Поделиться через

Ошибка репликации Active Directory -2146893022 (0x80090322): неправильное имя целевого субъекта

  • Статья

В этой статье описывается, как устранить проблему, при которой репликация Active Directory завершается сбоем и создает ошибку (-2146893022: имя целевого субъекта неверно).

Область применения: Windows Server (все поддерживаемые версии)
Исходный номер базы знаний: 2090913

Примечание.

Домашние пользователи: эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь с проблемой, обратитесь к сообществу Майкрософт.

Итоги

Эта ошибка возникает, когда исходный контроллер домена не расшифровывает билет службы, предоставленный контроллером домена назначения (целевой). Контроллер целевого домена — это контроллер домена, запрашивающий изменения.

Верхняя причина

Контроллер домена назначения получает запрос на обслуживание из Центра распространения ключей Kerberos (KDC). И KDC имеет старую версию пароля для исходного контроллера домена.

Верхнее разрешение

  1. Отключите службу KDC на целевом контроллере домена. Для этого выполните одну из следующих команд:

    • Командная строка

      sc config KDC start=Disabled

    • PowerShell

      Set-Service -Name KDC -StartupType Disabled

  2. Перезапустите контроллер домена.

  3. Запустите репликацию на целевом контроллере домена с исходного контроллера домена. Использование сайтов и служб AD или Repadmin.

    Использование среды repadmin:

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    Например, если репликация завершается ContosoDC2.contoso.comсбоем, выполните следующую команду ContosoDC1.contoso.com:

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  4. Задайте службу KDC на целевом контроллере домена автоматически, выполнив одну из следующих команд:

    • Командная строка

      sc config KDC start=auto

    • PowerShell

      Set-Service -Name KDC -StartupType Auto

  5. Запустите службу KDC на целевом контроллере домена, выполнив одну из следующих команд:

    • Командная строка

      net start KDC

    • PowerShell

      Start-Service -Name KDC

Если проблема не устранена, см . раздел "Решение " для альтернативного решения, в котором используется netdom resetpwd команда для сброса пароля учетной записи компьютера исходного контроллера домена. Если эти действия не устраняют проблему, просмотрите остальную часть этой статьи.

Симптомы

При возникновении этой проблемы возникает одна или несколько следующих симптомов:

  • DCDIAG сообщает, что тест репликации Active Directory завершился сбоем и вернул ошибку -2146893022: имя целевого субъекта неверно.

    [Проверка репликаций,<Имя> контроллера домена] Сбой последней попытки репликации:
    Из <исходного контроллера домена> в <целевой контроллер домена>
    Контекст именования: <путь DN к секции каталога>
    Репликация вызвала ошибку (-2146893022):
    Неправильное имя целевого субъекта.
    Сбой произошел во <время> даты><.
    Последний успех произошел во <время> даты><.
    <С момента последнего успеха произошли сбои X> .

  • Repadmin.exe сообщает о сбое попытки репликации и сообщает о состоянии -2146893022 (0x80090322).

    Repadmin Команды, которые обычно указывают состояние -2146893022 (0x80090322), но не ограничиваются следующими:

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      Пример выходных данных, REPADMIN /SHOWREPS указывающий REPADMIN /SYNCALL , что имя целевого субъекта является неправильной ошибкой, как показано ниже.

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • Команда репликации теперь в сайтах и службах Active Directory возвращает следующее сообщение об ошибке:
    Неправильное имя целевого субъекта

    Щелкните правой кнопкой мыши объект подключения из исходного контроллера домена, а затем выберите репликацию. Сообщение об ошибке на экране выглядит следующим образом:

    Текст заголовка диалогового окна: репликация
    Текст сообщения диалогового окна: во время попытки связаться с исходным именем> контроллера домена <произошла следующая ошибка:
    Неправильное имя целевого субъекта
    Кнопки в диалоговом окне: ОК

    • Средство проверки согласованности знаний NTDS (KCC), общие сведения о NTDS или событиях Microsoft-Windows-ActiveDirectory_DomainService с состоянием -2146893022 регистрируются в журнале событий службы каталогов.

      События Active Directory, которые обычно ссылаются на состояние -2146893022 , но не ограничиваются следующими:

      Источник события Идентификатор события Строка события
      Репликация NTDS 1586 Контрольная точка репликации Windows NT 4.0 или более ранней версии с главным эмулятором PDC не выполнена.

