Partager via

Erreur de réplication Active Directory -2146893022 (0x80090322) : le nom du principal cible est incorrect

Cet article explique comment résoudre un problème dans lequel la réplication Active Directory échoue et génère une erreur (-2146893022 : le nom du principal cible est incorrect).

S’applique à : Windows Server (toutes les versions prises en charge)
Numéro de base de connaissances d’origine : 2090913

Note

Utilisateurs à domicile : cet article est destiné uniquement aux agents de support technique et aux professionnels de l’informatique. Si vous recherchez de l’aide sur un problème, demandez à la Communauté Microsoft.

Résumé

Cette erreur se produit lorsque le contrôleur de domaine source ne déchiffre pas le ticket de service fourni par le contrôleur de domaine de destination (cible). Le contrôleur de domaine de destination est le contrôleur de domaine qui demande des modifications.

Cause principale

Le contrôleur de domaine de destination reçoit un ticket de service à partir d’un centre de distribution de clés Kerberos (KDC). Et le KDC a une ancienne version du mot de passe pour le contrôleur de domaine source.

Résolution supérieure

  1. Désactivez le service KDC sur le contrôleur de domaine de destination. Pour ce faire, exécutez l’une des commandes suivantes :

    • Invite de commandes

      sc config KDC start=Disabled

    • PowerShell

      Set-Service -Name KDC -StartupType Disabled

  2. Redémarrez le contrôleur de domaine.

  3. Démarrez la réplication sur le contrôleur de domaine de destination à partir du contrôleur de domaine source. Utilisez les sites et services AD ou Repadmin.

    Utilisation de repadmin:

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    Par exemple, si la réplication échoueContosoDC2.contoso.com, exécutez la commande suivante :ContosoDC1.contoso.com

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  4. Définissez le service KDC sur le contrôleur de domaine de destination sur Automatique en exécutant l’une des commandes suivantes :

    • Invite de commandes

      sc config KDC start=auto

    • PowerShell

      Set-Service -Name KDC -StartupType Auto

  5. Démarrez le service KDC sur le contrôleur de domaine de destination en exécutant l’une des commandes suivantes :

    • Invite de commandes

      net start KDC

    • PowerShell

      Start-Service -Name KDC

S’il ne résout pas le problème, consultez la section Résolution d’une autre solution dans laquelle vous utilisez la netdom resetpwd commande pour réinitialiser le mot de passe du compte d’ordinateur du contrôleur de domaine source. Si ces étapes ne résolvent pas le problème, passez en revue le reste de cet article.

Symptômes

Lorsque ce problème se produit, vous rencontrez un ou plusieurs des symptômes suivants :

  • DCDIAG signale que le test des réplications Active Directory a échoué et retourné une erreur -2146893022 : le nom du principal cible est incorrect.

    [Vérification des réplications,<Nom> du contrôleur de domaine] Une tentative de réplication récente a échoué :
    Du contrôleur de domaine> source au contrôleur de <domaine de <destination>
    Contexte de nommage : <chemin DN de la partition de répertoire>
    La réplication a généré une erreur (-2146893022) :
    Le principal nom cible est incorrect.
    L’échec s’est produit à l’heure de <la date<>>.
    La dernière réussite s’est produite à l’heure de <la date<>>.
    <Les échecs X> se sont produits depuis la dernière réussite.

  • Repadmin.exe signale qu’une tentative de réplication a échoué et signale un état de -2146893022 (0x80090322).

    Repadmin les commandes qui indiquent généralement l’état -2146893022 (0x80090322) incluent mais ne sont pas limitées aux commandes suivantes :

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      L’exemple de sortie à partir duquel REPADMIN /SHOWREPS REPADMIN /SYNCALL le nom du principal cible est incorrect est incorrect :

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • La commande répliquer maintenant dans Les sites et services Active Directory retourne le message d’erreur suivant :
    Le nom du principal cible est incorrect

    Cliquer avec le bouton droit sur l’objet de connexion à partir d’un contrôleur de domaine source, puis sélectionner répliquer échoue maintenant . Le message d’erreur à l’écran est le suivant :

    Texte du titre de la boîte de dialogue : Répliquer maintenant
    Texte du message de boîte de dialogue : L’erreur suivante s’est produite lors de la tentative de contact avec le nom> du contrôleur de domaine source du contrôleur <de domaine :
    Le nom du principal cible est incorrect
    Boutons dans la boîte de dialogue : OK

    • NTDS Knowledge Consistency Checker (KCC), NTDS General ou Microsoft-Windows-ActiveDirectory_DomainService événements qui ont l’état -2146893022 sont consignés dans le journal des événements du service d’annuaire.

