域控制器已设置,然后脱机时间超过逻辑删除限制。现在我无法让它再次复制。
在 dc2 上(关于exchange和dc1存在相同的错误消息):
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.
另一个相关错误(事件 ID 2042):
知识一致性检查器 (KCC) 检测到使用以下域控制器进行复制的连续尝试始终失败。尝试次数:12 域控制器:CN=NTDS Settings,CN=DC1,CN=Servers,CN=MainSite,CN=Sites,CN=Configuration,DC=mydomain,DC=local 时间段(分钟):105103 连接对象将忽略此域控制器,并建立新的临时连接以确保复制继续进行。一旦与此域控制器的复制恢复,临时连接将被删除。附加数据错误值:2148074274 目标主体名称不正确。
和事件 ID 1925:
The attempt to establish a replication link for the following writable directory partition failed.
两个站点都通过 VPN 连接。在主站点,我有两个域控制器(我们将其称为exchange和dc1)。两者都是 Server 2003。如果重要的话,dc1拥有所有 FSMO 角色。
在准备设置远程站点时,我设置了一个名为dc2的域控制器,运行 Server 2003 R2,并在 AD 站点和服务中配置了单独的站点,并配置了从dc1到dc2 的复制。我什至通过路由器将其连接到远程站点的正确子网(这是在站点连接到 VPN 之前,因此没有 IP 冲突)。
一切都很好,所以我关闭并准备取出。但是事情一直延迟了 2 个多月,现在dc2无法正确复制。
删除域控制器角色 - 失败:
Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."
使用以下方法重置机器密码:
Disable and stop KDC service
klist /purge
netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword
Reboot
Reenable KDC service
由于“目标主体名称不正确”错误,我阅读的大多数关于在达到墓碑寿命后修复复制的知识库文章都卡住了。
Gra*_*ant 12
看起来最简单的方法确实是删除活动目录并重新安装它,并且可以在不清除整个服务器的情况下完成。这使服务器上的任何其他内容保持不变。但是,由于您无法正确删除活动目录,您必须强制将其从服务器中删除,然后在良好的域控制器上手动清理。
断开问题服务器与网络的连接,以防止任何此类行为可能破坏良好服务器上的活动目录。
在问题服务器上,运行dcpromo /forceremoval. 这允许您删除系统上的活动目录,而无需删除其他域控制器上的所有记录。
使用来自良好域控制器的 ntdsutil 从活动目录中删除问题服务器。当您运行 dcpromo /forceremoval 时,说明位于帮助链接中,或在此处:http ://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx
删除 AD 站点和服务中的服务器对象
删除 AD 用户和计算机中的服务器(如果它仍然存在)
从 DNS 中删除服务器:
重新升级有问题的服务器并像配置全新 DC 一样配置站点设置。
| 归档时间: |
|
| 查看次数: |
42046 次 |
| 最近记录: |