Remove From My Forums

Server 2016 ntfrsutl ds Error

问题
0

登录进行投票

ntfrsutl ds
显示三个ERROR
ERROR - Cannot bind w/authentication to computer, (null); 000006d9 (1753)
ERROR - Cannot bind w/o authentication to computer, (null); 000006d9 (1753)
ERROR - Cannot RPC to computer, (null); 000006d9 (1753)

因为在迁移,所以暂时把五大角色放在一起

repadmin /showrepl

Repadmin: 针对所有 DC localhost 运行命令 /showrepl
Default-First-Site-Name\SDCD
DSA 选项: IS_GC
站点选项: (none)
DSA 对象 GUID: 3985d9aa-0078-46e5-888f-995b7799ce8a
DSA 调用 ID: 22c3dc6a-a663-41fe-a8e6-b6f8691165a0
==== 入站邻居 ===========================================
DC=ofw,DC=com,DC=cn
Default-First-Site-Name\SDCS 通过 RPC
DSA 对象 GUID: 6e10ef65-4efd-4b59-8ae6-083558ac6fce
上次在 2020-11-04 05:36:35 的尝试成功。

CN=Configuration,DC=ofw,DC=com,DC=cn
Default-First-Site-Name\SDCS 通过 RPC
DSA 对象 GUID: 6e10ef65-4efd-4b59-8ae6-083558ac6fce
上次在 2020-11-04 05:09:12 的尝试成功。

CN=Schema,CN=Configuration,DC=ofw,DC=com,DC=cn
Default-First-Site-Name\SDCS 通过 RPC
DSA 对象 GUID: 6e10ef65-4efd-4b59-8ae6-083558ac6fce
上次在 2020-11-04 04:59:33 的尝试成功。

DC=DomainDnsZones,DC=ofw,DC=com,DC=cn
Default-First-Site-Name\SDCS 通过 RPC
DSA 对象 GUID: 6e10ef65-4efd-4b59-8ae6-083558ac6fce
上次在 2020-11-04 04:59:33 的尝试成功。

DC=ForestDnsZones,DC=ofw,DC=com,DC=cn
Default-First-Site-Name\SDCS 通过 RPC
DSA 对象 GUID: 6e10ef65-4efd-4b59-8ae6-083558ac6fce
上次在 2020-11-04 04:59:33 的尝试成功。

repadmin /replsummary

复制摘要开始时间: 2020-11-04 05:38:29
正在开始用于复制摘要的数据收集，此操作可能需要一段时间:
.....
源 DSA 最大增量失败/总数 %% 错误
SDCD 42m:11s 0 / 5 0
SDCS 38m:56s 0 / 5 0
目标 DSA 最大增量失败/总数 %% 错误
SDCD 38m:56s 0 / 5 0
SDCS 42m:11s 0 / 5 0

ntfrsutl ds
ERROR - Cannot bind w/authentication to computer, (null); 000006d9 (1753)
ERROR - Cannot bind w/o authentication to computer, (null); 000006d9 (1753)
ERROR - Cannot RPC to computer, (null); 000006d9 (1753)

DCdiag /v

目录服务器诊断
正在执行初始化设置:
正在尝试查找主服务器...
主服务器 = SDCD
* 已识别的 AD 林。
已完成收集初始化信息。
正在进行所需的初始化测试
正在测试服务器: Default-First-Site-Name\SDCD
开始测试: Connectivity
......................... SDCD 已通过测试 Connectivity
正在执行主要测试