      Les événements Active Directory qui citent généralement l’état -2146893022 incluent, mais ne sont pas limités aux événements suivants :

      Source de l'événement ID d'événement Chaîne d’événement
      Réplication NTDS 1586 Le point de contrôle de réplication Windows NT 4.0 ou antérieur avec le maître de l’émulateur PDC a échoué.

      Une synchronisation complète de la base de données SAM (Security Accounts Manager) aux contrôleurs de domaine exécutant Windows NT 4.0 et versions antérieures peut avoir lieu si le rôle principal de l’émulateur PDC est transféré vers le contrôleur de domaine local avant le prochain point de contrôle réussi.
      NTDS KCC 1925 Échec de la tentative d’établissement d’un lien de réplication pour la partition d’annuaire accessible en écriture suivante.
      NTDS KCC 1308 Le vérificateur de cohérence des connaissances (KCC) a détecté que les tentatives successives de réplication avec le contrôleur de domaine suivant ont échoué constamment.
      Microsoft-Windows-ActiveDirectory_DomainService 19:26 La tentative d’établissement d’un lien de réplication vers une partition de répertoire en lecture seule avec les paramètres suivants a échoué
      Messagerie inters sites NTDS 1,373 Le service de messagerie intersite n’a pas pu recevoir de messages pour le service suivant via le transport suivant. Échec de la requête pour les messages.

Cause

Le code d’erreur -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL n’est pas une erreur Active Directory. Il peut être retourné par les composants de couche inférieure suivants pour différentes causes racines :

  • RPC
  • Kerberos
  • SSL
  • LSA
  • NTLM

Les erreurs Kerberos mappées par le code Windows à -2146893022\0x80090322 SEC_E_WRONG_PRINCIPAL\ sont les suivantes :

  • KRB_AP_ERR_MODIFIED (0x29/41 décimales/KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h/36 décimal/"Ticket et authentificateur ne correspondent pas »)
  • KRB_AP_ERR_NOT_US (0x23h/35 décimal/"Le ticket n’est pas pour nous »)

Voici quelques causes racines spécifiques pour -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL :

  • Mappage nom à IP incorrect dans le fichier DNS, WINS, HOST ou LMHOST. Il a provoqué la connexion du contrôleur de domaine de destination au contrôleur de domaine source incorrect dans un autre domaine Kerberos.

  • Le contrôleur de domaine KDC et le contrôleur de domaine source ont différentes versions du mot de passe du compte d’ordinateur du contrôleur de domaine source. Par conséquent, l’ordinateur cible Kerberos (contrôleur de domaine source) n’a pas pu déchiffrer les données d’authentification Kerberos envoyées par le client Kerberos (contrôleur de domaine de destination).

  • Le contrôleur de domaine principal n’a pas trouvé de domaine à rechercher le SPN du contrôleur de domaine source.

  • Les données d’authentification dans des trames chiffrées Kerberos ont été modifiées par le matériel (y compris les appareils réseau), les logiciels ou un attaquant.

Résolution

  • Exécuter dcdiag /test:checksecurityerror sur le contrôleur de domaine source

    Les spN peuvent être manquants, non valides ou dupliqués en raison d’une latence de réplication simple, en particulier en suivant la promotion ou les échecs de réplication.

    Les spN dupliqués peuvent provoquer un nom de principal principal de service incorrect pour nommer des mappages.

    DCDIAG /TEST:CheckSecurityError peut rechercher des noms de principal de service manquants ou dupliqués et d’autres erreurs.

