Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Errore di replica-2146893022 nome principale di destinazione non è corretto

Bill Mathers|Ultimo aggiornamento: 10/03/2017
|
1 Collaboratore

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In questo argomento viene sintomi, cause e come risolvere l'errore di replica di Active Directory-2146893022: il nome principale di destinazione non è corretto.< / para > < elenco classe = "bullet" > < listItem > < para > < collegamento xlink = "efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_Symptoms" > Sintomi< / link > < / para > < / listItem > < listItem > < para > < collegamento xlink = "efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_Causes" >causa< / link > < / para > < / listItem > < listItem > < para > < collegamento xlink = "efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_Resolutions" >risoluzioni< / link > < / para > < / listItem > < listItem > < para > < collegamento xlink : href = "efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_MoreInfo" >informazioni
Sintomi<ph id="t7">< / title > < contenuto > < para ></ph>in questo articolo descrive i sintomi, causa e passaggi di risoluzione quando la replica di Active Directory ha esito negativo con errore-2146893022: "nome principale di destinazione non è corretto." <ph id="t8">< / para > < elenco classe = "ordered" > < listItem > < para ></ph> Report DCDIAG che il test di repliche di Active Directory non riuscita con errore-2146893022: "nome principale di destinazione non è corretto." <ph id="t9">< / para > < codice > [, controllare le repliche & lt; nome DC & gt;] Un recente tentativo di replica non riuscito: da & lt; origine DC & gt; a & lt; destinazione DC & gt; Contesto di denominazione: & lt; percorso nome distinto della partizione di directory & gt; < codeFeaturedElement > la replica ha generato un errore (-2146893022): nome principale di destinazione non è corretto. < / codeFeaturedElement > si è verificato l'errore & lt; data & gt; & lt; ora & gt;. Si è verificato il successo ultimo & lt; data & gt; & lt; ora & gt;. & lt; X & gt; gli errori si sono verificati dopo l'ultimo successo.< / code > < / listItem > < listItem >< para ></ph>REPADMIN. EXE segnala che il tentativo di replica non riuscita con stato-2146893022 (0x80090322). <para>Comandi REPADMIN che comunemente cite di-2146893022 (0x80090322 stato) includono ma non sono limitati a:</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><tbody><tr><td><list class="bullet"><listitem><para>REPADMIN /REPLSUM</para></listitem><listitem><para>REPADMIN /SHOWREPL</para></listitem></list></td><td><list class="bullet"><listitem><para>Il comando REPADMIN /SHOWREPS</para></listitem><listitem><para>REPADMIN /SYNCALL</para></listitem></list></td></tr></tbody></table><para>Esempio di output da "REPADMIN /SHOWREPS" e REPADMIN /SYNCALL che descrive l'errore "nome principale di destinazione non è corretto" sono indicate di seguito:<ph id="t10">< / para >< c: codice > & gt; il comando repadmin /showreps & lt; sito controller di dominio destinazione nome & gt; & lt; & gt; Opzioni di controller di dominio: IS_GC Opzioni sito: (nessuno) GUID oggetto DC: & lt; Dell'oggetto impostazioni NTDS GUID oggetto & gt; DChttp://bemis/13/Pages/2090913 <em> en-US. aspx ID: & lt; stringa ID chiamata & gt; === INBOUND NEIGHBORS === DC = & lt; percorso DN per partizione di directory & gt; & lt; sito Nome & gt; & lt; origine DC tramite RPC GUID oggetto DC: & lt; dell'oggetto impostazioni ntds controller di dominio di origine oggetto guid & gt; Ultimo data tentativo @ & lt; & gt; & lt; ora & gt; non è riuscita, risultato < codeFeaturedElement >-2146893022 (0x80090322): nome principale di destinazione non è corretto. < / codeFeaturedElement > & lt; X #& gt; errori consecutivi. Ultimo data successo @ & lt; & gt; & lt; ora & gt;. c:\ & gt; repadmin /syncall /Ade la sincronizzazione di tutti i contesti dei nomi mantenuti su localhost. Sincronizzazione partizioni: DC = & lt; percorso DN Directory & gt; < codeFeaturedElement > MESSAGGIO RICHIAMATA: errore di connessione al server, CN = Impostazioni NTDS, CN = & lt; nome server & gt; CN = Servers, CN = & lt; nome sito & gt; CN = Sites, CN = Configuration, DC = & lt; foreste dominio principale & gt; (errore di rete):-2146893022 (0x80090322): < / codeFeaturedElement > < codice / >< / listItem >< listItem >< para ></em></ph>di <ui>replica ora</ui> comando in Active Directory Sites and Services restituisce "nome principale di destinazione non è corretto." </para><para>Pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine scegliendo <ui>replica ora</ui> non riuscito con "" nome principale di destinazione non è corretto." Sullo schermo di seguito è riportato il testo di messaggio di errore e schermata:</para><para>il testo del titolo della finestra: Replica ora</para><para>il testo del messaggio finestra di dialogo: </para><para>si è verificato il seguente errore durante il tentativo di contattare il controller di dominio <nome di controller di dominio di origine>:</para><para>nome principale di destinazione non è corretto</para><listitem><para>nel registro del servizio Directory nel Visualizzatore eventi vengono registrati eventi di NTDS KCC, generale NTDS o Microsoft-Windows-ActiveDirectory_DomainService con lo stato di-2146893022. </para><para>Gli eventi di active Directory che comunemente cite lo stato di-2146893022 includono ma non sono limitati a:</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>ID evento</para></td><td><para>Origine eventi</para></td><td><para>Stringa evento</para></td></tr></thead><tbody><tr><td><para>1586</para></td><td><para>Replica NTDS</para></td><td><para>Il Windows NT 4.0 o precedente arresto della replica con il master emulatore PDC non riuscito. </para><para> Una sincronizzazione completa della protezione account manager (SAM) del database ai controller di dominio che eseguono Windows NT 4.0 e versioni precedenti potrebbe avvenire se il ruolo di master emulatore PDC viene trasferito al controller di dominio locale prima del checkpoint successivo ha esito positivo.</para></td></tr><tr><td><para>1925</para></td><td><para>NTDS KCC</para></td><td><para>Impossibile stabilire un collegamento di replica per la seguente partizione di directory scrivibile.</para></td></tr><tr><td><para>1308</para></td><td><para>NTDS KCC</para></td><td><para>Il controllo di coerenza informazioni (KCC) ha rilevato che i tentativi successivi di replicare con il seguente controller di dominio non riuscita in modo coerente.</para></td></tr><tr><td><para>1926</para></td><td><para>Microsoft-Windows-ActiveDirectory_DomainService</para></td><td><para>Tentativo di stabilire un collegamento di replica di una partizione di directory di sola lettura con i seguenti parametri non riusciti.</para></td></tr><tr><td><para>1373</para></td><td><para>Messaggistica tra siti NTDS</para></td><td><para>Il servizio Messaggistica tra siti Impossibile ricevere i messaggi per il seguente servizio mediante il seguente trasporto. Impossibile eseguire la query per i messaggi.</para></td></tr></tbody></table></listitem>
Causa<ph id="t11">< / title > < contenuto > < para ></ph>il codice di errore SEC_E_WRONG_PRINCIPAL-2146893022 0x80090322 non è un errore restituito da Active Directory, ma possono essere restituito dai componenti di livello inferiori, incluso il RPC, Kerberos, SSL, LSA e NTLM, per cause diverse. <para>Gli errori di Kerberos mappati dal codice di Windows a-2146893022 0x80090322 SEC_E_WRONG_PRINCIPAL sono:<ph id="t12">< / para > < elenco classe = "bullet" > < listItem > < para ></ph>KRB_AP_ERR_MODIFIED (0x29 / 41 decimale / KRB_APP_ERR_MODIFIED) <ph id="t13">< / para > < / listItem > < listItem > < para ></ph>KRB_AP_ERR_BADMATCH (0x24h / 36 decimale / Ticket e l'autenticatore non corrispondono)<ph id="t14">< / para > < / listItem > < listItem > < para ></ph>KRB_AP ERR_NOT_US (0x23h / 35 decimale / il ticket non è per noi)<ph id="t15">< / para > < / listItem > < / lista > < para ></ph>alcune specifiche cause comuni per Active Directory registrazione-2146893022 0x80090322 SEC_E_WRONG_PRINCIPAL includono: <ph id="t16">< / para > < elenco classe = "bullet" > < listItem > < para ></ph>un mapping nome non valido - to-IP nel sistema DNS, WINS, Il file HOST o LMHOST ha causato il controller di dominio per la connessione al controller di origine errato nella stessa area di autenticazione Kerberos di destinazione.