      Полная синхронизация базы данных диспетчера учетных записей безопасности (SAM) с контроллерами домена под управлением Windows NT 4.0 и более ранних версий может произойти, если роль главного эмулятора PDC передается локальному контроллеру домена до следующей успешной контрольной точки.
      NTDS KCC 1925 Сбой попытки установить ссылку репликации для следующего раздела каталога, допускаемого для записи.
      NTDS KCC 1308 Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки репликации с помощью следующего контроллера домена последовательно завершили ошибку.
      Microsoft-Windows-ActiveDirectory_DomainService 1926 Попытка установить ссылку репликации на секцию каталога только для чтения со следующими параметрами не удалось
      Обмен сообщениями между сайтами NTDS 1373 Служба обмена сообщениями между сайтами не могла получать сообщения для следующей службы через следующий транспорт. Сбой запроса на сообщения.

Причина

Код ошибки -2146893022 0x80090322\SEC_E_WRONG_PRINCIPAL\ не является ошибкой Active Directory. Он может быть возвращен следующими компонентами нижнего слоя для различных первопричин:

  • RPC
  • Kerberos
  • SSL
  • LSA
  • NTLM

Ошибки Kerberos, сопоставленные кодом Windows с 2146893022 0x80090322\SEC_E_WRONG_PRINCIPAL\ включают:

  • KRB_AP_ERR_MODIFIED (0x29/41 десятичных/KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h/36 десятичный/"Билет и аутентификатор не совпадают")
  • KRB_AP_ERR_NOT_US (0x23h/35 десятичный/"Билет не для нас")

Ниже перечислены некоторые конкретные первопричины 0x80090322 -2146893022\SEC_E_WRONG_PRINCIPAL:\

  • Неправильное сопоставление имен с IP-адресами в DNS, WINS, HOST или LMHOST-файле. Это привело к подключению конечного контроллера домена к неправильному исходному контроллеру домена в другой области Kerberos.

  • Контроллер KDC и исходный контроллер домена имеют разные версии пароля учетной записи компьютера исходного контроллера домена. Поэтому целевой компьютер Kerberos (исходный контроллер домена) не мог расшифровать данные проверки подлинности Kerberos, отправленные клиентом Kerberos (конечным контроллером домена).

  • KDC не удалось найти домен для поиска имени субъекта-службы исходного контроллера домена.

  • Данные проверки подлинности в зашифрованных кадрах Kerberos были изменены оборудованием (включая сетевые устройства), программное обеспечение или злоумышленник.

Разрешение

  • Запуск dcdiag /test:checksecurityerror в исходном контроллере домена

    Имена субъектов-служб могут быть отсутствуют, недопустимы или дублируются из-за простой задержки репликации, особенно после повышения уровня или сбоев репликации.

    Повторяющиеся имена субъектов-служб могут привести к неправильному сопоставлению имен субъекта-службы.

    DCDIAG /TEST:CheckSecurityError может проверить отсутствие или дублирование имен субъектов-служб и других ошибок.

    Выполните эту команду на консоли всех исходных контроллеров домена, которые завершаются сбоем исходящей репликации с ошибкой SEC_E_WRONG_PRINCIPAL.

    Вы можете проверить регистрацию имени участника-службы в определенном расположении с помощью следующего синтаксиса:

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Убедитесь, что зашифрованный сетевой трафик Kerberos достиг целевого объекта Kerberos (сопоставление "имя — IP")

    Рассмотрим следующий сценарий:

    • Входящий репликация контроллеров домена Active Directory выполняет поиск локальной копии каталога для объекта objectGUID исходных контроллеров домена объектов NTDS Settings .

    • Контроллеры домена запрашивают активный DNS-сервер для соответствующей записи DC GUIDED CNAME. Затем он сопоставляется с записью A/AAAA узла, содержащей IP-адрес исходного контроллера домена.

      В этом сценарии Active Directory запускает резервный вариант разрешения имен. Он включает запросы на полные имена компьютеров в DNS или именах узлов с одной меткой в WINS.

      Примечание.

      DNS-серверы также могут выполнять поиск WINS в резервных сценариях.

