我有一个小型的 2 DC 域,使用 Win 2008 R2 机器。最近,必须使用备份执行系统恢复来恢复其中一个。
现在这两个复制都失败了。我在两个服务器上都运行了 DCDIAG(见下文),发现有几个操作失败,目标主体名称不正确。在检查 DNS 以及要检查的 SETSPN 命令后,两个 DC 似乎都有彼此的条目,所以我不确定我做错了什么或接下来的步骤是什么。
任何帮助将不胜感激!
域控制器:
- 终极教条
- 中心法则(这是最近恢复的法则)
答案1
您可能需要从非 PDCE 的域控制器(CENTRAL,假设日志正确且 TERMINAL 是 PDCE)重置安全通道。请参阅以下步骤:
在域控制器之间手动复制数据时出现错误消息“目标主体名称不正确”
https://support.microsoft.com/en-us/kb/288167
在遇到此问题的域控制器上,禁用 Kerberos 密钥分发中心服务 (KDC)。具体操作如下:
- 单击“开始”,指向“程序”,单击“管理工具”,然后单击“服务”。
- 双击KDC,将启动类型设置为Disabled,然后重启计算机。
计算机重新启动后,使用 Netdom 实用程序重置这些域控制器与 PDC 仿真器操作主机角色担任者之间的安全通道。为此,请从 PDC 仿真器操作主机角色担任者以外的域控制器运行以下命令:
netdom resetpwd /server:server_name /userd:domain_name\administrator /passwordd:administrator_password
其中 server_name 是担任 PDC 模拟器操作主机角色的服务器的名称。
将KDC服务启动模式改回自动并重启。