none
Windows 2012 R2 Active Directory 目錄服務已用盡所有相關的識別元 RRS feed

  • 問題

  • AD目錄裡建立了一個錯誤的user帳戶,於是刪除後要再建立一個新的帳戶,就出現了 "目錄服務已用盡所有相關的識別元" 此錯誤,處理到一半就發現要再建立帳戶試試看時,會變成先出現 "找不到指定網域" ,去看了事件檢視器後,出現 "105416651166454" 錯誤代碼,想尋求各位前輩高手的協助,懇請給小弟一個方向,感激不盡。

     

     

    記錄檔名稱:         System

    來源:            Microsoft-Windows-GroupPolicy

    日期:            2020/9/7 上午 11:53:36

    事件識別碼:         1054

    工作類別:         

    層級:            錯誤

    關鍵字:          

    使用者:           SYSTEM

    電腦:            DJK55R42.xxxx.local

    描述:

    群組原則處理失敗。Windows 無法取得網域控制站的名稱。這可能是因為名稱解析失敗所造成。請檢查您的網域名稱系統 (DNS) 是否已正確設定並正確運作。

    事件 Xml:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

      <System>

        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />

        <EventID>1054</EventID>

        <Version>0</Version>

        <Level>2</Level>

        <Task>0</Task>

        <Opcode>1</Opcode>

        <Keywords>0x8000000000000000</Keywords>

        <TimeCreated SystemTime="2020-09-07T03:53:36.617927700Z" />

        <EventRecordID>2551065</EventRecordID>

        <Correlation ActivityID="{586a8a1a-d354-4ce7-9b4a-cdb515874ab3}" />

        <Execution ProcessID="984" ThreadID="1424" />

        <Channel>System</Channel>

        <Computer>DJK55R42.xxxxx.local</Computer>

        <Security UserID="S-1-5-18" />

      </System>

      <EventData>

        <Data Name="SupportInfo1">1</Data>

        <Data Name="SupportInfo2">2292</Data>

        <Data Name="ProcessingMode">0</Data>

        <Data Name="ProcessingTimeInMilliseconds">15031</Data>

        <Data Name="ErrorCode">1355</Data>

        <Data Name="ErrorDescription">指定的網域可能不存在或無法連線。 </Data>

      </EventData>

    </Event>

     

    記錄檔名稱:         System

    來源:            Microsoft-Windows-Directory-Services-SAM

    日期:            2020/9/7 上午 11:53:03

    事件識別碼:         16651

    工作類別:         

    層級:            錯誤

    關鍵字:          

    使用者:           SYSTEM

    電腦:            DJK55R42.xxxxx.local

    描述:

    要求新帳戶-識別元集區失敗。將會重試操作,直到要求成功為止。錯誤碼為

     " 無法讀取角色擁有者的屬性。

     "

    事件 Xml:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

      <System>

        <Provider Name="Microsoft-Windows-Directory-Services-SAM" Guid="{0d4fdc09-8c27-494a-bda0-505e4fd8adae}" />

        <EventID>16651</EventID>

        <Version>0</Version>

        <Level>2</Level>

        <Task>0</Task>

        <Opcode>0</Opcode>

        <Keywords>0x8000000000000000</Keywords>

        <TimeCreated SystemTime="2020-09-07T03:53:03.177764500Z" />

        <EventRecordID>2551062</EventRecordID>

        <Correlation />

        <Execution ProcessID="564" ThreadID="704" />

        <Channel>System</Channel>

        <Computer>DJK55R42.xxxxxx.local</Computer>

        <Security UserID="S-1-5-18" />

      </System>

      <EventData Name="SAMMSG_RID_REQUEST_STATUS_FAILURE">

        <Data Name="ErrorMessage">無法讀取角色擁有者的屬性。

    </Data>

      </EventData>

    </Event>

     

    記錄檔名稱:         System

    來源:            Microsoft-Windows-Directory-Services-SAM

    日期:            2020/9/7 上午 11:53:03

    事件識別碼:         16645

    工作類別:         

    層級:            錯誤

    關鍵字:          

    使用者:           SYSTEM

    電腦:            DJK55R42.xxxxx.local

    描述:

    這個網域控制站的帳戶識別元配置已經指派到最大數目。網域控制站無法再取得新的識別元集區。可能是因為網域控制站無法連絡主要網域控制站。這個控制站將無法建立帳戶,除非您配置新集區。問題可能出在網域中的網路或連線能力,或是主要網域控制站站遺失或已離線。請確定主要網域控制站已連線到網域上並運作正常。

    事件 Xml:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

      <System>

        <Provider Name="Microsoft-Windows-Directory-Services-SAM" Guid="{0d4fdc09-8c27-494a-bda0-505e4fd8adae}" />

