复与此域控制器的复制,临时连接将被删除。其他数据错误值:2148074274 目标主体名称不正确。
事件 ID 1925:
The attempt to establish a replication link for the following writable directory partition failed.
其他详情
两个站点都通过 VPN 连接。在主站点,我有两个域控制器(我们称之为交换和直流1)。两者都是 Server 2003。如果重要的话,直流1拥有所有 FSMO 角色。
为了准备设置远程站点,我设置了一个名为直流2,运行 Server 2003 R2,并在 AD 站点和服务中配置单独的站点,并配置从直流1到直流2。我甚至通过路由器连接远程站点,使其具有正确的子网(这是在站点连接到 VPN 之前,因此没有 IP 冲突)。
一切都很顺利,所以我关机并准备取出。但事情一直拖延了 2 个多月,现在直流2将无法正确复制。
我尝试过的方法
删除域控制器角色-失败:
Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."
使用以下命令重置机器密码:
Disable and stop KDC service
klist /purge
netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword
Reboot
Reenable KDC service
我所阅读的大多数关于在达到墓碑生命后修复复制的知识库文章都因“目标主体名称不正确”错误而卡住了。
答案1
看起来最简单的方法确实是删除 Active Directory 并重新安装它,而且可以在不清除整个服务器的情况下完成。这样不会影响服务器上的其他任何内容。但是,由于您无法正确删除 Active Directory,因此您必须强制将其从服务器中删除,然后在良好的域控制器上手动清理。
断开问题服务器与网络的连接,以防止任何此类情况可能破坏良好服务器上的活动目录。
在有问题的服务器上,运行
dcpromo /forceremoval。这允许您删除系统上的活动目录,而无需删除其他域控制器上的所有记录。使用良好域控制器上的 ntdsutil 从 Active Directory 中删除问题服务器。运行 dcpromo /forceremoval 时,帮助链接中提供了相关说明,或者在此处查看: http://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx
删除 AD 站点和服务中的服务器对象
如果 AD 用户和计算机中的服务器仍然存在,请将其删除
从 DNS 中删除服务器:
- 删除反向查找区域中的 NS 条目
- 删除正向查找区域中的 A 条目
- 删除正向查找\domain_msdcs 中的 CNAME 条目
- 删除 _msdcs、_sites、_tcp 和 _udp 下指向问题服务器的大量 SRV 记录
重新提升问题服务器并配置站点设置,就像配置全新的 DC 一样。
答案2
此时,创建一个新的 DC 并使用 ntdsutil 从 AD 中清除 dc2 可能更容易。
答案3
虽然已经很晚了,但是也许它能帮助到别人?
我为一个域配备了两台虚拟机,这两台虚拟机都已经离线好几年了。我需要重新启动它们,以便从 Exchange 服务器获取一些数据,也只是为了学习。
我在辅助 DC 上执行以下操作:
清除列表
然后在辅助 DC 上也执行以下步骤:
https://quarksoft.com/2011/05/01/active-directory-domain-controllers-out-of-sync/
然后在两个 DC 上我都添加了以下注册表项:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow 与不同且损坏的伙伴进行复制
设置为 1 的 DWORD 值:
https://www.techieshelp.com/it-has-been-too-long-since-this-machine-replicated/
然后我按照以下命令提示符执行了强制复制:
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/replication-error-2146893022
然后我检查并能够在 NTDS 中双向复制并且没有任何错误。
仍有一些帐户太旧,无法用于某些应用程序,但现在我可以连接到 AD 并且两台服务器,这些问题就可以解决了。