通过

Active Directory 复制错误 1396:登录失败:目标帐户名称不正确

本文介绍解决 Active Directory 复制失败的症状、原因和解决方法,其中 Win32 错误 1396。

原始 KB 数: 2183411

现象

本文介绍解决 Active Directory 复制失败的症状、原因和解决方法,其中 Win32 错误 1396:

登录失败:目标帐户名不正确。

  1. DCDIAG 报告 Active Directory 复制失败并出现错误 1396:

    登录失败:目标帐户名不正确。

    测试服务器: <站点名称><DC 名称>
    开始测试:复制
    [复制检查,<DC 名称>] 最近的复制尝试失败:
    从 <源 DC> 到 <目标 DC>
    命名上下文:CN=<命名上下文的 DN 路径>
    复制生成了错误(1396):
    登录失败:目标帐户名称不正确。
    失败发生在 <日期><时间>。
    上次成功发生在 <日期><时间>。
    自上次成功以来发生 XX 失败

  2. REPADMIN.EXE报告复制尝试失败,状态为 1396。

    通常引用 1396 状态的 REPADMIN 命令包括但不限于:

    • REPADMIN /ADD
    • REPADMIN /REPLSUM*
    • REPADMIN /REHOST
    • REPADMIN /SHOWVECTOR /LATENCY
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL
    • REPADMIN /SYNCALL

    描述从 CONTOSO-DC2 到 CONTOSO-DC1 的入站复制失败且登录失败的示例输出REPADMIN /SHOWREPS:目标帐户名称错误

    Default-First-Site-Name\CONTOSO-DC1
    DSA 选项:IS_GC
    网站选项:(无)
    DSA 对象 GUID: <GUID>
    DSA 调用 ID: <invocationID>

    =~ 入站邻居======================================

    DC=contoso,DC=com
    Default-First-Site-Name\CONTOSO-DC2 via RPC
    DSA 对象 GUID: <GUID>
    上次尝试 @ <日期><时间> 失败,结果 1396 (0x574):
    登录失败:目标帐户名称不正确。
    <#> 连续失败(s)。
    上次成功 @ <日期><时间>。

  3. Active Directory 站点和服务中的“复制” 命令返回 登录失败:目标帐户名称不正确

    右键单击源 DC 中的连接对象并选择 “复制”现在 失败, 登录失败:目标帐户名称不正确。 将显示以下屏幕错误消息:

    对话框标题文本:立即复制

    对话框消息文本:尝试将命名上下文<分区 DNS 路径>从域控制器<源 DC 同步到域控制器<目标 DC>> 期间发生以下错误:

    登录失败:目标帐户名称不正确。
    此操作不会继续。

    对话框中的按钮:确定

  4. NT Directory Services (NTDS) 知识一致性检查器 (KCC)、NTDS 常规或 Microsoft-Windows-ActiveDirectory_DomainService 事件(状态为 1396)记录在目录服务事件日志中。

    通常引用 1396 状态的 Active Directory 事件包括但不限于:

    事件来源 事件 ID 事件字符串
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory 域服务安装向导(Dcpromo)无法与以下域控制器建立连接。
    NTDS 复制(此事件列出 3 部分 SPN) 1645 Active Directory 未对另一个域控制器执行经过身份验证的远程过程调用(RPC),因为目标域控制器的所需服务主体名称(SPN)未在解析 SPN 的密钥分发中心(KDC)域控制器上注册。
    Microsoft-Windows-ActiveDirectory_DomainService 1655 Active Directory 域服务尝试与以下全局目录通信,尝试失败。
    Microsoft-Windows-ActiveDirectory_DomainService 2847 KCC 为本地只读目录服务找到复制连接,并尝试在以下目录服务实例上远程更新它。 此操作失败。 它将重试。
    NTDS KCC 1925 尝试为以下可写目录分区建立复制链接失败。
    NTDS KCC 1926 尝试建立指向具有以下参数的只读目录分区的复制链接失败。
    NETLOGON 5781 服务器无法在 DNS 中注册其名称

  5. Dcpromo 失败,屏幕上出现错误:

    Active Directory 安装失败

    操作失败,因为:
    目录服务未能为服务器 ReplicationSourceDC.contoso.com 上的 CN=NTDS 设置、CN=ServerBeingPromoted、CN=Servers、CN=Site、CN=Sites、CN=Configuration、DC=contoso、DC=com 创建服务器对象。 请确保提供的网络凭据具有足够的访问权限来添加副本。
    “登录失败:目标帐户名不正确。”

    确定

    在这种情况下,事件 ID 1645、1168 和 1125 记录在正在升级的服务器上。

  6. 使用 映射驱动器 net use

    C:\>net use z: \\<server_name>\c$

    系统错误 1396 已发生。
    登录失败:目标帐户名称不正确。

    在这种情况下,服务器还在系统事件日志中记录事件 ID 333,并且使用 SQL Server 时使用了大量虚拟内存。

  7. DC 时间不正确。

  8. KDC 在还原已删除的 RODC 的 krbtgt 帐户后,不会在 RODC 上启动。 使用第三方还原工具还原后,将显示错误 1396。

    事件 ID 1645 记录在 RODC 上。
    Dcdiag 还报告了无法更新 RODC krbtgt 帐户的错误。

原因

存在多个根本原因。 已知根本原因包括:

