单位上的域控平台正常运行一年后,某天发现主域和辅助域服务器数据不能同步,经检查网络连接正常,135、139、445等共享端口正常开启,用dcdiag命令检测主域服务器后,报告如下:
C:\Users\Administrator>dcdiag
目录服务器诊断
正在执行初始化设置:
正在尝试查找主服务器...
主服务器 = hhad1
* 已识别的 AD 林。
已完成收集初始化信息。
正在进行所需的初始化测试
正在测试服务器: Default-First-Site-Name\HHAD1
开始测试: Connectivity
......................... HHAD1 已通过测试 Connectivity
正在执行主要测试
正在测试服务器: Default-First-Site-Name\HHAD1
开始测试: Advertising
......................... HHAD1 已通过测试 Advertising
开始测试: FrsEvent
......................... HHAD1 已通过测试 FrsEvent
开始测试: DFSREvent
......................... HHAD1 已通过测试 DFSREvent
开始测试: SysVolCheck
......................... HHAD1 已通过测试 SysVolCheck
开始测试: KccEvent
......................... HHAD1 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
......................... HHAD1 已通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
......................... HHAD1 已通过测试 MachineAccount
开始测试: NCSecDesc
......................... HHAD1 已通过测试 NCSecDesc
开始测试: NetLogons
......................... HHAD1 已通过测试 NetLogons
开始测试: ObjectsReplicated
......................... HHAD1 已通过测试 ObjectsReplicated
开始测试: Replications
[Replications Check,HHAD1] 最近的复制尝试失败:
从 HHAD2 到 HHAD1
命名上下文: DC=hhycad,DC=com
复制生成一个错误(8606):
没有给定足够的属性以创建对象。这个对象可能不存在因为它可能已经删除域
垃圾收集。
失败发生在 2020-02-19 15:49:12。
上次成功发生在 2019-09-28 14:51:58。
自从上次成功已发生 3460 次失败。
......................... HHAD1 没有通过测试 Replications
开始测试: RidManager
......................... HHAD1 已通过测试 RidManager
开始测试: Services
......................... HHAD1 已通过测试 Services
开始测试: SystemLog
发生了一个错误事件。EventID: 0x0000165B
生成时间: 02/19/2020 15:54:49
事件字符串:
从计算机 'MLBGSGY01' 设置会话失败,因为安全数据库 没有包含指定计算机
引用的信任帐户 'MLBGSGY01$'。
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 15:56:53
事件字符串: 从计算机 MLBGSGY01 设置的会话未能进行身份验证。 发生下列
错误:
......................... HHAD1 没有通过测试 SystemLog
开始测试: VerifyReferences
......................... HHAD1 已通过测试 VerifyReferences
正在 ForestDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ForestDnsZones 已通过测试 CrossRefValidation
正在 DomainDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... DomainDnsZones 已通过测试 CrossRefValidation
正在 Schema
上运行分区测试
开始测试: CheckSDRefDom
......................... Schema 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Schema 已通过测试 CrossRefValidation
正在 Configuration
上运行分区测试
开始测试: CheckSDRefDom
......................... Configuration 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Configuration 已通过测试 CrossRefValidation
正在 hhycad
上运行分区测试
开始测试: CheckSDRefDom
......................... hhycad 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... hhycad 已通过测试 CrossRefValidation
正在 hhycad.com
上运行企业测试
开始测试: LocatorCheck
......................... hhycad.com 已通过测试 LocatorCheck
开始测试: Intersite
......................... hhycad.com 已通过测试 Intersite
另外辅助域服务器的DNS功能模块也不正常(不让上图)
辅助域服务器上运行dcdiag命令,结果如下:
......................... HHAD2 没有通过测试 DFSREvent
开始测试: SysVolCheck
......................... HHAD2 已通过测试 SysVolCheck
开始测试: KccEvent
......................... HHAD2 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
[HHAD1] DsBindWithSpnEx() 失败,错误为 -2146893022,
目标主要名称不正确。.
警告: HHAD1 为 Schema Owner,但不对 DS RPC 绑定作出响应。
[HHAD1] LDAP 绑定失败,错误为 8341,
出现了一个目录服务错误。.