В следующих ситуациях контроллер домена назначения может отправить зашифрованный трафик Kerberos в неправильный целевой объект Kerberos:

  • Устаревшие объекты параметров NTDS
  • Недопустимые сопоставления между IP-адресами в записях узлов DNS и WINS
  • Устаревшие записи в файлах HOST

Чтобы проверить это условие, выполните трассировку сети или вручную убедитесь, что запросы имен DNS/NetBIOS разрешаются на целевой компьютер.

Метод 1. Метод трассировки сети (как анализ сетевого монитора 3.3.1641 путем включения полного средства синтаксического анализа по умолчанию)

В следующей таблице показан синопсис сетевого трафика, который возникает при входящего трафика назначения DC1 репликации каталога Active Directory из исходного контроллера домена 2.

F# SRC DEST Протокол Кадр Комментарий
1 DC1 DC2 MSRPC ЗАПРОС MSRPC:c/o: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 Dest DC RPC вызов EPM на исходном контроллере домена более 135
2 DC2 DC1 MSRPC Ответ MSRPC:c/o: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 Ответ EPM на вызывающий объект RPC
3 DC1 DC2 MSRPC MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 Запрос привязки RPC к E351... UUID службы
4 DC2 DC1 MSRPC MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Ответ привязки RPC
5 DC1 KDC KerberosV5 Область запроса KerberosV5:TGS: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6da6909dd2/contoso.com Запрос TGS на репликацию имени субъекта-службы исходного контроллера домена. Эта операция не будет отображаться в проводе целевого контроллера домена использует себя как KDC.
6 KDC DC1 KerberosV5 KerberosV5:TGS Response Cname: CONTOSO-DC1$ Ответ TGS на целевой контроллер домена contoso-dc1. Эта операция не будет отображаться в проводе целевого контроллера домена использует себя как KDC.
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Запрос AP
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Ответ AP.
Детализация на кадре 7 Детализация кадра 8 Комментарии
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 подключается к службе репликации AD в DC2 через порт, возвращенный EPM в DC2.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, следующий протокол = TCP, идентификатор пакета =, общая длина IP-адреса = 0 Ipv4: Src = x.x.x.35, Dest = x.x.x.245, следующий протокол = TCP, идентификатор пакета = 31546, общая длина IP= 278 Убедитесь, что источник репликации AD ( Dest компьютер в первом столбце и компьютер Src в столбце 2 принадлежит IP-адресу, приведенному в трассировке. x.x.x.35 Это в этом примере.
Билет: область: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

Область: убедитесь, <что область, возвращаемая исходным контроллером домена, соответствует области Kerberos, предназначенной целевому контроллеру домена>.

Sname:<убедитесь, что sName в ответе AP совпадает имя узла предполагаемого исходного контроллера домена и НЕ другой контроллер домена, который назначение неправильно разрешено из-за проблемы> сопоставления "имя — IP".		 В столбце 1 обратите внимание на область целевой области Kerberos, за contoso.com которой следует источник контроллеров домена репликации spN (Sname), которая состоит из службы репликации Active Directory UUID (E351...), объединенных с идентификатором GUID исходного контроллера домена NTDS.

6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 справа от E351... UUID службы репликации — это идентификатор GUID объекта для объекта параметров NTDS исходного контроллера домена. В настоящее время он определен в копии контроллеров домена назначения Active Directory. Убедитесь, что этот guid объекта соответствует значению в поле GUID объекта DSA при repadmin /showreps запуске из консоли исходного контроллера домена.

Полное ping объединение CNAME with_msdcs или nslookup исходных контроллеров домена.<Корневое DNS-имя> леса из консоли целевого контроллера домена должно возвращать исходный IP-адрес контроллеров домена:

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

В ответе, показанном в столбце 2, сосредоточьтесь на Sname поле и убедитесь, что он содержит имя узла исходного контроллера домена репликации AD.

Недопустимые сопоставления имен и IP-адресов могут привести к подключению целевого контроллера домена к контроллеру домена в недопустимой целевой области, что приводит к недопустимому значению области, как показано в этом случае. Ненадежные сопоставления узлов с IP-адресами могут привести к подключению DC1 к DC3 в том же домене. Он по-прежнему создаст KRB_AP_ERR_MODIFIED, но имя области в кадре 8 будет соответствовать области в кадре 7.

