次の方法で共有

Active Directory レプリケーション エラー -2146893022 (0x80090322): ターゲット プリンシパル名が正しくありません

  • [アーティクル]

この記事では、Active Directory レプリケーションが失敗してエラーが発生する問題のトラブルシューティング方法について説明します (-2146893022: ターゲット プリンシパル名が正しくありません)。

適用対象: Windows Server (サポートされているすべてのバージョン)
元の KB 番号: 2090913

Note

ホーム ユーザー: この記事は、テクニカル サポート 担当者と IT プロフェッショナルのみを対象としています。 問題に関するヘルプをお探しの場合は、microsoft コミュニティ 問い合わせてください

まとめ

このエラーは、ソース ドメイン コントローラーが宛先 (ターゲット) ドメイン コントローラーによって提供されるサービス チケットの暗号化を解除しない場合に発生します。 宛先ドメイン コントローラーは、変更を要求するドメイン コントローラーです。

上位の原因

移行先ドメイン コントローラーは、Kerberos キー配布センター (KDC) からサービス チケットを受け取ります。 KDC には、ソース ドメイン コントローラーの古いバージョンのパスワードがあります。

最高解像度

  1. 宛先ドメイン コントローラーで KDC サービスを無効にします。 これを行うには、次のいずれかのコマンドを実行します。

    • コマンド プロンプト

      sc config KDC start=Disabled

    • PowerShell

      Set-Service -Name KDC -StartupType Disabled

  2. ドメイン コントローラーを再起動してください。

  3. 移行元ドメイン コントローラーから宛先ドメイン コントローラーでレプリケーションを開始します。 AD サイトとサービスまたは Repadminを使用します。

    repadminの使用

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    たとえば、 ContosoDC2.contoso.comでレプリケーションが失敗する場合は、 ContosoDC1.contoso.comで次のコマンドを実行します。

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  4. 次のいずれかのコマンドを実行して、宛先ドメイン コントローラーの KDC サービスを [自動] に戻します。

    • コマンド プロンプト

      sc config KDC start=auto

    • PowerShell

      Set-Service -Name KDC -StartupType Auto

  5. 次のいずれかのコマンドを実行して、宛先ドメイン コントローラーで KDC サービスを開始します。

    • コマンド プロンプト

      net start KDC

    • PowerShell

      Start-Service -Name KDC

問題が解決しない場合は、netdom resetpwd コマンドを使用してソース ドメイン コントローラーのコンピューター アカウント パスワードをリセットする別のソリューションについては、「Resolution」セクションを参照してください。 これらの手順で問題が解決しない場合は、この記事の残りの部分を確認してください。

現象

この問題が発生すると、次の 1 つ以上の現象が発生します。

  • DCDIAG は、Active Directory レプリケーション テストが失敗し、エラー -2146893022: ターゲット プリンシパル名が正しくないことを報告します。

    [レプリケーションチェック,<DC 名>] 最近のレプリケーションの試行に失敗しました。
    <source DC> から <destination DC へ>
    名前付けコンテキスト: ディレクトリ パーティションの <DN パス>
    レプリケーションでエラーが発生しました (-2146893022)。
    対象のプリンシパル名が間違っています。
    エラーは <date><time> で発生しました。
    最後の成功は、 <date><time> で発生しました。
    <X> エラーは、前回の成功以降に発生しました。

  • Repadmin.exeは、レプリケーションの試行が失敗したことを報告し、 -2146893022 (0x80090322)の状態を報告します。

    Repadmin-2146893022 (0x80090322)状態を一般的に示すコマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      ターゲット プリンシパル名が正しくないことを示すREPADMIN /SHOWREPSREPADMIN /SYNCALLからの出力例エラーは次のとおりです。

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • Active Directory サイトとサービスの replicate now コマンドは、次のエラー メッセージを返します。
    ターゲット プリンシパル名が正しくありません

