我建立了Azure AD DS,加入了一些Windows 10 PC,并创建了一些安全组和GPO。我正在调查Windows 10系统事件日志中的错误(事件4,安全性-Kerberos。Kerberos客户端从服务器[AADDS-DC-SERVER-NAME $]收到KRB_AP_ERR_Modified错误。使用的目标名称是ldap / FQDN -OF-SERVER/DOMAIN.COM@DOMAIN.COM。这表明目标服务器未能解密客户端提供的票证。当目标服务器主体名称(SPN)被注册到该帐户以外的其他帐户时,可能会发生确保目标SPN仅在服务器使用的帐户上注册。如果目标服务帐户密码与Kerberos密钥分发中心上为该目标服务配置的密码不同,也会发生此错误。确保服务器和KDC上的服务都配置为使用相同的密码如果服务器名称不完全限定,并且目标域(DOMAIN.COM)与客户端域(DOMAIN.COM)不同,请检查如果有相同这两个域中的命名服务器帐户,或者使用完全限定的名称来标识服务器。)我以为我要使用DCDIAG对AADDS域控制器进行快速测试,并且它们表明自昨天以来复制一直失败。结果如下:
开始测试:复制[Replications Check,DC2]最近的复制尝试失败:从DC1到DC2命名上下文:DC = ForestDnsZones,DC = domain,DC = com复制产生错误(1256):远程系统为无法使用。有关网络故障排除的信息,请参阅Windows帮助。该故障发生在2020-01-17 10:48:28。最后一次成功发生在2020-01-16 03:58:53。自上次成功以来,已经发生了34次失败。 [复制检查,DC2]最近的复制尝试失败:从DC1到DC2命名上下文:DC = DomainDnsZones,DC = domain,DC = com复制产生错误(1256):远程系统不可用。有关网络故障排除的信息,请参阅Windows帮助。该故障发生在2020-01-17 10:48:28。最后一次成功发生在2020-01-16 03:58:53。自上次成功以来,已经发生了45次失败。 [复制检查,DC2]最近的复制尝试失败:从DC1到DC2命名上下文:CN = Schema,CN = Configuration,DC = domain,DC = com复制产生错误(-2146893022):目标主体名称不正确。该故障发生在2020-01-17 10:48:28。最后一次成功发生在2020-01-16 03:58:53。自上次成功以来,已发生31次失败。 [复制检查,DC2]最近的复制尝试失败:从DC1到DC2命名上下文:CN = Configuration,DC = domain,DC = com复制产生错误(-2146893022):目标主体名称不正确。该故障发生在2020-01-17 10:48:28。最后一次成功发生在2020-01-16 03:58:53。自上次成功以来,已经发生了33次失败。 [复制检查,DC2]最近的复制尝试失败:从DC1到DC2命名上下文:DC = domain,DC = com复制产生了一个错误(-2146893022):目标主体名称不正确。该故障发生在2020-01-17 11:15:57。最后一次成功发生在2020-01-16 04:54:52。自从上一次成功以来,已经发生了1777次失败。 ......................... DC2测试复制失败
鉴于应该锁定AADDS DC,这是怎么回事?
答案 0 :(得分:0)
通过Azure支持提出了一个案例,他们确认这种情况不会发生,并与后端团队一起提出。问题似乎现在已解决。