    Exécutez cette commande sur la console de tous les contrôleurs de domaine sources qui échouent la réplication sortante avec l’erreur SEC_E_WRONG_PRINCIPAL.

    Vous pouvez vérifier l’inscription spN sur un emplacement spécifique à l’aide de la syntaxe suivante :

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Vérifiez que le trafic réseau chiffré Kerberos a atteint la cible Kerberos prévue (mappage nom-à-IP)

    Examinez le cas suivant :

    • La réplication entrante des contrôleurs de domaine de destination Active Directory recherche leur copie locale du répertoire pour l’objectGUID des objets NTDS Settings des contrôleurs de domaine sources.

    • Les contrôleurs de domaine interrogent le serveur DNS actif pour obtenir un enregistrement CNAME GUIDÉ DC correspondant. Ensuite, il est mappé à un enregistrement A/AAAA hôte qui contient l’adresse IP du contrôleur de domaine source.

      Dans ce scénario, Active Directory exécute un secours de résolution de noms. Il inclut des requêtes pour les noms d’ordinateurs complets dans DNS ou les noms d’hôtes à étiquette unique dans WINS.

      Note

      Les serveurs DNS peuvent également effectuer des recherches WINS dans des scénarios de secours.

Les situations suivantes peuvent toutes entraîner l’envoi d’un trafic kerberos chiffré par Kerberos à la cible Kerberos incorrecte :

  • Objets NTDS Settings obsolètes
  • Mappages nom-à-IP incorrects dans les enregistrements d’hôte DNS et WINS
  • Entrées obsolètes dans les fichiers HOST

Pour vérifier cette condition, effectuez une trace réseau ou vérifiez manuellement que les requêtes de noms DNS/NetBIOS de nom sont résolues sur l’ordinateur cible prévu.

Méthode 1 : méthode de trace réseau (comme analysé par Network Monitor 3.3.1641 en ayant activé les analyseurs par défaut complets)

Le tableau suivant présente un résumé du trafic réseau qui se produit lorsque le trafic entrant dc1 de destination réplique l’annuaire Active Directory à partir de la source DC2.

F# SRC DEST Protocol Frame Commentaire
1 DC1 DC2 MSRPC MSRPC:c/o Request: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 Appel RPC dest DC à EPM sur le contrôleur de domaine source plus de 135
2 DC2 DC1 MSRPC Réponse MSRPC :c/o : inconnu Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 Réponse EPM à l’appelant RPC
3 DC1 DC2 MSRPC MSRPC :c/o Bind : UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 Demande de liaison RPC à E351... service UUID
4 DC2 DC1 MSRPC MSRPC :c/o Bind Ack : Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Réponse de liaison RPC
5 DC1 Contrôleur de domaine Kerberos (KDC) KerberosV5 KerberosV5 :Domaine de requête TGS : CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909d2/contoso.com Demande TGS pour le SPN de réplication du contrôleur de domaine source. Cette opération n’apparaît pas sur le fil du contrôleur de domaine de destination utilise elle-même comme KDC.
6 Contrôleur de domaine Kerberos (KDC) DC1 KerberosV5 KerberosV5 :TGS Response Cname : CONTOSO-DC1$ Réponse TGS au contrôleur de domaine de destination contoso-dc1. Cette opération n’apparaît pas sur le fil du contrôleur de domaine de destination utilise elle-même comme KDC.
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Requête AP
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Réponse AP.
Extraction sur frame 7 Extraction sur frame 8 Commentaires
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 se connecte au service de réplication AD sur DC2 sur le port retourné par le module EPM sur DC2.
Ipv4 : Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0 Ipv4 : Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278 Vérifiez que le contrôleur de domaine source de réplication AD (appelé Dest ordinateur dans la première colonne et l’ordinateur Src de la colonne 2 possède l’adresse IP mentionnée dans la trace). C’est x.x.x.35 dans cet exemple.
Ticket : Realm : , Sname: CONTOSO.COME3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode : KRB_AP_ERR_MODIFIED (41)

Domaine : <vérifiez que le domaine retourné par le contrôleur de domaine source correspond au domaine Kerberos prévu par le contrôleur> de domaine de destination.

