Active Directory レプリケーション エラー -2146893022 (0x80090322): ターゲット プリンシパル名が正しくありません

  • [アーティクル]

この記事では、Active Directory レプリケーションが失敗し、エラー (-2146893022: ターゲット プリンシパル名が正しくない) を生成する問題のトラブルシューティング方法について説明します。

適用対象: Windows Server (サポートされているすべてのバージョン)
元の KB 番号: 2090913

注:

ホーム ユーザー: この記事は、テクニカル サポート エージェントと IT プロフェッショナルのみを対象としています。 問題のヘルプをお探しの場合は、 Microsoft コミュニティにお問い合わせください

概要

このエラーは、ソース ドメイン コントローラーが宛先 (ターゲット) ドメイン コントローラーによって提供されるサービス チケットの暗号化を解除しない場合に発生します。

上位の原因

移行先ドメイン コントローラーは、Kerberos キー配布センター (KDC) からサービス チケットを受け取ります。 KDC には、ソース ドメイン コントローラーの古いバージョンのパスワードがあります。

最高の解像度

  1. 宛先ドメイン コントローラーで KDC サービスを停止します。 これを行うには、コマンド プロンプトで次のコマンドを実行します。

    net stop KDC

  2. ソース ドメイン コントローラーから移行先ドメイン コントローラーでレプリケーションを開始します。 AD サイトとサービスまたは を使用します Repadmin

    repadmin の使用:

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    たとえば、レプリケーションが で失敗している場合は、 で ContosoDC2.contoso.com次のコマンドを ContosoDC1.contoso.com実行します。

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  3. 次のコマンドを実行して、移行先ドメイン コントローラーで Kerberos KDC サービスを開始します。

    net start KDC

問題が解決しない場合は、コマンドを使用netdom resetpwdしてソース ドメイン コントローラーのコンピューター アカウント パスワードをリセットする代替ソリューションの解決策に関するセクションを参照してください。 これらの手順で問題が解決しない場合は、この記事の残りの部分を確認してください。

現象

この問題が発生すると、次の 1 つ以上の現象が発生します。

  • DCDIAG は、Active Directory レプリケーション テストが失敗し、エラー -2146893022: ターゲット プリンシパル名が正しくないことを報告します。

    [レプリケーションチェック,<[DC 名>] 最近のレプリケーション試行が失敗しました。
    ソース DC から<宛先 DC> へ<>
    名前付けコンテキスト: <ディレクトリ パーティションの DN パス>
    レプリケーションでエラーが生成されました (-2146893022)。
    対象のプリンシパル名が間違っています。
    エラーは日付><時刻>に<発生しました。
    最後の成功は、日付><時刻>に<発生しました。
    <X> エラーは、前回の成功以降に発生しています。

  • Repadmin.exe は、レプリケーション試行が失敗したことを報告し、 -2146893022 (0x80090322) の状態を報告します。

    Repadmin 一般的に -2146893022 (0x80090322) 状態を示すコマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      ターゲット プリンシパル名が正しくないことを示す および REPADMIN /SYNCALL からのREPADMIN /SHOWREPS出力例は次のとおりです。

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • Active Directory サイトとサービスで [レプリケート] コマンドを実行すると、次のエラー メッセージが返されます。
    ターゲット プリンシパル名が正しくありません

    ソース DC から接続オブジェクトを右クリックし、[レプリケート] を選択すると失敗 するようになりました 。 画面に表示されるエラー メッセージは次のとおりです。

    ダイアログ タイトル テキスト: [今すぐレプリケート]
    ダイアログ メッセージ テキスト: ドメイン コントローラー <のソース DC 名>に接続しようとしたときに、次のエラーが発生しました。
    ターゲット プリンシパル名が正しくありません
    ダイアログのボタン: OK

    • NTDS Knowledge Consistency Checker (KCC)、NTDS General、または -2146893022 状態の Microsoft-Windows-ActiveDirectory_DomainService イベントは、ディレクトリ サービス イベント ログに記録されます。

      一般的に -2146893022 状態を引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。

      イベント ソース イベント ID イベント文字列
      NTDS レプリケーション 1586 PDC エミュレーター マスターを使用したWindows NT 4.0 以前のレプリケーション チェックポイントが失敗しました。

