Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i sintomi, la causa e la risoluzione per la risoluzione della replica di Active Directory con errore Win32 1396.
Numero KB originale: 2183411
Sintomi
Questo articolo descrive i sintomi, la causa e la risoluzione per la risoluzione dell'errore di replica di Active Directory con errore Win32 1396:
Errore di accesso: il nome dell'account di destinazione non è corretto.
DCDIAG segnala che le repliche di Active Directory non sono riuscite con errore 1396:
Errore di accesso: il nome dell'account di destinazione non è corretto.
Server di test: <nome del controller di dominio del nome><del sito>
Test iniziale: Repliche
[Verifica repliche,<>Nome controller di dominio] Tentativo di replica recente non riuscito:
Dal controller di dominio di <origine al <controller> di dominio di destinazione>
Contesto di denominazione: CN=<Percorso DN del contesto di denominazione>
La replica ha generato un errore (1396):
Errore di accesso: il nome dell'account di destinazione non è corretto.
L'errore si è verificato in data <e><ora>.
L'ultimo esito positivo si è verificato in data <><e ora.>
Xx errori si sono verificati dopo l'ultimo successoREPADMIN.EXE segnala che il tentativo di replica non è riuscito con stato 1396.
I comandi REPADMIN che in genere citono lo stato 1396 includono, ma non sono limitati a:
REPADMIN /ADDREPADMIN /REPLSUM*REPADMIN /REHOSTREPADMIN /SHOWVECTOR /LATENCYREPADMIN /SHOWREPSREPADMIN /SHOWREPLREPADMIN /SYNCALL
Output di esempio della
REPADMIN /SHOWREPSrappresentazione della replica in ingresso da CONTOSO-DC2 a CONTOSO-DC1 con errore di accesso: il nome dell'account di destinazione non è corretto :Default-First-Site-Name\CONTOSO-DC1
Opzioni DSA: IS_GC
Opzioni sito: (nessuno)
GUID dell'oggetto DSA: <GUID>
DSA invocationID: <invocationID>==== INBOUND NEIGHBORS ======================================
DC=contoso,DC=com
Default-First-Site-Name\CONTOSO-DC2 tramite RPC
GUID dell'oggetto DSA: <GUID>
Ultimo tentativo @ <data><non> riuscita, risultato 1396 (0x574):
Errore di accesso: il nome dell'account di destinazione non è corretto.
<#> errori consecutivi.
Ultima operazione riuscita @ <data><e ora>.Il comando replicate now in Siti e servizi di Active Directory restituisce Errore di accesso: il nome dell'account di destinazione non è corretto.
Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliere Replica non riesce con Errore di accesso: il nome dell'account di destinazione non è corretto. Viene visualizzato il seguente messaggio di errore sullo schermo:
Testo del titolo della finestra di dialogo: Replica ora
Testo del messaggio di dialogo: si è verificato l'errore seguente durante il tentativo di sincronizzare il percorso> DNS della partizione del contesto <di denominazione dal controller di dominio di> origine del controller <di dominio al controller di dominio di> destinazione del controller <di dominio:
Errore di accesso: il nome dell'account di destinazione non è corretto.
Questa operazione non continuerà.Pulsanti nella finestra di dialogo: OK
Gli eventi NTDS (NTDS) Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con lo stato 1396 vengono registrati nel registro eventi del servizio directory.
