Remove From My Forums

AD 日志检查报错，站点复制异常

问题
0

登录进行投票

目录服务器诊断

正在执行初始化设置:
正在尝试查找主服务器...
主服务器 = SYADSec
* 已识别的 AD 林。
已完成收集初始化信息。

正在进行所需的初始化测试

正在测试服务器: DFAC-AD-SY\SYADSEC
开始测试: Connectivity
......................... SYADSEC 已通过测试 Connectivity

正在执行主要测试

正在测试服务器: DFAC-AD-SY\SYADSEC
开始测试: Advertising
......................... SYADSEC 已通过测试 Advertising
开始测试: FrsEvent
......................... SYADSEC 已通过测试 FrsEvent
开始测试: DFSREvent
......................... SYADSEC 已通过测试 DFSREvent
开始测试: SysVolCheck
......................... SYADSEC 已通过测试 SysVolCheck
开始测试: KccEvent
......................... SYADSEC 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
[DFAC-AD-SEC] DsBindWithSpnEx() 失败，错误为 -2146893022，
目标主要名称不正确。.
警告: DFAC-AD-SEC 为 Schema Owner，但不对 DS RPC 绑定作出响应。
[DFAC-AD-SEC] LDAP 绑定失败，错误为 8341，
出现了一个目录服务错误。.
警告: DFAC-AD-SEC 为 Schema Owner，但不对 LDAP 绑定作出响应。
......................... SYADSEC 没有通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
......................... SYADSEC 已通过测试 MachineAccount
开始测试: NCSecDesc
......................... SYADSEC 已通过测试 NCSecDesc
开始测试: NetLogons
......................... SYADSEC 已通过测试 NetLogons
开始测试: ObjectsReplicated
......................... SYADSEC 已通过测试 ObjectsReplicated
开始测试: Replications
已接收复制的延迟警告
SYADSEC: 当前时间为 2019-03-22 15:54:27。
DC=DomainDnsZones,DC=dfac,DC=com
上次从 DFAC-AD-PRI 接收复制的位置
2019-02-06 08:12:16
上次从 DFAC-AD-SEC 接收复制的位置
2019-02-06 08:13:15
上次从 DFAC-AD-ADMT 接收复制的位置
2019-02-06 08:12:28
DC=ForestDnsZones,DC=dfac,DC=com
上次从 DFAC-AD-PRI 接收复制的位置
2019-02-06 07:54:42
上次从 DFAC-AD-SEC 接收复制的位置
2019-02-06 08:13:15
上次从 DFAC-AD-ADMT 接收复制的位置
2019-02-06 07:54:42
CN=Schema,CN=Configuration,DC=dfac,DC=com
上次从 DFAC-AD-PRI 接收复制的位置
2019-02-06 07:54:42
上次从 DFAC-AD-SEC 接收复制的位置
2019-02-06 08:13:15
上次从 DFAC-AD-ADMT 接收复制的位置
2019-02-06 07:54:42
CN=Configuration,DC=dfac,DC=com
上次从 DFAC-AD-PRI 接收复制的位置
2019-02-06 08:02:42
上次从 DFAC-AD-SEC 接收复制的位置
2019-02-06 08:13:15
上次从 DFAC-AD-ADMT 接收复制的位置
2019-02-06 07:54:42
DC=dfac,DC=com
上次从 DFAC-AD-PRI 接收复制的位置
2019-02-06 08:12:57
上次从 DFAC-AD-SEC 接收复制的位置
2019-02-06 08:13:15
上次从 DFAC-AD-ADMT 接收复制的位置
2019-02-06 08:10:11
......................... SYADSEC 已通过测试 Replications
开始测试: RidManager
......................... SYADSEC 已通过测试 RidManager
开始测试: Services
......................... SYADSEC 已通过测试 Services
开始测试: SystemLog
发生了一个警告事件。EventID: 0x000727A5
生成时间: 03/22/2019 15:04:06
事件字符串: WinRM 服务未在侦听 WS-Management 请求。
发生了一个警告事件。EventID: 0x00001796
生成时间: 03/22/2019 15:04:49
事件字符串: Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证。当客户端与此服务
器之间第一次使用 NTLM 时，每次启动服务器都会发生此事件。
发生了一个错误事件。EventID: 0x0000106A
生成时间: 03/22/2019 15:16:06
事件字符串: 无法更新 Isatap 接口 isatap.{556B47E7-7787-46FE-BC26-A18659A41F0E} 上的 IP 地址。更新类型: 1。错
误代码: 0x490。
发生了一个警告事件。EventID: 0x000727A5
生成时间: 03/22/2019 15:26:10
事件字符串: WinRM 服务未在侦听 WS-Management 请求。
发生了一个警告事件。EventID: 0x00001796
生成时间: 03/22/2019 15:27:19
事件字符串: Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证。当客户端与此服务
器之间第一次使用 NTLM 时，每次启动服务器都会发生此事件。
发生了一个错误事件。EventID: 0x40000005
生成时间: 03/22/2019 15:29:23
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-pri$ 的 KRB_AP_ERR_TKT_NYV 错误。这表明对此服务器呈现的票证还没有生
效(由于票证和服务器之间的时间差异)。请与系统管理员联系，以确保客户端和服务器的时间同步，并且领域 DFAC.COM 中的密钥发行中
心服务(KDC)与客户端领域中的 KDC 时间同步。
发生了一个错误事件。EventID: 0x40000004
生成时间: 03/22/2019 15:29:59
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-sec$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 E3514235-4B06-11D
1-AB04-00C04FC2DCD2/EC56BC60-2797-4015-A889-624E0BCD4B2F/dfac.com@dfac.com。这表明目标服务器无法解密客户端提供的票证。如
果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)，则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。
如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同，也会出现该问题。请确保服务器和 KDC 上的服务