Метод 2. Проверка сопоставления имен и IP (без использования сетевой трассировки)

В консоли исходного контроллера домена:

Команда Комментарии
IPCONFIG /ALL |MORE Примечание IP-адреса сетевого адаптера, используемого конечными контроллерами домена
REPADMIN /SHOWREPS |MORE Обратите внимание на значение GUID объекта DSA. Он обозначает GUID объекта для исходного контроллера домена NTDS Settings Object в копии контроллеров домена источника Active Directory.

Из консоли целевого контроллера домена:

Команда Комментарии
IPCONFIG /ALL |MORE Обратите внимание, что основной, вторичный и любой третий DNS-серверы, настроенные, что целевой контроллер домена может запрашивать во время подстановки DNS.
REPADMIN /SHOWREPS |MORE В разделе repadmin входящих соседей выходных данных найдите состояние репликации, в котором целевой контроллер домена реплицирует общую секцию из исходного контроллера домена.

Идентификатор GUID объекта DSA, указанный для исходного контроллера домена в разделе состояния репликации отчета, должен соответствовать идентификатору GUID объекта, указанному в заголовке при запуске в /showreps консоли исходного контроллера домена.
IPCONFIG /FLUSHDNS Очистка кэша DNS-клиента
>Запуск>блокнота
%systemroot%\system32\drivers\etc\hosts		 Проверьте сопоставления между узлами и IP-адресами, ссылающиеся на одну метку исходного контроллера домена или полное DNS-имя. Удалите, если присутствует. Сохраните изменения в HOST-файле.

Выполните Nbtstat -R (верхний регистр R), чтобы обновить кэш имен NetBIOS.
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

Повторите для каждого дополнительного IP-адреса DNS-сервера, настроенного на целевом контроллере домена.

пример: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 Убедитесь, что возвращенный IP-адрес соответствует IP-адресу целевого контроллера домена, указанного выше, записанному из консоли исходного контроллера домена.

Повторите все IP-адреса DNS-серверов, настроенные на целевом контроллере домена.
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> Проверьте наличие повторяющихся записей узла A на всех IP-адресах DNS-сервера, настроенных на целевом контроллере домена.
nbtstat -A <IP address of DNS Server IP returned by nslookup> Должен возвращать имя исходного контроллера домена.

Примечание.

Запрос репликации, направленный на контроллер, отличный от домена (из-за неправильного сопоставления имен с IP-адресом) или контроллер домена, который в настоящее время не имеет E351... служба UUID, зарегистрированная в средстве сопоставления конечных точек, возвращает ошибку 1753: в средстве сопоставления конечных точек больше нет конечных точек.

Целевой объект Kerberos не может расшифровать данные, прошедшие проверку подлинности Kerberos, из-за несоответствия паролей.

Эта проблема может возникнуть, если пароль для исходного контроллера домена отличается от копии контроллера домена KDC и исходного контроллера домена Active Directory. Копия учетной записи компьютера контроллера домена назначения может быть устаревшей, если она не используется в качестве KDC.

Сбои репликации могут запретить контроллерам домена иметь текущее значение пароля для контроллеров домена в определенном домене.

Каждый контроллер домена запускает службу KDC для своей области домена. Для транзакций с той же областью контроллер домена назначения предпочитает получать билеты Kerberos от себя. Однако он может получить билет от удаленного контроллера домена. Рефералы используются для получения билетов Kerberos из других областей.

Команда NLTEST /DSGETDC:<DNS domain of target domain> /kdc , которая выполняется в командной строке с повышенными привилегиями в близком времени к ошибке SEC_E_WRONG_PRINCIPAL , может использоваться для быстрого определения целевого клиента Kerberos.

Окончательный способ определить, от какого контроллера домена клиент Kerberos получил билет, требуется выполнить трассировку сети. Отсутствие трафика Kerberos в трассировке сети может указывать:

  • Клиент Kerberos уже приобрел билеты.
  • Это получает билеты вне провода от себя.
  • Приложение трассировки сети неправильно анализирует трафик Kerberos.

Билеты Kerberos для учетной записи пользователя, вошедшего в систему, можно очистить в командной строке с повышенными привилегиями с помощью KLIST purge команды.

Билеты Kerberos для системной учетной записи, используемой репликацией Active Directory, можно очистить без перезапуска с помощью KLIST -li 0x3e7 purge.

Контроллеры домена можно использовать для использования других контроллеров домена, остановив службу KDC на локальном или удаленном контроллере домена.

