Error de replicación de Active Directory 1396: Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto

2025-01-15

En este artículo se describen los síntomas, la causa y la resolución para resolver errores de replicación de Active Directory con el error 1396 de Win32.

Número de KB original: 2183411

Síntomas

En este artículo se describen los síntomas, la causa y la resolución para resolver errores de replicación de Active Directory con el error 1396 de Win32:

Error de inicio de sesión: el nombre de cuenta destino es incorrecto.

DCDIAG informa de que las replicaciones de Active Directory no se pudieron realizar con el error 1396:

Error de inicio de sesión: el nombre de cuenta destino es incorrecto.

Servidor de pruebas: <nombre del controlador de dominio del nombre><del sitio>
Prueba inicial: Replicaciones
[Comprobación de replicaciones,<Nombre> del controlador de dominio] Error en un intento de replicación reciente:
Desde el controlador de dominio> de <origen hasta el <controlador de dominio de destino>
Contexto de nomenclatura: ruta de acceso CN=<DN del contexto de nomenclatura>
La replicación generó un error (1396):
Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto.
Error en <la fecha><y hora>.
El último éxito se produjo en la <fecha><y hora>.
Se han producido errores XX desde el último éxito
REPADMIN.EXE informa de que se produjo un error en el intento de replicación con el estado 1396.

Los comandos REPADMIN que suelen citar el estado 1396 incluyen, pero no están limitados a:
- REPADMIN /ADD
- REPADMIN /REPLSUM*
- REPADMIN /REHOST
- REPADMIN /SHOWVECTOR /LATENCY
- REPADMIN /SHOWREPS
- REPADMIN /SHOWREPL
- REPADMIN /SYNCALL
Salida de ejemplo de la representación de REPADMIN /SHOWREPS la replicación entrante de CONTOSO-DC2 a CONTOSO-DC1 con error de inicio de sesión: el nombre de la cuenta de destino es incorrecto :

Nombre de sitio predeterminado\CONTOSO-DC1
Opciones de DSA: IS_GC
Opciones del sitio: (ninguno)
GUID del objeto DSA: <GUID>
DSA invocationID: <invocationID>

==== ====================================== VECINOS ENTRANTES

DC=contoso,DC=com
Nombre de sitio predeterminado\CONTOSO-DC2 a través de RPC
GUID del objeto DSA: <GUID>
Error en el último intento @ <fecha><y hora> , resultado 1396 (0x574):
Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto.
<#> errores consecutivos.
Última operación correcta @ <fecha><y hora>.
El comando replicar ahora en Sitios y servicios de Active Directory devuelve Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto.

Al hacer clic con el botón derecho en el objeto de conexión de un controlador de dominio de origen y elegir replicar ahora se produce un error de inicio de sesión: el nombre de la cuenta de destino es incorrecto. Se muestra el siguiente mensaje de error en pantalla:

Texto del título del cuadro de diálogo: Replicar ahora

Texto del mensaje de diálogo: se produjo el siguiente error durante el intento de sincronizar la ruta> de acceso DNS de la partición de contexto <de nomenclatura desde el controlador de dominio de origen del controlador <> de dominio al controlador de dominio <de destino:>

Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto.
Esta operación no continuará.

Botones en el cuadro de diálogo: Aceptar

Los eventos NT Directory Services (NTDS) Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con el estado 1396 se registran en el registro de eventos del servicio de directorio.

Los eventos de Active Directory que suelen citar el estado 1396 incluyen, pero no se limitan a:

Origen de eventos	Id. del evento	Cadena de evento
Microsoft-Windows-ActiveDirectory_DomainService	1125	El Asistente para la instalación de Servicios de dominio de Active Directory (Dcpromo) no pudo establecer la conexión con el controlador de dominio siguiente.
Replicación NTDS (este evento muestra el SPN de 3 partes)	1645	Active Directory no ha realizado una llamada de procedimiento remoto autenticado (RPC) a otro controlador de dominio porque el nombre de entidad de seguridad de servicio deseado (SPN) para el controlador de dominio de destino no está registrado en el controlador de dominio del Centro de distribución de claves (KDC) que resuelve el SPN.
Microsoft-Windows-ActiveDirectory_DomainService	1655	Servicios de dominio de Active Directory intentar comunicarse con el siguiente catálogo global y los intentos no se realizaron correctamente.
Microsoft-Windows-ActiveDirectory_DomainService	2847	El KCC ha localizado una conexión de replicación para el servicio de directorio de solo lectura local e intentó actualizarla de forma remota en la siguiente instancia de servicio de directorio. Error en la operación. Se volverá a intentar.
NTDS KCC	1925	Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
NTDS KCC	19:26	Error al intentar establecer un vínculo de replicación a una partición de directorio de solo lectura con los parámetros siguientes.
NETLOGON	5781	El servidor no puede registrar su nombre en DNS

Dcpromo produce un error en pantalla:

Error de instalación de Active Directory

Error en la operación porque:
El servicio de directorio no pudo crear el objeto de servidor para CN=NTDS Settings,CN=ServerBeingPromoted,CN=Servers,CN=Site,CN=Sites,CN=Configuration,DC=contoso,DC=com en el servidor ReplicationSourceDC.contoso.com. Asegúrese de que las credenciales de red proporcionadas tengan acceso suficiente para agregar una réplica.
"Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto".

OK (CORRECTO)

En este caso, los identificadores de evento 1645, 1168 y 1125 se registran en el servidor que se está promocionando.
Asignación de una unidad mediante net use
```
C:\>net use z: \\<server_name>\c$
```
Error del sistema 1396.
Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto.