正在测试服务器: Default-First-Site-Name\SDCD
开始测试: Advertising
......................... SDCD 已通过测试 Advertising
开始测试: FrsEvent
......................... SDCD 已通过测试 FrsEvent
开始测试: DFSREvent
......................... SDCD 已通过测试 DFSREvent
开始测试: SysVolCheck
......................... SDCD 已通过测试 SysVolCheck
开始测试: KccEvent
发生了一个警告事件。EventID: 0x80000B46
生成时间: 11/04/2020 06:12:19
事件字符串:
通过将目录服务器配置为拒绝不请求签名(完整性验证)的 SASL (协商式、 Kerberos、NTLM 或摘要式) LDAP 绑定和在明文(非 SSL/TLS 加密)连接上执行的 LDAP 简单绑定，可以显著增强此服务器的安全性。即使没有任何客户端使用这样的绑定，将该服务器配置为拒绝此类绑定也将提高此服务器的安全性。
发生了一个警告事件。EventID: 0x80000BE1
生成时间: 11/04/2020 06:12:19
事件字符串:
将服务器配置为强制验证在通过 LDAPS 连接发送的 LDAP 绑定请求中接收的通道绑定令牌，可以显著增强此目录服务器的安全性。即使没有客户端通过 LDAPS 发出 LDAP 绑定请求，将服务器配置为验证通道绑定令牌也将提高此服务器的安全性。
......................... SDCD 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
......................... SDCD 已通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
......................... SDCD 已通过测试 MachineAccount
开始测试: NCSecDesc
......................... SDCD 已通过测试 NCSecDesc
开始测试: NetLogons
......................... SDCD 已通过测试 NetLogons
开始测试: ObjectsReplicated
......................... SDCD 已通过测试 ObjectsReplicated
开始测试: Replications
......................... SDCD 已通过测试 Replications
开始测试: RidManager
......................... SDCD 已通过测试 RidManager
开始测试: Services
......................... SDCD 已通过测试 Services
开始测试: SystemLog
发生了一个错误事件。EventID: 0x00002720
生成时间: 11/04/2020 06:11:52
事件字符串:
应用程序-特定权限设置并未向在应用程序容器不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\SYSTEM SID (S-1-5-18)授予针对 CLSID 为
发生了一个警告事件。EventID: 0x000727A5
生成时间: 11/04/2020 06:11:53
事件字符串: WinRM 服务未在侦听 WS-Management 请求。
发生了一个警告事件。EventID: 0x000003F6
生成时间: 11/04/2020 06:12:10
事件字符串:
在没有配置的 DNS 服务器响应之后，名称 _ldap._tcp.dc._msdcs.ofw.com.cn. 的名称解析超时。
发生了一个警告事件。EventID: 0x000016AC
生成时间: 11/04/2020 06:12:19
事件字符串:
Netlogon 参数注册表项包含参数 'MaximumPasswordAge' 的一个无效值 0x0。此参数的最小和最大的允许值为 0x1 和 0xf4240。值 0x1 被指定给此参数。
......................... SDCD 没有通过测试 SystemLog
开始测试: VerifyReferences
......................... SDCD 已通过测试 VerifyReferences

正在 ForestDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ForestDnsZones 已通过测试 CrossRefValidation

正在 DomainDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... DomainDnsZones 已通过测试 CrossRefValidation

正在 Schema
上运行分区测试
开始测试: CheckSDRefDom
......................... Schema 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Schema 已通过测试 CrossRefValidation

正在 Configuration
上运行分区测试
开始测试: CheckSDRefDom
......................... Configuration 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Configuration 已通过测试 CrossRefValidation

正在 ofw
上运行分区测试
开始测试: CheckSDRefDom
......................... ofw 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ofw 已通过测试 CrossRefValidation

正在 ofw.com.cn
上运行企业测试
开始测试: LocatorCheck
......................... ofw.com.cn 已通过测试 LocatorCheck
开始测试: Intersite
......................... ofw.com.cn 已通过测试 Intersite

ntfrsutl version sdcs.ofw.com.cn

NtFrsApi Version Information
NtFrsApi Major : 0
NtFrsApi Minor : 0
NtFrsApi Compiled on: Jul 15 2016 16:16:00
ERROR - Cannot bind w/authentication to computer, sdcs.ofw.com.cn; 000006d9 (1753)
ERROR - Cannot bind w/o authentication to computer, sdcs.ofw.com.cn; 000006d9 (1753)
ERROR - Cannot RPC to computer, sdcs.ofw.com.cn; 000006d9 (1753)

2020年11月4日 0:58

回复

|

引用

全部回复

0

登录进行投票

尊敬的客户，您好！

感谢您在我们的TechNet论坛发帖。

根据您的描述，请确认以下信息：

1.请问您是单林单域还是单林多域的环境？
2.如果是单林单域，请问您这个域里一共有几台域控制器？
3.每台域控制器的操作系统版本是什么？
4.请问现在的SYSVOL复制方式是FRS还是DFSR?
检查方法如下，在每个域控制器上检查注册表：
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ DFSR \ Parameters \ SysVols \ Migrating Sysvols \ LocalState 注册表子项。如果此注册表子项存在并且其值设置为3（ELIMINATED），则使用DFSR。
如果该子项不存在或具有不同的值，则说明正在使用FRS。
5.请问您提到的报错是在哪里看到的？域控制器上还是客户端上的事件查看器里吗? 如果方便的话，请提供截图。
6.您提到的迁移时迁移域控制器吗？还是指把SYSVOL复制方式从FRS迁移到DFSR?

