Укороченная версия
Контроллер домена был настроен, а затем переведен в автономный режим на время, превышающее лимит захоронения Теперь я не могу заставить его повторить.
Соответствующие сообщения об ошибках
На dc2 (идентичные сообщения об ошибках существуют как для exchange, так и для dc1 ):
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was exchange$@MDOMAIN.LOCAL. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMAIN.LOCAL), and the client realm. Please contact your system administrator.
Другая важная ошибка (событие с кодом 2042):
Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки выполнить репликацию на следующем контроллере домена постоянно терпели неудачу. Количество попыток: 12 Контроллер домена: CN = Настройки NTDS, CN = DC1, CN = Серверы, CN = Основной сайт, CN = Сайты, CN = Конфигурация, DC = Мой домен, DC = Локальный Период времени (минуты): 105103 Объект подключения для этот контроллер домена будет игнорироваться, и будет установлено новое временное соединение для обеспечения продолжения репликации. После возобновления репликации с этим контроллером домена временное соединение будет удалено. Дополнительные данные Значение ошибки: 2148074274 Неверное имя участника назначения.
И Событие ID 1925:
The attempt to establish a replication link for the following writable directory partition failed.
Другие детали
Оба сайта подключены через VPN. На главном сайте у меня есть два контроллера домена (которые мы будем называть exchange и dc1 ). Оба являются Server 2003. Если это имеет значение, dc1 содержит все роли FSMO.
При подготовке к настройке удаленного сайта я настроил контроллер домена с именем dc2 , на котором работал Server 2003 R2, настроил отдельные сайты в AD Sites and Services и настроил репликацию с dc1 на dc2 . У меня даже была правильная подсеть для удаленного сайта, подключив его через маршрутизатор (это было до того, как сайт был подключен к VPN, поэтому никаких конфликтов IP).
Все работало отлично, поэтому я выключился и приготовил его к вывозу. Но вещи задерживались более 2 месяцев, и теперь dc2 не будет реплицироваться должным образом.
Что я пробовал
Удаление роли контроллера домена - завершается неудачно с:
Managing the network session with DC1.mydomain.com failed "Logon Failure: The target account name is incorrect."
Сброс пароля машины с помощью:
Disable and stop KDC service
klist /purge
netdom resetpwd /s:dc1 /ud:domainadmin /pd:domainadminpassword
Reboot
Reenable KDC service
Большинство статей базы знаний, которые я прочитал об исправлении репликации после достижения срока службы захоронения, застряли из-за ошибки «Целевое имя субъекта неверно».