Table of contents
TOC
摺疊目錄
展開目錄

複製錯誤-2146893022 目標主要名稱不正確

Bill Mathers|上次更新日期: 2017/3/10
|
1 投稿人

適用於︰ Windows Server 2016 年,Windows Server 2012 R2、Windows Server 2012

此主題解釋,包括症狀、的原因,以及如何解析 Active Directory 複製錯誤-2146893022︰ 目標主要名稱不正確。< / 段落 > < 清單課程 =」的項目符號] > < listItem > < 段落 > < 連結 xlink:href =」efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_Symptoms」>症狀< / 連結 > < 日段落 > < 日 listItem > < listItem > < 段落 > < 連結 xlink:href =」efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_Causes」>會導致< / 連結 > < 日段落 > < 日 listItem > < listItem > < 段落 > < 連結 xlink:href =」efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_Resolutions」>解析度< / 連結 > < 日段落 > < 日 listItem > < listItem > < 段落 > < 連結 xlink: h =」efb721cf-6541-44b2-95f4-37d5641aeee4 #BKMK_MoreInfo」>其他相關資訊
症狀<ph id="t6">< / 標題 > < content > < 段落 ></ph>時 Active Directory 複寫失敗,錯誤-2146893022 此文章將描述其包括症狀、原因和解析度步驟執行:「不正確的目標主要名稱」。<ph id="t7">< 月段落 > < 列出課程 =」訂購」> < listItem > < 段落 ></ph>DCDIAG 報告可 Active Directory 複寫測試失敗,錯誤-2146893022:「不正確的目標主要名稱」。<ph id="t8">< / 段落 > < 代碼 > [複寫檢查,請與長期; 使用量俠名稱;]最近複寫失敗︰ 從 & 長期; 來源使用量俠。若要與長期; 使用量目的地俠; 命名操作︰ & 長期; DN 路徑使用量 directory 磁碟分割。 < codeFeaturedElement > 複寫發生的錯誤 (-2146893022): 目標主要名稱不正確。< / codeFeaturedElement > 失敗,& 長期; 使用量日期。與長期; 使用量時間;。 上次的成功發生於與長期; 使用量日期。與長期; 使用量時間;。 & 長期。使用量 X。自從上次的成功。發生失敗 < / 碼 > < / listItem > < listItem >< 段落 ></ph>REPADMIN。執行檔報告該複寫失敗狀態-2146893022 (0x80090322)。<para>REPADMIN 命令常引用-2146893022(0x80090322 狀態),包括但不是限於︰</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><tbody><tr><td><list class="bullet"><listitem><para>REPADMIN /REPLSUM</para></listitem><listitem><para>REPADMIN /SHOWREPL</para></listitem></list></td><td><list class="bullet"><listitem><para>REPADMIN 進行</para></listitem><listitem><para>REPADMIN /SYNCALL</para></listitem></list></td></tr></tbody></table><para>樣本從「REPADMIN 進行」及 REPADMIN 輸出 /SYNCALL 描繪」目標主要名稱不正確的「錯誤如下所示︰<ph id="t9">< 月段落 >< 代碼 > c︰ 使用量; repadmin 進行 & 長期; 網站名稱與 gt; 與長期; 目的地俠使用量; 俠選項︰ IS_GC 網站的選項:(無) 俠物件 GUID: & 長期。NTDS 設定物件使用量物件 GUID; DChttp://bemis/13/Pages/2090913 _ EN-US.aspx 呼叫識別碼︰ & 長期; 使用量叫用 ID 字串的問題。 === 輸入鄰居 === 俠 = & 長期; DN 路徑使用量 directory 磁碟分割。 & 長期; 網站名稱與 gt; 與長期; 來源俠透過 RPC 俠物件 GUID: & 長期; 來源網域控制站 ntds 設定物件使用量物件 guid; 最後嘗試 @ 與長期; 日期使用量。與長期; 使用量時間。失敗,< codeFeaturedElement > 結果-2146893022 (0x80090322): 目標主要名稱不正確。