Sname:<vérifiez que les sName correspondances dans la réponse AP contiennent le nom d’hôte du contrôleur de domaine source prévu et non un autre contrôleur de domaine auquel la destination a été correctement résolue en raison d’un problème> de mappage nom-à-ip incorrect.		 Dans la colonne 1, notez le domaine du domaine Kerberos cible, suivi contoso.com du SPN de réplication des contrôleurs de domaine source (Sname) qui se compose de l’UUID du service de réplication Active Directory (E351...) concaténé avec le GUID d’objet des contrôleurs de domaine sources de l’objet Paramètres NTDS.

Valeur GUIDÉE 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 à droite de l’E351... le service de réplication UUID est le GUID d’objet pour l’objet de paramètres NTDS des contrôleurs de domaine sources. Il est actuellement défini dans la copie des contrôleurs de domaine de destination d’Active Directory. Vérifiez que ce GUID d’objet correspond à la valeur dans le champ GUID de l’objet DSA lorsqu’il repadmin /showreps est exécuté à partir de la console du contrôleur de domaine source.

nslookup Ou ping des contrôleurs de domaine sources complets CNAME concaténés with_msdcs.<le nom> DNS racine de forêt à partir de la console du contrôleur de domaine de destination doit retourner l’adresse IP actuelle des contrôleurs de domaine sources :

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

Dans la réponse affichée dans la colonne 2, concentrez-vous sur le Sname champ et vérifiez qu’il contient le nom d’hôte du contrôleur de domaine source de réplication AD.

Les mappages nom à IP incorrects peuvent entraîner la connexion du contrôleur de domaine de destination à un contrôleur de domaine dans un domaine cible non valide, ce qui rend la valeur de domaine non valide, comme indiqué dans ce cas. Les mappages hôte à IP incorrects peuvent entraîner la connexion DC1 à DC3 dans le même domaine. Il générerait toujours KRB_AP_ERR_MODIFIED, mais le nom du domaine dans l’image 8 correspondrait au domaine dans l’image 7.

Méthode 2 : vérification du mappage nom-à-IP (sans utiliser de trace réseau)

À partir de la console du contrôleur de domaine source :

Commande Commentaire
IPCONFIG /ALL |MORE Notez l’adresse IP de la carte réseau utilisée par les contrôleurs de domaine de destination
REPADMIN /SHOWREPS |MORE Valeur de l’objet DSA. Il désigne le GUID de l’objet pour l’objet paramètres NTDS des contrôleurs de domaine source dans la copie des contrôleurs de domaine sources d’Active Directory.

À partir de la console du contrôleur de domaine de destination :

Commande Commentaire
IPCONFIG /ALL |MORE Notez que les serveurs DNS principaux, secondaires et tertiaires configurés que le contrôleur de domaine de destination pouvait interroger pendant les recherches DNS.
REPADMIN /SHOWREPS |MORE Dans la section Voisins entrants de la repadmin sortie, recherchez l’état de réplication où le contrôleur de domaine de destination réplique une partition commune à partir du contrôleur de domaine source en question.

Le GUID d’objet DSA répertorié pour le contrôleur de domaine source dans la section état de réplication du rapport doit correspondre au GUID d’objet répertorié dans l’en-tête lors de l’exécution /showreps sur la console du contrôleur de domaine source.
IPCONFIG /FLUSHDNS Effacer le cache du client DNS
Démarrer>le Bloc-notes Exécuter>
%systemroot%\system32\drivers\etc\hosts		 Recherchez les mappages host-to-IP référençant l’étiquette unique des contrôleurs de domaine source ou le nom DNS complet. Supprimez le cas échéant. Enregistrez les modifications apportées au fichier HOST.

Exécutez Nbtstat -R (majuscule R) pour actualiser le cache de noms NetBIOS.
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

Répétez pour chaque adresse IP de serveur DNS supplémentaire configurée sur le contrôleur de domaine de destination.

