Il servizio KDC in un controller di dominio di sola lettura non può essere avviato e genera l'errore 1450

Questo articolo risolve un problema in cui il servizio KDC in un controller di dominio di sola lettura (RODC) non può essere avviato e viene visualizzato un messaggio di errore che fa riferimento a risorse di sistema insufficienti.

Si applica a: Windows Server 2016

Sintomi

Il servizio Kerberos Key Distribution Center (KDC) non viene avviato in un controller di dominio di sola lettura e il servizio genera il messaggio di errore seguente:

Windows non è riuscito ad avviare il servizio Centro distribuzione chiavi Kerberos nel computer locale. Errore 1450: esistono risorse di sistema insufficienti per completare il servizio richiesto.

Se si usa un comando come repadmin /replicate per attivare la replica in ingresso nel controller di dominio di sola lettura da un controller di dominio di origine, il comando ha esito negativo e genera il messaggio di errore seguente:

DsReplicaSync() non riuscito con stato 6 (0x6):
Handle non valido.

Causa

L'account krbtgt_##### per il controller di dominio di sola lettura è stato rimosso.

Ogni controller di dominio di sola lettura ha un proprio account krbtgt_##### in Active Directory. Nel nome ##### dell'account rappresenta un numero che identifica il controller di dominio di sola lettura. Il controller di dominio di sola lettura usa questo account per fornire l'isolamento crittografico per i ticket che emette. In genere, non è necessario interagire con gli account krbtgt_##### . Quando si alza di livello o si abbassa di livello un controller di dominio di sola lettura, Windows gestisce automaticamente gli account. Tuttavia, se un controller di dominio di sola lettura ha esito negativo e i metadati non vengono puliti, un account di krbtgt_##### "orfano" potrebbe rimanere in Active Directory.

Se un amministratore tenta di pulire manualmente gli account orfani, potrebbe verificarsi il problema indicato nella sezione "Sintomi". Questo problema indica in genere che un account krbtgt_##### non orfano è stato eliminato anziché un account orfano.

Per informazioni su come identificare gli account di krbtgt_##### orfani, vedere MailBag: rodcs - krbtgt_#####, orfani e oggetti di connessione del controller di dominio di sola lettura.

Risoluzione

La procedura usata per risolvere questo problema dipende dal fatto che sia stata abilitata la funzionalità Cestino di Active Directory. Seleziona uno dei seguenti metodi:

• Metodo di ripristino 1 (funzionalità Cestino di Active Directory non abilitata)
• Metodo di ripristino 2 (funzionalità Cestino di Active Directory abilitata)

Metodo di ripristino 1 (funzionalità Cestino di Active Directory non abilitata)

Se la funzionalità Cestino di Active Directory non è stata abilitata, seguire questa procedura in un controller di dominio scrivibile (RWDC) o in un server di catalogo globale (GC).

1. Riavviare il server. Durante il processo di avvio premere F8 e quindi selezionare Modalità di ripristino dei servizi directory.

2. Usare un backup dello stato del sistema prima che l'account sia stato rimosso per ripristinare lo stato del sistema del server. Questa operazione restituisce l'account alla copia locale di Active Directory nel server.

3. Aprire una finestra del prompt dei comandi con privilegi elevati e usare lo strumento ntdsutil per eseguire un ripristino autorevole dell'account. Questa operazione assicura che l'account ripristinato possa essere replicato negli altri controller di dominio.

   Ad esempio, per ripristinare un account con il nome krbtgt_23530, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

   ntdsutil restore object "CN=krbtgt_23530,CN=Users,DC=EMEA,DC=Contoso,DC=com"
   

   Nota

   L'operazione di ripristino autorevole crea un file LDIF (LDAP Data Interchange Format) che contiene informazioni dall'account ripristinato. Questo file sarà necessario nei passaggi successivi.

4. Riavviare il server per tornare alla normale modalità Active Directory.

5. Popolare gli attributi di backlink per l'account ripristinato importando il file LDIF creato nel passaggio precedente. Per effettuare questa operazione, eseguire il seguente comando dal prompt di comandi:

   ldifde -i -f <filename>.ldf
   

   In questo comando il <nome file> è il nome e il percorso del file LDIF creato in precedenza. Questa operazione collega l'oggetto computer controller di dominio di sola lettura in Active Directory all'account corrispondente.

Dopo aver completato questi passaggi, potrebbe essere necessario reimpostare la password dell'account computer del controller di dominio di sola lettura (noto anche come "account computer"). A tale scopo, seguire la procedura descritta in Usare Netdom.exe per reimpostare le password dell'account computer di un controller di dominio di Windows Server.

Metodo di ripristino 2 (funzionalità Cestino di Active Directory abilitata)

Se la funzionalità Cestino di Active Directory è abilitata, seguire questa procedura.

1. In una finestra del prompt dei comandi con privilegi elevati di RWDC o GC eseguire i comandi seguenti per ripristinare l'account:

   import-module ActiveDirectory
   Get-ADObject -Filter {displayName -eq "krbtgt_<xxxxx>"} -IncludeDeletedObjects | Restore-ADObject
   

   Nel secondo comando xxxxx> è il numero ID del controller di dominio di sola <lettura.

2. Nel controller di dominio di sola lettura interessato aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire il comando seguente per replicare le informazioni sull'account nel controller di dominio di sola lettura:

   repadmin /replsingleobj <RODC_Name> <RWDC_Name> <DN>
   

   Questo comando contiene i segnaposto seguenti:

   • <> RODC_Name rappresenta il nome del server del controller di dominio di sola lettura
   • <> RWDC_Name rappresenta il RWDC in cui è stato ripristinato l'account
   • <DN> rappresenta il nome distinto dell'account del controller di dominio di sola lettura (krbgt_xxxxx)

3. Cancellare la cache Kerberos del controller di dominio di sola lettura eseguendo i comandi seguenti:

   klist purge
   klist -li 0x3e7 purge
   

4. Reimpostare la password dell'account computer controller di dominio di sola lettura (noto anche come "account computer") eseguendo il comando seguente:

   netdom resetpwd /server: <RWDC_Name> /USERD: administrator /PasswordD:*
   

   In questo comando <RWDC_Name> rappresenta il nome del server di RWDC.

   Nota

   Questo comando richiede la password dell'account amministratore.

5. Riavviare il controller di dominio di sola lettura.

Riferimenti

• ripristino autorevole
• Come ripristinare gli account utente eliminati e le relative appartenenze ai gruppi in Active Directory
• klist
• LDIFDE - Esportare/Importare dati da Active Directory - Comandi LDIFDE
• MailBag: controller di dominio di sola lettura - krbtgt_#####, orfani e oggetti di connessione del controller di dominio di sola lettura
• Note sul kvno Kerberos nell'ambiente del controller di dominio di sola lettura di Windows
• Repadmin /replsingleobj
• Repadmin /showobjmeta
• Domande frequenti sul controller di dominio di sola lettura
• Usare Netdom.exe per reimpostare le password dell'account del computer di un controller di dominio di Windows Server