< / codeFeaturedElement > & 長期。X 使用量 #;連續失敗。 持續成功 @ 與長期; 日期使用量。與長期; 使用量時間;。 c:\ 使用量; repadmin /syncall /Ade 同步所有 NC 在本機不小心。 同步的磁碟分割︰ 俠 = & 長期; 使用量 Directory DN 路徑。 < codeFeaturedElement > 回呼訊息︰ 連絡伺服器 CN 錯誤 = NTDS 設定,CN = & 長期; 伺服器名稱使用量;,CN = 伺服器、CN = & 長期; 網站名稱使用量;,CN = 網站,CN = 組態俠 = 與長期; 樹系使用量根網域;(網路發生錯誤)︰-2146893022 (0x80090322): < / codeFeaturedElement > < / 程式碼 >< / listItem >< listItem >< 段落 ></ph><ui>現在複製</ui>命令 Active Directory 網站和服務會傳回」目標主體名稱不正確的」。</para><para>連接物件來源俠上按一下滑鼠右鍵,然後選擇<ui>現在複製</ui>失敗,並「」目標主要名稱不正確。」 螢幕上的錯誤訊息的文字與螢幕擷取畫面如下所示︰</para><para>對話的標題文字︰ 現在複製</para><para>對話方塊訊息文字︰</para><para>下列時發生嘗試連絡的網域控制站<來源俠名稱>:</para><para>不正確的主要目標名稱</para><listitem><para>NTDS KCC、NTDS 一般或 Microsoft 的 Windows-ActiveDirectory_DomainService 活動-2146893022 狀態登入 Directory 服務登事件檢視器中。</para><para>通常引用-2146893022 狀態的 active Directory 活動包括但不是限於︰</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>事件編號</para></td><td><para>事件來源</para></td><td><para>事件字串的問題</para></td></tr></thead><tbody><tr><td><para>1586</para></td><td><para>NTDS 複製</para></td><td><para>Windows nt4.0 或早複寫檢查點 pdc 模擬器未成功。 </para><para> 完整的同步處理的安全性帳號管理程式資料庫執行 Windows nt4.0 的網域控制站和稍早可能需要進行如果 PDC 模擬器主角轉移到本機的網域控制站之前的下一個成功檢查點。</para></td></tr><tr><td><para>1925</para></td><td><para>NTDS KCC</para></td><td><para>建立下列寫入 directory 磁碟分割複製連結失敗。</para></td></tr><tr><td><para>1308</para></td><td><para>NTDS KCC</para></td><td><para>偵測到複製使用下列的網域控制站後續的嘗試一直無法知識一致性檢查程式 (KCC)。</para></td></tr><tr><td><para>1926</para></td><td><para>Microsoft 的 Windows-ActiveDirectory_DomainService</para></td><td><para>嘗試使用下列參數無法建立只能讀取 directory 磁碟分割複製連結。</para></td></tr><tr><td><para>1373</para></td><td><para>NTDS 網站間的訊息中心</para></td><td><para>間的訊息中心服務可能會收到下列透過下列傳輸服務的任何訊息。 查詢訊息失敗。</para></td></tr></tbody></table></listitem>
會導致<ph id="t10">< / 標題 > < content > < 段落 ></ph>-2146893022 0x80090322 SEC_E_WRONG_PRINCIPAL 錯誤碼不會傳回 Active Directory 錯誤,但可能會傳回較低的層級元件,包括 RPC、Kerberos、SSL、LSA 和 NTLM,針對不同的根本原因。 <para>Kerberos 錯誤由 Windows 驗證碼至-2146893022 0x80090322 對應 SEC_E_WRONG_PRINCIPAL 包含︰<ph id="t11">< 日段落 > < 清單課程 =」的項目符號] > < listItem > < 段落 ></ph>KRB_AP_ERR_MODIFIED (0x29 / 41 小數點日 KRB_APP_ERR_MODIFIED) <ph id="t12">< / 一個段落 > < 日 listItem > < listItem > < 段落 ></ph>KRB_AP_ERR_BADMATCH (0x24h / 36 小數點 / 恐怖與 authenticator 不相符)<ph id="t13">< / 一個段落 > < 日 listItem > < listItem > < 段落 ></ph>KRB_AP_ERR_NOT_US (0x23h / 35 小數點 / 恐怖不是我們)<ph id="t14">< 月段落 > < 月 listItem > < / 清單 > < 段落 ></ph>某些特定根的原因 Active Directory 登-2146893022 0x80090322 SEC_E_WRONG_PRINCIPAL 包含︰ <ph id="t15">< 月段落 > < 清單課程 =」的項目符號] > < listItem > < 段落 ></ph>錯誤名稱 TO-IP 對應 DNS、WINS 中造成目的地俠,連接到錯誤來源俠相同 Kerberos 領域中的主機或 LMHOST 檔案。<ph id="t16">< / 段落 > < / listItem > < listItem > < 段落 ></ph>錯誤名稱 TO-IP 對應 DNS、WINS、主機或 LMHOST 檔案造成俠,連接至不同的 Kerberos 領域中發生的來源俠的目的地。<ph id="t17">< / 段落 > < / listItem > < listItem > < 段落 ></ph>Kerberos 目標電腦(來源俠)無法解密 Kerberos 驗證資料傳送 Kerberos client(目標俠)因為 KDC 和來源俠有不同版本的來源 Dc 電腦密碼。<ph id="t18">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>金鑰發行中心找不到尋找 SPN 俠來源的網域。<ph id="t19">< / 段落 > < / listItem > < listItem > < 段落 ></ph>軟體或完全掌控驗證的資料加密 Kerberos 框架修改硬體(含網路的裝置)。</para>
解析度<ph id="t1">< / 標題 > < content > < 清單課程 =」訂購」> < listItem > < 段落 > < embeddedLabel ></ph>執行 dcdiag//test: checksecurityerror 來源俠<ph id="t2">< / embeddedLabel > < / 段落 > < 段落 ></ph>Spn 可能會遺失,不正確或重複因為簡單複製延遲,尤其是下列升級,或是複製失敗。<ph id="t3">< / 段落 > < 段落 ></ph>重複 Spn 可能會造成錯誤 SPN 名稱對應。<ph id="t4">< / 段落 > < 段落 ></ph>DCDIAG//TEST: CheckSecurityErrorr 可以檢查遺失,或重複 Spn 和其他錯誤。<ph id="t5">< / 段落 > < 段落 ></ph>所有來源網域控制站失敗 SEC_E_WRONG_PRINCIPAL 錯誤碼為"輸出」複寫在主機上執行這個命令。<ph id="t6">< / 段落 > < 段落 ></ph>您也可以查看針對特定位置使用語法 SPN 註冊︰<ph id="t7">< / 段落 > < 代碼 > dcdiag//test: checksecurityerror replsource︰ 與長期; 使用量遠端俠; < / 程式碼 > < / listItem > < listItem > < 段落 > < embeddedLabel ></ph>確認 Kerberos 加密網路交通達到預定的 Kerberos 目標(名稱 TO-IP 對應)。<ph id="t8">< / embeddedLabel > < / 段落 > < 段落 ></ph>目的 Dc 時輸入複製 Active Directory 搜尋他們本機 Active Directory 的來源 Dc NTDS 設定物件 objectguid 資訊的複本,然後查詢作用中的 DNS 伺服器的符合俠指引 CNAME 然後對應主機"A"/"AAAA」記錄包含來源的網域控制站 IP 位址。 Active Directory 執行名稱解析度回溯 DNS 或單一標籤主機 wins 包含查詢的完整的電腦名稱 (請注意︰ DNS 伺服器回溯案例中也可以執行 WINS 對應)。<ph id="t9">< 月段落 > < 段落 ></ph>過時 NTDS 設定物件、DNS 和 WINS 不良名稱-TO-IP 對應主持記錄、過時主機檔案中的項目可以所有造成俠提交 Kerberos 加密資料傳輸 Kerberos 目標錯誤的目的地。<ph id="t10">< 月段落 > < 段落 ></ph>有兩種方法來檢查是否有此條件︰ <ph id="t11">< / 段落 > < 列出課程 =」的項目符號] > < listItem > < 段落 ></ph>拍攝網路追蹤。<ph id="t12">< / 段落 > < / listItem > < / 列出 > < 段落 ></ph>或者<ph id="t13">< 月段落 > < 清單課程 =」訂購」> < listItem > < 段落 ></ph>以手動方式檢查該名稱 DNS / NetBIOS 名稱查詢解析預期的目標電腦。