域控制器已build立,然后脱机的时间长于逻辑删除限制。 现在我不能得到它复制。
在dc2上( 交换机和dc1都存在相同的错误消息):
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.
另一个相关的错误(事件ID 2042):
知识一致性检查器(KCC)检测到连续尝试使用以下域控制器复制一直失败。 尝试:12域控制器:CN = NTDS设置,CN = DC1,CN =服务器,CN = MainSite,CN =站点,CN =configuration,DC = mydomain,DC =本地时间段(分钟):105103 Connection对象此域控制器将被忽略,并且将build立一个新的临时连接以确保复制继续。 一旦与此域控制器复制恢复,临时连接将被删除。 其他数据错误值:2148074274目标主体名称不正确。
和事件ID 1925: The attempt to establish a replication link for the following writable directory partition failed.
两个站点都通过VPN连接。 在主站点,我有两个域控制器(我们称之为exchange和dc1 )。 两者都是Server 2003.重要的是, dc1拥有所有的FSMOangular色。
在准备设置远程站点时,我设置了一个名为dc2的域控制器,运行Server 2003 R2,并在AD站点和服务中configuration了单独的站点,并configuration了从dc1到dc2的复制。 我甚至通过路由器连接远程站点的正确子网(这是在站点连接到VPN之前,所以没有IP冲突)。
一切都很好,所以我closures了,准备好了。 但事情一直拖延了2个多月,现在dc2不能正确复制。
删除域控制器angular色 – 以失败: Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."
重置机器密码:
Disable and stop KDC service
klist /purge
netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword
Reboot
Reenable KDC service
由于“目标主体名称不正确”错误,大部分关于在到达逻辑删除生命期后修复复制的知识库文章都陷入了困境。
看来最简单的方法确实是删除活动目录并重新安装,并且可以在不清除整个服务器的情况下完成。 这不会影响服务器上的其他任何东西。 但是,由于无法正确删除活动目录,因此必须强制将其从服务器中删除,然后在良好的域控制器上手动清除。
断开问题服务器与networking的连接,以防止任何这种情况发生,从而破坏正常服务器上的活动目录。
在问题服务器上,运行dcpromo /forceremoval 。 这使您可以删除系统上的活动目录而不删除其他域控制器上的所有logging。
使用好的域控制器的ntdsutil从活动目录中删除问题服务器。 当您运行dcpromo / forceremoval或在这里时,说明在帮助链接中: http ://technet.microsoft.com/en-us/library/cc736378%28WS.10%29.aspx
删除AD站点和服务中的服务器对象
如果AD用户和计算机仍然存在,请删除该服务器
从DNS中删除服务器:
重新推销问题服务器和configuration网站设置,就像你将一个全新的DC。
在这一点上,用ntdsutil创build一个新的DC和干净的dc2可能更容易。