        <EventID>16645</EventID>

        <Version>0</Version>

        <Level>2</Level>

        <Task>0</Task>

        <Opcode>0</Opcode>

        <Keywords>0x8000000000000000</Keywords>

        <TimeCreated SystemTime="2020-09-07T03:53:03.177764500Z" />

        <EventRecordID>2551060</EventRecordID>

        <Correlation />

        <Execution ProcessID="564" ThreadID="1240" />

        <Channel>System</Channel>

        <Computer>DJK55R42.xxxxx.local</Computer>

        <Security UserID="S-1-5-18" />

      </System>

      <EventData Name="SAMMSG_MAX_DC_RID">

        <Binary>A80200C0</Binary>

      </EventData>

    </Event>

     

    記錄檔名稱:         System

    來源:            Microsoft-Windows-Security-Kerberos

    日期:            2020/9/7 上午 11:45:46

    事件識別碼:         4

    工作類別:         

    層級:            錯誤

    關鍵字:           傳統

    使用者:           不適用

    電腦:            DJK55R42.xxxxxx.local

    描述:

    Kerberos 用戶端從伺服器 djk55r42$ 收到 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱為 E3514235-4B06-11D1-AB04-00C04FC2DCD2/90bed3ef-9fed-4b17-b836-5173e7acdd37/xxxxxx.local@xxxxxx.local。這表示目標伺服器無法解密用戶端所提供的票證。當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時,就會發生此情形。請確定目標 SPN 僅在伺服器所使用的帳戶上登錄。當目標服務帳戶密碼與在 Kerberos 金鑰發佈中心為該目標服務設定的帳戶密碼不同時,也會發生此情形。請確定伺服器上的服務與 KDC 均設為使用相同的密碼。若伺服器名稱不是完整合格名稱,且目標網域 (XXXXXXX.LOCAL) 與用戶端網域 (XXXXXXX.LOCAL) 不同,請檢查這兩個網域中是否有同名的伺服器帳戶,或是使用完整合格名稱來識別該伺服器。

    事件 Xml:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

      <System>

        <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />

        <EventID Qualifiers="16384">4</EventID>

        <Version>0</Version>

        <Level>2</Level>

        <Task>0</Task>

        <Opcode>0</Opcode>

        <Keywords>0x80000000000000</Keywords>

        <TimeCreated SystemTime="2020-09-07T03:45:46.000000000Z" />

        <EventRecordID>2551059</EventRecordID>

        <Correlation />

        <Execution ProcessID="0" ThreadID="0" />

        <Channel>System</Channel>

        <Computer>DJK55R42.xxxxx.local</Computer>

        <Security />

      </System>

      <EventData>

        <Data Name="Server">djk55r42$</Data>

        <Data Name="TargetRealm">XXXXX.LOCAL</Data>

        <Data Name="Targetname">E3514235-4B06-11D1-AB04-00C04FC2DCD2/90bed3ef-9fed-4b17-b836-5173e7acdd37/xxxx.local@xxxxx.local</Data>

        <Data Name="ClientRealm">XXXX.LOCAL</Data>

        <Binary>

        </Binary>

      </EventData>

    </Event>


    • 已編輯 Qing.Li 2020年9月7日 上午 06:17 修正內文
    2020年9月7日 上午 06:12

所有回覆

  • 可能是 Active Directory 中 RID 的配置異常,或是 metadata 資料不正確。

    先用 netdom query FSMO 檢查五大角色,判斷是 RID 角色是否運作正常。

    再用網域控制站診斷工具 Dcdiag /v 指令檢查目前網域狀態,根據診斷結果修正。


    花花胸章

    2020年9月7日 上午 07:27
  • 下了 netdom query FSMO,看起來五大角色是正常的,如下。

    架構主機                    DJK55R42.xxxxx.local

    網域命名主機                DJK55R42.xxxxx.local

    PDC                         DJK55R42.xxxxx.local

    RID 集區管理員              DJK55R42.xxxxx.local

    基礎結構主機                DJK55R42.xxxxx.local

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    但Dcdiag /v 發現幾項錯誤,看起來都是複寫產生的錯誤(如下),在DNS管理員上的_msdcs裡面File.xxxxx.local,名稱伺服器中,發現IP都是正在確認,請問是DNS的問題嗎?

    * 檔案複寫服務事件記錄檔測試

             SYSVOL 開始共用的最近 24 小時之內,發生警告或錯誤事件。 SYSVOL 複寫失敗的問題,可能導致群組原則問題。

             發生警告事件。EventID: 0x800034C4

                產生時間: 09/07/2020   15:00:16

                事件字串:

                檔案複寫服務無法使用 DNS 名稱 file.xxxxx.local 啟動 c:\windows\sysvol\domain  FILE DJK55R42 的複寫。FRS 將繼續重試。

