У меня есть Azure AD DS, я присоединился к некоторым Windows 10 P C и создал несколько групп безопасности и объектов групповой политики. Я получаю сообщение об ошибке в системном журнале событий Windows 10 (событие 4, Security-Kerberos. Клиент Kerberos получил ошибку KRB_AP_ERR_Modified от сервера [AADDS-D C -SERVER-NAME $]. Имя цели был использован ldap / FQDN-OF-SERVER / DOMAIN. COM@DOMAIN.COM. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это может произойти, если имя участника целевого сервера (SPN) зарегистрировано в учетной записи, отличной от учетная запись, используемая целевой службой. Убедитесь, что целевое имя участника-службы зарегистрировано только для учетной записи, используемой сервером. Эта ошибка также может произойти, если пароль целевой учетной записи службы отличается от пароля, настроенного в центре распространения ключей Kerberos для этой цели. служба. Убедитесь, что служба на сервере и KD C настроены на использование одного и того же пароля. Если имя сервера не полностью определено, а целевой домен (DOMAIN.COM) отличается от клиентского домена (DOMAIN) .COM), проверьте, есть ли идентичные именованные учетные записи сервера в этих двух доменах или используйте полное имя для идентификации сервера.). Я подумал, что проведу быстрый тест на контроллерах домена AADDS с помощью DCDIAG, и они показывают, что репликации со сбоем со вчерашнего дня. Ниже приведены результаты:
Запуск теста: репликации [Проверка репликаций, DC2] Недавняя попытка репликации не удалась: с DC1 на DC2 Контекст именования: DC = ForestDnsZones, DC = домен, DC = com Репликация сгенерировала ошибку (1256 ): Удаленная система недоступна. Информацию об устранении неполадок в сети см. В справке Windows. Сбой произошел в 2020-01-17 10:48:28. Последний успех произошел в 2020-01-16 03:58:53. 34 неудачи произошли с момента последнего успеха. [Проверка репликации, DC2] Недавняя попытка репликации не удалась: с DC1 на DC2 Контекст именования: DC = DomainDnsZones, DC = домен, DC = com При репликации возникла ошибка (1256): удаленная система недоступна. Информацию об устранении неполадок в сети см. В справке Windows. Сбой произошел в 2020-01-17 10:48:28. Последний успех произошел в 2020-01-16 03:58:53. 45 неудач произошло с момента последнего успеха. [Проверка репликации, DC2] Недавняя попытка репликации не удалась: от DC1 до DC2 Контекст именования: CN = схема, CN = конфигурация, DC = домен, DC = com При репликации возникла ошибка (-2146893022): неверное имя целевого участника , Сбой произошел в 2020-01-17 10:48:28. Последний успех произошел в 2020-01-16 03:58:53. 31 неудачи произошли с момента последнего успеха. [Проверка репликаций, DC2] Недавняя попытка репликации не удалась: с DC1 на DC2 Контекст именования: CN = Конфигурация, DC = домен, DC = com При репликации возникла ошибка (-2146893022): неверное имя целевого участника. Сбой произошел в 2020-01-17 10:48:28. Последний успех произошел в 2020-01-16 03:58:53. 33 неудачи произошли с момента последнего успеха. [Проверка репликации, DC2] Недавняя попытка репликации не удалась: с DC1 на DC2 Контекст именования: DC = домен, DC = com При репликации возникла ошибка (-2146893022): неверное имя целевого участника. Сбой произошел в 2020-01-17 11:15:57. Последний успех произошел в 2020-01-16 04:54:52. 1777 неудач произошло с момента последнего успеха. ......................... DC2 не прошел тест Репликации
Учитывая, что AADDS D C должны быть заблокированы вниз, как это происходит?