windows server 2012 r2环境,有两台域,一台主域DC01,一台辅域DC02,现在无法同步,我新建过一台辅域DC03,也连不上主域,下图为DC03报错,图下为dcdiag诊断结果,请高手帮忙看看,谢谢
C:\Users\Administrator.NBT>dcdiag
目录服务器诊断
正在执行初始化设置:
正在尝试查找主服务器...
主服务器 = dc02
* 已识别的 AD 林。
已完成收集初始化信息。
正在进行所需的初始化测试
正在测试服务器: Default-First-Site-Name\DC02
开始测试: Connectivity
......................... DC02 已通过测试 Connectivity
正在执行主要测试
正在测试服务器: Default-First-Site-Name\DC02
开始测试: Advertising
警告: DC02 没有作为时间服务器进行播发。
......................... DC02 没有通过测试 Advertising
开始测试: FrsEvent
......................... DC02 已通过测试 FrsEvent
开始测试: DFSREvent
SYSVOL 共享后的最近 24 小时内出现了警告或错误事件。 失败的 SYSVOL 复制
问题可能导致组策略问题。
......................... DC02 没有通过测试 DFSREvent
开始测试: SysVolCheck
......................... DC02 已通过测试 SysVolCheck
开始测试: KccEvent
发生了一个警告事件。EventID: 0x80000B46
生成时间: 08/29/2018 10:57:22
事件字符串:
通过将目录服务器配置为拒绝不请求签名(完整性验证)的 SASL (协商式、 Ke
rberos、NTLM 或摘要式) LDAP 绑定和在明 文(非 SSL/TLS 加密)连接上执行的 LDAP 简单
绑定,可以显著增强此服务器的安全性。即使没有任何客户端使用这 样的绑定,将该服务
器配置为拒绝此类绑定也将提高此服务器的安全性。
......................... DC02 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
[DC01] DsBindWithSpnEx() 失败,错误为 -2146893022,
目标主要名称不正确。.
警告: DC01 为 Schema Owner,但不对 DS RPC 绑定作出响应。
[DC01] LDAP 绑定失败,错误为 8341,
出现了一个目录服务错误。.
警告: DC01 为 Schema Owner,但不对 LDAP 绑定作出响应。
警告: DC01 为 Domain Owner,但不对 DS RPC 绑定作出响应。
警告: DC01 为 Domain Owner,但不对 LDAP 绑定作出响应。
警告: DC01 为 PDC Owner,但不对 DS RPC 绑定作出响应。
警告: DC01 为 PDC Owner,但不对 LDAP 绑定作出响应。
警告: DC01 为 Rid Owner,但不对 DS RPC 绑定作出响应。
警告: DC01 为 Rid Owner,但不对 LDAP 绑定作出响应。
警告: DC01 为 Infrastructure Update Owner,但不对 DS RPC 绑定作出响应。
警告: DC01 为 Infrastructure Update Owner,但不对 LDAP 绑定作出响应。
......................... DC02 没有通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
帐户 DC02 不受信任,无法进行委派。该帐户无法复制。
帐户 DC02 不是 DC 帐户。该帐户无法复制。
警告: DC02 的属性 userAccountControl 为:
0x11000 = ( WORKSTATION_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD )
DC 的典型设置为 0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATI
ON )
这可能会影响复制?
......................... DC02 没有通过测试 MachineAccount
开始测试: NCSecDesc
......................... DC02 已通过测试 NCSecDesc
开始测试: NetLogons
......................... DC02 已通过测试 NetLogons
开始测试: ObjectsReplicated
......................... DC02 已通过测试 ObjectsReplicated
开始测试: Replications
[Replications Check,DC02] 最近的复制尝试失败:
从 DC01 到 DC02
命名上下文: DC=ForestDnsZones,DC=nbt,DC=internal
复制生成一个错误(5):
拒绝访问。
失败发生在 2018-08-29 10:57:53。
上次成功发生在 2018-07-26 21:51:51。
自从上次成功已发生 938 次失败。
[Replications Check,DC02] 最近的复制尝试失败:
从 DC01 到 DC02
命名上下文: DC=DomainDnsZones,DC=nbt,DC=internal
复制生成一个错误(5):
拒绝访问。
失败发生在 2018-08-29 10:57:53。
上次成功发生在 2018-07-26 21:51:51。
自从上次成功已发生 938 次失败。
[Replications Check,DC02] 最近的复制尝试失败:
从 DC01 到 DC02
命名上下文: CN=Schema,CN=Configuration,DC=nbt,DC=internal
复制生成一个错误(5):
拒绝访问。
失败发生在 2018-08-29 10:57:53。
上次成功发生在 2018-07-26 21:51:51。
自从上次成功已发生 938 次失败。
[Replications Check,DC02] 最近的复制尝试失败:
从 DC01 到 DC02
命名上下文: CN=Configuration,DC=nbt,DC=internal
复制生成一个错误(5):
拒绝访问。
失败发生在 2018-08-29 10:57:53。
上次成功发生在 2018-07-26 21:51:51。
自从上次成功已发生 938 次失败。
[Replications Check,DC02] 最近的复制尝试失败:
从 DC01 到 DC02
命名上下文: DC=nbt,DC=internal
复制生成一个错误(5):
拒绝访问。
失败发生在 2018-08-29 10:57:53。
上次成功发生在 2018-07-26 21:51:51。
自从上次成功已发生 973 次失败。
......................... DC02 没有通过测试 Replications
开始测试: RidManager
......................... DC02 没有通过测试 RidManager
开始测试: Services
......................... DC02 已通过测试 Services
开始测试: SystemLog
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 10:05:52
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 NBT\DC01$。这表明目标服务器无法解密客户端提供的票证。如果不是在
目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在
服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密
钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为
使用同一密码。如果服务器名称未完全限定,并且目标域(NBT.INTERNAL)与客户端域(NBT.I
NTERNAL)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称
标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 10:18:15
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 ldap/dc01.nbt.internal。这表明目标服务器无法解密客户端提供的票
证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问
题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码
与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上
的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(NBT.INTERNAL)与