En este caso, el servidor también registraba el identificador de evento 333 en el registro de eventos del sistema y el uso de SQL Server usaba una gran cantidad de memoria virtual.
La hora del controlador de dominio es incorrecta.
El KDC no se iniciará en un RODC después de una restauración de la cuenta krbtgt para el RODC, que se había eliminado. Después de la restauración mediante herramientas de restauración de terceros, aparece el error 1396.

El identificador de evento 1645 se registra en el RODC.
Dcdiag también informa de un error que no puede actualizar la cuenta rodC krbtgt.

Causa

Existen varias causas raíz. Entre las causas principales conocidas se incluyen las siguientes:

El SPN no existe en el catálogo global buscado por el KDC en nombre del cliente que intenta autenticarse mediante Kerberos.

En el contexto de la replicación de Active Directory, el cliente Kerberos es el controlador de dominio de destino. Es probable que el KDC que realiza la búsqueda de SPN sea el propio controlador de dominio de destino, pero podría ser un controlador de dominio remoto.
La cuenta de usuario o servicio que debe contener el nombre de entidad de seguridad de servicio que se busca no existe en el catálogo global buscado por el KDC en nombre del controlador de dominio de destino que intenta replicar.

En el contexto de la replicación de Active Directory, la cuenta de equipo de controlador de dominio de origen no existe en el catálogo global buscado por el controlador de dominio en nombre del controlador de dominio de destino que realiza la replicación entrante.
El controlador de dominio de destino carece de un secreto LSA para el dominio de controladores de dominio de origen.
El SPN que se busca existe en una cuenta de equipo diferente a la del controlador de dominio de origen.
En el caso de problemas en los que la replicación no se puede realizar con un RODC, es posible que se haya eliminado la cuenta KRBTGT específica de RODC.

Solución

Compruebe el registro de eventos del servicio de directorio en el controlador de dominio de destino para el evento de replicación NTDS 1645 y anote lo siguiente:

Nombre del controlador de dominio de destino
El SPN que se está buscando (E3514235-4B06-11D1-AB04-00C04FC2DCD2/<object guid para el dominio de destino o< objeto> NTDS de los DCs de origen>.<dominio tld>@<target>.<tld>
KDC que usa el controlador de dominio de destino
En la consola del KDC identificado en el paso 1, escriba nltest /dsgetdc:<forest root DNS domain name > /gc.

Ejecute la prueba del localizador NLTEST inmediatamente después de un intento de replicación que produce un error 1396 en el controlador de dominio de destino.

Esto debe identificar que gc en el que el KDC está realizando búsquedas de SPN.

El GC que busca el KDC también se puede capturar en el evento 1655 de Microsoft-Windows-ActiveDirectory_DomainService.
Busque el SPN detectado en el paso 1 del catálogo global detectado en el paso 2.
```
C:\>repadmin /showattr contoso-dc1 DC=corp,DC=contoso,dc=com <GC used by KDC> <DN path of forest root domain> /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)" /gc /subtree /atts:cn,serviceprincipalname
```
O bien,
```
C:\>dsquery * forestroot -scope subtree -filter "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/ff9872f4-663a-4e15-8246-51a251613b58*)" -attr * -s contoso-dc1.corp.contoso.com
```
Compruebe que el objeto host del SPN existe.

Compruebe la ruta de acceso de DN para el objeto host, incluido si el objeto es CNF/conflict mangled o reside en el contenedor perdido y encontrado.

Compruebe que el SPN de replicación de AD de los controladores de dominio de origen solo está registrado en la cuenta de equipo de los controladores de dominio de origen.

Si falta el SPN de replicación, determine si el controlador de dominio de origen ha registrado su SPN por sí mismo y si falta el SPN en el GC usado por el KDC debido a una latencia de replicación simple o a un error de replicación.
Compruebe el estado seguro del canal y el estado de confianza.

En esta tabla se enumeran otros síntomas, causas y resoluciones:

Síntoma	Causa	Solución
La hora del controlador de dominio es incorrecta.	El controlador de dominio es una máquina virtual que se estableció para sincronizar el tiempo con el host de VMware, provocando eventos 1925, 1645.	desactive la opción para sincronizar la hora del controlador de dominio virtual desde el host de VMware, de modo que pueda sincronizar el tiempo con el PDC.
Error de dcpromo con un error en pantalla: Error de instalación de Active Directory. Error en la operación porque: El servicio de directorio no pudo crear el objeto de servidor para CN=NTDS Settings,CN=ServerBeingPromoted, CN=Servers,CN=Site, CN=Sites,CN=Configuration,DC=contoso, DC=com en el servidor ReplicationSourceDC.contoso.com. Asegúrese de que las credenciales de red proporcionadas tienen acceso suficiente para agregar una réplica. Error de inicio de sesión: el nombre de la cuenta de destino es incorrecto. En este caso, los identificadores de evento 1645, 1168 y 1125 se registran en el servidor que se está promocionando.	Durante dcpromo, el SPN en el controlador de dominio auxiliar (el controlador de dominio de origen de replicación) no es válido.	Para el error dcpromo en el que el SPN del asistente no es válido, use SetSPN para crear un SPN nuevo en el controlador de dominio auxiliar, en formato GC/serverName.contoso.com

Más información

Otras causas son:

Durante dcpromo, el SPN en el controlador de dominio auxiliar (el controlador de dominio de origen de replicación) no es válido.
El controlador de dominio es una máquina virtual que se estableció para sincronizar el tiempo con el host de VMware, provocando eventos 1925, 1645.
Para el escenario específico de RODC en el que se elimina la cuenta KRBTGT: restaure autoritativamente la cuenta de KRBTGT_##### mediante NTDSUTIL y, a continuación, importe el archivo LDIFDE para corregir los backlinks. Como mínimo, el atributo msDS-KrbTgtLink del objeto de equipo rodC debe actualizarse para que apunte al DN de la cuenta restaurada.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.