均配置为使用同一密码。如果服务器名称未完全限定，并且目标域(DFAC.COM)与客户端域(DFAC.COM)不同，则请检查这两个域中是否有相
同名称的服务器帐户，或使用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 03/22/2019 15:30:33
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-sec$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 LDAP/ec56bc60-279
7-4015-a889-624e0bcd4b2f._msdcs.dfac.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注
册目标服务器主体名称(SPN)，则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码
与 Kerberos 密钥发行中心上配置的密码不同，也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名
称未完全限定，并且目标域(DFAC.COM)与客户端域(DFAC.COM)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定
的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 03/22/2019 15:30:33
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-sec$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 ldap/dfac-ad-sec.
dfac.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)，则会
出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的
密码不同，也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定，并且目标域(DFAC.COM
)与客户端域(DFAC.COM)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000005
生成时间: 03/22/2019 15:30:34
事件字符串:
Kerberos 客户端收到了来自服务器 syadpri$ 的 KRB_AP_ERR_TKT_NYV 错误。这表明对此服务器呈现的票证还没有生效(由
于票证和服务器之间的时间差异)。请与系统管理员联系，以确保客户端和服务器的时间同步，并且领域 DFAC.COM 中的密钥发行中心服
务(KDC)与客户端领域中的 KDC 时间同步。
发生了一个警告事件。EventID: 0x000727A5
生成时间: 03/22/2019 15:31:33
事件字符串: WinRM 服务未在侦听 WS-Management 请求。
发生了一个警告事件。EventID: 0x00001796
生成时间: 03/22/2019 15:32:17
事件字符串: Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM 身份验证。当客户端与此服务
器之间第一次使用 NTLM 时，每次启动服务器都会发生此事件。
发生了一个错误事件。EventID: 0x0000106A
生成时间: 03/22/2019 15:32:22
事件字符串: 无法更新 Isatap 接口 isatap.{556B47E7-7787-46FE-BC26-A18659A41F0E} 上的 IP 地址。更新类型: 1。错
误代码: 0x490。
发生了一个错误事件。EventID: 0x40000005
生成时间: 03/22/2019 15:32:42
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-pri$ 的 KRB_AP_ERR_TKT_NYV 错误。这表明对此服务器呈现的票证还没有生
效(由于票证和服务器之间的时间差异)。请与系统管理员联系，以确保客户端和服务器的时间同步，并且领域 DFAC.COM 中的密钥发行中
心服务(KDC)与客户端领域中的 KDC 时间同步。
发生了一个错误事件。EventID: 0x40000005
生成时间: 03/22/2019 15:32:59
事件字符串:
Kerberos 客户端收到了来自服务器 syadpri$ 的 KRB_AP_ERR_TKT_NYV 错误。这表明对此服务器呈现的票证还没有生效(由
于票证和服务器之间的时间差异)。请与系统管理员联系，以确保客户端和服务器的时间同步，并且领域 DFAC.COM 中的密钥发行中心服
务(KDC)与客户端领域中的 KDC 时间同步。
发生了一个错误事件。EventID: 0x00000422
生成时间: 03/22/2019 15:32:59
事件字符串:
处理组策略失败。Windows 尝试从域控制器读取文件 \\dfac.com\sysvol\dfac.com\Policies\{31B2F340-016D-11D2-945F-
00C04FB984F9}\gpt.ini，但是没有成功。只有解决此事件后才会应用组策略设置。该问题可能是暂时的，并可能由下列一个或多个原因
引起:
发生了一个警告事件。EventID: 0x0000008E
生成时间: 03/22/2019 15:28:50
事件字符串: 时间服务已停止作为时间源播发，原因是本地时钟未同步。
发生了一个警告事件。EventID: 0x0000008E
生成时间: 03/22/2019 15:34:48
事件字符串: 时间服务已停止作为时间源播发，原因是本地时钟未同步。
发生了一个错误事件。EventID: 0x40000004
生成时间: 03/22/2019 15:50:02
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-sec$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 LDAP/ec56bc60-279
7-4015-a889-624e0bcd4b2f._msdcs.dfac.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注
册目标服务器主体名称(SPN)，则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码
与 Kerberos 密钥发行中心上配置的密码不同，也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名
称未完全限定，并且目标域(DFAC.COM)与客户端域(DFAC.COM)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定
的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 03/22/2019 15:50:02
事件字符串:
Kerberos 客户端收到了来自服务器 dfac-ad-sec$ 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 ldap/dfac-ad-sec.
dfac.com。这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)，则会
出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的
密码不同，也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定，并且目标域(DFAC.COM
)与客户端域(DFAC.COM)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定的名称标识服务器。
......................... SYADSEC 没有通过测试 SystemLog
开始测试: VerifyReferences
......................... SYADSEC 已通过测试 VerifyReferences