同时，请检查AD环境是否正常：
1.请检查AD复制是否正常，在PDC上运行如下命令：
repadmin /replsum
repadmin /showrepl * /csv >c:\repsum.csv
2.在每个域控制器运行gpupdate /force检查组策略是否正常应用。
3.在某一个域控制器上运行netdom query FSMO检查FSMO角色在哪个域控制器上。
4.在每个域控制器上运行net share检查Netlogon和SYSVOL是否共享的。
5.请检查SYSVOL是否可以正常复制。我们可以尝试在任何一个DC的C：\ Windows \ SYSVOL \ sysvol \ domain.com \ Policies下创建一个新文件或新文件夹，过十几分钟以后，然后检查是否可以将该新文件或新文件夹复制到其他域控的同一路径下？

此致，
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年11月4日 6:21

回复

|

引用
0

登录进行投票

您好,感谢您的回复!

1.是单林单域
2.有3台域控制器
3.每台都是Server 2016 数据中心版
4.检查过注册表,是DFSR模式
以前是从2003升级的2008R2,当时还使用的FRS模式,
升级2016时系统强制要求DFSR,所以进行了FRS转DFSR操作

5.报错是使用 ntfrsutl ds 命令,返回三条error,以管理员运行PowerShell

pan.baidu.com/s/1yRSpSvAYwXEw69DGieQhLQ
提取码: qm9s

6.迁移的话,主要是为了方便升级转换,先安装了2016域控制器,
再夺得5大角色,2008R2控制器降级控制器角色,成为普通域成员,
2008R2再退出域,清理DNS,2016进行FRS转DFSR,再提升林和域的权限为2016版本

1.AD复制正常

pan.baidu.com/s/1URPWVVYvKRwP-G_iAo07pg
提取码: m8xm

pan.baidu.com/s/1KXvDQlU4UShtVN7_Kzk5JQ
提取码: 9f6s

2.每个域控制器组策略正常应用
3.每个域控制器FSMO都指向 SDCD.ofw.com.cn
4.每个域控制器Netlogon和SYSVOL都有共享
但是我在建立域控制器的时候,
把SYSVOL和NTDS目录都设定在C:\DC目录内
5.已经测试过SYSVOL可以正常复制

在没有验证前,不能发带图片的回复
我没找到验证的地方

2020年11月5日 3:03

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

感谢您的回复。

根据您的描述，您的环境一切都是工作正常的。

我认为您的环境中运行命令ntfrsutl ds得到的结果应该是正常的（很抱歉，我没有找到官方文档对这个命令的说明，我也没有这样的FRS环境去测试运行这个命令）。因为您现在SYSVOL的复制方式使用的是DFSR，所以运行这个命令得到这个结果。

同时，我在我的测试环境中（我的测试环境的SYSVOL复制方式也是DFSR的复制方式，而且环境也是没有任何问题，正常运行的，Ntfrs的服务是停止的），也尝试了您提到的命令，跟您的结果是一样的。

我尝试在我的环境中把Ntfrs服务开启，但是开启不了。

这个命令的主要作用是列出DS的NTFRS服务视图。
如果您还有FRS的环境，并且Ntfrs的服务是起来的，我觉得运行这个命令应该可以得到正常的结果。很抱歉，我没有这样的环境。如果您有的话，可以试试。

您为什么运行这个命令呢？环境有其他的问题或者运行这个命令是想检查什么吗？

参考文档：
Ntfrsutl
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh875636(v=ws.11)

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff 2020年11月5日 8:38
2020年11月5日 8:36

回复

|

引用
0

登录进行投票
您好,感谢您的回复!

了解了,估计这个ERROR就是这样的,我在其它公司的域内运行这个命令,也是这三个ERROR(Server 2008 R2单林单域,无升级降级史).

主要是我使用 DFS目录同步,等了一天的时间,也没有进行同步,即使需要同步的文件夹内仅测试的少量小文件,所以想排查是否同步中遇到的权限问题,因为日志显示同步的前期准备都正常,也没有报任何错误,就是等待同步.

同时检查一下域是否存在异常,所以使用了各种检查命令.

后期我把两台DFS退域后重新安装一遍吧,看下效果.
- 已编辑 PCI22 2020年11月6日 11:24 增加内容
2020年11月6日 11:21

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

感谢您的回复。

如果您有其他的疑问，欢迎您随时咨询我们。

感谢您的理解和支持。

此致，
Daisy Zhou

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年11月9日 1:13

回复

|

引用