客户端域(NBT.INTERNAL)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用
完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 10:31:36
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 E3514235-4B06-11D1-AB04-00C04FC2DCD2/9f91aaba-2ad2-4862-9151-26
ccc552eac4/nbt.internal@nbt.internal。这表明目标服务器无法解密客户端提供的票证。
如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。
请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 K
erberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服
务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(NBT.INTERNAL)与客户
端域(NBT.INTERNAL)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全
限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 10:34:22
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/9f91aaba-2ad2-4862-9151-26ccc552eac4._msdcs.nbt.internal。
这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册
目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SP
N。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,
也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称
未完全限定,并且目标域(NBT.INTERNAL)与客户端域(NBT.INTERNAL)不同,则请检查这两个
域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。
发生了一个警告事件。EventID: 0x000727A5
生成时间: 08/29/2018 10:50:51
事件字符串: WinRM 服务未在侦听 WS-Management 请求。
发生了一个错误事件。EventID: 0x00001659
生成时间: 08/29/2018 10:57:29
事件字符串:
为域 NBT 建立 Windows NT 或 Windows 2000 域控制器 \\dc01.nbt.intern
al 会话失败,因为域控制器没有计算机 DC02 需要用来 建立此会话的帐户 DC02$。
发生了一个警告事件。EventID: 0x000727AA
生成时间: 08/29/2018 10:57:32
事件字符串: WinRM 服务无法创建以下 SPN: WSMAN/dc02.nbt.internal; WSM
AN/dc02。
发生了一个错误事件。EventID: 0x0000106A
生成时间: 08/29/2018 10:57:32
事件字符串:
无法更新 Isatap 接口 isatap.{237821E6-0394-4EB8-8523-4D04E8CF8EEE}
上的 IP 地址。更新类型: 1。错误代码: 0x490。
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 10:57:54
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 ldap/dc01.nbt.internal。这表明目标服务器无法解密客户端提供的票
证。如果不是在目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问
题。请确保仅在服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码
与 Kerberos 密钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上
的服务均配置为使用同一密码。如果服务器名称未完全限定,并且目标域(NBT.INTERNAL)与
客户端域(NBT.INTERNAL)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用
完全限定的名称标识服务器。
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 10:58:02
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 NBT\DC01$。这表明目标服务器无法解密客户端提供的票证。如果不是在
目标服务正在使用的帐户上注册目标服务器主体名称(SPN),则会出现该问题。请确保仅在
服务器使用的帐户上注册目标 SPN。如果目标服务使用的目标服务帐户密码与 Kerberos 密
钥发行中心上配置的密码不同,也会出现该问题。请确保服务器和 KDC 上的服务均配置为
使用同一密码。如果服务器名称未完全限定,并且目标域(NBT.INTERNAL)与客户端域(NBT.I
NTERNAL)不同,则请检查这两个域中是否有相同名称的服务器帐户,或使用完全限定的名称
标识服务器。
发生了一个警告事件。EventID: 0x00001796
生成时间: 08/29/2018 11:00:16
事件字符串:
Microsoft Windows Server 检测到客户端与此服务器之间当前正在使用 NTLM
身份验证。当客户端与此服务器之间第一次使用 NTLM 时,每次启动服务器都会发生此事
件。
发生了一个错误事件。EventID: 0x40000004
生成时间: 08/29/2018 11:00:26
事件字符串:
Kerberos 客户端收到了来自服务器 dc01$ 的 KRB_AP_ERR_MODIFIED 错误。
使用的目标名称为 LDAP/9f91aaba-2ad2-4862-9151-26ccc552eac4._msdcs.nbt.internal。
这表明目标服务器无法解密客户端提供的票证。如果不是在目标服务正在使用的帐户上注册
目标服务器主体名称(SPN),则会出现该问题。请确保仅在服务器使用的帐户上注册目标 SP
N。如果目标服务使用的目标服务帐户密码与 Kerberos 密钥发行中心上配置的密码不同,
也会出现该问题。请确保服务器和 KDC 上的服务均配置为使用同一密码。如果服务器名称
未完全限定,并且目标域(NBT.INTERNAL)与客户端域(NBT.INTERNAL)不同,则请检查这两个
域中是否有相同名称的服务器帐户,或使用完全限定的名称标识服务器。
......................... DC02 没有通过测试 SystemLog
开始测试: VerifyReferences
......................... DC02 已通过测试 VerifyReferences
正在 ForestDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ForestDnsZones 已通过测试 CrossRefValidation
正在 DomainDnsZones
上运行分区测试
开始测试: CheckSDRefDom
......................... DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... DomainDnsZones 已通过测试 CrossRefValidation
正在 Schema
上运行分区测试
开始测试: CheckSDRefDom
......................... Schema 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Schema 已通过测试 CrossRefValidation
正在 Configuration
上运行分区测试
开始测试: CheckSDRefDom
......................... Configuration 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Configuration 已通过测试 CrossRefValidation
正在 nbt
上运行分区测试
开始测试: CheckSDRefDom
......................... nbt 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... nbt 已通过测试 CrossRefValidation
正在 nbt.internal
上运行企业测试
开始测试: LocatorCheck
......................... nbt.internal 已通过测试 LocatorCheck
开始测试: Intersite