<ph id="t17">< / para > < / listItem > < listItem > < para ></ph> Un mapping nome non valido - to-IP nel file LMHOST o DNS, WINS, HOST ha causato il controller di dominio per la connessione al controller di origine errato in una diversa area di autenticazione Kerberos di destinazione.<ph id="t18">< / para > < / listItem > < listItem > < para ></ph> Computer di destinazione Kerberos (controller di dominio di origine): Impossibile decrittografare i dati di autenticazione Kerberos inviati dal client Kerberos (controller di dominio di destinazione), il KDC e un controller di dominio di origine hanno diverse versioni della password dell'account di computer controller di dominio di origine.<ph id="t19">< / para > < / listItem > < listItem > < para ></ph> Il KDC non è riuscito a trovare un dominio per cercare il nome SPN di controller di dominio di origine.<ph id="t20">< / para > < / listItem > < listItem > < para ></ph> Dati di autenticazione Kerberos crittografato cornici sono stati modificati dall'hardware, compresi i dispositivi di rete, software o un utente malintenzionato.</para>
Risoluzioni<ph id="t1">< / title > < contenuto > < elenco classe = "ordered" > < listItem > < para > < embeddedLabel ></ph>eseguire dcdiag//test: checksecurityerror sul controller di origine<ph id="t2">< / embeddedLabel > < / para > < para ></ph>SPN possono essere mancante, non valido o duplicato a causa della latenza di replica semplice, soprattutto dopo la promozione o errori di replica.<ph id="t3">< / para > < para ></ph> SPN duplicati può causare il SPN non valido per i mapping dei nomi.<ph id="t4">< / para > < para ></ph> DCDIAG//TEST: CheckSecurityErrorr è possibile controllare se mancano o duplicare SPN e altri errori.<ph id="t5">< / para > < para ></ph> Eseguire questo comando sulla console di tutti i DC di origine che non replica "in uscita" con l'errore SEC_E_WRONG_PRINCIPAL.<ph id="t6">< / para > < para ></ph> È possibile controllare la registrazione SPN contro un percorso specifico utilizzando la sintassi:<ph id="t7">< / para > < codice > dcdiag//test: checksecurityerror replsource: & lt; controller di dominio remoto & gt; < / code > < / listItem > < listItem > < para > < embeddedLabel ></ph>verificare che Kerberos crittografato il traffico di rete raggiunto la destinazione desiderata di Kerberos (nome to-IP mapping). <ph id="t8">< / embeddedLabel > < / para > < para ></ph> Quando in ingresso la replica di Active Directory, controller di dominio di destinazione cercare la copia locale di Active Directory per l'attributo objectGUID dell'oggetti Impostazioni NTDS di controller di dominio di origine, quindi interrogare il Server DNS attivo per un record CNAME interattiva di controller di dominio corrispondente che viene associato a un host "a" / record "AAAA" contenente l'indirizzo IP di controller di dominio di origine. Active Directory esegue la risoluzione dei nomi fallback che include le query relative ai nomi di computer completo in DNS o nomi host singolo in WINS (Nota: i server DNS possono inoltre eseguire le ricerche WINS in scenari di fallback). <ph id="t9">< / para > < para ></ph> Gli oggetti Impostazioni NTDS non aggiornati, mapping di to-IP nome non valido - in DNS e WINS i record di host, tutte le voci non aggiornate nei file HOST possono causare un controller di dominio di inviare il traffico Kerberos crittografato di destinazione Kerberos errato di destinazione.<ph id="t10">< / para > < para ></ph> Esistono due metodi per verificare questa condizione: <ph id="t11">< / para > < elenco classe = "bullet" > < listItem > < para ></ph>prendere una traccia di rete.<ph id="t12">< / para > < / listItem > < / lista > < para ></ph> O<ph id="t13">< / para > < elenco classe = "ordered" > < listItem > < para ></ph>verificare manualmente il nome DNS / risolvono le query al computer di destinazione.