none
两个域之间建立信任关系后,过了一段时间一直在提示警告。 RRS feed

  • 问题

  • 日志名称:          System
    来源:            LsaSrv
    日期:            2016/1/19 12:49:33
    事件 ID:         40961
    任务类别:          无
    级别:            警告
    关键字:           
    用户:            SYSTEM
    计算机:           CNPCCtxDC0.XX.XX.com.cn
    描述:
    安全系统不能与服务器 ldap/ODC-DC-04.XXX.com/XXX.com@XXX.COM 建立一个安全连接。没有可用的身份验证协议。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="LsaSrv" Guid="{199FE037-2B82-40A9-82AC-E1D46C792B99}" />
        <EventID>40961</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2016-01-19T04:49:33.203899500Z" />
        <EventRecordID>131543</EventRecordID>
        <Correlation />
        <Execution ProcessID="512" ThreadID="10844" />
        <Channel>System</Channel>
        <Computer>CNPCCtxDC0.XX.XX.com.cn</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="Target">ldap/ODC-DC-04.XXX.com/XXX.com@XXX.COM</Data>
      </EventData>
    </Event>

    出现问题后,在进行重置域信任关系的时候提示错误:

    传出信任被成功验证。

    域 XXX.com 的 Active Directory 域控制器 \\ODC-DC-03.XXX.com 到域 XX.XX.com.cn 的安全通道(SC)验证失败,错误为: 指定的域不存在,或无法联系。

    域XXX.com 的 Active Directory 域控制器 \\ODC-DC-03.XXX.com 到域 XX.XX.com.cn 的安全通道(SC)重置失败,错误为: 指定的域不存在,或无法联系。



    2016年1月19日 5:56

答案

全部回复

  • 您好,

    日志显示两个域之间没有办法通信,最有可能是DNS出现了问题。建议尝试使用“Ping”或者“nslookup”命令检查DNS解析是否存在问题。

    同时,建议检查防火墙配置,查看必要的端口是否已打开。

    具体的信息,您可以查看这篇文章:

    如何为域和信任关系配置防火墙 - https://support.microsoft.com/zh-cn/kb/179442

    谢谢!

    Regards,

    Ethan Hua


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com

    2016年1月20日 4:58
    版主
  • hi Ethan Hua

      我进行过上述测试能够ping通、nslookup能够解析所有dc地址,dc的防火墙均已经关闭。呜呜

    2016年1月20日 6:21
  • 你这2台DC的网络环境是怎样的,如果是通过互联网实现的多域信任的话,就要考虑到你2个出口防火墙的设置问题
    2016年1月20日 6:32
  • dc服务器直接是有硬件防火墙的,但是,我进行过测试能够ping通、nslookup能够正常解析所有dc地址,dc服务器的防火墙均已经关闭。
    2016年1月20日 7:01
  • telnet dc服务器所需端口全部能够成功。
    2016年1月20日 7:36
  • 您好,

    我建议您使用域控制器诊断工具(dcdiag.exe)检查一下两个域的状况,看是否有任何的问题:

    https://technet.microsoft.com/zh-cn/library/cc731968.aspx

    如果问题仍然存在,可以尝试删除,并重新创建此信任关系。

    Regards,

    Ethan Hua


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com

    2016年1月22日 8:35
    版主
  • 非常感谢,我重现删除信任关系,再次重新建立后正常了
    2016年1月25日 1:18