      次にチェックポイントが成功する前に PDC エミュレーター マスター ロールがローカル ドメイン コントローラーに転送された場合、セキュリティ アカウント マネージャー (SAM) データベースとドメイン コントローラー Windows NT 4.0 以前を実行しているドメイン コントローラーとの完全な同期が行われる可能性があります。
      NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。
      NTDS KCC 1308 ナレッジ整合性チェッカー (KCC) では、次のドメイン コントローラーを使用したレプリケートの試行が一貫して失敗したことが検出されました。
      Microsoft-Windows-ActiveDirectory_DomainService 1926 次のパラメーターを使用して読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとしましたが失敗しました
      NTDS サイト間メッセージング 1373 サイト間メッセージング サービスは、次のトランスポートを介して次のサービスのメッセージを受信できませんでした。 メッセージのクエリに失敗しました。

原因

-2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL エラー コードは Active Directory エラーではありません。 これは、さまざまな根本原因について、次の下位レイヤー コンポーネントによって返される可能性があります。

  • RPC
  • Kerberos
  • SSL
  • Lsa
  • NTLM

Windows コードによって -2146893022\\ 0x80090322 SEC_E_WRONG_PRINCIPALにマップされる Kerberosエラーは次のとおりです。

  • KRB_AP_ERR_MODIFIED (0x29/41 桁の 10 進/KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h/36 decimal/"チケットと認証子が一致しません")
  • KRB_AP_ERR_NOT_US (0x23h/35 decimal/"チケットは私たちのためではありません")

-2146893022 0x80090322\ SEC_E_WRONG_PRINCIPALの特定\根本原因は次のとおりです。

  • DNS、WINS、HOST、または LMHOST ファイルでの不適切な名前と IP のマッピング。 これにより、移行先ドメイン コントローラーが別の Kerberos 領域の間違ったソース ドメイン コントローラーに接続しました。

  • KDC とソース ドメイン コントローラーには、ソース ドメイン コントローラーのコンピューター アカウント パスワードのバージョンが異なります。 そのため、Kerberos ターゲット コンピューター (ソース ドメイン コントローラー) は、Kerberos クライアント (宛先ドメイン コントローラー) によって送信された Kerberos 認証データの暗号化を解除できませんでした。

  • KDC は、ソース ドメイン コントローラーの SPN を検索するドメインを見つけることができませんでした。

  • Kerberos で暗号化されたフレーム内の認証データは、ハードウェア (ネットワーク デバイスを含む)、ソフトウェア、または攻撃者によって変更されました。

解決方法

  • ソース DC で実行 dcdiag /test:checksecurityerror する

    SPN は、特に昇格またはレプリケーションエラーの後の単純なレプリケーション待機時間のために、欠落、無効、または重複している可能性があります。

    重複する SPN によって、不適切な SPN がマッピングに名前を付ける可能性があります。

    DCDIAG /TEST:CheckSecurityErrorは、SPN やその他のエラーが見つからない、または重複している場合にチェック可能性があります。

    SEC_E_WRONG_PRINCIPAL エラーで送信レプリケーションに失敗したすべてのソース ドメイン コントローラーのコンソールで、このコマンドを実行します。

    次の構文を使用して、特定の場所に対して SPN 登録をチェックできます。

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Kerberos で暗号化されたネットワーク トラフィックが、目的の Kerberos ターゲット (名前から IP へのマッピング) に到達したことを確認します

    次のような状況で問題が発生します。

    • Active Directory 宛先ドメイン コントローラーをレプリケートする受信では、ソース ドメイン コントローラー NTDS 設定オブジェクトの objectGUID をディレクトリのローカル コピーで検索します。

    • ドメイン コントローラーは、一致する DC GUIDED CNAME レコードについて、アクティブな DNS サーバーに対してクエリを実行します。 次に、ソース ドメイン コントローラーの IP アドレスを含むホスト A/AAAA レコードにマップされます。

      このシナリオでは、Active Directory で名前解決フォールバックが実行されます。 これには、DNS の完全修飾コンピューター名のクエリ、または WINS の単一ラベルホスト名のクエリが含まれます。

      注:

      DNS サーバーは、フォールバック シナリオで WINS 参照を実行することもできます。

次の状況により、宛先ドメイン コントローラーが Kerberos で暗号化されたトラフィックを間違った Kerberos ターゲットに送信する可能性があります。

  • 古い NTDS 設定オブジェクト
  • DNS および WINS ホスト レコードの名前から IP へのマッピングが正しくありません
  • HOST ファイルの古いエントリ

この条件をチェックするには、ネットワーク トレースを取得するか、DNS/NetBIOS 名クエリが目的のターゲット コンピューターに解決されることを手動で確認します。

方法 1: ネットワーク トレースメソッド (完全な既定のパーサーを有効にすることで Network Monitor 3.3.1641 によって解析される)

次の表は、宛先 DC1 受信がソース DC2 から Active Directory ディレクトリをレプリケートするときに発生するネットワーク トラフィックの概要を示しています。