Gli eventi di Active Directory che in genere citono lo stato 1396 includono, ma non sono limitati a:
Origine evento ID evento Stringa dell'evento Microsoft-Windows-ActiveDirectory_DomainService 1125 L'installazione guidata Dominio di Active Directory Servizi (Dcpromo) non è riuscita a stabilire una connessione con il controller di dominio seguente. Replica NTDS (questo evento elenca il nome SPN in 3 parti) 1645 Active Directory non ha eseguito una chiamata di procedura remota autenticata (RPC) a un altro controller di dominio perché il nome dell'entità servizio (SPN) desiderato per il controller di dominio di destinazione non è registrato nel controller di dominio del Centro distribuzione chiavi (KDC) che risolve il nome SPN. Microsoft-Windows-ActiveDirectory_DomainService 1655 Dominio di Active Directory Services ha tentato di comunicare con il catalogo globale seguente e i tentativi non sono riusciti. Microsoft-Windows-ActiveDirectory_DomainService 2847 KCC ha individuato una connessione di replica per il servizio directory di sola lettura locale e ha tentato di aggiornarlo in remoto nell'istanza del servizio directory seguente. Operazione non riuscita. Verrà ritentata. NTDS KCC 1925 Non è riuscito il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile. NTDS KCC 1926 Il tentativo di stabilire un collegamento di replica per una partizione di directory di sola lettura con i seguenti parametri non è riusciti. NETLOGON 5781 Il server non può registrare il nome in DNS Dcpromo ha esito negativo con un errore sullo schermo:
Installazione di Active Directory non riuscita
L'operazione non è riuscita perché:
Impossibile creare l'oggetto server per CN=NTDS Settings,CN=ServerBeingPromoted,CN=Servers,CN=Site,CN=Sites,CN=Configuration,DC=contoso,DC=com nel server ReplicationSourceDC.contoso.com. Assicurarsi che le credenziali di rete fornite abbiano accesso sufficiente per aggiungere una replica.
"Errore di accesso: il nome dell'account di destinazione non è corretto".OK
In questo caso, gli ID evento 1645, 1168 e 1125 vengono registrati nel server promosso.
Eseguire il mapping di un'unità usando
net useC:\>net use z: \\<server_name>\c$Si è verificato l'errore di sistema 1396.
Errore di accesso: il nome dell'account di destinazione non è corretto.In questo caso, il server registrava anche l'ID evento 333 nel registro eventi di sistema e l'uso di SQL Server usava una quantità elevata di memoria virtuale.
L'ora del controller di dominio non è corretta.
Il KDC non verrà avviato in un controller di dominio di sola lettura dopo un ripristino dell'account krbtgt per il controller di dominio di sola lettura, che era stato eliminato. Dopo il ripristino con strumenti di ripristino di terze parti, viene visualizzato l'errore 1396.
L'ID evento 1645 viene registrato nel controller di dominio di sola lettura.
Dcdiag segnala anche un errore che non è in grado di aggiornare l'account krbtgt del controller di dominio di sola lettura.
Causa
Esistono più cause radice. Le cause radice note includono:
Il nome SPN non esiste nel catalogo globale cercato dal KDC per conto del client che tenta di eseguire l'autenticazione tramite Kerberos.
Nel contesto della replica di Active Directory, il client Kerberos è il controller di dominio di destinazione. Il KDC che esegue la ricerca SPN è probabilmente il controller di dominio di destinazione stesso, ma potrebbe essere un controller di dominio remoto.
L'account utente o del servizio che deve contenere il nome dell'entità servizio cercato non esiste nel catalogo globale cercato dal KDC per conto del controller di dominio di destinazione che tenta di replicare.
Nel contesto della replica di Active Directory, l'account computer del controller di dominio di origine non esiste nel catalogo globale cercato dal controller di dominio per conto del controller di dominio di destinazione che esegue la replica in ingresso.
Il controller di dominio di destinazione non dispone di un segreto LSA per il dominio dei controller di dominio di origine.
Il nome SPN cercato esiste in un account computer diverso rispetto al controller di dominio di origine.
Per i problemi in cui la replica non riesce a un controller di dominio di sola lettura, è possibile che l'account KRBTGT specifico del controller di dominio di sola lettura sia stato eliminato.
Risoluzione
Controllare il registro eventi del servizio directory nel controller di dominio di destinazione per l'evento di replica NTDS 1645 e tenere presente quanto segue:
Nome del controller di dominio di destinazione
SPN cercato (E3514235-4B06-11D1-AB04-00C04FC2DCD2/<guid oggetto per l'oggetto DCS NTDS Settings object>/<domain> di origine.<tld>@<dominio di destinazione>.<tld>
KDC usato dal controller di dominio di destinazioneDalla console del KDC identificato nel passaggio 1 digitare
nltest /dsgetdc:<forest root DNS domain name > /gc.Eseguire il test del localizzatore NLTEST subito dopo un tentativo di replica che ha esito negativo con l'errore 1396 nel controller di dominio di destinazione.
