Condividi tramite

Errore di replica di Active Directory -2146893022 (0x80090322): il nome dell'entità di destinazione non è corretto

Questo articolo descrive come risolvere un problema in cui la replica di Active Directory ha esito negativo e genera un errore (-2146893022: il nome dell'entità di destinazione non è corretto).

Si applica a: Windows Server (tutte le versioni supportate)
Numero KB originale: 2090913

Note

Utenti home: questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si sta cercando assistenza per un problema, rivolgersi alla community Microsoft.

Riepilogo

Questo errore si verifica quando il controller di dominio di origine non decrittografa il ticket di servizio fornito dal controller di dominio di destinazione (destinazione). Il controller di dominio di destinazione è il controller di dominio che richiede modifiche.

Causa principale

Il controller di dominio di destinazione riceve un ticket di servizio da un Centro distribuzione chiavi (KDC) Kerberos. E il KDC ha una versione precedente della password per il controller di dominio di origine.

Risoluzione superiore

  1. Disabilitare il servizio KDC nel controller di dominio di destinazione. A tale scopo, eseguire uno dei comandi seguenti:

    • Prompt dei comandi

      sc config KDC start=Disabled

    • PowerShell

      Set-Service -Name KDC -StartupType Disabled

  2. Riavviare il controller di dominio.

  3. Avviare la replica nel controller di dominio di destinazione dal controller di dominio di origine. Usare Siti e servizi di Active Directory o Repadmin.

    Utilizzo di repadmin:

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    Ad esempio, se la replica ha esito negativo in ContosoDC2.contoso.com, eseguire il comando seguente in ContosoDC1.contoso.com:

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  4. Impostare il servizio KDC sul controller di dominio di destinazione su Automatico eseguendo uno dei comandi seguenti:

    • Prompt dei comandi

      sc config KDC start=auto

    • PowerShell

      Set-Service -Name KDC -StartupType Auto

  5. Avviare il servizio KDC nel controller di dominio di destinazione eseguendo uno dei comandi seguenti:

    • Prompt dei comandi

      net start KDC

    • PowerShell

      Start-Service -Name KDC

Se non risolve il problema, vedere la sezione Risoluzione per una soluzione alternativa in cui si usa il netdom resetpwd comando per reimpostare la password dell'account computer del controller di dominio di origine. Se questi passaggi non risolvono il problema, vedere il resto di questo articolo.

Sintomi

Quando si verifica questo problema, si verificano uno o più dei sintomi seguenti:

  • DCDIAG segnala che il test delle repliche di Active Directory non è riuscito e ha restituito l'errore -2146893022: il nome dell'entità di destinazione non è corretto.

    [Verifica repliche,<>Nome controller di dominio] Tentativo di replica recente non riuscito:
    Dal controller di dominio di <origine al <controller> di dominio di destinazione>
    Contesto di denominazione: <percorso DN della partizione di directory>
    La replica ha generato un errore (-2146893022):
    "Nome principale di destinazione scorretto.
    L'errore si è verificato in data <e><ora>.
    L'ultimo esito positivo si è verificato in data <><e ora.>
    <Gli errori X> si sono verificati dopo l'ultimo esito positivo.

  • Repadmin.exe segnala che un tentativo di replica non è riuscito e segnala lo stato di -2146893022 (0x80090322).

    Repadmin I comandi che in genere indicano lo stato -2146893022 (0x80090322) includono, ma non sono limitati ai seguenti:

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      L'output di esempio di REPADMIN /SHOWREPS e REPADMIN /SYNCALL che indicano che il nome dell'entità di destinazione non è corretto è il seguente:

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • Il comando replicate now in Siti e servizi di Active Directory restituisce il messaggio di errore seguente:
    Il nome dell'entità di destinazione non è corretto

    Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e quindi selezionare Replica non riesce. Il messaggio di errore sullo schermo è il seguente:

    Testo del titolo della finestra di dialogo: Replica ora
    Testo del messaggio di dialogo: si è verificato l'errore seguente durante il tentativo di contattare il nome> del controller di dominio di origine del controller <di dominio:
    Il nome dell'entità di destinazione non è corretto
    Pulsanti nella finestra di dialogo: OK

    • Gli eventi NTDS Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con stato -2146893022 vengono registrati nel registro eventi del servizio directory.

      Gli eventi di Active Directory che in genere citono lo stato -2146893022 includono, ma non sono limitati a quelli seguenti:

      Origine evento ID evento Stringa evento
      Replica NTDS 1586 I checkpoint più recente di replica con il master dell'emulatore PDC Windows NT 4.0 non è riuscita.