F# Src Dest プロトコル Frame コメント
1 DC1 DC2 MSRPC MSRPC:c/o 要求: 不明な Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 ソース DC で 135 を超える EPM への Dest DC RPC 呼び出し
2 DC2 DC1 MSRPC MSRPC:c/o 応答: 不明な Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 RPC 呼び出し元への EPM 応答
3 DC1 DC2 MSRPC MSRPC:c/o バインド: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 RPC バインド要求を E351....service UUID
4 DC2 DC1 MSRPC MSRPC:c/o バインド Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 RPC バインド応答
5 DC1 Kdc KerberosV5 KerberosV5:TGS 要求領域: CONTOSO.COMSname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ソース DC のレプリケーション SPN に対する TGS 要求。 この操作は、KDC として自己を使用する宛先 DC のワイヤには表示されません。
6 Kdc DC1 KerberosV5 KerberosV5:TGS 応答 Cname: CONTOSO-DC1$ 宛先 DC contoso-dc1 への TGS 応答。 この操作は、KDC として自己を使用する宛先 DC のワイヤには表示されません。
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 AP 要求
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 AP 応答。
フレーム 7 のドリルダウン フレーム 8 のドリルダウン 注釈
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 は、DC2 上の EPM によって返されるポート経由で、DC2 の AD レプリケーション サービスに接続します。
Ipv4: Src = x.x.x.245、Dest = x.x.x.35、Next Protocol = TCP、Packet ID =、Total IP Length = 0 Ipv4: Src = x.x.x.35、Dest = x.x.x.245、次のプロトコル = TCP、パケット ID = 31546、合計 IP 長 = 278 AD レプリケーション ソース DC (最初の Dest 列のコンピューターと呼ばれ、列 2 の Src コンピューターがトレースで引用されている IP アドレスを 所有 していることを確認します。 x.x.x.35これは、この例です。
チケット: 領域: CONTOSO.COMSname, : E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

領域: <ソース DC によって返される領域が、移行先 DC によって意図された Kerberos 領域と一致することを確認します>。

Sname:<AP 応答の と一致するに、目的のソース DC のホスト名が含まれていることを確認し、不適切な名前から IP へのマッピングの問題>が原因で宛先が誤って解決した別の DC が含まれていないことを確認sNameします。		 列 1 では、ターゲット Kerberos 領域 contoso.com の領域をメモします。その後、ソース ドメイン コントローラーレプリケーション SPN () は、Active Directory レプリケーション サービス UUID (SnameE351....) とソース ドメイン コントローラー NTDS Settings オブジェクトのオブジェクト GUID を連結して構成されます。

E351..の右側にある GUIDED 値 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2。レプリケーション サービス UUID は、ソース ドメイン コントローラー NTDS 設定オブジェクトのオブジェクト GUID です。 現在、Active Directory のコピー先ドメイン コントローラーで定義されています。 ソース DC のコンソールから実行されている場合repadmin /showreps、このオブジェクト GUID が DSA オブジェクト GUID フィールドの値と一致することを確認します。

pingnslookupソース ドメイン コントローラーの完全修飾 CNAME 連結with_msdcs。<宛先 DC のコンソールからのフォレスト ルート DNS 名>は、ソース ドメイン コントローラーの現在の IP アドレスを返す必要があります。

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

列 2 に示す応答で、フィールドに焦点を Sname 当て、AD レプリケーション ソース DC のホスト名が含まれていることを確認します。

名前から IP へのマッピングが正しくないと、ターゲット DC が無効なターゲット 領域の DC に接続され、この場合に示すように領域の値が無効になる可能性があります。 ホスト間マッピングが正しくないと、DC1 が同じドメイン内の DC3 に接続する可能性があります。 それでも KRB_AP_ERR_MODIFIEDが生成されますが、フレーム 8 の領域名はフレーム 7 の領域と一致します。

方法 2: 名前から IP へのマッピングの検証 (ネットワーク トレースを使用しない)

ソース ドメイン コントローラーのコンソールから次の手順を実行します。

command コメント
IPCONFIG /ALL |MORE 注 宛先ドメイン コントローラーで使用される NIC の IP アドレス
REPADMIN /SHOWREPS |MORE DSA オブジェクト GUID の値をメモします。 これは、active Directory のソース ドメイン コントローラー のコピー内のソース ドメイン コントローラー NTDS 設定オブジェクトのオブジェクト GUID を表します。