警告: HHAD1 为 Schema Owner,但不对 LDAP 绑定作出响应。
警告: HHAD1 为 Domain Owner,但不对 DS RPC 绑定作出响应。
警告: HHAD1 为 Domain Owner,但不对 LDAP 绑定作出响应。
警告: HHAD1 为 PDC Owner,但不对 DS RPC 绑定作出响应。
警告: HHAD1 为 PDC Owner,但不对 LDAP 绑定作出响应。
警告: HHAD1 为 Rid Owner,但不对 DS RPC 绑定作出响应。
警告: HHAD1 为 Rid Owner,但不对 LDAP 绑定作出响应。
警告: HHAD1 为 Infrastructure Update Owner,但不对 DS RPC 绑定作出响应
。
警告: HHAD1 为 Infrastructure Update Owner,但不对 LDAP 绑定作出响应。
......................... HHAD2 没有通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
......................... HHAD2 已通过测试 MachineAccount
开始测试: NCSecDesc
......................... HHAD2 已通过测试 NCSecDesc
开始测试: NetLogons
[HHAD2] 用户凭据没有权限执行该操作。
该测试使用的帐户必须具有该计算机的域的
网络登录权限。
......................... HHAD2 没有通过测试 NetLogons
开始测试: ObjectsReplicated
......................... HHAD2 已通过测试 ObjectsReplicated
开始测试: Replications
[Replications Check,HHAD2] 最近的复制尝试失败:
从 HHAD1 到 HHAD2
命名上下文: DC=ForestDnsZones,DC=hhycad,DC=com
复制生成一个错误(1256):
远程系统不可用。有关网络疑难解答,请参阅 Windows 帮助。
失败发生在 2020-02-19 16:54:07。
上次成功发生在 2019-03-12 15:59:07。
自从上次成功已发生 8271 次失败。
[Replications Check,HHAD2] 最近的复制尝试失败:
从 HHAD1 到 HHAD2
命名上下文: DC=DomainDnsZones,DC=hhycad,DC=com
复制生成一个错误(1256):
远程系统不可用。有关网络疑难解答,请参阅 Windows 帮助。
失败发生在 2020-02-19 16:54:07。
上次成功发生在 2019-03-12 15:59:07。
自从上次成功已发生 8263 次失败。
[Replications Check,HHAD2] 最近的复制尝试失败:
从 HHAD1 到 HHAD2
命名上下文: CN=Schema,CN=Configuration,DC=hhycad,DC=com
复制生成一个错误(-2146893022):
目标主要名称不正确。
失败发生在 2020-02-19 16:54:07。
上次成功发生在 2019-03-12 15:59:07。
自从上次成功已发生 8260 次失败。
[Replications Check,HHAD2] 最近的复制尝试失败:
从 HHAD1 到 HHAD2
命名上下文: CN=Configuration,DC=hhycad,DC=com
复制生成一个错误(-2146893022):
目标主要名称不正确。
失败发生在 2020-02-19 16:54:07。
上次成功发生在 2019-03-12 15:59:07。
自从上次成功已发生 8260 次失败。
[Replications Check,HHAD2] 最近的复制尝试失败:
从 HHAD1 到 HHAD2
命名上下文: DC=hhycad,DC=com
复制生成一个错误(-2146893022):
目标主要名称不正确。
失败发生在 2020-02-19 16:54:07。
上次成功发生在 2019-03-12 16:00:29。
自从上次成功已发生 8260 次失败。
......................... HHAD2 没有通过测试 Replications
开始测试: RidManager
......................... HHAD2 没有通过测试 RidManager
开始测试: Services
......................... HHAD2 已通过测试 Services
开始测试: SystemLog
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:15:22
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/hhad2.hhycad.com/hhycad.com。这表明目标服务器无法解密客户
端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则
会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服
务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器
和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD
.COM)与客户端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,
或使用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:24:00
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/hhad2.hhycad.com/hhycad.com@HHYCAD.COM。这表明目标服务器无
法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称
(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使
用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请
确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目
标域(HHYCAD.COM)与客户端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服
务器帐户,或使用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x0000165B
生成时间: 02/19/2020 16:29:45
事件字符串:
从计算机 'HYNYBGS-LTT' 设置会话失败,因为安全数据库 没有包含指定计算
机引用的信任帐户 'HYNYBGS-LTT$'。
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 16:31:58
事件字符串: 从计算机 HYNYBGS-LTT 设置的会话未能进行身份验证。 发生下
列错误:
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 16:33:50
事件字符串: 从计算机 MLBGS-LHF 设置的会话未能进行身份验证。 发生下列
错误:
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:34:08
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 ldap/hhad2.hhycad.com。这表明目标服务器无法解密客户端提供的票证
。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题
。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与
Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的
服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM)与客户
端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限
定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:35:17
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 ldap/hhad2.hhycad.com/hhycad.com@HHYCAD.COM。这表明目标服务器无
法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称
(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使
用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请
确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目
标域(HHYCAD.COM)与客户端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服
务器帐户,或使用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:38:25
事件字符串:
Kerberos 客户端收到了来自服务器 hhad1$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 E3514235-4B06-11D1-AB04-00C04FC2DCD2/add638e6-1fc9-4795-afdd-86
addf535285/hhycad.com@hhycad.com。这表明目标服务器无法解密客户端提供的票证。如果
不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确
保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerbe
ros 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均
配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM)与客户端域(H
HYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名