In questo modo è necessario identificare che il KDC sta eseguendo ricerche SPN.
L'GC cercato dal KDC può anche essere acquisito nell'evento Microsoft-Windows-ActiveDirectory_DomainService 1655.
Cercare il nome SPN individuato nel passaggio 1 del catalogo globale individuato nel passaggio 2.
C:\>repadmin /showattr contoso-dc1 DC=corp,DC=contoso,dc=com <GC used by KDC> <DN path of forest root domain> /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)" /gc /subtree /atts:cn,serviceprincipalnameO
C:\>dsquery * forestroot -scope subtree -filter "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/ff9872f4-663a-4e15-8246-51a251613b58*)" -attr * -s contoso-dc1.corp.contoso.comVerificare che l'oggetto host per il nome SPN esista.
Verificare il percorso DN per l'oggetto host, incluso se l'oggetto è CNF/mangled in conflitto o risiede nel contenitore perso e trovato.
Verificare che il nome SPN di replica di Active Directory controller di dominio di origine sia registrato solo nell'account computer dei controller di dominio di origine.
Se il nome SPN di replica non è presente, determinare se il controller di dominio di origine ha registrato il nome SPN con se stesso e se il nome SPN non è presente nell'GC usato dal KDC a causa di una latenza di replica semplice o di un errore di replica
Controllare l'integrità del canale sicuro e l'integrità dell'attendibilità.
Questa tabella elenca altri sintomi, cause e risoluzioni:
| Sintomo | Causa | Risoluzione |
|---|---|---|
| L'ora del controller di dominio non è corretta. | Il controller di dominio è una macchina virtuale impostata per sincronizzare l'ora con l'host VMware, ha causato eventi 1925, 1645. | deselezionata l'opzione per sincronizzare l'ora per il controller di dominio virtuale dall'host VMware, in modo che possa sincronizzare l'ora con il PDC. |
| Dcpromo ha esito negativo e viene visualizzato un errore sullo schermo: Installazione di Active Directory non riuscita. L'operazione non è riuscita perché: Impossibile creare l'oggetto server per CN=NTDS Settings,CN=ServerBeingPromoted, CN=Servers,CN=Site, CN=Sites,CN=Configuration,DC=contoso, DC=com nel server ReplicationSourceDC.contoso.com. Verificare che le credenziali di rete fornite abbiano accesso sufficiente per aggiungere una replica. Errore di accesso: il nome dell'account di destinazione non è corretto. In questo caso, gli ID evento 1645, 1168 e 1125 vengono registrati nel server promosso. |
Durante dcpromo, il nome SPN nel controller di dominio helper (il controller di dominio di origine della replica) non è valido. | Per l'errore dcpromo in cui il nome SPN del controller di dominio helper non è valido, usare SetSPN per creare un nuovo SPN nel controller di dominio helper nel formato GC/serverName.contoso.com |
Ulteriori informazioni
Altre cause includono:
Durante dcpromo, il nome SPN nel controller di dominio helper (il controller di dominio di origine della replica) non è valido.
Il controller di dominio è una macchina virtuale impostata per sincronizzare l'ora con l'host VMware, ha causato eventi 1925, 1645.
Per lo scenario specifico del controller di dominio di sola lettura in cui viene eliminato l'account KRBTGT: ripristinare in modo autorevole l'account KRBTGT_##### usando NTDSUTIL e quindi importare il file LDIFDE per correggere i backlink. Come minimo, l'attributo msDS-KrbTgtLink nell'oggetto computer del controller di dominio di sola lettura deve essere aggiornato in modo che punti al DN dell'account ripristinato.
Raccolta dei dati
Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.