      Una sincronizzazione completa del database sam (Security Accounts Manager) nei controller di dominio che eseguono Windows NT 4.0 e versioni precedenti potrebbe verificarsi se il ruolo master dell'emulatore PDC viene trasferito al controller di dominio locale prima del checkpoint successivo.
      NTDS KCC 1925 Non è riuscito il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile.
      NTDS KCC 1308 Il controllo di coerenza informazioni (KCC) ha rilevato che i tentativi successivi di replicare con il seguente controller di dominio non sono in modo coerente.
      Microsoft-Windows-ActiveDirectory_DomainService 1926 Tentativo di stabilire un collegamento di replica a una partizione di directory di sola lettura con i parametri seguenti non riusciti
      Messaggistica tra siti NTDS 1373 Il servizio di messaggistica intersito non è riuscito a ricevere messaggi per il servizio seguente tramite il trasporto seguente. Query per i messaggi non riuscita.

Causa

Il codice di errore -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL non è un errore di Active Directory. Può essere restituito dai componenti di livello inferiore seguenti per cause radice diverse:

  • RPC
  • Kerberos
  • SSL
  • LSA
  • NTLM

Gli errori Kerberos mappati dal codice di Windows a -2146893022\0x80090322 SEC_E_WRONG_PRINCIPAL\ includono:

  • KRB_AP_ERR_MODIFIED (0x29/41 decimali/KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h/36 decimal/"Ticket and authenticator don't match")
  • KRB_AP_ERR_NOT_US (0x23h/35 decimal/"Il ticket non è per noi")

Alcune cause radice specifiche per -2146893022\0x80090322 SEC_E_WRONG_PRINCIPAL\ includono:

  • Mapping da nome a IP non valido nel file DNS, WINS, HOST o LMHOST. Ha causato la connessione del controller di dominio di destinazione al controller di dominio di origine errato in un'area di autenticazione Kerberos diversa.

  • Il KDC e il controller di dominio di origine hanno versioni diverse della password dell'account computer del controller di dominio di origine. Pertanto, il computer di destinazione Kerberos (controller di dominio di origine) non è riuscito a decrittografare i dati di autenticazione Kerberos inviati dal client Kerberos (controller di dominio di destinazione).

  • Il KDC non è riuscito a trovare un dominio per cercare il nome SPN del controller di dominio di origine.

  • I dati di autenticazione nei frame crittografati Kerberos sono stati modificati dall'hardware (inclusi i dispositivi di rete), dal software o da un utente malintenzionato.

Risoluzione

  • Eseguire dcdiag /test:checksecurityerror nel controller di dominio di origine

    I nomi SPN potrebbero non essere presenti, non validi o duplicati a causa di una latenza di replica semplice, in particolare dopo l'innalzamento di livello o gli errori di replica.

    I nomi SPN duplicati possono causare mapping del nome SPN non valido.

    DCDIAG /TEST:CheckSecurityError può verificare la presenza di SPN mancanti o duplicati e altri errori.

    Eseguire questo comando nella console di tutti i controller di dominio di origine che non superano la replica in uscita con l'errore SEC_E_WRONG_PRINCIPAL .

    È possibile controllare la registrazione del nome SPN in una posizione specifica usando la sintassi seguente:

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Verificare che il traffico di rete crittografato Kerberos abbia raggiunto la destinazione Kerberos prevista (mapping da nome a IP)

    Prendi in considerazione lo scenario seguente:

    • La replica in ingresso dei controller di dominio di destinazione Active Directory cerca la copia locale della directory per l'objectGUID dei controller di dominio di origine oggetti NTDS Settings.

    • I controller di dominio eseguono una query sul server DNS attivo per un record CNAME DC GUIDED corrispondente. Viene quindi eseguito il mapping a un record A/AAAA dell'host che contiene l'indirizzo IP del controller di dominio di origine.

      In questo scenario Active Directory esegue un fallback di risoluzione dei nomi. Include query per i nomi di computer completi in DNS o nomi host con etichetta singola in WINS.

      Note

      I server DNS possono anche eseguire ricerche WINS in scenari di fallback.

Le situazioni seguenti possono causare l'invio di traffico crittografato Kerberos a un controller di dominio di destinazione alla destinazione Kerberos errata:

  • Oggetti Impostazioni NTDS non aggiornati
  • Mapping da nome a IP non valido nei record host DNS e WINS
  • Voci non aggiornate nei file HOST

Per verificare la presenza di questa condizione, eseguire una traccia di rete o verificare manualmente che le query del nome DNS/NetBIOS si risolvono nel computer di destinazione previsto.