<ph id="t14">< 月段落 > < 月 listItem > < / 清單 > < 段落 > < embeddedLabel ></ph>網路追蹤方法(如剖析網路監視器 3.3.1641 使用完整的預設分析支援)<ph id="t15">< / 段落 > < 段落 ></ph>網路傳輸總覽出現時顯示下的表目的地 DC1 輸入複製 Active Directory DC2 來源。 <table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>F#</para></td><td><para>SRC</para></td><td><para>目的地</para></td><td><para>通訊協定</para></td><td><para>畫面</para></td><td><para>意見</para></td></tr></thead><tbody><tr><td><para>1</para></td><td><para>DC1</para></td><td><para>DC2</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o 要求︰ 不明的通話 = 0x5 Opnum = 0x3 操作 = 0x1 提示 = 0x90</para></td><td><para>來源俠超過 135 EPM 目的地俠 RPC 呼叫</para></td></tr><tr><td><para>2</para></td><td><para>DC2</para></td><td><para>DC1</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o 回應︰ 不明的通話 = 0x5 操作 = 0x1 提示 = 0xF4 取消 = 0x0</para></td><td><para>RPC 來電者 EPM 回應</para></td></tr><tr><td><para>3</para></td><td><para>DC1</para></td><td><para>DC2</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o 結合: {E3514235-4B06-11D1-AB04-00C04FC2DCD2} UUID DRSR(DRSR) 通話 = 0x2 關聯群組 = 0x0 傳輸 = 0x16D0 接收 = 0x16D0</para></td><td><para>RPC 連結到 E351 服務 UUID 的要求</para></td></tr><tr><td><para>4</para></td><td><para>DC2</para></td><td><para>DC1</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o 結合 Ack︰ 撥打 = 0x2 關聯群組 = 0x9E62 傳輸 = 0x16D0 接收 = 0x16D0</para></td><td><para>RPC 結合回應</para></td></tr><tr><td><para>5</para></td><td><para>DC1</para></td><td><para>KDC</para></td><td><para>Kerbero v5</para></td><td><para>KerberosV5:TGS 要求領域︰ CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com</para></td><td><para>TGS 複寫 SPN 來源俠的要求。 這項作業不會出現的目的地俠使用的網路上自我 KDC。</para></td></tr><tr><td><para>6</para></td><td><para>KDC</para></td><td><para>DC1</para></td><td><para>Kerbero v5</para></td><td><para>KerberosV5:TGS 回應 Cname: CONTOSO lax-dc1 $</para></td><td><para>目的地俠 contoso lax-dc1 TGS 回應。 這項作業不會出現的目的地俠使用的網路上自我 KDC。</para></td></tr><tr><td><para>7</para></td><td><para>DC1</para></td><td><para>DC2</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o 變更續: {E3514235-4B06-11D1-AB04-00C04FC2DCD2} UUID DRSR(DRSR) 通話 = 0x2</para></td><td><para>AP 要求</para></td></tr><tr><td><para>8</para></td><td><para>DC2</para></td><td><para>DC1</para></td><td><para>MSRPC</para></td><td><para>MSRPC:c / o 變更續回應︰ 通話 = 0x2 關聯群組 = 0x9E62 傳輸 = 0x16D0 