  1. KDC 代表尝试使用 Kerberos 进行身份验证的客户端搜索的全局目录上不存在 SPN。

    在 Active Directory 复制的上下文中,Kerberos 客户端是目标 DC。 执行 SPN 查找的 KDC 可能是目标 DC 本身,但可能是远程 DC。

  2. 应包含要查找的服务主体名称的用户或服务帐户在代表尝试复制的目标 DC 搜索的全局目录上不存在。

    在 Active Directory 复制的上下文中,源 DC 计算机帐户不存在于代表执行入站复制的目标 DC 搜索的全局目录上。

  3. 目标 DC 缺少源 DC 域的 LSA 机密。

  4. 正在查找的 SPN 存在于与源 DC 不同的计算机帐户上。

  5. 对于复制失败到 RODC 的问题,可能已删除特定于 RODC 的 KRBTGT 帐户。

解决方法

  1. 检查 NTDS 复制事件 1645 的目标 DC 上的目录服务事件日志,并记下以下内容:

    目标 DC 的名称
    正在查找的 SPN (E3514235-4B06-11D1-AB04-00C04FC2DCD2/<object guid for source DCs NTDS Settings 对象>/<目标域>)。<tld>@<target 域>。<tld>
    目标 DC 使用的 KDC

  2. 在步骤 1 中标识的 KDC 控制台中,键入 nltest /dsgetdc:<forest root DNS domain name > /gc

    在复制尝试失败后立即运行 NLTEST 定位器测试,目标 DC 上出现 1396 错误。

    这应确定 KDC 正在对其执行 SPN 查找的 GC。

    KDC 正在搜索的 GC 也可以在 Microsoft-Windows-ActiveDirectory_DomainService 事件 1655 中捕获。

  3. 在步骤 2 中发现的全局目录上搜索在步骤 1 中发现的 SPN。

    C:\>repadmin /showattr contoso-dc1 DC=corp,DC=contoso,dc=com <GC used by KDC> <DN path of forest root domain> /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)" /gc /subtree /atts:cn,serviceprincipalname


    C:\>dsquery * forestroot -scope subtree -filter "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/ff9872f4-663a-4e15-8246-51a251613b58*)" -attr * -s contoso-dc1.corp.contoso.com

    验证 SPN 的主机对象是否存在。

    验证主机对象的 DN 路径,包括该对象是 CNF/冲突管理还是驻留在丢失和找到的容器中。

    验证源 DC AD 复制 SPN 是否仅在源 DC 的计算机帐户上注册。

    如果复制 SPN 缺失,请确定源 DC 是否已将 SPN 注册到其自身,以及 KDC 使用的 GC 上是否由于简单复制延迟或复制失败而缺少 SPN

  4. 检查安全通道运行状况和信任运行状况。

下表列出了其他症状、原因和解决方法:

症状 原因 解决方法
DC 时间不正确。 DC 是一个虚拟机,该虚拟机设置为与 VMware 主机同步时间,导致事件 1925、1645。 取消选中从 VMware 主机同步虚拟 DC 的时间的选项,以便它可以与 PDC 同步时间。
Dcpromo 失败,屏幕上出现错误:Active Directory 安装失败。 操作失败,因为:
目录服务未能为服务器 ReplicationSourceDC.contoso.com 上的 CN=NTDS 设置、CN=ServerBeingPromoted、CN=Servers、CN=Site、CN=Sites、CN=Configuration、DC=contoso、DC=com 创建服务器对象。 确保提供的网络凭据具有足够的访问权限来添加副本。
登录失败:目标帐户名称不正确。

在这种情况下,事件 ID 1645、1168 和 1125 记录在正在升级的服务器上。		 在 dcpromo 期间,帮助程序 DC 上的 SPN(复制源 DC)无效。 对于帮助程序 DC SPN 无效的 dcpromo 错误,请使用 SetSPN 在帮助程序 DC 上创建新的 SPN,格式为 GC/serverName.contoso.com

详细信息

其他原因包括:

  1. 在 dcpromo 期间,帮助程序 DC 上的 SPN(复制源 DC)无效。

  2. DC 是一个虚拟机,该虚拟机设置为与 VMware 主机同步时间,导致事件 1925、1645。

  3. 对于删除 KRBTGT 帐户的 RODC 特定方案:使用 NTDSUTIL 权威地还原KRBTGT_#####帐户,然后导入 LDIFDE 文件以更正反向链接。 至少需要更新 RODC 的计算机对象上的 msDS-KrbTgtLink 属性,以指向已还原帐户的 DN。

数据收集

如果需要Microsoft支持方面的帮助,建议按照使用 TSS 收集 Active Directory 复制问题的信息中所述的步骤收集信息。