<ph id="t14">< / para > < / listItem > < / lista > < para > < embeddedLabel ></ph> Metodo di traccia di rete (come analizzato da Network Monitor 3.3.1641 con il parser completo predefinito abilitato)<ph id="t15">< / para > < para ></ph>nella tabella riportata di seguito mostra un riepilogo del traffico di rete si è verificato quando DC1 destinazione ingresso replica Active Directory di origine DC2. <table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>F#</para></td><td><para>SRC</para></td><td><para>DEST</para></td><td><para>Protocollo</para></td><td><para>Cornice</para></td><td><para>Commento</para></td></tr></thead><tbody><tr><td><para>1</para></td><td><para>DC1</para></td><td><para>DC2</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o Request: chiamata sconosciuto 0x5 = Opnum = 0x3 contesto = 0x1 suggerimento = 0x90</para></td><td><para>Chiamata RPC DC dest EPM nel DC di origine oltre 135</para></td></tr><tr><td><para>2</para></td><td><para>DC2</para></td><td><para>DC1</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o risposta: chiamata sconosciuto = 0x5 contesto = 0x1 suggerimento = 0xF4 Annulla = 0x0</para></td><td><para>Risposta EPM chiamante RPC</para></td></tr><tr><td><para>3</para></td><td><para>DC1</para></td><td><para>DC2</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o associare: UUID {E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) chiamata Grp Assoc 0x2 = = 0x0 Xmit = Recv: 0x16D0 = 0x16D0</para></td><td><para>Richiesta di binding RPC al servizio E351 UUID</para></td></tr><tr><td><para>4</para></td><td><para>DC2</para></td><td><para>DC1</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o associare Ack: chiamare = Grp Assoc 0x2 = trasmissione 0x9E62 = Recv 0x16D0 = 0x16D0</para></td><td><para>Risposta di binding RPC</para></td></tr><tr><td><para>5</para></td><td><para>DC1</para></td><td><para>KDC</para></td><td><para>Kerberos v5</para></td><td><para>KerberosV5:TGS richiesta di autenticazione: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com</para></td><td><para>Richiesta TGS per la replica SPN del controller di dominio di origine. Questa operazione non verrà visualizzati sul cavo del controller di dominio di destinazione utilizza self come KDC.</para></td></tr><tr><td><para>6</para></td><td><para>KDC</para></td><td><para>DC1</para></td><td><para>Kerberos v5</para></td><td><para>KerberosV5:TGS risposta Cname: CONTOSO-DC1$</para></td><td><para>Risposta TGS al controller di dominio destinazione contoso-dc1. Questa operazione non verrà visualizzati sul cavo del controller di dominio di destinazione utilizza self come KDC.</para></td></tr><tr><td><para>7</para></td><td><para>DC1</para></td><td><para>DC2</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o Alter Cont: UUID {E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) chiamata 0x2 =</para></td><td><para>Richiesta AP</para></td></tr><tr><td><para>8</para></td><td><para>DC2</para></td><td><para>DC1</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o Alter Cont Resp: chiamare = Grp Assoc 0x2 = trasmissione 0x9E62 = Recv 0x16D0 = 0x16D0</para></td><td><para>Risposta PA</para></td></tr></tbody></table><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>Drill-down nel fotogramma 7</para></td><td><para>Drill-down nel fotogramma 8</para></td><td><para>Commenti</para></td></tr></thead><tbody><tr><td><para>MSRPC MSRPC:c / o Alter Cont: UUID {E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) chiamata 0x2 =</para></td><td><para>MSRPC:c / o Alter Cont Resp: chiamare = Grp Assoc 0x2 = trasmissione 0xC3EA43 = Recv 0x16D0 = 0x16D0</para></td><td><para>DC1 si connette al servizio di replica di Active Directory su DC2 attraverso la porta restituita per l'EPM per DC2. </para></td></tr><tr><td><para>IPv4: Src = x.x.x.245, Dest = x.x.x.35, quindi protocollo = TCP, ID pacchetto = lunghezza totale IP = 0</para></td><td><para>IPv4: Src = x.x.x.35, Dest = x.x.x.245, quindi protocollo = TCP, ID pacchetto = 31546, IP lunghezza totale = 278</para></td><td><para>Verificare l'origine di Active Directory replica DC (qui indicato come il computer di "Destinazione" nella colonna 1 ° e "Src" nella colonna 2 "appartiene" l'indirizzo IP sopra la traccia (in questo esempio, x.x.x.35).