Metodo 1: metodo di traccia di rete (analizzato da Monitoraggio di rete 3.3.1641 con parser predefiniti completi abilitati)

Nella tabella seguente viene illustrato un riepilogo del traffico di rete che si verifica quando dc1 di destinazione replica la directory di Active Directory dal controller di dominio di origine DC2.

F# SRC DEST Protocollo Frame Commento
1 DC1 DC2 MSRPC Richiesta MSRPC:c/o: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 Chiamata RPC del controller di dominio Dest a EPM nel controller di dominio di origine su 135
2 DC2 DC1 MSRPC Risposta MSRPC:c/o: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 Risposta EPM al chiamante RPC
3 DC1 DC2 MSRPC MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 Richiesta di associazione RPC a E351... UUID del servizio
4 DC2 DC1 MSRPC MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Risposta bind RPC
5 DC1 KDC KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com Richiesta TGS per il nome SPN di replica del controller di dominio di origine. Questa operazione non verrà visualizzata sul cavo del controller di dominio di destinazione usa self come KDC.
6 KDC DC1 KerberosV5 KerberosV5:TGS Response Cname: CONTOSO-DC1$ Risposta TGS alla destinazione DC contoso-dc1. Questa operazione non verrà visualizzata sul cavo del controller di dominio di destinazione usa self come KDC.
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Richiesta AP
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Risposta AP.
Drill-down sul frame 7 Drill-down su Frame 8 Commenti
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 si connette al servizio replica di Active Directory in DC2 sulla porta restituita da EPM in DC2.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0 Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278 Verificare che il Dest controller di dominio dell'origine di replica di Active Directory (denominato computer nella prima colonna e il computer Src nella colonna 2 sia proprietario dell'indirizzo IP citato nella traccia). x.x.x.35 È in questo esempio.
Ticket: Realm: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

Area di autenticazione: <verificare che l'area di autenticazione restituita dal controller di dominio di origine corrisponda all'area di autenticazione Kerberos prevista dal controller> di dominio di destinazione.

Sname:<verificare che la sName corrispondenza nella risposta AP contenga il nome host del controller di dominio di origine previsto e NON un altro controller di dominio a cui la destinazione è stata risolta in modo non corretto a causa di un problema> di mapping da nome a ip non valido.		 Nella colonna 1 prendere nota dell'area di autenticazione Kerberos di destinazione come contoso.com seguito dal nome SPN di replica dei controller di dominio di origine (Sname) costituito dall'UUID del servizio di replica di Active Directory (E351...) concatenato con il GUID oggetto dei controller di dominio di origine NTDS Settings oggetto.

Il valore GUIDED 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 a destra dell'E351... UUID del servizio di replica è il GUID oggetto per l'oggetto delle impostazioni NTDS dei controller di dominio di origine. È attualmente definito nella copia dei controller di dominio di destinazione di Active Directory. Verificare che questo GUID dell'oggetto corrisponda al valore nel campo DSA Object GUID quando repadmin /showreps viene eseguito dalla console del controller di dominio di origine.

Oggetto ping o nslookup dei controller di dominio di origine CNAME concatenati with_msdcs.<il nome> DNS radice della foresta dalla console del controller di dominio di destinazione deve restituire l'indirizzo IP corrente dei controller di dominio di origine:

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

Nella risposta visualizzata nella colonna 2, concentrarsi sul Sname campo e verificare che contenga il nome host del controller di dominio di origine della replica di Active Directory.

I mapping da nome a IP non validi potrebbero causare la connessione del controller di dominio di destinazione a un controller di dominio in un'area di autenticazione di destinazione non valida, perché il valore dell'area di autenticazione non è valido, come illustrato in questo caso. I mapping da host a IP non valido potrebbero causare la connessione dc1 a DC3 nello stesso dominio. Genera comunque KRB_AP_ERR_MODIFIED, ma il nome dell'area di autenticazione nel frame 8 corrisponde all'area di autenticazione nel frame 7.

Metodo 2: verifica del mapping da nome a IP (senza usare una traccia di rete)

Dalla console del controller di dominio di origine:

Command Commento
IPCONFIG /ALL |MORE Nota Indirizzo IP della scheda di interfaccia di rete usata dai controller di dominio di destinazione
REPADMIN /SHOWREPS |MORE Valore nota del GUID dell'oggetto DSA. Indica il GUID dell'oggetto per i controller di dominio di origine Oggetto impostazioni NTDS nella copia dei controller di dominio di origine di Active Directory.