Используйте REPADMIN /SHOWOBJMETA для проверки очевидных различий номеров версий в атрибутах, связанных с паролем (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) для исходного контроллера домена в копии исходного контроллера домена и целевого контроллера домена Active Directory.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

Команда netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> , которая выполняется в командной строке с повышенными привилегиями на консоли контроллера домена, для которой требуется сброс пароля, можно использовать для сброса паролей учетной записи компьютера контроллера домена.

Устранение неполадок с конкретными сценариями

  • Повторная процедура для неправильного сопоставления узла с IP-адресом, что приводит к тому, что целевой контроллер домена извлекается из неправильного источника.

    1. Повышение уровня \\dc1 + \\DC2 + \\DC3 в домене contoso.com . Сквозная репликация происходит без ошибок.

    2. Остановите KDC в \\DC1 и \\DC2, чтобы принудительно отключить трафик Kerberos, который можно наблюдать в трассировке сети. Сквозная репликация происходит без ошибок.

    3. Создайте запись файла узла для \\DC2, указывающую IP-адрес контроллера домена в удаленном лесу. Это позволяет имитировать плохое сопоставление узлов и IP-адресов в записи A/AAAA узла или, возможно, устаревший объект NTDS Settings в копии конечного контроллера домена Active Directory.

    4. Запустите сайты и службы Active Directory в консоли \\DC1. Щелкните правой кнопкой мыши объект подключения \\DC1 из \\DC2 и обратите внимание, что имя целевой учетной записи является неправильной ошибкой репликации.

  • Повторная процедура для несоответствия пароля исходного контроллера домена между KDC и исходным контроллером домена.

    1. Повышение уровня \\dc1 + \\DC2 + \\DC3 в домене contoso.com . Сквозная репликация происходит без ошибок.

    2. Остановите KDC в \\DC1 и \\DC2, чтобы принудительно отключить трафик Kerberos, который можно наблюдать в трассировке сети. Сквозная репликация происходит без ошибок.

    3. Отключение входящего репликации в KDC \\DC3 для имитации сбоя репликации в KDC.

    4. Сброс пароля учетной записи компьютера в \\DC2 три или более раз, чтобы \\DC1 и \\DC2 имели текущий пароль для \\DC2.

    5. Запустите сайты и службы Active Directory в консоли \\DC1. Щелкните правой кнопкой мыши объект подключения \\DC1 из \\DC2 и обратите внимание, что имя целевой учетной записи является неправильной ошибкой репликации.

  • Ведение журнала клиента RPC DS

    Задайте NTDS\Diagnostics Loggings\DS RPC Client = 3. Активация репликации. Найдите событие категории задач 1962 + 1963. Обратите внимание на полное cname значение, указанное в поле службы каталогов. Контроллер домена назначения должен иметь возможность проверки связи с этой записью и иметь возвращенную карту адресов с текущим IP-адресом исходного контроллера домена.

  • Рабочий процесс Kerberos

    Рабочий процесс Kerberos включает следующие действия:

    • Клиентский компьютер вызывает функцию IntializeSecurityContext и указывает поставщик поддержки безопасности "Согласование" (SSP).

    • Клиент обращается к KDC с TGT и запрашивает билет TGS для целевого контроллера домена.

    • KDC выполняет поиск в глобальном каталоге источника (e351 или имени узла) в области контроллера домена назначения.

    • Если целевой контроллер домена находится в области конечного контроллера домена, KDC предоставляет клиенту запрос на обслуживание.

    • Если целевой контроллер домена находится в другой области, KDC предоставляет клиенту запрос на реферальную ссылку.

    • Клиент обращается к KDC в домене целевого контроллера домена и запрашивает запрос на обслуживание.

    • Если имя субъекта-службы исходного контроллера домена не существует в области, вы получите ошибку KDC_ERR_S_PRINCIPAL_UNKNOWN .

    • Контроллер домена назначения обращается к целевому объекту и представляет свой билет.

    • Если целевой контроллер домена владеет именем в билете и может расшифровать его, проверка подлинности работает.

    • Если целевой контроллер домена размещает идентификатор UUID службы сервера RPC, то ошибка Kerberos KRB_AP_ERR_NOT_US или KRB_AP_ERR_MODIFIED переназначается следующим образом:

      -2146893022 десятичное / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Имя целевого субъекта неверно"

сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.