    ソース DC から接続オブジェクトを右クリックし、[今すぐ複製 選択すると 失敗します。 画面上のエラー メッセージは次のとおりです。

    ダイアログ のタイトル テキスト: [今すぐレプリケート]
    ダイアログ メッセージ テキスト: ドメイン コントローラー <source DC 名に接続しようとしたときに、次のエラーが発生しました>:
    ターゲット プリンシパル名が正しくありません
    ダイアログのボタン: OK

    • NTDS ナレッジ整合性チェッカー (KCC)、NTDS General、または Microsoft-Windows-ActiveDirectory_DomainService イベントで、 2146893022 状態のイベントがディレクトリ サービス イベント ログに記録されます。

      -2146893022の状態を一般的に引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。

      イベント ソース イベント ID イベント文字列
      NTDS レプリケーション 1586 Windows NT 4.0 または PDC エミュレーター マスターの以前のレプリケーション チェックポイントに失敗しました。

      セキュリティ アカウント マネージャー (SAM) データベースと Windows NT 4.0 以前を実行しているドメイン コントローラーの完全同期は、PDC エミュレーター マスターの役割が次のチェックポイントが成功する前にローカル ドメイン コントローラーに転送された場合に行われる可能性があります。
      NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。
      NTDS KCC 1308 知識整合性チェッカー (KCC) は、次のドメイン コントローラとレプリケートするための連続する試行が一貫して失敗したことが検出されました。
      Microsoft-Windows-ActiveDirectory_DomainService 1926 次のパラメーターを使用して読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとしましたが失敗しました
      NTDS サイト間メッセージング 1373 サイト間メッセージング サービスは、次のトランスポート経由で次のサービスのメッセージを受信できませんでした。 メッセージのクエリに失敗しました。

原因

-2146893022\0x80090322\SEC_E_WRONG_PRINCIPALエラー コードは Active Directory エラーではありません。 これは、さまざまな根本原因について、次の下位レイヤー コンポーネントによって返される可能性があります。

  • RPC
  • Kerberos
  • SSL
  • LSA
  • NTLM

Windows コードによって -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL にマップされる Kerberos エラーは次のとおりです。

  • KRB_AP_ERR_MODIFIED (0x29/41 decimal/KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h/36 decimal/"Ticket and authenticator don't match")
  • KRB_AP_ERR_NOT_US (0x23h/35 decimal/"The ticket isn't for us")

2146893022\0x80090322\SEC_E_WRONG_PRINCIPALの具体的な根本原因には、次のようなものがあります。

  • DNS、WINS、HOST、または LMHOST ファイルの名前から IP への不適切なマッピング。 これにより、移行先ドメイン コントローラーが別の Kerberos 領域の間違ったソース ドメイン コントローラーに接続しました。

  • KDC とソース ドメイン コントローラーには、ソース ドメイン コントローラーのコンピューター アカウント パスワードのバージョンが異なります。 そのため、Kerberos ターゲット コンピューター (ソース ドメイン コントローラー) は、Kerberos クライアント (宛先ドメイン コントローラー) によって送信された Kerberos 認証データの暗号化を解除できませんでした。

  • KDC は、ソース ドメイン コントローラーの SPN を検索するドメインを見つけることができませんでした。

  • Kerberos で暗号化されたフレームの認証データは、ハードウェア (ネットワーク デバイスを含む)、ソフトウェア、または攻撃者によって変更されました。

解決方法

  • ソース DC で dcdiag /test:checksecurityerror を実行する

    SPN は、レプリケーションの待機時間 (特に昇格またはレプリケーションの失敗後) が単純なため、不足している、無効な、または重複している可能性があります。

    SPN が重複すると、不適切な SPN から名前マッピングが発生する可能性があります。

    DCDIAG /TEST:CheckSecurityError は、SPN やその他のエラーが見つからないか重複していないかどうかを確認できます。

    SEC_E_WRONG_PRINCIPAL エラーで送信レプリケーションに失敗したすべてのソース ドメイン コントローラーのコンソールで、このコマンドを実行します。