正在 DomainDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... DomainDnsZones 已通过测试 CrossRefValidation

正在 ForestDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ForestDnsZones 已通过测试 CrossRefValidation

正在 Schema
上运行分区测试
开始测试: CheckSDRefDom
......................... Schema 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Schema 已通过测试 CrossRefValidation

正在 Configuration
上运行分区测试
开始测试: CheckSDRefDom
......................... Configuration 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Configuration 已通过测试 CrossRefValidation

正在 dfac
上运行分区测试
开始测试: CheckSDRefDom
......................... dfac 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... dfac 已通过测试 CrossRefValidation

正在 dfac.com
上运行企业测试
开始测试: LocatorCheck
......................... dfac.com 已通过测试 LocatorCheck
开始测试: Intersite
......................... dfac.com 已通过测试 Intersite
PS C:\Users\administrator.DFAC>

2019年3月22日 9:02

回复

|

引用

全部回复

0

登录进行投票
您好，

感谢您在论坛发帖。

根据日志中的多个报错，我初步判断是时间未同步导致Kerberos验证问题从而引发的复制异常。

你可以检查一下当前环境中win32 time的配置。

供您参考：

https://docs.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings

https://blogs.msmvps.com/mweber/2010/06/27/time-configuration-in-a-windows-domain/

请注意：由于该网站不是由微软托管的，该链接可能会改变，恕不另行通知。 Microsoft不保证此信息的准确性。

Best regards,

Lavilian

Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已建议为答案 Lavilian LiModerator 2019年3月26日 7:21
- 取消建议作为答案 zhiliwan 2019年3月27日 2:46
- 已建议为答案 Lavilian LiModerator 2019年3月29日 2:54
2019年3月25日 9:05

回复

|

引用

版主
0

登录进行投票

您好，

请问您有注意到我之前的回复吗？

所提供的思路与链接有帮助到您吗？

Best regards,

Lavilian
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2019年3月26日 7:21

回复

|

引用

版主
0

登录进行投票

您好，

请问我提供的信息有帮助到您吗？

如果需要任何帮助，请随时在该贴下回复。

Best regards,

Lavilian
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2019年3月29日 2:54

回复

|

引用

版主
0

登录进行投票

您好，

想确认一样目前的情况。

Best regards,

Lavilian
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2019年4月1日 3:18

回复

|

引用

版主

询问者

AD 日志检查报错，站点复制异常

问题

全部回复