%20%D0%BD%D0%B0%20%D0%B4%D1%80%D1%83%D0%B3%D0%BE%D0%BC%20%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B5%20%D0%BA%D0%B0%D1%82%D0%B0%D0%BB%D0%BE%D0%B3%D0%BE%D0%B2%2C%20%D0%BF%D0%BE%D1%81%D0%BA%D0%BE%D0%BB%D1%8C%D0%BA%D1%83%20%D1%82%D1%80%D0%B5%D0%B1%D1%83%D0%B5%D0%BC%D1%8B%D0%B9%20(SPN)%20f.png)
Недавно я добавил Windows Serevr 2019 DC в свой домен, в котором уже есть три DC на двух сайтах. Три существующих DC — это Server 2012 R2, а уровни Domain и Forest — 2008 R2. Новый DC — это сайт, отличный от основного DC
Когда я запускаю dcdiag /v на основном DC, я вижу следующую ошибку в выводе:
Active Directory Domain Services did not perform an authenticated remote procedure call (RPC) to another directory server because the desired service principal name (SPN) for the destination directory server is not registered on the Key Distribution Center (KDC) domain controller that resolves the SPN.
Destination directory server:
5BF411A7-E02F-419D-9B7E-FF82B1054046._msdcs.my_domain.local
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/5BF411A7-E02F-419D-9B7E-FF82B1054046/my_domain.local@my_domain.local
User Action
Verify that the names of the destination directory server and domain are correct. Also, verify that the SPN is registered on the KDC domain controller. If the destination directory server has been recently promoted, it will be necessary for the local directory server's account data to replicate to the KDC before this directory server can be authenticated.
Когда я запускаю repadmin /sowrelp на основном DC, я получаю следующее относительно нового DC:
Source: site2\new_dc
******* 1 CONSECUTIVE FAILURES since 2023-08-31 15:45:49
Last error: 1396 (0x574):
The target account name is incorrect.
Naming Context: CN=Configuration,DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Naming Context: DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Naming Context: DC=DomainDnsZones,DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Naming Context: DC=ForestDnsZones,DC=my_domain,DC=local
Source: site2\new_dc
******* WARNING: KCC could not add this REPLICA LINK due to error.
Я попытался добавить SPN, выполнив следующую команду на основном DC
C:\Windows\system32>setspn -a E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bf411a7-e02f-419d-9b7e-ff82b1054046/new_dc.my_domain.local@my_domain.local new_dc
И он вернул следующее
Checking domain DC=my_domain,DC=local
Registering ServicePrincipalNames for CN=new_dc,OU=Domain Controllers,DC=my_domain,DC=local
E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bf411a7-e02f-419d-9b7e-ff82b1054046/new_dc.my_domain.local@my_domain.local
Updated object
Однако когда я снова запустил repadmin /showrepl и dcdiag /v на основном DC, я получил те же ошибки, что и раньше.
При запуске setspn -l new_dcна основном DC я получил следующее
C:\Windows\system32>setspn -l new_dc
Registered ServicePrincipalNames for CN=new_dc,OU=Domain Controllers,DC=my_domain,DC=local:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/5bf411a7-e02f-419d-9b7e-ff82b1054046/new_dc.my_domain.local@my_domain.local
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/new_dc.my_domain.local
WSMAN/new_dc
WSMAN/new_dc.my_domain.local
TERMSRV/new_dc
TERMSRV/new_dc.my_domain.local
RestrictedKrbHost/new_dc
HOST/new_dc
RestrictedKrbHost/new_dc.my_domain.local
HOST/new_dc.my_domain.local
Когда я запускаю ту же команду на основном DC и ссылаюсь на другой DC (Server 2012 R2) на том же сайте, что и мой новый DC, я получаю гораздо больше информации, например:
C:\Windows\system32>setspn -l other_dc
Registered ServicePrincipalNames for CN=other_dc,OU=Domain Controllers,DC=my_domain,DC=local:
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/other_dc.my_domain.local
exchangeAB/other_dc.my_domain.local
GC/other_dc.my_domain.local/my_domain.local
HOST/other_dc.my_domain.local/my_domain
HOST/other_dc/my_domain
RPC/0933d3c4-faa2-41ee-bca2-618d2295b503._msdcs.my_domain.local
DNS/other_dc.my_domain.local
exchangeAB/other_dc
HOST/other_dc.my_domain.local/my_domain.local
ldap/0933d3c4-faa2-41ee-bca2-618d2295b503._msdcs.my_domain.local
ldap/other_dc/my_domain
ldap/other_dc.my_domain.local/my_domain.local
ldap/other_dc.my_domain.local/ForestDnsZones.my_domain.local
ldap/other_dc.my_domain.local/DomainDnsZones.my_domain.local
ldap/other_dc.my_domain.local
ldap/other_dc
ldap/other_dc.my_domain.local/my_domain
E3514235-4B06-11D1-AB04-00C04FC2DCD2/0933d3c4-faa2-41ee-bca2-618d2295b503/my_domain.local
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/other_dc.my_domain.local
WSMAN/other_dc.my_domain.local
WSMAN/other_dc
TERMSRV/other_dc
TERMSRV/other_dc.my_domain.local
RestrictedKrbHost/other_dc
HOST/other_dc
RestrictedKrbHost/other_dc.my_domain.local
HOST/other_dc.my_domain.local
Также почему в setspn -l для другого DC гораздо больше подробностей, а не для моего нового DC? Почему все ссылки ldap отсутствуют в выводе setspn -l для нового DC?
И почему я получаю ошибки репликации и dcdiag?
Спасибо заранее POR