    次の構文を使用して、特定の場所に対する SPN 登録を確認できます。

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Kerberos で暗号化されたネットワーク トラフィックが目的の Kerberos ターゲットに到達したことを確認する (名前から IP へのマッピング)

    以下のシナリオについて考えてみます。

    • Active Directory レプリケーション先ドメイン コントローラーの受信では、ソース ドメイン コントローラーの objectGUID NTDS 設定 オブジェクトのディレクトリのローカル コピーが検索されます。

    • ドメイン コントローラーは、アクティブな DNS サーバーに対して、一致する DC GUIDED CNAME レコードのクエリを実行します。 その後、ソース ドメイン コントローラーの IP アドレスを含むホスト A/AAAA レコードにマップされます。

      このシナリオでは、Active Directory は名前解決フォールバックを実行します。 これには、DNS の完全修飾コンピューター名または WINS の単一ラベル ホスト名のクエリが含まれます。

      Note

      DNS サーバーは、フォールバック シナリオで WINS 参照を実行することもできます。

次の状況では、宛先ドメイン コントローラーが Kerberos で暗号化されたトラフィックを間違った Kerberos ターゲットに送信する可能性があります。

  • 古い NTDS 設定オブジェクト
  • DNS および WINS ホスト レコードの名前と IP のマッピングが正しくありません
  • HOST ファイルの古いエントリ

この条件を確認するには、ネットワーク トレースを取得するか、名前 DNS/NetBIOS 名クエリが目的のターゲット コンピューターに解決されることを手動で確認します。

方法 1: ネットワーク トレースメソッド (ネットワーク モニター 3.3.1641 で解析され、完全な既定のパーサーが有効になっている)

次の表は、宛先 DC1 受信がソース DC2 から Active Directory ディレクトリをレプリケートするときに発生するネットワーク トラフィックの概要を示しています。

F# SRC DEST Protocol フレーム コメント
1 DC1 DC2 MSRPC MSRPC:c/o 要求: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 135 を超えるソース DC 上の EPM への Dest DC RPC 呼び出し
2 DC2 DC1 MSRPC MSRPC:c/o 応答: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 RPC 呼び出し元への EPM 応答
3 DC1 DC2 MSRPC MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 RPC バインド要求を E351...サービス UUID
4 DC2 DC1 MSRPC MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 RPC バインド応答
5 DC1 KDC KerberosV5 KerberosV5:TGS 要求領域: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ソース DC のレプリケーション SPN に対する TGS 要求。 この操作は、KDC として自己を使用する宛先 DC のネットワークには表示されません。
6 KDC DC1 KerberosV5 KerberosV5:TGS 応答 Cname: CONTOSO-DC1$ 宛先 DC contoso-dc1 への TGS 応答。 この操作は、KDC として自己を使用する宛先 DC のネットワークには表示されません。
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 AP 要求
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 AP 応答。
フレーム 7 のドリルダウン フレームのドリルダウン 8 Comments
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 は、DC2 上の EPM から返されたポートを介して、DC2 の AD レプリケーション サービスに接続します。
Ipv4: Src = x.x.x.245、Dest = x.x.x.35、Next Protocol = TCP、Packet ID =、Total IP Length = 0 Ipv4: Src = x.x.x.35、Dest = x.x.x.245、次のプロトコル = TCP、パケット ID = 31546、合計 IP 長 = 278 AD レプリケーション ソース DC (最初の列の Dest コンピューターと呼ばれます)、および列 2 の Src コンピューターがトレースに示されている IP アドレスであることを確認します。 この例では x.x.x.35
チケット: 領域: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