                可能是由下列原因導致。

                [1] FRS 無法從這台電腦正確解析 DNS 名稱 file.xxxxx.local

                [2] file.xxxxx.local 上並未執行 FRS

                [3] 這個複本在 Active Directory 網域服務上的拓撲資訊尚未 複寫到所有網域控制站上。

                這個事件記錄檔訊息會在每次連線時出現一次,在問題 解決之後,您會看到其他的事件記錄檔訊息,指出連線已經 建立。

    ------------------------------------------------------------------------------------------------------------------------

     * Replications Check

             [Replications CheckDJK55R42] 最近的複寫嘗試失敗:

                FILE DJK55R42

                命名內容: DC=DomainDnsZones,DC=xxxxx,DC=local

                複寫產生錯誤 (1256):

                遠端系統無法使用。有關網路疑難排解的資訊,請參閱 Windows 說明。

                失敗發生在 2020-09-07 15:54:29

                上次成功發生在 2015-03-04 15:58:02

                從上次成功後,發生 48292 次失敗。

             [FILE] DsBindWithSpnEx() 失敗,錯誤碼為 -2146893022

             目標主體名稱不正確。.

             [Replications CheckDJK55R42] 最近的複寫嘗試失敗:

                FILE DJK55R42

                命名內容: DC=ForestDnsZones,DC=xxxxx,DC=local

                複寫產生錯誤 (1256):

                遠端系統無法使用。有關網路疑難排解的資訊,請參閱 Windows 說明。

                失敗發生在 2020-09-07 15:54:29

                上次成功發生在 2015-03-04 15:58:02

                從上次成功後,發生 48292 次失敗。

             [Replications CheckDJK55R42] 最近的複寫嘗試失敗:

                FILE DJK55R42

                命名內容: CN=Schema,CN=Configuration,DC=xxxxx,DC=local

                複寫產生錯誤 (-2146893022):

                目標主體名稱不正確。

                失敗發生在 2020-09-07 15:54:29

                上次成功發生在 2015-03-04 15:58:02

                從上次成功後,發生 48292 次失敗。

             [Replications CheckDJK55R42] 最近的複寫嘗試失敗:

                FILE DJK55R42

                命名內容: CN=Configuration,DC=xxxxx,DC=local

                複寫產生錯誤 (-2146893022):

                目標主體名稱不正確。

                失敗發生在 2020-09-07 15:54:29

                上次成功發生在 2015-03-04 15:58:02

                從上次成功後,發生 48292 次失敗。

             [Replications CheckDJK55R42] 最近的複寫嘗試失敗:

                FILE DJK55R42

                命名內容: DC=xxxxx,DC=local

                複寫產生錯誤 (-2146893022):

                目標主體名稱不正確。

                失敗發生在 2020-09-07 15:54:29

                上次成功發生在 2015-03-04 16:12:10

                從上次成功後,發生 48292 次失敗。

             ......................... DJK55R42 未通過測試 Replications

     

    -------------------------------------------------------------------------------------------------------------------------

    * The System Event log test

             發生錯誤事件。EventID: 0x40000004

                產生時間: 09/07/2020   15:54:29

                事件字串:

                Kerberos 用戶端從伺服器 djk55r42$ 收到 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱為 E3514235-4B06-11D1-AB04-00C04FC2DCD2/90bed3ef-9fed-4b17-b836-5173e7acdd37/xxxxx.local@xxxxx.local。這表示目標伺服器無法解密用戶端所提供的票證。當目標伺服器主體名稱 (SPN) 不是在與目標服務正在使用之帳戶相同的帳戶登錄時,就會發生此情形。請確定目標 SPN 僅在伺服器所使用的帳戶上登錄。當目標服務帳戶密碼與在 Kerberos 金鑰發佈中心為該目標服務設定的帳戶密碼不同時,也會發生此情形。請確定伺服器上的服務與 KDC 均設為使用相同的密碼。若伺服器名稱不是完整合格名稱,且目標網域 (XXXXX.LOCAL) 與用戶端網域 (XXXXX.LOCAL) 不同,請檢查這兩個網域中是否有同名的伺服器帳戶,或是使用完整合格名稱來識別該伺服器。

     

     ......................... DJK55R42 未通過測試 SystemLog

     

    2020年9月7日 上午 09:21
  • File.xxxxx.local 之前也是 DC 服務角色嗎?
    目前該主機的狀況是?

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2020年9月7日 下午 03:41
    版主
  • File.xxxxxx.local 是原本 windows 2012 R2 AD 這台,原本是要在同一台建立Filer server,但後來沒有用,目前這台的問題是加入使用者後,會出現 "Windows 無法建立物件xxx,原因:目錄服務已用盡所有相關的識別元。" 

    且會再出現Active Directory 網域服務的錯誤 "找不到命名資訊,原因:無法建立目錄或檔案" ,AD目錄就連接不到網域了。

    也會測試過新的Clinet端去加入網域,顯示DNS無法解析問題,所以目前都是無法加入Clinet跟建立使用者。

    • 已編輯 Qing.Li 2020年9月8日 上午 06:45 增加內文
    2020年9月8日 上午 02:23