RODC'de KDC hizmeti başlatılamıyor ve hata 1450 oluşturuyor

Bu makale, salt okunur bir etki alanı denetleyicisindeki (RODC) KDC hizmetinin başlatılamaması ve yetersiz sistem kaynaklarına başvuran bir hata iletisi almanız sorununu giderir.

Şunlar için geçerlidir: Windows Server 2016

Belirtiler

Kerberos Anahtar Dağıtım Merkezi (KDC) hizmeti salt okunur bir etki alanı denetleyicisinde (RODC) başlatılmaz ve hizmet aşağıdaki hata iletisini oluşturur:

Windows, Yerel Bilgisayarda Kerberos Anahtar Dağıtım Merkezi hizmetini başlatamadı. Hata 1450: İstenen hizmeti tamamlamak için sistem kaynakları yetersiz.

Kaynak etki alanı denetleyicisinden RODC'ye gelen çoğaltmayı tetikleme amacıyla repadmin /replicate gibi bir komut kullanırsanız, komut başarısız olur ve aşağıdaki hata iletisini oluşturur:

DsReplicaSync() 6 (0x6) durumuyla başarısız oldu:
Tanıtıcı geçersiz.

Neden

RODC için krbtgt_##### hesabı kaldırıldı.

Her RODC'nin Active Directory'de kendi krbtgt_##### hesabı vardır. Hesap adında, ##### RODC'yi tanımlayan bir sayıyı temsil eder. RODC, bu hesabı, çıkarmış olduğu biletler için şifreleme yalıtımı sağlamak için kullanır. Genellikle krbtgt_##### hesaplarıyla etkileşim kurmanız gerekmez. Bir RODC'yi yükselttiğiniz veya indirgediğiniz zaman, Windows hesapları otomatik olarak yönetir. Ancak, rodc başarısız olursa ve meta veriler temizlenmezse, "yalnız bırakılmış" bir krbtgt_##### hesabı Active Directory'de kalabilir.

Yönetici yalnız bırakılmış hesapları el ile temizlemeye çalışırsa, "Belirtiler" bölümünde belirtilen sorun oluşabilir. Bu sorun genellikle yalnız bırakılmış hesap yerine yalnız bırakılmış olmayan bir krbtgt_##### hesabının silindiği anlamına gelir.

Yalnız bırakılmış krbtgt_##### hesaplarını tanımlama hakkında bilgi için bkz. MailBag: RODCs – krbtgt_#####, Yalnız Bırakılmışlar ve Yük Dengeleme RODC Bağlantı Nesneleri.

Çözüm

Bu sorunu çözmek için kullandığınız yordam, Active Directory'de AD Geri Dönüşüm Kutusu özelliğini etkinleştirip etkinleştirmediğinize bağlıdır. Aşağıdaki seçeneklerden birini belirleyin:

• Kurtarma Yöntemi 1 (AD Geri Dönüşüm Kutusu özelliği etkinleştirilmedi)
• Kurtarma Yöntemi 2 (AD Geri Dönüşüm Kutusu özelliği etkin)

Kurtarma Yöntemi 1 (AD Geri Dönüşüm Kutusu özelliği etkinleştirilmedi)

AD Geri Dönüşüm Kutusu özelliği etkinleştirilmediyse, yazılabilir bir etki alanı denetleyicisinde (RWDC) veya genel katalog sunucusunda (GC) bu adımları izleyin.

1. Sunucuyu yeniden başlatın. Başlangıç işlemi sırasında F8 tuşuna basın ve ardından Dizin Hizmetleri Geri Yükleme Modu'nu seçin.

2. Sunucunun sistem durumunu geri yüklemek için hesap kaldırılmadan önceki sistem durumu yedeklemesini kullanın. Bu işlem, hesabı sunucudaki Active Directory'nin yerel kopyasına döndürür.

3. Yükseltilmiş bir Komut İstemi penceresi açın ve ntdsutil aracını kullanarak hesabın yetkili geri yüklemesini yapın. Bu işlem, geri yüklenen hesabın diğer etki alanı denetleyicilerine çoğaltabilmesini sağlar.