Dalla console del controller di dominio di destinazione:

Command Commento
IPCONFIG /ALL |MORE Si noti che i server DNS primari, secondari e terziari configurati che il controller di dominio di destinazione potrebbe eseguire query durante le ricerche DNS.
REPADMIN /SHOWREPS |MORE Nella sezione Inbound Neighbors dell'output repadmin individuare lo stato di replica in cui il controller di dominio di destinazione replica una partizione comune dal controller di dominio di origine in questione.

Il GUID dell'oggetto DSA elencato per il controller di dominio di origine nella sezione relativa allo stato della replica del report deve corrispondere al GUID dell'oggetto elencato nell'intestazione /showreps quando viene eseguito nella console del controller di dominio di origine.
IPCONFIG /FLUSHDNS Cancellare la cache del client DNS
Avvia blocco>>note
%systemroot%\system32\drivers\etc\hosts		 Verificare la presenza di mapping da host a IP che fanno riferimento all'etichetta singola o al nome DNS completo dei controller di dominio di origine. Rimuovere se presente. Salvare le modifiche apportate al file HOST.

Eseguire Nbtstat -R (R maiuscolo) per aggiornare la cache dei nomi NetBIOS.
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

Ripetere per ogni ip del server DNS aggiuntivo configurato nel controller di dominio di destinazione.

esempio: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 Verificare che l'indirizzo IP restituito corrisponda all'indirizzo IP del controller di dominio di destinazione elencato sopra registrato dalla console del controller di dominio di origine.

Ripetere per tutti gli INDIRIZZI IP dei server DNS configurati nel controller di dominio di destinazione.
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> Verificare la presenza di record host duplicati A in tutti gli INDIRIZZI IP del server DNS configurati nel controller di dominio di destinazione.
nbtstat -A <IP address of DNS Server IP returned by nslookup> Deve restituire il nome del controller di dominio di origine.

Note

Richiesta di replica indirizzata a un controller non di dominio (a causa di un mapping da nome a IP non valido) o a un controller di dominio che attualmente non dispone di E351... service UUID registrato con il mapper dell'endpoint restituisce l'errore 1753: non sono disponibili altri endpoint con il mapper dell'endpoint.

La destinazione Kerberos non può decrittografare i dati autenticati Kerberos a causa di una mancata corrispondenza della password.

Questo problema può verificarsi se la password per il controller di dominio di origine è diversa tra la copia del controller di dominio di origine e quella del controller di dominio di origine della directory di Active Directory. La copia del controller di dominio di destinazione della password dell'account computer del controller di dominio di origine potrebbe non essere aggiornata se non usa se stessa come KDC.

Gli errori di replica possono impedire ai controller di dominio di avere un valore password corrente per i controller di dominio in un determinato dominio.

Ogni controller di dominio esegue il servizio KDC per l'area di autenticazione del dominio. Per le stesse transazioni di area di autenticazione, un controller di dominio di destinazione favorisce il recupero di ticket Kerberos da se stesso. Tuttavia, può ottenere un ticket da un controller di dominio remoto. I riferimenti vengono usati per ottenere ticket Kerberos da altre aree di autenticazione.

Il NLTEST /DSGETDC:<DNS domain of target domain> /kdc comando eseguito in un prompt dei comandi con privilegi elevati in prossimità di un errore di SEC_E_WRONG_PRINCIPAL può essere usato per identificare rapidamente quale KDC ha come destinazione un client Kerberos.

Il modo definitivo per determinare da quale controller di dominio un client Kerberos ha ottenuto un ticket consiste nell'acquisire una traccia di rete. La mancanza di traffico Kerberos in una traccia di rete può indicare:

  • Il client Kerberos ha già acquisito ticket.
  • Sta ricevendo biglietti fuori rete da se stesso.
  • L'applicazione di traccia di rete non analizza correttamente il traffico Kerberos.

I ticket Kerberos per l'account utente connesso possono essere eliminati da un prompt dei comandi con privilegi elevati usando il KLIST purge comando .

I ticket Kerberos per l'account di sistema usati dalla replica di Active Directory possono essere eliminati senza riavviare tramite KLIST -li 0x3e7 purge.

I controller di dominio possono essere creati per usare altri controller di dominio arrestando il servizio KDC in un controller di dominio locale o remoto.