領域: <ソース DC によって返される領域が、移行先 DC> が意図した Kerberos 領域と一致することを確認します。

Sname:< AP 応答の sName が、目的のソース DC のホスト名と、不適切な名前から IP へのマッピングの問題のために宛先が誤って解決した別の DC が含まれていないことを確認します>。		 列 1 では、ターゲット Kerberos 領域の領域を contoso.com し、その後にソース ドメイン コントローラーのレプリケーション SPN (Sname) を書き留めます。この領域は、Active Directory レプリケーション サービス UUID (E351...) とソース ドメイン コントローラー NTDS 設定オブジェクトのオブジェクト GUID を連結して構成されます。

E351 の右側にある GUIDED 値 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2.レプリケーション サービス UUID は、ソース ドメイン コントローラー NTDS 設定オブジェクトのオブジェクト GUID です。 現在、Active Directory のコピー先ドメイン コントローラーで定義されています。 ソース DC のコンソールからrepadmin /showrepsを実行するときに、このオブジェクト GUID が DSA オブジェクト GUID フィールドの値と一致することを確認します。

ソース ドメイン コントローラーの完全修飾 CNAME 連結with_msdcs.<のpingまたはnslookup宛先 DC のコンソールから>フォレスト ルート DNS 名は、ソース ドメイン コントローラーの現在の IP アドレスを返す必要があります。

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

列 2 に示す応答で、 Sname フィールドに注目し、AD レプリケーション ソース DC のホスト名が含まれていることを確認します。

名前と IP のマッピングが正しくないと、宛先 DC が無効なターゲット領域の DC に接続し、この場合に示すように領域の値が無効になる可能性があります。 ホスト間マッピングが正しくないと、DC1 が同じドメイン内の DC3 に接続する可能性があります。 それでも KRB_AP_ERR_MODIFIEDが生成されますが、フレーム 8 の領域名はフレーム 7 の領域と一致します。

方法 2: 名前から IP へのマッピングの検証 (ネットワーク トレースを使用しない)

ソース ドメイン コントローラーのコンソールから:

command コメント
IPCONFIG /ALL |MORE 宛先ドメイン コントローラーで使用される NIC の IP アドレスに注意してください
REPADMIN /SHOWREPS |MORE DSA オブジェクト GUID のメモ値。 これは、Active Directory のソース ドメイン コントローラー コピー内のソース ドメイン コントローラー NTDS 設定オブジェクトのオブジェクト GUID を表します。

宛先 DC のコンソールから:

command コメント
IPCONFIG /ALL |MORE 宛先 DC が DNS 参照中にクエリを実行できるように構成されたプライマリ、セカンダリ、および任意の第 3 の DNS サーバーに注意してください。
REPADMIN /SHOWREPS |MORE repadmin出力の [Inbound Neighbors]\(受信近隣\) セクションで、ターゲット DC が対象のソース DC から共通パーティションをレプリケートするレプリケーションの状態を見つけます。

レポートのレプリケーション状態セクションのソース DC の DSA オブジェクト GUID は、ソース DC のコンソールで実行するときに、 /showreps ヘッダーに示されているオブジェクト GUID と一致する必要があります。
IPCONFIG /FLUSHDNS DNS クライアント キャッシュをクリアする
Start>Run>Notepad
%systemroot%\system32\drivers\etc\hosts		 ソース ドメイン コントローラーの単一ラベルまたは完全修飾 DNS 名を参照するホストと IP のマッピングを確認します。 存在する場合は削除します。 HOST ファイルに変更を保存します。

Nbtstat -R (大文字の R) を実行して、NetBIOS 名キャッシュを更新します。
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

宛先 DC で構成された追加の DNS サーバー IP ごとに、この手順を繰り返します。

例: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 返された IP が、ソース DC のコンソールから記録された上記のターゲット DC の IP アドレスと一致することを確認します。

宛先 DC に構成されているすべての DNS サーバー IP に対して繰り返します。
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> 宛先 DC で構成されているすべての DNS サーバー IP で重複するホスト A レコードがあるかどうかを確認します。
nbtstat -A <IP address of DNS Server IP returned by nslookup> ソース DC の名前を返す必要があります。