   Örneğin, adı krbtgt_23530 olan bir hesabı geri yüklemek için yükseltilmiş bir Komut İstemi penceresi açar ve aşağıdaki komutu çalıştırırsınız:

   ntdsutil restore object "CN=krbtgt_23530,CN=Users,DC=EMEA,DC=Contoso,DC=com"
   

   Not

   Yetkili geri yükleme işlemi, geri yüklenen hesaptan bilgi içeren bir LDAP Veri Değişim Biçimi (LDIF) dosyası oluşturur. Sonraki adımlarda bu dosyaya ihtiyacınız olacaktır.

4. Normal Active Directory moduna dönmek için sunucuyu yeniden başlatın.

5. Önceki adımda oluşturulan LDIF dosyasını içeri aktararak geri yüklenen hesabın geri bağlantı özniteliklerini doldurun. Bunu yapmak için bir komut isteminde aşağıdaki komutu çalıştırın:

   ldifde -i -f <filename>.ldf
   

   Bu komutta dosya adı>, <daha önce oluşturulan LDIF dosyasının dosya adı ve yoludur. Bu işlem, Active Directory'deki RODC bilgisayar nesnesini ilgili hesabına bağlar.

Bu adımları tamamladıktan sonra RODC bilgisayar hesabının parolasını ("makine hesabı" olarak da bilinir) sıfırlamanız gerekebilir. Bunu yapmak için Windows Server etki alanı denetleyicisinin makine hesabı parolalarını sıfırlamak için Netdom.exe kullanma başlığındaki adımları izleyin.

Kurtarma Yöntemi 2 (AD Geri Dönüşüm Kutusu özelliği etkin)

AD Geri Dönüşüm Kutusu özelliği etkinse şu adımları izleyin.

1. RWDC veya GC'de, yükseltilmiş bir Komut İstemi penceresinde hesabı geri yüklemek için aşağıdaki komutları çalıştırın:

   import-module ActiveDirectory
   Get-ADObject -Filter {displayName -eq "krbtgt_<xxxxx>"} -IncludeDeletedObjects | Restore-ADObject
   

   İkinci komutta xxxxx>, <RODC'nin kimlik numarasıdır.

2. Etkilenen RODC'de yükseltilmiş bir Komut İstemi penceresi açın ve ardından hesap bilgilerini RODC'ye çoğaltmak için aşağıdaki komutu çalıştırın:

   repadmin /replsingleobj <RODC_Name> <RWDC_Name> <DN>
   

   Bu komut aşağıdaki yer tutucuları içerir:

   • <> RODC_Name RODC'nin sunucu adını temsil eder
   • <> RWDC_Name, hesabı geri yüklediğiniz RWDC'yi temsil eder
   • <DN> , RODC hesabının ayırt edici adını (krbgt_xxxxx) temsil eder

3. Aşağıdaki komutları çalıştırarak RODC Kerberos önbelleğini temizleyin:

   klist purge
   klist -li 0x3e7 purge
   

4. Aşağıdaki komutu çalıştırarak RODC bilgisayar hesabının parolasını ("makine hesabı" olarak da bilinir) sıfırlayın:

   netdom resetpwd /server: <RWDC_Name> /USERD: administrator /PasswordD:*
   

   Bu komutta, <RWDC_Name> RWDC'nin sunucu adını temsil eder.

   Not

   Bu komut, Sizden Yönetici hesabının parolasını ister.

5. RODC'yi yeniden başlatın.

Başvurular

• yetkili geri yükleme
• Active Directory'de silinen kullanıcı hesaplarını ve grup üyeliklerini geri yükleme
• klist
• LDIFDE - Active Directory'den verileri dışarı/içeri aktarma - LDIFDE komutları
• MailBag: RODC'ler – krbtgt_#####, Yalnız Bırakılmışlar ve Yük Dengeleme RODC Bağlantı Nesneleri
• Windows RODC ortamında Kerberos kvno ile ilgili notlar
• Repadmin /replsingleobj
• Repadmin /showobjmeta
• RODC Hakkında Sık Sorulan Sorular
• Windows Server etki alanı denetleyicisinin makine hesabı parolalarını sıfırlamak için Netdom.exe kullanma