Exemple : c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 Vérifiez que l’adresse IP retournée correspond à l’adresse IP du contrôleur de domaine cible répertorié ci-dessus enregistrée à partir de la console du contrôleur de domaine source.

Répétez pour toutes les adresses IP de serveurs DNS configurées sur le contrôleur de domaine de destination.
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> Recherchez les enregistrements A de l’hôte en double sur toutes les adresses IP du serveur DNS configurées sur le contrôleur de domaine de destination.
nbtstat -A <IP address of DNS Server IP returned by nslookup> Doit retourner le nom du contrôleur de domaine source.

Note

Demande de réplication dirigée vers un contrôleur de domaine non-domaine (en raison d’un mappage nom-à-IP incorrect) ou d’un contrôleur de domaine qui n’a pas actuellement l’E351... service UUID inscrit auprès du mappeur de point de terminaison retourne l’erreur 1753 : il n’y a plus de points de terminaison disponibles avec le mappeur de point de terminaison.

La cible Kerberos ne peut pas déchiffrer les données authentifiées Kerberos en raison d’une incompatibilité de mot de passe.

Ce problème peut se produire si le mot de passe du contrôleur de domaine source diffère entre la copie du contrôleur de domaine source et la copie du contrôleur de domaine source du répertoire Active Directory. La copie du contrôleur de domaine de destination du mot de passe du compte d’ordinateur du contrôleur de domaine source peut être obsolète si elle n’est pas utilisée comme KDC.

Les échecs de réplication peuvent empêcher les contrôleurs de domaine d’avoir une valeur de mot de passe actuelle pour les contrôleurs de domaine dans un domaine donné.

Chaque contrôleur de domaine exécute le service KDC pour son domaine de domaine. Pour les mêmes transactions de domaine, un contrôleur de domaine de destination favorise l’obtention de tickets Kerberos à partir de lui-même. Toutefois, il peut obtenir un ticket à partir d’un contrôleur de domaine distant. Les références sont utilisées pour obtenir des tickets Kerberos à partir d’autres domaines.

La NLTEST /DSGETDC:<DNS domain of target domain> /kdc commande exécutée à une invite de commandes avec élévation de privilèges dans le temps proche d’une erreur SEC_E_WRONG_PRINCIPAL peut être utilisée pour identifier rapidement le KDC qu’un client Kerberos cible.

La façon définitive de déterminer le contrôleur de domaine à partir duquel un client Kerberos a obtenu un ticket consiste à effectuer une trace réseau. Le manque de trafic Kerberos dans une trace réseau peut indiquer :

  • Le client Kerberos a déjà acquis des tickets.
  • C’est obtenir des billets hors fil de lui-même.
  • Votre application de suivi réseau n’analyse pas correctement le trafic Kerberos.

Les tickets Kerberos pour le compte d’utilisateur connecté peuvent être vidés à l’aide de la KLIST purge commande avec élévation de privilèges.

Les tickets Kerberos pour le compte système utilisé par la réplication Active Directory peuvent être purgés sans redémarrage à l’aide KLIST -li 0x3e7 purgede .

Les contrôleurs de domaine peuvent être utilisés pour utiliser d’autres contrôleurs de domaine en arrêtant le service KDC sur un contrôleur de domaine local ou distant.

Permet REPADMIN /SHOWOBJMETA de vérifier les différences évidentes de numéro de version dans les attributs liés au mot de passe (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) pour le contrôleur de domaine source dans la copie du contrôleur de domaine source et de la copie du contrôleur de domaine de destination du répertoire Active Directory.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

La commande netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> exécutée à une invite de commandes avec élévation de privilèges sur la console du contrôleur de domaine nécessitant une réinitialisation de mot de passe peut être utilisée pour réinitialiser les mots de passe du compte d’ordinateur du contrôleur de domaine.

Résoudre les problèmes de scénarios spécifiques

  • Les étapes de reproduction pour le mappage hôte à IP incorrect qui entraîne l’extraction du contrôleur de domaine de destination à partir d’une source incorrecte.

