Ошибка (некорректное имя конечного пользователя) при ручной репликации данных между контроллерами домена

В этой статье предоставляется решение ошибки, которая возникает при ручной репликации данных между контроллерами домена.

Применяется к:   Windows 2000 г.
Исходный номер КБ:   288167

Примечание

Эта статья применяется к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр Windows 2000 года является отправной точкой для планирования стратегии миграции с 2000 г. Windows 2000 г. Дополнительные сведения см. в политике жизненного цикла поддержки Майкрософт.

Симптомы

При использовании оснастки сайтов и служб Active Directory для ручной репликации данных между контроллерами домена Windows 2000, вы можете получить одно из следующих сообщений об ошибке:

Имя основного целевого

ИЛИ

Доступ запрещен

Кроме того, в журнал системы могут быть внесены следующие ID-сообщения событий:

Event Source: Netlogon  
Event Category: None  
Event ID: 3210  
User: N/A  
Event Description:  
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.
Event Source: Netlogon  
Event ID: 5722  
Event Category: None  
User: N/A  
Event Description:  
The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred: n3

Решение

Чтобы устранить эту проблему, сначала определите, какой контроллер домена является текущим основным контроллером домена (PDC) Emulator операций. Для этого используйте один из следующих методов:

  • Установите утилиту Netdom.exe из Windows 2000, а затем запустите следующую команду:

    netdom query fsmo
    
  • Запустите оснастку пользователей и компьютеров Active Directory, щелкните правой кнопкой мыши домен, а затем нажмите кнопку Мастера операций. Щелкните вкладку PDC; текущий держатель ролей отображается в окне Мастер операций. На этой вкладке можно изменить главную роль операций на текущий компьютер во втором окне (если этот компьютер не является текущим владельцем).

  • Используйте утилиту Ntdsutil.exe (которая включена в Windows 2000 г.) и утилиту командной строки Resource Kit. Однако эти интерфейсы рекомендуется использовать для более продвинутых пользователей. Дополнительные сведения см. в дополнительных сведениях о том, как найти серверыс гибкими одноядерными ролями.

В контроллерах домена, столкнующихся с этой проблемой, отключать службу Центра рассылки ключей Kerberos (KDC):

  1. Нажмите кнопку Начните, указать на программы, нажмите административные средства и нажмите кнопку Services.
  2. Дважды щелкните KDC, установите тип запуска для отключения, а затем перезапустите компьютер.

После перезапуска компьютера используйте утилиту Netdom для сброса защищенных каналов между этими контроллерами домена и владельцем Emulator операций PDC. Для этого запустите следующую команду из контроллеров домена, помимо владельца роли Emulator PDC:

netdom resetpwd /server: server_name /userd: domain_name \administrator /passwordd: administrator_password

Где server_name это имя сервера, который является владельцем роли PDC Emulator операций.

После сброса безопасного канала перезапустите контроллеры домена. Даже если вы попытайтесь сбросить защищенный канал с помощью утилиты Netdom, и команда не будет успешно завершена, приступите к процессу перезапуска.

Если работает только владелец Emulator для операций, KDC заставляет других контроллеров домена ресинхронизироваться с этим компьютером, а не выдавать себе новый билет Kerberos.

После завершения перезапуска компьютеров запустите программу Services, перезапустите службу KDC и повторите попытку репликации.

Дополнительная информация

Если в домене имеется несколько контроллеров домена, сообщение об ошибке, которое вы получаете при этой проблеме, зависит от способа попытки репликации, и если один из вовлеченных контроллеров домена также является владельцем роли PDC Emulator операций.

В некоторых случаях при попытке подключения к контроллеру домена, который имеет главную роль PDC Emulator операций от другого контроллера домена, вы можете получить сообщение об ошибке "Отказано в net view \\computername доступе". Однако, если вы используете ip-адрес протокола Интернета, команда может добиться успеха.

В случае возникновения этой проблемы в журналах событий могут быть допущены многочисленные ошибки. Эти ошибки различаются в зависимости от любого из следующих условий:

  • Контроллер домена не был полностью функциональным до того, как возникла проблема.

  • Контроллер домена не успешно завершил процесс мастера установки Active Directory.

  • Папка Sysvol на контроллере домена не была разделена.

  • Контроллер домена не располагал полной структурой файлов в папке Domain_name и папкой Политики, расположенной в %SystemRoot% \ \ Sysvol Sysvol \ Domain_name \ Policies. Ниже приводится пример события, которое может быть отчитано:

    Event ID: 3034  
    Type: Warning  
    Source: MRxSmb  
    Description: The redirector was unable to initialize security context or query context attributes.