Поделиться через

Служба KDC в RODC не может запускаться и создает ошибку 1450

В этой статье устранена проблема, из-за которой служба KDC на контроллере домена только для чтения (RODC) не запускается, и вы получаете сообщение об ошибке, которое ссылается на недостаточные системные ресурсы.

Область применения: Windows Server 2016

Симптомы

Служба Центра распространения ключей Kerberos (KDC) не запускается на контроллере домена только для чтения (RODC), а служба создает следующее сообщение об ошибке:

Windows не удалось запустить службу Центра распространения ключей Kerberos на локальном компьютере. Ошибка 1450: недостаточно системных ресурсов для завершения запрошенной службы.

Если вы используете команду, например repadmin /replication для активации входящего репликации в RODC из исходного контроллера домена, команда завершается ошибкой и создает следующее сообщение об ошибке:

Сбой DsReplicaSync() с состоянием 6 (0x6):
Дескриптор недействителен.

Причина

Учетная запись krbtgt_##### для RODC была удалена.

Каждая учетная запись RODC имеет собственную учетную запись krbtgt_##### в Active Directory. В имени ##### учетной записи представляет номер, определяющий RODC. RodC использует эту учетную запись для обеспечения криптографической изоляции для проблем с билетами. Как правило, вам не нужно взаимодействовать с учетными записями krbtgt_##### . При повышении или понижении уровня rodC Windows автоматически управляет учетными записями. Однако если родК завершается ошибкой и метаданные не очищаются, в Active Directory может остаться учетная запись krbtgt_"#####, krbtgt_.

Если администратор пытается вручную очистить учетные записи потерянных учетных записей, может возникнуть проблема, описанная в разделе "Симптомы". Эта проблема обычно означает, что учетная запись без##### krbtgt_ была удалена вместо учетной записи-сироты.

Сведения о том, как определить потерянные учетные записи krbtgt_#####, см. в статье MailBag: RODCs — krbtgt_#####, сироты и объекты подключения RODC для балансировки нагрузки.

Разрешение

Процедура, используемая для устранения этой проблемы, зависит от того, включена ли функция корзины AD в Active Directory. Выберите один из следующих методов:

Метод восстановления 1 (функция корзины AD не включена)

Если функция корзины AD не включена, выполните следующие действия на контроллере домена с возможностью записи (RWDC) или на сервере глобального каталога (GC).

  1. Перезапустите сервер. Во время запуска нажмите клавишу F8 и выберите режим восстановления служб каталогов.

  2. Используйте резервную копию состояния системы до удаления учетной записи для восстановления состояния системы сервера. Эта операция возвращает учетную запись локальной копии Active Directory на сервере.

  3. Откройте окно командной строки с повышенными привилегиями и используйте средство ntdsutil для выполнения авторитетного восстановления учетной записи. Эта операция гарантирует, что восстановленная учетная запись может реплицироваться на другие контроллеры домена.

    Например, чтобы восстановить учетную запись с именем krbtgt_23530, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

    ntdsutil restore object "CN=krbtgt_23530,CN=Users,DC=EMEA,DC=Contoso,DC=com"

    Примечание.

    Авторитетная операция восстановления создает файл формата обмена данными LDAP (LDIF), содержащий сведения из восстановленной учетной записи. Этот файл понадобится на последующих шагах.

  4. Перезапустите сервер, чтобы вернуться в обычный режим Active Directory.

  5. Заполните атрибуты обратной связи для восстановленной учетной записи, импортируя файл LDIF, созданный на предыдущем шаге. Для этого выполните в командной строке следующую команду:

    ldifde -i -f <filename>.ldf

    В этой команде <имя> файла — это имя файла и путь к созданному ранее файлу LDIF. Эта операция связывает объект компьютера RODC в Active Directory с соответствующей учетной записью.

После выполнения этих действий может потребоваться сбросить пароль учетной записи компьютера RODC (также известной как "учетная запись компьютера"). Для этого выполните действия, описанные в разделе "Использование Netdom.exe для сброса паролей учетной записи компьютера контроллера домена Windows Server".

Метод восстановления 2 (включена функция корзины AD)

Если включена функция корзины AD, выполните следующие действия.

  1. В RWDC или GC в окне командной строки с повышенными привилегиями выполните следующие команды, чтобы восстановить учетную запись:

    import-module ActiveDirectory
Get-ADObject -Filter {displayName -eq "krbtgt_<xxxxx>"} -IncludeDeletedObjects | Restore-ADObject

    Во второй команде <xxxxx> — это номер идентификатора RODC.

  2. В затронутом rodC откройте окно командной строки с повышенными привилегиями, а затем выполните следующую команду, чтобы реплицировать сведения учетной записи в RODC:

    repadmin /replsingleobj <RODC_Name> <RWDC_Name> <DN>

    Эта команда содержит следующие заполнители:

    • <> RODC_Name представляет имя сервера RODC
    • <> RWDC_Name представляет RWDC, на котором восстановлена учетная запись.
    • <DN> представляет различающееся имя учетной записи RODC (krbgt_xxxxx)

  3. Снимите кэш Kerberos RODC, выполнив следующие команды:

    klist purge
klist -li 0x3e7 purge

  4. Сброс пароля учетной записи компьютера RODC (также известной как "учетная запись компьютера"), выполнив следующую команду:

    netdom resetpwd /server: <RWDC_Name> /USERD: administrator /PasswordD:*

    В этой команде <RWDC_Name> представляет имя сервера RWDC.

    Примечание.

    Эта команда задает пароль учетной записи администратора.

  5. Перезапустите RODC.

Ссылки