Udostępnij za pośrednictwem


Usługa KDC na kontrolerze RODC nie może uruchomić się i generuje błąd 1450

W tym artykule rozwiązano problem polegający na tym, że usługa KDC na kontrolerze domeny tylko do odczytu (RODC) nie może zostać uruchomiona i zostanie wyświetlony komunikat o błędzie odwołujący się do niewystarczających zasobów systemowych.

Dotyczy: Windows Server 2016

Objawy

Usługa Centrum dystrybucji kluczy Kerberos (KDC) nie uruchamia się na kontrolerze domeny tylko do odczytu (RODC), a usługa generuje następujący komunikat o błędzie:

System Windows nie może uruchomić usługi Centrum dystrybucji kluczy Kerberos na komputerze lokalnym. Błąd 1450: Brak wystarczających zasobów systemowych do ukończenia żądanej usługi.

Jeśli używasz polecenia takiego jak repadmin /replication do wyzwalania replikacji przychodzącej do kontrolera RODC ze źródłowego kontrolera domeny, polecenie kończy się niepowodzeniem i generuje następujący komunikat o błędzie:

Rozszerzenie DsReplicaSync() nie powiodło się ze stanem 6 (0x6):
Uchwyt jest nieprawidłowy.

Przyczyna

Konto krbtgt_##### kontrolera RODC zostało usunięte.

Każdy kontroler RODC ma własne konto krbtgt_##### w usłudze Active Directory. W nazwie ##### konta reprezentuje liczbę identyfikującą kontroler RODC. Kontroler RODC używa tego konta do zapewnienia izolacji kryptograficznych dla biletów, które wystawia. Zazwyczaj nie trzeba wchodzić w interakcje z kontami krbtgt_##### . Po podwyższeniu lub obniżeniu poziomu kontrolera RODC system Windows automatycznie zarządza kontami. Jeśli jednak kontroler RODC ulegnie awarii i metadane nie są czyszczone, konto "oddzielone" krbtgt_##### może pozostać w usłudze Active Directory.

Jeśli administrator spróbuje ręcznie wyczyścić konta oddzielone, może wystąpić problem wymieniony w sekcji "Objawy". Ten problem zazwyczaj oznacza, że konto inne niż oddzielone krbtgt_##### zostało usunięte zamiast konta oddzielonego.

Aby uzyskać informacje na temat identyfikowania kont oddzielonych krbtgt_##### , zobacz MailBag: RODCs — krbtgt_#####, oddzielone i obiekty połączeń kontrolera RODC równoważenia obciążenia.

Rozwiązanie

Procedura używana do rozwiązania tego problemu zależy od tego, czy włączono funkcję Kosza usługi AD w usłudze Active Directory. Wybierz jedną z poniższych metod:

Metoda odzyskiwania 1 (funkcja Kosza usługi AD nie jest włączona)

Jeśli funkcja Kosza usługi AD nie została włączona, wykonaj następujące kroki na zapisywalnym kontrolerze domeny (RWDC) lub serwerze wykazu globalnego (GC).

  1. Uruchom ponownie serwer. Podczas procesu uruchamiania naciśnij F8, a następnie wybierz pozycję Tryb przywracania usług katalogowych.

  2. Użyj kopii zapasowej stanu systemu przed usunięciem konta, aby przywrócić stan systemu serwera. Ta operacja zwraca konto do lokalnej kopii usługi Active Directory na serwerze.

  3. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i użyj narzędzia ntdsutil, aby wykonać autorytatywne przywracanie konta. Ta operacja zapewnia, że przywrócone konto może być replikowane do innych kontrolerów domeny.

    Aby na przykład przywrócić konto o nazwie krbtgt_23530, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

    ntdsutil restore object "CN=krbtgt_23530,CN=Users,DC=EMEA,DC=Contoso,DC=com"
    

    Uwaga

    Autorytatywna operacja przywracania tworzy plik LDIF (LDAP Data Interchange Format), który zawiera informacje z przywróconego konta. Ten plik będzie potrzebny w kolejnych krokach.

  4. Uruchom ponownie serwer, aby powrócić do normalnego trybu usługi Active Directory.

  5. Wypełnij atrybuty linku wstecznego dla przywróconego konta, importując plik LDIF utworzony w poprzednim kroku. W tym celu uruchom następujące polecenie w wierszu polecenia:

    ldifde -i -f <filename>.ldf
    

    W tym poleceniu <nazwa pliku> to nazwa i ścieżka pliku LDIF, który został utworzony wcześniej. Ta operacja łączy obiekt komputera kontrolera RODC w usłudze Active Directory z odpowiednim kontem.

Po wykonaniu tych kroków może być konieczne zresetowanie hasła konta komputera kontrolera RODC (nazywanego również "kontem komputera"). W tym celu wykonaj kroki opisane w temacie Używanie Netdom.exe do resetowania haseł konta komputera kontrolera domeny systemu Windows Server.

Metoda odzyskiwania 2 (włączono funkcję Kosza usługi AD)

Jeśli funkcja Kosza usługi AD jest włączona, wykonaj następujące kroki.

  1. W oknie wiersza polecenia z podwyższonym poziomem uprawnień w rwDC lub GC uruchom następujące polecenia, aby przywrócić konto:

    import-module ActiveDirectory
    Get-ADObject -Filter {displayName -eq "krbtgt_<xxxxx>"} -IncludeDeletedObjects | Restore-ADObject
    

    W drugim poleceniu <xxxxx> jest identyfikatorem kontrolera RODC.

  2. Na kontrolerze RODC, którego dotyczy problem, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zreplikować informacje o koncie do kontrolera RODC:

    repadmin /replsingleobj <RODC_Name> <RWDC_Name> <DN>
    

    To polecenie zawiera następujące symbole zastępcze:

    • <> RODC_Name reprezentuje nazwę serwera kontrolera RODC
    • <> RWDC_Name reprezentuje RWDC, na którym przywrócono konto
    • <Nazwa wyróżniająca> reprezentuje nazwę wyróżniającą konta kontrolera RODC (krbgt_xxxxx)
  3. Wyczyść pamięć podręczną Kerberos kontrolera RODC, uruchamiając następujące polecenia:

    klist purge
    klist -li 0x3e7 purge
    
  4. Zresetuj hasło konta komputera kontrolera RODC (znane również jako "konto komputera"), uruchamiając następujące polecenie:

    netdom resetpwd /server: <RWDC_Name> /USERD: administrator /PasswordD:*
    

    W tym poleceniu <RWDC_Name> reprezentuje nazwę serwera RWDC.

    Uwaga

    To polecenie wyświetla monit o podanie hasła konta administratora.

  5. Uruchom ponownie kontroler RODC.

Dokumentacja