Usare REPADMIN /SHOWOBJMETA per verificare le differenze ovvie del numero di versione negli attributi correlati alle password (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) per il controller di dominio di origine nella copia del controller di dominio di origine e del controller di dominio di destinazione della directory Active Directory.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

Il comando netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> eseguito al prompt dei comandi con privilegi elevati nella console del controller di dominio che richiede una reimpostazione della password può essere usato per reimpostare le password dell'account computer del controller di dominio.

Risolvere i problemi relativi a scenari specifici

  • Procedura di riproduzione per il mapping da host a IP non valido che fa sì che il controller di dominio di destinazione esegui il pull dall'origine errata.

    1. Alzare di livello \\dc1 + \\DC2 + \\DC3 nel contoso.com dominio. La replica end-to-end si verifica senza errori.

    2. Arrestare il KDC in \\DC1 e \\DC2 per forzare il traffico Kerberos disattivato che può essere osservato in una traccia di rete. La replica end-to-end si verifica senza errori.

    3. Creare una voce file host per \\DC2 che punta all'indirizzo IP di un controller di dominio in una foresta remota. Si tratta di simulare un mapping da host a IP non valido in un record A/AAAA host o ad esempio un oggetto NTDS Settings non aggiornato nella copia del controller di dominio di destinazione di Active Directory.

    4. Avviare Siti e servizi di Active Directory nella console di \\DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso di \\DC1 da \\DC2 e notare che il nome dell'account di destinazione non è corretto.

  • Procedura di riproduzione per una mancata corrispondenza della password del controller di dominio di origine tra KDC e il controller di dominio di origine.

    1. Alzare di livello \\dc1 + \\DC2 + \\DC3 nel contoso.com dominio. La replica end-to-end si verifica senza errori.

    2. Arrestare il KDC in \\DC1 e \\DC2 per forzare il traffico Kerberos disattivato che può essere osservato nella traccia di rete. La replica end-to-end si verifica senza errori.

    3. Disabilitazione della replica in ingresso in KDC \\DC3 per simulare un errore di replica nel KDC.

    4. Reimpostare la password dell'account computer in \\DC2 tre o più volte in modo che \\DC1 e \\DC2 abbiano la password corrente per \\DC2.

    5. Avviare Siti e servizi di Active Directory nella console di \\DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso di \\DC1 da \\DC2 e notare che il nome dell'account di destinazione non è corretto .

  • Registrazione client RPC DS

    Impostare NTDS\Diagnostics Loggings\DS RPC Client = 3. Attivare la replica. Cercare l'evento categoria attività 1962 + 1963. Si noti l'elenco completo cname elencato nel campo servizio directory. Il controller di dominio di destinazione deve essere in grado di effettuare il ping di questo record e avere il mapping dell'indirizzo restituito all'indirizzo IP corrente del controller di dominio di origine.

  • Flusso di lavoro Kerberos

    Il flusso di lavoro Kerberos include le azioni seguenti:

    • Il computer client chiama la funzione IntializeSecurityContext e specifica il provider di supporto per la sicurezza Negotiate( SSP).

    • Il client contatta il KDC con il relativo TGT e richiede un ticket TGS per il controller di dominio di destinazione.

    • Il KDC cerca un'origine (e351 o nome host) nel catalogo globale nell'area di autenticazione del controller di dominio di destinazione.

    • Se il controller di dominio di destinazione si trova nell'area di autenticazione del controller di dominio di destinazione, il KDC fornisce al client un ticket di servizio.

    • Se il controller di dominio di destinazione si trova in un'area di autenticazione diversa, il KDC fornisce al client un ticket di riferimento.

    • Il client contatta un KDC nel dominio del controller di dominio di destinazione e richiede un ticket di servizio.

    • Se il nome SPN del controller di dominio di origine non esiste nell'area di autenticazione, viene visualizzato un errore KDC_ERR_S_PRINCIPAL_UNKNOWN .

    • Il controller di dominio di destinazione contatta la destinazione e ne presenta il ticket.

    • Se il controller di dominio di destinazione è proprietario del nome nel ticket e può decrittografarlo, l'autenticazione funziona.

    • Se il controller di dominio di destinazione ospita l'UUID del servizio server RPC, il KRB_AP_ERR_NOT_US Kerberos in transito o KRB_AP_ERR_MODIFIED errore viene mappato al seguente:

      -2146893022 decimal/ 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Il nome dell'entità di destinazione non è corretto"

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.