locked
唔知點解,部DC不斷出現以下訊息? RRS feed

  • 問題

  • 唔知點解,部DC不斷出現以下訊息?

    記錄1

    記錄檔名稱:         Directory Service
    來源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            1/10/2011 2:15:40 PM
    事件識別碼:         1645
    工作類別:          DS RPC 用戶端
    等級:            錯誤
    關鍵字:           傳統
    使用者:           ANONYMOUS LOGON
    電腦:            DC2.domain.name
    描述:
    Active Directory 網域服務並未對另一個目錄伺服器執行已驗證的遠端程序呼叫 (RPC),因為目的地目錄伺服器所需的服務主要名稱 (SPN) 並未登錄在解析 SPN 的金鑰發佈中心 (KDC) 網域控制站上。
     
    目的地目錄伺服器:
    56526c40-a8b9-46d3-894f-cb15ac6746be._msdcs.domain.name
    SPN:
    E3514235-4B06-11D1-AB04-00C04FC2DCD2/56526c40-a8b9-46d3-894f-cb15ac6746be/domain.name@domain.name
     
    使用者動作
    確認目的地目錄伺服器及網域的名稱是否正確。另外,也確認 SPN 是否已登錄在 KDC 目錄伺服器上。如果目的地目錄伺服器最近剛被升級,必須將本機目錄伺服器的電腦帳戶資料複寫到 KDC,才能驗證這台電腦。

    記錄2
    記錄檔名稱:         Directory Service
    來源:            Microsoft-Windows-ActiveDirectory_DomainService
    日期:            1/10/2011 2:09:17 PM
    事件識別碼:         1988
    工作類別:          複寫
    等級:            錯誤
    關鍵字:           傳統
    使用者:           ANONYMOUS LOGON
    電腦:            DC2.domain.name
    描述:
    Active Directory 網域服務複寫在下列已從本機網域控制站 (DC)  Active Directory 網域服務資料庫中刪除的分割中,發現物件。 在標記存留天數之內,並非所有直接或移轉性複寫協力電腦都已複 寫刪除。已經從 Active Directory 網域服務分割中刪除並經廢棄 項目收集的物件,如果還繼續存留在相同網域其他 DC 中的可寫入 分割,或是樹系中其他網域通用類別目錄伺服器的唯讀分割中,皆 稱為「延遲物件」。
     
     
    來源網域控制站:
    311169b1-7436-48ad-834a-4e5e5d8d8a65._msdcs.domain.name
    物件:
    CN=CHEM-LAB-EPSON AL-C1000 Advanced\0ADEL:7ed84817-37ce-4314-9528-d536c41eaa6a,CN=Deleted Objects,DC=domain,DC=name
    物件 GUID:
    7ed84817-37ce-4314-9528-d536c41eaa6a  記錄這個事件的原因是來源 DC 包含延遲物件,但此延遲物件不在 Acitve Directory  網域服務資料庫的本機 DC 中。這個複寫嘗試將被封鎖。
     
     這個問題的最佳處理方法是確認並移除所有在樹系中的延遲物件。
     
     
    使用者動作:
     
    移除延遲物件:
     
     還原此錯誤的行動計畫可在 http://support.microsoft.com/?id=314282 中取得。
     
     如果來源與目的 DC 都是 Windows Server 2003 DC,則請安裝在安裝 CD 中的 支援工具。若要檢視哪些物件會在不執行實際刪除動作的情況下被刪除,請執行  "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC> /ADVISORY_MODE"。 來源 DC 上的事件記錄會列舉所有延遲物件。若要移除來源網域控制站中的延遲 物件,請執行 "repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC>"。
     
     如果來源或目的 DC 其中之一不是 Windows 2000 Server DC,則可在  http://support.microsoft.com/?id=314282 中取得更多如何移除來源  DC 之延遲物件的相關資訊,或詢問您的 Microsoft 支援人員。
     
     如果您無論如何一定要 Active Directory 網域服務複寫立刻執行, 而且沒有時間移除延遲物件,請解除設定下列登錄機碼以啟用鬆散的 複寫一致性:
     
    登錄機碼:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
     
     在共用相同分割 DC 之間的複寫錯誤,將妨礙 DC 之間的使用者 與電腦帳戶、信任關係、他們的密碼、安全性群組、安全性群組成員 資格以及其他 Active Directory 網域服務之設定資料的變動,導致 影響登入、尋找需要物件以及執行其他重要操作。一旦解決複寫錯誤 之後,即可解決這些不一致性。在系統管理員,手動從每個本機 DC  中移除延遲物件之前,無法在標記存留天數時間之內輸入複寫刪除物 件的 DC 將繼續維持不一致。
     
     確定所有在樹系中的網域控制站都執行 Active Directory 網域服務、 都是透過跨接樹狀連線拓撲來連接,以及在標記存留天數之內輸入複寫, 都可以避免延遲物件的發生。

    2011年1月10日 上午 08:11

解答

  • Hi Jason.ps

    這一個狀況因該是KDC錯誤所導致SPN重復所導致的

    建議你可以使用LDP.EXE或是LDIFDE工具來找到重復的SPN值

    然後可以使用adsiedit.msc工具移除重復的SPN值


    學生們一定要試試,不是學生的也大家告訴大家,一起為台灣加油!

    2011年1月11日 上午 04:00