Note

ドメイン コントローラー以外に送信されるレプリケーション要求 (不適切な名前から IP へのマッピングが原因) または現在 E351 を持たないドメイン コントローラー。エンドポイント マッパーに登録されているサービス UUID は、エラー 1753 を返します。エンドポイント マッパーで使用可能なエンドポイントはこれ以上ありません。

Kerberos ターゲットは、パスワードの不一致のために Kerberos 認証データを復号化できません。

この問題は、ソース ドメイン コントローラーのパスワードが、KDC とソース ドメイン コントローラーの Active Directory ディレクトリのコピーとで異なる場合に発生する可能性があります。 KDC としてそれ自体を使用していない場合、移行元ドメイン コントローラーのコンピューター アカウント パスワードのコピーが古くなる可能性があります。

レプリケーションの失敗により、ドメイン コントローラーが特定のドメイン内のドメイン コントローラーの現在のパスワード値を持つことを防ぐことができます。

すべてのドメイン コントローラーは、ドメイン領域に対して KDC サービスを実行します。 同じ領域トランザクションの場合、移行先ドメイン コントローラーは Kerberos チケットをそれ自体から取得することに優先します。 ただし、リモート ドメイン コントローラーからチケットを取得する場合があります。 紹介は、他の領域から Kerberos チケットを取得するために使用されます。

SEC_E_WRONG_PRINCIPAL エラーに近接して管理者特権のコマンド プロンプトで実行される NLTEST /DSGETDC:<DNS domain of target domain> /kdc コマンドを使用すると、Kerberos クライアントが対象としている KDC をすばやく特定できます。

Kerberos クライアントがチケットを取得したドメイン コントローラーを決定する決定的な方法は、ネットワーク トレースを取得することです。 ネットワーク トレースに Kerberos トラフィックがない場合は、次の情報が示されている可能性があります。

  • Kerberos クライアントは既にチケットを取得しています。
  • それ自体からチケットをオフにしています。
  • ネットワーク トレース アプリケーションが Kerberos トラフィックを正しく解析していません。

ログオンしているユーザー アカウントの Kerberos チケットは、 KLIST purge コマンドを使用して、管理者特権のコマンド プロンプトで消去できます。

Active Directory レプリケーションで使用されるシステム アカウントの Kerberos チケットは、 KLIST -li 0x3e7 purgeを使用して再起動せずに消去できます。

ドメイン コントローラーは、ローカルまたはリモートのドメイン コントローラーで KDC サービスを停止することで、他のドメイン コントローラーを使用するように設定できます。

REPADMIN /SHOWOBJMETAを使用して、ソース ドメイン コントローラーと移行先ドメイン コントローラーの Active Directory ディレクトリのコピーのソース ドメイン コントローラーのパスワード関連属性 (dBCSPwd、UnicodePWD、NtPwdHistory、PwdLastSet、lmPwdHistory) の明らかなバージョン番号の違いを確認します。

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> 、パスワードのリセットを必要とするドメイン コントローラーのコンソールで管理者特権のコマンド プロンプトで実行されるコマンドを使用して、ドメイン コントローラー コンピューター アカウントのパスワードをリセットできます。

特定のシナリオのトラブルシューティング

  • 宛先ドメイン コントローラーが間違ったソースからプルする原因となる不適切なホストから IP へのマッピングの再現手順。

    1. contoso.com ドメインで \\dc1 + \\DC2 + \\DC3 を昇格させます。 エンドツーエンドのレプリケーションは、エラーなしで発生します。

    2. \\DC1 と \\DC2 の KDC を停止して、ネットワーク トレースで観察できるオフボックス Kerberos トラフィックを強制します。 エンドツーエンドのレプリケーションは、エラーなしで発生します。