接收 = 0x16D0</para></td><td><para>AP 回應</para></td></tr></tbody></table><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>顯示進一步 7 畫面上的資料</para></td><td><para>顯示進一步框架 8 上的資料</para></td><td><para>回應</para></td></tr></thead><tbody><tr><td><para>MSRPC MSRPC:c / o 變更續: {E3514235-4B06-11D1-AB04-00C04FC2DCD2} UUID DRSR(DRSR) 通話 = 0x2</para></td><td><para>MSRPC:c / o 變更續回應︰ 通話 = 0x2 關聯群組 = 0xC3EA43 傳輸 = 0x16D0 接收 = 0x16D0</para></td><td><para>DC1 連接到 DC2 廣告複寫服務 DC2 上傳回 EPM 連接埠。 </para></td></tr><tr><td><para>Ipv4: Src = x.x.x.245,目的地 = x.x.x.35 下, 一步通訊協定 = TCP、封包 ID =、總共 IP 長度 = 0</para></td><td><para>Ipv4: Src = x.x.x.35,目的地 = x.x.x.245 下, 一步通訊協定的 = TCP、封包 ID = 31546,總共 IP 長度 = 278</para></td><td><para>檢查該廣告複寫來源俠 (稱為「here 1 欄中的「目的地「電腦」和「2 欄中的「Src「電腦」擁有 ' 引用追蹤 (在本範例 x.x.x.35) 中的 IP 位址。</para></td></tr><tr><td><para>恐怖︰ 領域︰ CONTOSO.COM,Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com</para></td><td><para>錯誤碼︰ KRB_AP_ERR_MODIFIED (41) </para><para> 領域︰<確認來源俠傳回這個領域符合適合目的地俠 Kerberos 領域>。 </para><para> Sname:<確認 sName AP 回應相符項目中的包含的預期的來源俠主機並不另一個俠目的地錯誤解析至因為不正確的名稱為 ip 對應的問題。</para></td><td><para>在 1 欄位中,請目標 Kerberos 領域領域注意」contoso.com」後面來源所組成 Active Directory 複製服務與物件 GUID 來源的網域控制站 NTDS 設定物件連接 UUID (E351) 的網域控制站複寫 SPN (」Sname」)。<ph id="t16">< 月段落 > < 段落 ></ph>「引導式值」6f3f96d3-dfbf-4daf-9236-4d6da6909dd2」E351...右邊複寫服務 UUID 是物件 GUID 來源的網域控制站 NTDS 設定物件目前定義的目的 Active Directory 的網域控制站複本。 確認 GUID 這個物件符合」DSA 物件 GUID] 欄位中的值從俠來源的「主控台執行」repadmin 進行」時)。<ph id="t17">< 月段落 > < 段落 ></ph>Ping 或 nslookup 來源的網域控制站完整 CNAME 連接與「_msdcs。<森林根 DNS 名稱>「自主機目的地的俠必須回復來源 Dc 目前的 IP 位址︰<ph id="t18">< / 段落 > < 代碼 > ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com < / 程式碼 > < 代碼 > nslookup-類型 = cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.與長期; 根網域與 gt; 與長期樹系; DNS 伺服器 IP 與 gt; < / 程式碼 > < 段落 ></ph>回覆顯示 2] 欄位中專注於「Sname] 欄位,並確認它包含主機廣告複寫來源俠的名稱。<ph id="t19">< / 段落 > < 段落 ></ph>錯誤名稱-TO-IP 對應<placeholder>無法</placeholder>會造成連接到 DC 造成領域值完全不正確的目標領域中會顯示在本案例中不正確的目的地俠。 錯誤主機-TO-IP 對應可能會造成連接到 DC3 在相同的網域此時將仍然 KRB_AP_ERR_MODIFIED DC1 但符合框架 7 領域領域名稱框架 8 中。</para></td></tr></tbody></table><para><embeddedlabel>(而不使用網路追蹤)IP 對應驗證名稱<ph id="t20">< / embeddedLabel > < / 段落 > < 段落 ></ph>從俠來源的「主控台︰</embeddedlabel></para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>命令</para></td><td><para>意見</para></td></tr></thead><tbody><tr><td><para>IPCONFIG//ALL |更多</para></td><td><para>請注意 NIC 目的地 Dc 所使用之 IP 位址。