称标识服务器。
发生了一个错误事件。EventID: 0x0000165B
生成时间: 02/19/2020 16:38:35
事件字符串:
从计算机 'SPNJYZ-LJ' 设置会话失败,因为安全数据库 没有包含指定计算机
引用的信任帐户 'SPNJYZ-LJ$'。
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 16:40:47
事件字符串: 从计算机 SPNJYZ-LJ 设置的会话未能进行身份验证。 发生下列
错误:
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:41:34
事件字符串:
Kerberos 客户端收到了来自服务器 hhad1$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 DNS/hhad1.hhycad.com。这表明目标服务器无法解密客户端提供的票证
。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题
。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与
Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的
服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM)与客户
端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限
定的名称标识服务器。
发生了一个错误事件。EventID: 0x0000165B
生成时间: 02/19/2020 16:43:43
事件字符串:
从计算机 'GSJGCW-ZBX' 设置会话失败,因为安全数据库 没有包含指定计算
机引用的信任帐户 'GSJGCW-ZBX$'。
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 16:45:44
事件字符串: 从计算机 GSJGCW-ZBX 设置的会话未能进行身份验证。 发生下
列错误:
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 16:47:43
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/hhad2.hhycad.com/HHYCAD。这表明目标服务器无法解密客户端提
供的票证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出
现该问题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐
户密码与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 K
DC 上的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM
)与客户端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使
用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 17:00:03
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/HHAD2。这表明目标服务器无法解密客户端提供的票证。如果不是
在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅
在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos
密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置
为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM)与客户端域(HHYCA
D.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称标
识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 17:03:09
事件字符串:
Kerberos 客户端收到了来自服务器 hhad2$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 cifs/hhad2.hhycad.com。这表明目标服务器无法解密客户端提供的票证
。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题
。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与
Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的
服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM)与客户
端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限
定的名称标识服务器。
发生了一个错误事件。EventID: 0x0000165B
生成时间: 02/19/2020 17:03:58
事件字符串:
从计算机 'YYLDBZ-HWY' 设置会话失败,因为安全数据库 没有包含指定计算
机引用的信任帐户 'YYLDBZ-HWY$'。
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 17:06:00
事件字符串: 从计算机 YYLDBZ-HWY 设置的会话未能进行身份验证。 发生下
列错误:
发生了一个错误事件。EventID: 0x0000165B
生成时间: 02/19/2020 17:06:33
事件字符串:
从计算机 'SPNJYZ-LGA' 设置会话失败,因为安全数据库 没有包含指定计算
机引用的信任帐户 'SPNJYZ-LGA$'。
发生了一个错误事件。EventID: 0x000016AD
生成时间: 02/19/2020 17:09:14
事件字符串: 从计算机 SPNJYZ-LGA 设置的会话未能进行身份验证。 发生下
列错误:
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 17:13:54
事件字符串:
Kerberos 客户端收到了来自服务器 hhad1$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/add638e6-1fc9-4795-afdd-86addf535285._msdcs.hhycad.com。这
表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册目
标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SPN
。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,也
会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称未
完全限定,并且目标域(HHYCAD.COM)与客户端域(HHYCAD.COM)不同,则请检查这两个域中是
否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 02/19/2020 17:13:54
事件字符串:
Kerberos 客户端收到了来自服务器 hhad1$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 ldap/hhad1.hhycad.com。这表明目标服务器无法解密客户端提供的票证
。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题
。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与
Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的
服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(HHYCAD.COM)与客户
端域(HHYCAD.COM)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限
定的名称标识服务器。
......................... HHAD2 没有通过测试 SystemLog
开始测试: VerifyReferences
......................... HHAD2 已通过测试 VerifyReferences
正在 ForestDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ForestDnsZones 已通过测试 CrossRefValidation
正在 DomainDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... DomainDnsZones 已通过测试 CrossRefValidation
正在 Schema
上运行分区测试
开始测试: CheckSDRefDom
......................... Schema 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Schema 已通过测试 CrossRefValidation
正在 Configuration
上运行分区测试
开始测试: CheckSDRefDom
......................... Configuration 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Configuration 已通过测试 CrossRefValidation
正在 hhycad
上运行分区测试
开始测试: CheckSDRefDom
......................... hhycad 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... hhycad 已通过测试 CrossRefValidation
正在 hhycad.com
上运行企业测试
开始测试: LocatorCheck
......................... hhycad.com 已通过测试 LocatorCheck
开始测试: Intersite
......................... hhycad.com 已通过测试 Intersite
主域服务器和辅助域服务器数据同步失败