    3. リモート フォレスト内の DC の IP アドレスを指す \\DC2 のホスト ファイル エントリを作成します。 ホスト A/AAAA レコード内の不適切なホストから IP へのマッピング、またはターゲット ドメイン コントローラーの Active Directory ディレクトリのコピー内の古い NTDS Settings オブジェクトをシミュレートするためです。

    4. \\DC1 のコンソールで Active Directory サイトとサービスを起動します。 \\DC2 から \\DC1 の受信接続オブジェクト 右クリックし、 ターゲット アカウント名が正しくない レプリケーション エラーに注意してください。

  • KDC とソース ドメイン コントローラーの間でソース ドメイン コントローラーのパスワードが一致しない場合の再現手順。

    1. contoso.com ドメインで \\dc1 + \\DC2 + \\DC3 を昇格させます。 エンドツーエンドのレプリケーションは、エラーなしで発生します。

    2. \\DC1 と \\DC2 の KDC を停止して、ネットワーク トレースで確認できるオフボックス Kerberos トラフィックを強制します。 エンドツーエンドのレプリケーションは、エラーなしで発生します。

    3. KDC \\DC3 で受信レプリケーションを無効にして、KDC でのレプリケーションエラーをシミュレートします。

    4. \\DC2 のコンピューター アカウントのパスワードを 3 回以上リセットして、\\DC1 と \\DC2 の両方に \\DC2 の現在のパスワードが設定されるようにします。

    5. \\DC1 のコンソールで Active Directory サイトとサービスを起動します。 \\DC1 の \\DC2 からの受信接続オブジェクトを右クリックし、 ターゲット アカウント名が正しくない レプリケーション エラーに注意してください。

  • DS RPC クライアントのログ記録

    NTDS\Diagnostics Loggings\DS RPC Client = 3 を設定します。 レプリケーションをトリガーします。 タスク カテゴリ イベント 1962 + 1963 を探します。 directory service フィールドに一覧表示されている完全修飾cnameに注意してください。 宛先ドメイン コントローラーは、このレコードに ping を実行でき、返されたアドレスがソース DC の現在の IP アドレスにマップされている必要があります。

  • Kerberos ワークフロー

    Kerberos ワークフローには、次のアクションが含まれています。

    • クライアント コンピューターは、 IntializeSecurityContext 関数 を呼び出し、Negotiate セキュリティ サポート プロバイダー (SSP) を指定します。

    • クライアントは TGT を使用して KDC に接続し、ターゲット ドメイン コントローラーの TGS チケットを要求します。

    • KDC は、ターゲット ドメイン コントローラーの領域内のソース (e351 またはホスト名) をグローバル カタログで検索します。

    • ターゲット ドメイン コントローラーが宛先ドメイン コントローラーの領域にある場合、KDC はクライアントにサービス チケットを提供します。

    • ターゲット ドメイン コントローラーが別の領域にある場合、KDC はクライアントに紹介チケットを提供します。

    • クライアントは、ターゲット ドメイン コントローラーのドメイン内の KDC に接続し、サービス チケットを要求します。

    • ソース ドメイン コントローラーの SPN が領域に存在しない場合は、 KDC_ERR_S_PRINCIPAL_UNKNOWN エラーが表示されます。

    • 宛先ドメイン コントローラーがターゲットに接続し、そのチケットを提示します。

    • ターゲット ドメイン コントローラーがチケット内の名前を所有し、暗号化を解除できる場合、認証は機能します。

    • ターゲット ドメイン コントローラーが RPC サーバー サービス UUID をホストしている場合、ネットワーク上の Kerberos KRB_AP_ERR_NOT_US または KRB_AP_ERR_MODIFIED エラーは次のエラーに再マップされます。

      -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "ターゲット プリンシパル名が正しくありません"

データ コレクション

Microsoft サポートからのサポートが必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」に記載されている手順に従って情報を収集することをお勧めします