</para></td></tr><tr><td><para>Ticket: Area di autenticazione: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com</para></td><td><para>Codice di errore: KRB_AP_ERR_MODIFIED (41) </para><para> Area di autenticazione: <verificare l'area di autenticazione Kerberos dal controller di dominio di destinazione corrisponde a tale area di autenticazione restituito dal controller di origine>. </para><para> SNAME: <verificare che il sName corrispondenze di risposta il punto di accesso contiene il nome host del controller di dominio di origine desiderata e NON un altro DC risolti la destinazione in modo non corretto a causa di un problema di mapping nome-indirizzo non valido.</para></td><td><para>Nella colonna 1, si noti l'area di autenticazione dell'area di autenticazione Kerberos destinazione come "contoso.com" seguito dal controller di dominio replica SPN ("Sname") che è costituita dal servizio di replica di Active Directory UUID (E351) concatenato con GUID dell'oggetto impostazioni NTDS di controller di dominio di origine dell'oggetto di origine.<ph id="t16">< / para > < para ></ph> Il valore GUIDATO "6f3f96d3-dfbf-4daf-9236-4d6da6909dd2" a destra della finestra di E351... il servizio di replica UUID è il GUID dell'oggetto per l'oggetto impostazioni NTDS di controller di dominio di origine attualmente definiti nella destinazione copia di controller di dominio di Active Directory. Verificare che il GUID dell'oggetto corrisponde al valore del campo "GUID oggetto DSA" durante l'esecuzione di "repadmin /showreps" dalla console del controller di dominio di origine). <ph id="t17">< / para > < para ></ph> Un ping o nslookup dell'origine di controller di dominio completo CNAME concatenato con msdcs. <nome DNS radice della foresta>"dalla console di destinazione DC deve restituire l'indirizzo IP corrente di controller di dominio di origine:<ph id="t18">< / para > < codice > ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs. contoso.com < / code > < codice > nslookup-tipo = cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs. & lt; foreste dominio principale & gt; & lt; Server DNS IP & gt; < / code > < para ></ph>nella risposta visualizzata nella colonna 2, lo stato attivo sul campo "Sname" e verificare che contenga il nome host del controller di origine di replica Active Directory.<ph id="t19">< / para > < para ></ph> Mapping di nome non valido - to-IP <placeholder>Impossibile</placeholder> che il controller di dominio di destinazione per la connessione a un controller di dominio in un'area di destinazione completamente non valida causa il valore dell'area di autenticazione potrebbe non essere valido, come illustrato in questo caso. Host non valido - to-IP mapping potrebbe causare DC1 per connettersi a DC3 nello stesso dominio che genera ancora KRB_AP_ERR_MODIFIED ma il nome dell'area nel fotogramma 8 corrisponderebbe l'area di autenticazione nel fotogramma 7.</para></td></tr></tbody></table><para><embeddedlabel>Nome della verifica mapping IP (senza utilizzare una traccia di rete)<ph id="t20">< / embeddedLabel > < / para > < para ></ph>dalla console del controller di dominio di origine:</embeddedlabel></para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>Comando</para></td><td><para>Commento</para></td></tr></thead><tbody><tr><td><para>IPCONFIG//ALL | PIÙ</para></td><td><para>Nota l'indirizzo IP della NIC utilizzata dal controller di dominio di destinazione.</para></td></tr><tr><td><para>REPADMIN /SHOWREPS | PIÙ</para></td><td><para>Prendere nota del valore di "DSA oggetto GUID" che indica il GUID dell'oggetto per l'oggetto impostazioni NTDS di controller di dominio di origine in copia l'origine del controller di dominio di Active Directory.</para></td></tr></tbody></table><para>Dalla console del controller di dominio di destinazione:</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>Comando</para></td><td><para>Commento</para></td></tr></thead><tbody><tr><td><para>IPCONFIG//ALL | PIÙ</para></td><td><para>Nota primario, secondario e terziario server DNS configurato che è possibile eseguire una query durante le ricerche DNS del controller di dominio di destinazione.