    1. Promouvoir \\dc1 + \\DC2 + \\DC3 dans le contoso.com domaine. La réplication de bout en bout se produit sans erreur.

    2. Arrêtez le KDC sur \\DC1 et \\DC2 pour forcer le trafic Kerberos désactivé qui peut être observé dans une trace réseau. La réplication de bout en bout se produit sans erreur.

    3. Créez une entrée de fichier hôte pour \\DC2 qui pointe vers l’adresse IP d’un contrôleur de domaine dans une forêt distante. Il s’agit de simuler un mappage hôte à IP incorrect dans un enregistrement A/AAAA hôte, ou peut-être un objet NTDS Settings obsolète dans la copie du contrôleur de domaine de destination de l’annuaire Active Directory.

    4. Démarrez les sites et services Active Directory sur la console \\DC1. Cliquez avec le bouton droit sur l’objet de connexion entrante de \\DC1 à partir de \\DC2 et notez que le nom du compte cible est une erreur de réplication incorrecte .

  • Étapes de reprovisionnement d’une incompatibilité de mot de passe du contrôleur de domaine source entre KDC et le contrôleur de domaine source.

    1. Promouvoir \\dc1 + \\DC2 + \\DC3 dans le contoso.com domaine. La réplication de bout en bout se produit sans erreur.

    2. Arrêtez le KDC sur \\DC1 et \\DC2 pour forcer le trafic Kerberos désactivé qui peut être observé dans la trace réseau. La réplication de bout en bout se produit sans erreur.

    3. Désactivation de la réplication entrante sur KDC \\DC3 pour simuler un échec de réplication sur le KDC.

    4. Réinitialisez le mot de passe du compte d’ordinateur sur \\DC2 trois fois ou plus afin que \\DC1 et \\DC2 aient tous les deux le mot de passe actuel pour \\DC2.

    5. Démarrez les sites et services Active Directory sur la console \\DC1. Cliquez avec le bouton droit sur l’objet de connexion entrante de \\DC1 à partir de \\DC2 et notez que le nom du compte cible est une erreur de réplication incorrecte .

  • Journalisation du client RPC DS

    Définissez NTDS\Diagnostics Loggings\DS RPC Client = 3. Déclencher la réplication. Recherchez l’événement de catégorie de tâche 1962 + 1963. Notez le qualifié cname complet répertorié dans le champ du service d’annuaire. Le contrôleur de domaine de destination doit pouvoir effectuer un test ping sur cet enregistrement et avoir le mappage d’adresses retourné à l’adresse IP actuelle du contrôleur de domaine source.

  • Flux de travail Kerberos

    Le flux de travail Kerberos inclut les actions suivantes :

    • L’ordinateur client appelle la fonction IntializeSecurityContext et spécifie le fournisseur de support de sécurité Negotiate (SSP).

    • Le client contacte le KDC avec son TGT et demande un ticket TGS pour le contrôleur de domaine cible.

    • Le KDC recherche dans le catalogue global une source (e351 ou nom d’hôte) dans le domaine du contrôleur de domaine de destination.

    • Si le contrôleur de domaine cible se trouve dans le domaine du contrôleur de domaine de destination, le KDC fournit au client un ticket de service.

    • Si le contrôleur de domaine cible se trouve dans un autre domaine, le KDC fournit au client un ticket de référence.

    • Le client contacte un KDC dans le domaine du contrôleur de domaine cible et demande un ticket de service.

    • Si le SPN du contrôleur de domaine source n’existe pas dans le domaine, vous recevez une erreur KDC_ERR_S_PRINCIPAL_UNKNOWN .

    • Le contrôleur de domaine de destination contacte la cible et présente son ticket.

    • Si le contrôleur de domaine cible possède le nom dans le ticket et peut le déchiffrer, l’authentification fonctionne.

    • Si le contrôleur de domaine cible héberge l’UUID du service de serveur RPC, l’erreur Kerberos sur câble KRB_AP_ERR_NOT_US ou KRB_AP_ERR_MODIFIED est réapplique à la suivante :

      -2146893022 décimale / 0x80090322 / SEC_E_WRONG_PRINCIPAL / « Le nom du principal cible est incorrect »

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.