</para></td></tr><tr><td><para>REPADMIN /SHOWREPS |更多</para></td><td><para>記下」DSA 物件 GUID「這表示物件 GUID 來源的俠 NTDS 設定物件 Active Directory 來源的俠複本的值。</para></td></tr></tbody></table><para>從目標 DC 主機︰</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>命令</para></td><td><para>意見</para></td></tr></thead><tbody><tr><td><para>IPCONFIG//ALL |更多</para></td><td><para>注意的主要次要和任何設定目標 DC 無法查詢 DNS 對應期間的第三個 DNS 伺服器。</para></td></tr><tr><td><para>REPADMIN /SHOWREPS |更多</para></td><td><para>在 [repadmin 輸出」輸入鄰居] 區段中,尋找複寫狀態目的地俠複製常見的磁碟分割的來源 DC 有問題的位置。 </para><para> 「DSA」物件 GUID」列出的來源俠報告複寫狀態一節中應該符合 GUID 列中的物件 /showreps 標題 DC 來源的在主機上執行時。</para></td></tr><tr><td><para>IPCONFIG /FLUSHDNS</para></td><td><para>清除 DNS Client 快取。</para></td></tr><tr><td><para>開始->執行->記事本 %systemroot%\system32\drivers\etc\hosts</para></td><td><para>檢查有主機 IP 對應參考來源 Dc 單一標籤或 DNS 的完整的名稱。 如果有的話,移除。 儲存對主機檔案。 </para><para> 執行「Nbtstat R」(大寫 [R])重新整理 NetBIOS 名稱快取。</para></td></tr><tr><td><para>NSLOOKUP-類型 = CNAME<物件 guid 來源網域控制站 NTDS 設定物件>._msdcs。<森林根 DNS 名稱><主要 DNS 伺服器 IP </para><para> 重複上目的地俠設定每個其他 DNS 伺服器 IP。 </para><para> 範例︰ </para><code>c:&gt;nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103</code></td><td><para>請確認 IP 傳回的符合的目標俠上列從俠來源的「主控台先前建立的 IP 位址。 </para><para> 重複所有 DNS 伺服器 IPs 目的地俠設定。 </para></td></tr><tr><td><para>nslookup-類型 = A + AAAA<來源俠 FQDN><DNS 伺服器 IP></para></td><td><para>檢查有重複主機"A"記錄所有 DNS 伺服器 ip 俠目的設定。</para></td></tr><tr><td><para>nbtstat- <nslookup 傳回的 DNS 伺服器的 IP 位址></para></td><td><para>應該會傳回來源俠的名稱。</para></td></tr></tbody></table><para>注意︰ 複寫要求導向非 DC(因為不良的名稱為 TO-IP 地圖)或不目前已 E351...俠 UUID 註冊 endpoint 對應程式與服務都會返回錯誤 1753 年︰ 有提供 endpoint 對應的更多結束點。<ph id="t1">< 月段落 > < 月 listItem > < listItem > < 段落 > < embeddedLabel ></ph>Kerberos 目標無法解密 Kerberos 驗證資料,因為密碼不符<ph id="t2">< / embeddedLabel > < / 段落 > < 段落 ></ph>如果金鑰發行中心」和「Active directory 來源俠複製不同的俠來源的密碼,就可能發生這種。 可能過時,如果它不使用本身金鑰發行中心為俠來源電腦密碼的目的地俠的複本。 </para><para>複寫失敗可防止 Dc 目前的密碼值的網域控制站在特定的網域。 </para><para>每個的網域控制站執行他們的網域領域 KDC 服務。 同一個領域交易,目標 DC<placeholder>偏袒</placeholder>取得 Kerberos 從本身門票,但可能會從遠端 DC 取得恐怖。 若要從其他領域取得 Kerberos 門票可用轉介。 </para><para>快速找出 Kerberos client 的目標哪些 KDC,公開提高權限的命令提示字元中,並執行下列命令快 SEC_E_WRONG_PRINCIPAL 錯誤就會出現。