</para></td></tr><tr><td><para>REPADMIN /SHOWREPS | PIÙ</para></td><td><para>Nella sezione "Inbound Neighbors" dell'output di repadmin, individuare lo stato di replica dove il controller di dominio di destinazione consente di replicare una partizione comune dall'origine DC in questione. </para><para> L'oggetto di "DSA" GUID"elencato per il DC nella sezione del report di stato della replica di origine deve corrispondere all'oggetto GUID elencato di /showreps intestazione quando viene eseguito alla console del controller di dominio di origine.</para></td></tr><tr><td><para>IPCONFIG /FLUSHDNS</para></td><td><para>Cancellare la cache del Client DNS.</para></td></tr><tr><td><para>Start ->esecuzione -> %systemroot%\system32\drivers\etc\hosts blocco note</para></td><td><para>Controllo host di mapping IP riferimento di etichetta singolo controller di dominio di origine o un nome DNS completo. Rimuovere se presente. Salvare le modifiche apportate al file HOST. </para><para> Eseguire "Nbtstat -R" (lettere maiuscole "R") per aggiornare la cache dei nomi NetBIOS.</para></td></tr><tr><td><para>NSLOOKUP-tipo CNAME = <oggetto guid dell'oggetto impostazioni NTDS di controller di dominio di origine>msdcs. <nome DNS radice della foresta><IP del Server DNS primario </para><para> Ripetere per ogni ulteriore IP di Server DNS configurati sul controller di dominio di destinazione. </para><para> esempio: </para><code>c:&gt;nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103</code></td><td><para>Verificare che l'IP restituito corrisponde all'indirizzo IP del controller di dominio elencati in precedenza registrati dalla console del controller di origine di destinazione. </para><para> Ripetere per tutti gli IP di server DNS configurati sul controller di dominio di destinazione. </para></td></tr><tr><td><para>Nslookup-tipo = A + AAAA <nome di dominio COMPLETO del controller di dominio di origine><IP del Server DNS></para></td><td><para>Cercare record "A" host duplicati su tutti gli IP di Server DNS configurati sul controller di dominio di destinazione.</para></td></tr><tr><td><para>Nbtstat - A <indirizzo IP del DNS Server IP restituito da nslookup></para></td><td><para>Deve restituire nome del controller di dominio di origine.</para></td></tr></tbody></table><para>Nota: Una richiesta di replica diretto a un non-DC (a causa di un nome non valido - mapping di to-IP) o un controller di dominio che dispone attualmente di E351... UUID registrato con il mapper di endpoint di servizio, verrà restituito l'errore 1753: nessun endpoint sono disponibili con il mapper di endpoint.<ph id="t1">< / para > < / listItem > < listItem > < para > < embeddedLabel ></ph> La destinazione Kerberos Impossibile decrittografare i dati di autenticazione Kerberos causato dalla non corrispondenza password<ph id="t2">< / embeddedLabel > < / para > < para ></ph>questa condizione può verificarsi se la password per il controller di dominio di origine diverso tra il KDC e copia del controller di dominio di origine di Active Directory. Copia la password dell'account di computer del controller di dominio di origine del controller di dominio di destinazione può essere aggiornato se non utilizza se stesso come KDC. </para><para>Errori di replica possono impedire a controller di dominio avente un valori di password correnti per i domain controller in un determinato dominio. </para><para>Ogni controller di dominio viene eseguito il servizio KDC per loro area di autenticazione di dominio. Per le transazioni stessa area di autenticazione, un controller di dominio di destinazione <placeholder>favorisce la</placeholder> Kerberos biglietti da se stessa ma può ottenere un ticket da un controller di dominio remoto. I riferimenti vengono utilizzati per ottenere i ticket Kerberos da altre aree di autenticazione. </para><para>Per identificare rapidamente il KDC è destinato a un client Kerberos, aprire un prompt dei comandi con privilegi elevato ed eseguire il comando seguente per quando viene visualizzato l'errore SEC_E_WRONG_PRINCIPAL.<ph id="t3">< / para > < codice > NLTEST /DSGETDC: & lt; dominio DNS del dominio di destinazione & gt; /KDC < / code > < para ></ph>per determinare che un client Kerberos ottenuto un ticket dal controller di dominio deve prendere una traccia di rete in modo definitivo. La mancanza di una traccia di rete il traffico Kerberos potrebbe indicare che il client Kerberos ha già acquisito ticket, riceve il traffico Kerberos non correttamente analisi ticket è disattivata in rete da se stessa o l'applicazione di traccia di rete.