域不同步，提示目标主名称错误

• 问题

• 

  

  0

  登录进行投票

  公司有四台域控制器，一台主域控A，二台辅域B、C

  现在有一台辅域控B，可以同步A、C上的信息，但反过来不行。在站点和服务界面，手动同步各域控是，A、C到B复制失败，其他域控之间可以正常复制，B到A、C也可以正常复制。在A、C的系统日志上都可看下以下与B相关的错误。

  Kerberos 客户端收到了一个来自服务器 host/server2.visionchina.local 的 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 LDAP/83394d23-81f1-4bc2-8a5b-d4c5b41b69f0._msdcs.visionchina.local。这表明目标服务器无法解密客户端提供的票证。当不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN)时会出现这种情况。请确保目标 SPN 是在(并且仅在)服务器使用的帐户上注册的。当目标服务正在使用目标服务帐户的其他密码而不是 Kerberos 密钥发行中心(KDC)的密码时也会出现这种错误。请确保服务器和 KDC 上的服务均已更新为使用当前密码。如果服务器名称未完全限定，并且目标域(VISIONCHINA.LOCAL)与客户端域(VISIONCHINA.LOCAL)不同，则请检查这两个域中是否有相同名称的服务器帐户，或使用完全限定的名称标识服务器。

  怀疑是辅域控B出了问题，已使用方法：

  1、在网上查到要能是KDC密码问题，用NETDOM命令处理，但无效。

  2、检查DNS记录，也没有重复的问题。

  不知道还有什么方法，求解，谢谢！

  刚看了一下B的DNS，有如下报错，A和C没有：

  DNS 服务器无法从应用程序目录分区 DomainDnsZones.visionchina.local 打开 Active Directory 中的区域 visionchina.local。这个 DNS 服务器配置为从目录获得和使用此区域的信息， 而且没有目录时无法加载区域。请确定 Active Directory 工作正常而且重新加载此区域。 事件数据就是错误代码。

  • 已编辑 鲁大 2014年11月3日 8:16

  2014年11月3日 8:13

  回复

  |

  引用