<ph id="t3">< / 段落 > < 代碼 > NLTEST /DSGETDC︰ 與長期; DNS 網域的使用量目標的網域。/kdc < / 程式碼 > < 段落 ></ph>判斷俠 Kerberos client 取得從恐怖所要執行網路追蹤明確的方式。 出缺少「Kerberos 交通網路追蹤中可能尚未取得門票 Kerberos client,、已取得的門票關閉--花朵本身或網路追蹤應用程式會不正確剖析 Kerberos 傳輸。<ph id="t4">< / 段落 > < 段落 ></ph>適用於登 Kerberos 門票使用者以來您可以清除使用「KLIST 清除」的命令提示字元系統管理員權限。<ph id="t5">< 月段落 > < 段落 ></ph>系統帳號 Active Directory 複寫所使用的 Kerberos 門票可以清除<placeholder>不</placeholder>使用「KLIST li 0x3e7 清除」重新開機。<ph id="t6">< 月段落 > < 段落 ></ph>Dc 可使用其他網域控制站在本機或遠端 DC 停止 KDC 服務。<ph id="t7">< / 段落 > < 段落 ></ph>使用 REPADIN /SHOWOBJMETA 檢查明顯的版本號碼密碼相關屬性不同 (dBCSPwd,UnicodePWD、NtPwdHistory PwdLastSet,lmPwdHistory) Active Directory<ph id="t8">來源俠和目的地 DC 的備份 < 月段落 > < 代碼 > C:\ 使用量; repadmin /showobjmeta & 長期; 來源使用量俠;與長期; DN 路徑使用量俠來源電腦以來; < / 程式碼 > < 代碼 > C:\ 使用量; repadmin /showobjmeta & 長期;根據使用量目的地俠; 選取 KDC 與長期; DN 路徑使用量俠來源電腦以來; < / 程式碼 > < 段落 ></ph>重設電腦帳號俠的密碼,請執行下列命令於提升權限的命令提示字元中︰ </para><code>netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password></code>
詳細資訊
步驟會發生的來源不良主機 IP 對應造成目標俠重現<ph id="t9">< / 標題 > < content > < 列出課程 =」訂購」> < listItem > < 段落 ></ph>升級 dc1 + DC2 + DC3 contoso.com 網域中的。 不會發生錯誤,會 End-to-end 複寫。<ph id="t10">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>停止 DC1 和 DC2 強迫可在 [網路追蹤觀察關閉方塊 Kerberos 交通金鑰發行中心。 End-to-end 複寫發生不會發生錯誤。<ph id="t11">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>建立主機檔案的項目 DC2 俠模擬 IP 地圖中的 [A] 到主機錯誤主機遠端森林中的 IP 位址指向 /」AAAA」記錄或或許過時 NTDS 設定物件 Active Directory 目的地俠的複本。<ph id="t12">< / 段落 > < / listItem > < listItem > < 段落 ></ph>開始 DC1 的「主控台 Active Directory 網站和服務。 以滑鼠右鍵按一下 DC1 的輸入的連接物件 DC2,並記下複製錯誤」目標帳號不正確的「。
來源俠密碼不符重現步驟 KDC 來源俠之間<ph id="t13">< / 標題 > < content > < 清單課程 =」訂購」> < listItem > < 段落 ></ph>升級 dc1 + DC2 + DC3 contoso.com 網域中的。 不會發生錯誤,會 End-to-end 複寫。<ph id="t10">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>停止 DC1 和 DC2 強迫可在 [網路追蹤觀察關閉方塊 Kerberos 交通金鑰發行中心。 End-to-end 複寫發生不會發生錯誤。<ph id="t14">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>停用輸入的複寫 KDC DC3 模擬金鑰發行中心複寫失敗。<ph id="t15">< / 段落 > < / listItem > < listItem > < 段落 ></ph>重設電腦以來上的密碼 DC2 三個或更多時間,讓 DC1 和 DC2 擁有 DC2 目前的密碼。<ph id="t16">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>開始 DC1 的「主控台 Active Directory 網站和服務。 從 DC2 DC1 的輸入的連接物件上按一下滑鼠右鍵,並注意複製錯誤」目標帳號不正確的「。