<ph id="t4">< / para > < para ></ph> I ticket Kerberos per l'accesso utente account possono essere eliminati da un prompt CMD con privilegiata di amministratore utilizzando "KLIST purge". <ph id="t5">< / para > < para ></ph> I ticket Kerberos per l'account di sistema utilizzate per la replica di Active Directory possono essere eliminati <placeholder>senza</placeholder> riavviare il computer utilizzando "KLIST - 0x3e7 li elimina". <ph id="t6">< / para > < para ></ph> Controller di dominio può essere effettuato utilizzare altri controller di dominio interrompendo il servizio KDC su un controller di dominio locale o remoto.<ph id="t7">< / para > < para ></ph> Utilizzare REPADIN /SHOWOBJMETA per verificare le differenze di numero versione ovvio negli attributi relativi a password (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) per la copia l'origine di destinazione e controller di dominio del controller di dominio di Active Directory <ph id="t8">< / para > < codice > C:\ & gt; repadmin /showobjmeta & lt; origine DC & gt; & lt; percorso DN dell'account del computer di origine DC & gt; < / code > < codice > C:\ & gt; repadmin /showobjmeta & lt; KDC selezionata dal controller di dominio destinazione & gt; & lt; percorso DN dell'account del computer di origine DC & gt; < / code > < para ></ph>per reimpostare password di account computer controller di dominio, eseguire il seguente comando da un prompt dei comandi con privilegi elevato: </para><code>netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password></code>
Ulteriori informazioni
Ripetizione di passaggi errato host di destinazione che causano il mapping IP DC da origine errato<ph id="t9">< / title > < contenuto > < elenco classe = "ordered" > < listItem > < para ></ph>promuovere dc1, DC2 + DC3 nel dominio contoso.com. La replica End-to-end viene eseguita senza errori.<ph id="t10">< / para > < / listItem > < listItem > < para ></ph> Arrestare il servizio KDC su DC1 e DC2 per forzare il traffico Kerberos off-box che può essere osservato nella traccia di rete. La replica End-to-end viene eseguita senza errori.<ph id="t11">< / para > < / listItem > < listItem > < para ></ph> Creare file voce di Host per DC2 che punta all'indirizzo IP di un controller di dominio in un insieme di strutture remoto simulando un host errato per il mapping IP in un host "Un" / record "AAAA" o forse un obsoleti NTDS Settings object nella copia di destinazione del controller di dominio di Active Directory.<ph id="t12">< / para > < / listItem > < listItem > < para ></ph> Avviare Active Directory Sites and Services sulla console del DC1. Il pulsante destro connessione in del DC1 ingresso da DC2 e Nota errore di replica "target account name is incorrect".
Riprodurre i passaggi per mancata corrispondenza delle password di origine DC tra KDC e controller di dominio di origine<ph id="t13">< / title > < contenuto > < elenco classe = "ordered" > < listItem > < para ></ph>promuovere dc1, DC2 + DC3 nel dominio contoso.com. La replica End-to-end viene eseguita senza errori.<ph id="t10">< / para > < / listItem > < listItem > < para ></ph> Arrestare il servizio KDC su DC1 e DC2 per forzare il traffico Kerberos off-box che può essere osservato nella traccia di rete. La replica End-to-end viene eseguita senza errori.<ph id="t14">< / para > < / listItem > < listItem > < para ></ph> Disabilitazione della replica in ingresso sul KDC DC3 simulando un errore di replica sul KDC.<ph id="t15">< / para > < / listItem > < listItem > < para ></ph> Reimpostare la password dell'account computer in DC2 tre o più volte in modo che la password corrente DC2 dispone di DC1 e DC2.<ph id="t16">< / para > < / listItem > < listItem > < para ></ph> Avviare Active Directory Sites and Services sulla console del DC1. Fare clic con il pulsante destro connessione in del DC1 ingresso da DC2 e Nota errore di replica "target account name is incorrect".
