%20f%20%EB%95%8C%EB%AC%B8%EC%97%90%20%EB%8B%A4%EB%A5%B8%20%EB%94%94%EB%A0%89%ED%84%B0%EB%A6%AC%20%EC%84%9C%EB%B2%84%EC%97%90%20%EB%8C%80%ED%95%B4%20%EC%9D%B8%EC%A6%9D%EB%90%9C%20RPC(%EC%9B%90%EA%B2%A9%20%ED%94%84%EB%A1%9C%EC%8B%9C%EC%A0%80%20%ED%98%B8%EC%B6%9C)%EB%A5%BC%20%EC%88%98%ED%96%89%ED%95%98%EC%A7%80%20%EC%95%8A%EC%95%98%EC%8A%B5%EB%8B%88%EB%8B%A4..png)
최근에 두 사이트에 이미 세 개의 DC가 있는 내 도메인에 Windows Serevr 2019 DC를 추가했습니다. 세 가지 기존 DC는 Server 2012 R2이고 도메인 및 포리스트 수준은 2008 R2입니다. 새 DC는 기본 DC와 다른 사이트입니다.
기본 DC에서 dcdiag /v를 실행하면 출력에 다음 오류가 표시됩니다.
Active Directory Domain Services did not perform an authenticated remote procedure call (RPC) to another directory server because the desired service principal name (SPN) for the destination directory server is not registered on the Key Distribution Center (KDC) domain controller that resolves the SPN.
Destination directory server:
5BF411A7-E02F-419D-9B7E-FF82B1054046._msdcs.my_domain.local
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/5BF411A7-E02F-419D-9B7E-FF82B1054046/my_domain.local@my_domain.local
User Action
Verify that the names of the destination directory server and domain are correct. Also, verify that the SPN is registered on the KDC domain controller. If the destination directory server has been recently promoted, it will be necessary for the local directory server's account data to replicate to the KDC before this directory server can be authenticated.
기본 DC에서 repadmin /sowrelp를 실행하면 새 DC와 관련하여 다음이 표시됩니다.
Source: site2\new_dc
******* 1 CONSECUTIVE FAILURES since 2023-08-31 15:45:49
Last error: 1396 (0x574):
The target account name is incorrect.
Naming Context: CN=Configuration,DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Naming Context: DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Naming Context: DC=DomainDnsZones,DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Naming Context: DC=ForestDnsZones,DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
기본 DC에서 다음 명령을 실행하여 SPN을 추가하려고 했습니다.
C:\Windows\system32>setspn -a E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bf411a7-e02f-419d-9b7e-ff82b1054046/new_dc.my_domain.local@my_domain.local new_dc
그리고 다음을 반환했습니다.
Checking domain DC=my_domain,DC=local
Registering ServicePrincipalNames for CN=new_dc,OU=Domain Controllers,DC=my_domain,DC=local
E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bf411a7-e02f-419d-9b7e-ff82b1054046/new_dc.my_domain.local@my_domain.local
Updated object
그러나 기본 DC에서 repadmin /showrepl 및 dcdiag /v를 다시 실행하면 이전과 동일한 오류가 발생합니다.
setspn -l new_dc기본 DC에서 실행했을 때 다음을 얻었습니다.
C:\Windows\system32>setspn -l new_dc
Registered ServicePrincipalNames for CN=new_dc,OU=Domain Controllers,DC=my_domain,DC=local:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bf411a7-e02f-419d-9b7e-ff82b1054046/new_dc.my_domain.local@my_domain.local
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/new_dc.my_domain.local
WSMAN/new_dc
WSMAN/new_dc.my_domain.local
TERMSRV/new_dc
TERMSRV/new_dc.my_domain.local
RestrictedKrbHost/new_dc
HOST/new_dc
RestrictedKrbHost/new_dc.my_domain.local
HOST/new_dc.my_domain.local
기본 DC에서 동일한 명령을 실행하고 새 DC와 동일한 사이트에서 다른 DC(Server 2012 R2)를 참조하면 훨씬 더 많은 정보를 얻을 수 있습니다. 예를 들어
C:\Windows\system32>setspn -l other_dc
Registered ServicePrincipalNames for CN=other_dc,OU=Domain Controllers,DC=my_domain,DC=local:
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/other_dc.my_domain.local
exchangeAB/other_dc.my_domain.local
GC/other_dc.my_domain.local/my_domain.local
HOST/other_dc.my_domain.local/my_domain
HOST/other_dc/my_domain
RPC/0933d3c4-faa2-41ee-bca2-618d2295b503._msdcs.my_domain.local
DNS/other_dc.my_domain.local
exchangeAB/other_dc
HOST/other_dc.my_domain.local/my_domain.local
ldap/0933d3c4-faa2-41ee-bca2-618d2295b503._msdcs.my_domain.local
ldap/other_dc/my_domain
ldap/other_dc.my_domain.local/my_domain.local
ldap/other_dc.my_domain.local/ForestDnsZones.my_domain.local
ldap/other_dc.my_domain.local/DomainDnsZones.my_domain.local
ldap/other_dc.my_domain.local
ldap/other_dc
ldap/other_dc.my_domain.local/my_domain
E3514235-4B06-11D1-AB04-00C04FC2DCD2/0933d3c4-faa2-41ee-bca2-618d2295b503/my_domain.local
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/other_dc.my_domain.local
WSMAN/other_dc.my_domain.local
WSMAN/other_dc
TERMSRV/other_dc
TERMSRV/other_dc.my_domain.local
RestrictedKrbHost/other_dc
HOST/other_dc
RestrictedKrbHost/other_dc.my_domain.local
HOST/other_dc.my_domain.local
또한 새 DC가 아닌 다른 DC에 대한 setspn -l에 훨씬 더 자세한 정보가 있는 이유는 무엇입니까? 새 DC에 대한 setspn -l 출력에서 모든 ldap 참조가 누락되는 이유는 무엇입니까?
그리고 복제 및 dcdiag 오류가 발생하는 이유는 무엇입니까?
미리 감사드립니다.