宛先 DC のコンソールから次の手順を実行します。

command コメント
IPCONFIG /ALL |MORE 宛先 DC が DNS 参照中にクエリを実行できるように構成されているプライマリ、セカンダリ、および任意の第 3 の DNS サーバーに注意してください。
REPADMIN /SHOWREPS |MORE 出力の repadmin [受信ネイバー] セクションで、ターゲット DC が対象のソース DC から共通パーティションをレプリケートするレプリケーションの状態を見つけます。

レポートのレプリケーション状態セクションのソース DC に対して一覧表示される DSA オブジェクト GUID は、ソース DC のコンソールで実行するときに、ヘッダーに /showreps 一覧表示されているオブジェクト GUID と一致する必要があります。
IPCONFIG /FLUSHDNS DNS クライアント キャッシュをクリアする
開始>実行>メモ 帳
%systemroot%\system32\drivers\etc\hosts		 ソース ドメイン コントローラーの単一ラベルまたは完全修飾 DNS 名を参照するホストと IP のマッピングを確認します。 存在する場合は削除します。 HOST ファイルに変更を保存します。

(大文字の R) を実行 Nbtstat -R して、NetBIOS 名キャッシュを更新します。
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

宛先 DC で構成された追加の DNS サーバー IP ごとに、この手順を繰り返します。

例: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 返された IP が、ソース DC のコンソールから記録された上記のターゲット DC の IP アドレスと一致することを確認します。

宛先 DC で構成されているすべての DNS サーバー IP に対して繰り返します。
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> 宛先 DC で構成されているすべての DNS サーバー IP で重複するホスト A レコードを確認します。
nbtstat -A <IP address of DNS Server IP returned by nslookup> ソース DC の名前を返す必要があります。

注:

非ドメイン コントローラー (不適切な名前から IP へのマッピングが原因) または現在 E351.を持たないドメイン コントローラーに送信されるレプリケーション要求。エンドポイント マッパーに登録されているサービス UUID はエラー 1753 を返します。エンドポイント マッパーで使用できるエンドポイントはこれ以上ありません。

Kerberos ターゲットは、パスワードの不一致のため、Kerberos で認証されたデータの暗号化を解除できません。

この問題は、ソース ドメイン コントローラーのパスワードが KDC とソース ドメイン コントローラーの Active Directory ディレクトリのコピーと異なる場合に発生する可能性があります。 KDC としてそれ自体を使用していない場合、移行先ドメイン コントローラーのソース ドメイン コントローラー のコンピューター アカウント パスワードのコピーが古くなっている可能性があります。

レプリケーションエラーにより、ドメイン コントローラーが特定のドメイン内のドメイン コントローラーの現在のパスワード値を持つことができなくなる可能性があります。

すべてのドメイン コントローラーは、ドメイン領域に対して KDC サービスを実行します。 同じ領域トランザクションの場合、移行先ドメイン コントローラーは Kerberos チケット自体からの取得を優先します。 ただし、リモート ドメイン コントローラーからチケットを取得する場合があります。 紹介は、他の領域から Kerberos チケットを取得するために使用されます。

NLTEST /DSGETDC:<DNS domain of target domain> /kdcSEC_E_WRONG_PRINCIPAL エラーに近接して管理者特権のコマンド プロンプトで実行されるコマンドを使用すると、Kerberos クライアントが対象とする KDC をすばやく特定できます。

Kerberos クライアントがチケットを取得したドメイン コントローラーを決定する決定的な方法は、ネットワーク トレースを取得することです。 ネットワーク トレースに Kerberos トラフィックが不足している場合は、次の情報が示されている可能性があります。

  • Kerberos クライアントは既にチケットを取得しています。
  • それ自体からチケットをオフザワイヤで取得しています。
  • ネットワーク トレース アプリケーションが Kerberos トラフィックを正しく解析していません。

ログオンしたユーザー アカウントの Kerberos チケットは、 コマンドを使用 KLIST purge して管理者特権のコマンド プロンプトで消去できます。

Active Directory レプリケーションで使用されるシステム アカウントの Kerberos チケットは、 を使用 KLIST -li 0x3e7 purgeして再起動せずに消去できます。

ドメイン コントローラーは、ローカルまたはリモート ドメイン コントローラーで KDC サービスを停止することで、他のドメイン コントローラーを使用するようにできます。

ソース ドメイン コントローラーと移行先ドメイン コントローラーの Active Directory ディレクトリのコピーのソース ドメイン コントローラーのパスワード関連属性 (dBCSPwd、UnicodePWD、NtPwdHistory、PwdLastSet、lmPwdHistory) の明確なバージョン番号の違いをチェックするために使用REPADMIN /SHOWOBJMETAします。