La registrazione del client DS RPC<ph id="t17">< / title > < contenuto > < para ></ph>impostare Client RPC di LoggingsDS NTDSDiagnostics = 3. Avviare la replica. Cercare l'evento di categoria di attività 1962 + 1963. Nota cname completo citato nel campo "servizio di directory". Controller di dominio di destinazione deve essere in grado di eseguire il ping di questo record e quindi utilizzare l'indirizzo restituito mapping all'indirizzo IP corrente del controller di origine.
Flusso di lavoro di Kerberos<ph id="t18">< / title > < contenuto > < para ></ph>Workflow<ph id="t19">< / para > < elenco classe = "ordered" > < listItem > < para ></ph>Computer Client chiama <externallink><linktext>IntializeSecurityContext</linktext><linkuri><a href="http://msdn.microsoft.com/en-us/library/aa375506(VS.85).aspx">http://msdn.microsoft.com/en-us/library/aa375506(VS.85).aspx</a></linkuri></externallink> e specifica il provider di supporto di protezione Negotiate (SSP). <ph id="t20">< / para > < / listItem > < listItem > < para ></ph> Il client contatta il KDC con il TGT e richiede un Ticket TGS per il controller di dominio di destinazione.<ph id="t21">< / para > < / listItem > < listItem > < para ></ph> Il KDC Cerca nel catalogo globale per un'origine (e351 o hostname) nell'area autenticazione controller di dominio di destinazione.<ph id="t22">< / para > < / listItem > < listItem > < para ></ph> Se il controller di dominio di destinazione è l'area di autenticazione controller di dominio di destinazione, il KDC passa al client un ticket di servizio.<ph id="t23">< / para > < / listItem > < listItem > < para ></ph> Se il controller di dominio di destinazione si trova in un'area di autenticazione diverso, il KDC passerà al client un ticket di riferimento.<ph id="t24">< / para > < / listItem > < listItem > < para ></ph> Il client contatta un KDC nel dominio controller di dominio di destinazione richiede un ticket di servizio.<ph id="t25">< / para > < / listItem > < listItem > < para ></ph> Se il controller di dominio di origine SPN non esiste nell'area di autenticazione, si verifica un errore.<ph id="t26">< / para > < / listItem > < listItem > < para ></ph> Il controller di dominio di destinazione contatta la destinazione e presenta il ticket.<ph id="t27">< / para > < / listItem > < listItem > < para ></ph> Se il controller di dominio di destinazione appartiene il nome del ticket e possa essere decrittografato, funziona l'autenticazione.<ph id="t28">< / para > < / listItem > < listItem > < para ></ph> Se il controller di dominio di destinazione ospita il servizio server RPC UUID, quindi l'errore di Kerberos in transito "KRB_AP_ERR_NOT_US o KRB_AP_ERR_MODIFIED viene modificato il mapping a-2146893022 decimale / 0x80090322 / SEC_E_WRONG_PRINCIPAL /"nome principale di destinazione non è corretto." <ph id="t29">< / para > < / listItem > < / lista > < para ></ph> Vedere la <externallink><linktext>risoluzione degli errori di Kerberos</linktext><linkuri><a href="http://www.microsoft.com/download/en/details.aspx?displaylang=en&id">http://www.microsoft.com/download/en/details.aspx?displaylang=en&id</a> = 21820</linkuri></externallink> white paper per ulteriori informazioni
Risoluzione dei problemi relativi a operazioni di Active Directory che hanno esito negativo con errore-2146893022: il nome principale di destinazione non è corretto.< / linkText > < linkUri >http://support.microsoft.com/kb/2090913< / linkUri > < / externalLink > < externalLink > < linkText >Active Directory replica modello di funzionamento del< / linkText > < linkUri >http://technet.microsoft.com/library/cc772726(WS.10).aspx< / linkUri > < / externalLink > < externalLink >< linkText >repsFrom, RepsFromhttp://msdn.microsoft.com/library/cc228409(PROT.13).aspx
© 2017 Microsoft