DS RPC client 登<ph id="t17">< / 標題 > < content > < 段落 ></ph>設定 NTDSDiagnostics LoggingsDS RPC Client = 3。 觸發複製。 尋找工作分類事件 1962 + 1963。 請注意"directory 服務] 欄位中引用完整的 cname。 目的地俠應該可以 ping 這個記錄,並在地圖上尋找目前 IP 位址的來源俠傳回地址。
Kerberos 流程<ph id="t18">< / 標題 > < content > < 段落 ></ph>流程<ph id="t19">< / 段落 > < 清單課程 =」訂購」> < listItem > < 段落 ></ph>Client 電腦 jordana 來電<externallink><linktext>IntializeSecurityContext</linktext><linkuri><a href="http://msdn.microsoft.com/en-us/library/aa375506(VS.85).aspx">http://msdn.microsoft.com/en-us/library/aa375506(VS.85).aspx</a></linkuri></externallink>,並在指定交涉安全性支援提供者 (SSP)。<ph id="t20">< / 段落 > < / listItem > < listItem > < 段落 ></ph>Client 連絡人使用其 TGT 金鑰發行中心,以及要求目標俠 TGS 恐怖。<ph id="t21">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>金鑰發行中心搜尋目的地 Dc 領域通用來源(e351 或主機名稱)。<ph id="t22">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>如果目標俠目的地 Dc 領域中,金鑰發行中心傳遞 client 服務恐怖。<ph id="t23">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>如果目標俠的不同領域中,金鑰發行中心傳遞 client 推薦恐怖。<ph id="t24">< / 段落 > < / listItem > < listItem > < 段落 ></ph>Client 連絡人 KDC 要求服務恐怖目標 Dc 網域中。<ph id="t25">< / 段落 > < / listItem > < listItem > < 段落 ></ph>如果俠的來源 SPN 不存在領域中,您就會發生錯誤。<ph id="t26">< / 段落 > < / listItem > < listItem > < 段落 ></ph>目的地俠連絡人目標,並提出其恐怖。<ph id="t27">< / 段落 > < / listItem > < listItem > < 段落 ></ph>如果目標俠擁有恐怖中的名稱,才能將其解密可搭配使用的驗證。<ph id="t28">< 月段落 > < 月 listItem > < listItem > < 段落 ></ph>如果目標俠 RPC 伺服器服務 UUID,然後在 [網路 Kerberos 錯誤」KRB_AP_ERR_NOT_US 或 KRB_AP_ERR_MODIFIED 重新-2146893022 小數點對應 / 0x80090322 日 SEC_E_WRONG_PRINCIPAL /」目標主體名稱不正確的」。<ph id="t29">< / 段落 > < / listItem > < / 清單 > < 段落 ></ph>查看<externallink><linktext>Kerberos 錯誤疑難排解</linktext><linkuri><a href="http://www.microsoft.com/download/en/details.aspx?displaylang=en&id">http://www.microsoft.com/download/en/details.aspx?displaylang=en&id</a> = 21820</linkuri></externallink>白色紙上一樣,如需詳細資訊
疑難排解失敗,錯誤-2146893022 Active Directory 操作︰ 不正確的主要目標名稱。< 日 linkText > < linkUri >http://support.microsoft.com/kb/2090913< / linkUri > < / externalLink > < externalLink > < linkText >Active Directory 複製型號的運作方式< / linkText > < linkUri >http://technet.microsoft.com/library/cc772726(WS.10).aspx< / linkUri > < / externalLink > < externalLink >< linkText >repsFrom,RepsFromhttp://msdn.microsoft.com/library/cc228409(PROT.13).aspx
© 2017 Microsoft