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

パスワードのリセットを必要とするドメイン コントローラーのコンソールで管理者特権のコマンド プロンプトで実行される netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> コマンドを使用して、ドメイン コントローラー コンピューター アカウントのパスワードをリセットできます。

特定のシナリオのトラブルシューティング

  • 宛先ドメイン コントローラーが間違ったソースからプルする原因となる不適切なホストから IP へのマッピングの手順を再現します。

    1. ドメインで \\dc1 + \\DC2 + \\DC3contoso.com 昇格させます。 エンドツーエンドレプリケーションはエラーなしで発生します。

    2. \\DC1 と \\DC2 の KDC を停止して、ネットワーク トレースで観察できるオフボックス Kerberos トラフィックを強制します。 エンドツーエンドレプリケーションはエラーなしで発生します。

    3. リモート フォレスト内の DC の IP アドレスを指す \\DC2 のホスト ファイル エントリを作成します。 これは、ホスト A/AAAA レコード内の不適切なホスト間マッピング、またはターゲット ドメイン コントローラーの Active Directory ディレクトリのコピー内の古い NTDS Settings オブジェクトをシミュレートすることです。

    4. \\DC1 のコンソールで Active Directory サイトとサービスを起動します。 \\DC2 から \\DC1 の受信接続オブジェクトを右クリックし、ターゲット アカウント名が正しくないレプリケーション エラーであることを確認します。

  • KDC とソース ドメイン コントローラーの間のソース ドメイン コントローラーのパスワードの不一致の手順を再現します。

    1. ドメインで \\dc1 + \\DC2 + \\DC3contoso.com 昇格させます。 エンドツーエンドレプリケーションはエラーなしで発生します。

    2. \\DC1 と \\DC2 の KDC を停止して、ネットワーク トレースで観察できるオフボックス Kerberos トラフィックを強制します。 エンドツーエンドレプリケーションはエラーなしで発生します。

    3. KDC \\DC3 で受信レプリケーションを無効にして、KDC でのレプリケーション エラーをシミュレートします。

    4. \\DC2 のコンピューター アカウントのパスワードを 3 回以上リセットして、\\DC1 と \\DC2 の両方に \\DC2 の現在のパスワードが設定されるようにします。

    5. \\DC1 のコンソールで Active Directory サイトとサービスを起動します。 \\DC2 から \\DC1 の受信接続オブジェクトを右クリックし、 ターゲット アカウント名が正しくない レプリケーション エラーであることを確認します。

  • DS RPC クライアント のログ記録

    NTDS\Diagnostics Loggings\DS RPC Client = 3 を設定します。 レプリケーションをトリガーします。 タスク カテゴリ イベント 1962 + 1963 を探します。 ディレクトリ サービス フィールドに一覧表示されている完全修飾cnameをメモします。 宛先ドメイン コントローラーは、このレコードに ping を実行でき、返されたアドレスがソース DC の現在の IP アドレスにマップされている必要があります。

  • Kerberos ワークフロー

    Kerberos ワークフローには、次のアクションが含まれています。

    • クライアント コンピューターは IntializeSecurityContext 関数 を呼び出し、ネゴシエート セキュリティ サポート プロバイダー (SSP) を指定します。

    • クライアントは TGT を使用して KDC に接続し、ターゲット ドメイン コントローラーの TGS チケットを要求します。

    • KDC は、宛先ドメイン コントローラーの領域内のソース (e351 またはホスト名) をグローバル カタログで検索します。

    • ターゲット ドメイン コントローラーが宛先ドメイン コントローラーの領域にある場合、KDC はクライアントにサービス チケットを提供します。

    • ターゲット ドメイン コントローラーが別の領域にある場合、KDC はクライアントに紹介チケットを提供します。

    • クライアントは、ターゲット ドメイン コントローラーのドメイン内の KDC に接続し、サービス チケットを要求します。

    • ソース ドメイン コントローラーの SPN が領域に存在しない場合は、 KDC_ERR_S_PRINCIPAL_UNKNOWN エラーが発生します。

    • 宛先ドメイン コントローラーがターゲットにアクセスし、そのチケットを提示します。

    • ターゲット ドメイン コントローラーがチケット内の名前を所有し、暗号化を解除できる場合、認証は機能します。

    • ターゲット ドメイン コントローラーが RPC サーバー サービス UUID をホストしている場合、オンワイヤ Kerberos KRB_AP_ERR_NOT_US または KRB_AP_ERR_MODIFIED エラーは次のいずれかに再マップされます。

      -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "ターゲット プリンシパル名が正しくありません"

データ収集

Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。