Active Directory-Replikationsfehler -2146893022 (0x80090322): Der Zielprinzipalname ist falsch.

Artikel
04/11/2024

In diesem Artikel wird beschrieben, wie Sie ein Problem beheben, bei dem die Active Directory-Replikation fehlschlägt und einen Fehler generiert (-2146893022: Der Zielprinzipalname ist falsch).

Gilt für: Windows Server (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 2090913

Hinweis

Private Benutzer: Dieser Artikel richtet sich nur an Technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem benötigen, wenden Sie sich bitte an die Microsoft Community.

Zusammenfassung

Dieser Fehler tritt auf, wenn der Quelldomänencontroller das vom Zieldomänencontroller bereitgestellte Dienstticket nicht entschlüsselt.

Wichtigste Ursache

Der Zieldomänencontroller empfängt ein Dienstticket von einem Kerberos Key Distribution Center (KDC). Und das KDC verfügt über eine alte Version des Kennworts für den Quelldomänencontroller.

Höchste Auflösung

Beenden Sie den KDC-Dienst auf dem Zieldomänencontroller. Führen Sie dazu den folgenden Befehl an einer Eingabeaufforderung aus:
```
net stop KDC
```
Starten Sie die Replikation auf dem Zieldomänencontroller vom Quelldomänencontroller. Verwenden Sie AD-Websites und -Dienste oder Repadmin.

Verwenden von repadmin:
```
Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC
```
Wenn die Replikation beispielsweise auf ContosoDC2.contoso.comfehlschlägt, führen Sie den folgenden Befehl für aus ContosoDC1.contoso.com:
```
Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
```
Starten Sie den Kerberos-KDC-Dienst auf dem Zieldomänencontroller, indem Sie den folgenden Befehl ausführen:
```
net start KDC
```

Wenn das Problem dadurch nicht behoben wird, finden Sie im Abschnitt Lösung eine alternative Lösung, in der Sie den netdom resetpwd Befehl verwenden, um das Computerkontokennwort des Quelldomänencontrollers zurückzusetzen. Wenn das Problem mit diesen Schritten nicht behoben wird, lesen Sie den Rest dieses Artikels.

Problembeschreibung

Wenn dieses Problem auftritt, treten mindestens eines der folgenden Symptome auf:

DCDIAG meldet, dass der Active Directory-Replikationstest fehlgeschlagen ist, und hat den Fehler -2146893022 zurückgegeben: Der Zielprinzipalname ist falsch.

[Replikationsprüfung,<DC-Name>] Fehler beim letzten Replikationsversuch:
Vom <Quelldomänencontroller> zum <Zieldomänencontroller>
Benennungskontext: <DN-Pfad der Verzeichnispartition>
Bei der Replikation wurde ein Fehler (-2146893022) generiert:
„Der Zielprinzipalname ist falsch.“
Der Fehler ist zum Zeitpunkt des <Datums><> aufgetreten.
Der letzte Erfolg ist zum <Zeitpunkt des Datums><> aufgetreten.
<X-Fehler> sind seit dem letzten Erfolg aufgetreten.

Repadmin.exe meldet, dass ein Replikationsversuch fehlgeschlagen ist, und meldet den status -2146893022 (0x80090322).

RepadminBefehle, die in der Regel die 0x80090322 (-2146893022) angeben status enthalten, sind jedoch nicht auf die folgenden Befehle beschränkt:

REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS

REPADMIN /SYNCALL

Beispielausgabe von REPADMIN /SHOWREPS und REPADMIN /SYNCALL , die darauf hinweist, dass der Zielprinzipalname falsch ist , lautet wie folgt:

c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

Der Befehl jetzt replizieren in Active Directory-Standorte und -Dienste gibt die folgende Fehlermeldung zurück:
Der Zielprinzipalname ist falsch.

Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt von einem Quelldomänencontroller klicken und dann replizieren auswählen, tritt ein Fehler auf. Die Fehlermeldung auf dem Bildschirm lautet wie folgt:

Dialogtiteltext: Jetzt replizieren
Meldungstext des Dialogfelds: Der folgende Fehler ist beim Versuch, den Domänencontroller-Quelldomänencontrollernamen <>zu kontaktieren, aufgetreten:
Der Zielprinzipalname ist falsch.
Schaltflächen im Dialogfeld: OK

NTDS Knowledge Consistency Checker (KCC), NTDS General oder Microsoft-Windows-ActiveDirectory_DomainService Ereignisse, die die -2146893022 status aufweisen, werden im Verzeichnisdienstereignisprotokoll protokolliert.

Active Directory-Ereignisse, die häufig die -2146893022 status enthalten, sind jedoch nicht auf die folgenden Ereignisse beschränkt:

Ereignisquelle	Ereignis-ID	Ereigniszeichenfolge
NTDS-Replikation	1586	Der Replikationsprüfpunkt für Windows NT 4.0 oder früher mit dem PDC-Emulator master war nicht erfolgreich. Eine vollständige Synchronisierung der SAM-Datenbank (Security Accounts Manager) mit Domänencontrollern unter Windows NT 4.0 und früher kann erfolgen, wenn der PDC-Emulator master Rolle vor dem nächsten erfolgreichen Prüfpunkt auf den lokalen Domänencontroller übertragen wird.
NTDS KCC	1925	Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten.
NTDS KCC	1308	Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) hat festgestellt, dass aufeinanderfolgende Replikationsversuche mit dem folgenden Domänencontroller konsistent fehlgeschlagen sind.
Microsoft-Windows-ActiveDirectory_DomainService	1926	Fehler beim Versuch, eine Replikationsverknüpfung mit einer schreibgeschützten Verzeichnispartition mit den folgenden Parametern herzustellen
NTDS-Standortübergreifendes Messaging	1373	Der standortübergreifende Messagingdienst konnte über den folgenden Transport keine Nachrichten für den folgenden Dienst empfangen. Bei der Abfrage für Nachrichten ist ein Fehler aufgetreten.

Ursache

Der Fehlercode -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL ist kein Active Directory-Fehler. Es kann von den folgenden Komponenten der unteren Ebene für verschiedene Grundursachen zurückgegeben werden:

RPC
Kerberos
SSL
LSA
NTLM

Kerberos-Fehler, die von Windows-Code -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL zugeordnet werden, umfassen:

KRB_AP_ERR_MODIFIED (0x29/41 dezimale/KRB_APP_ERR_MODIFIED)
KRB_AP_ERR_BADMATCH (0x24h/36 dezimal/"Ticket und Authentifikator stimmen nicht überein")
KRB_AP_ERR_NOT_US (0x23h/35 dezimal/"Das Ticket ist nicht für uns")

Einige spezifische Ursachen für -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL :

Eine fehlerhafte Name-zu-IP-Zuordnung in der DNS-, WINS-, HOST- oder LMHOST-Datei. Dadurch hat der Zieldomänencontroller eine Verbindung mit dem falschen Quelldomänencontroller in einem anderen Kerberos-Bereich hergestellt.
Der KDC und der Quelldomänencontroller verfügen über unterschiedliche Versionen des Computerkontokennworts des Quelldomänencontrollers. Daher konnte der Kerberos-Zielcomputer (Quelldomänencontroller) die vom Kerberos-Client (Zieldomänencontroller) gesendeten Kerberos-Authentifizierungsdaten nicht entschlüsseln.
Das KDC konnte keine Domäne finden, um nach dem SPN des Quelldomänencontrollers zu suchen.
Authentifizierungsdaten in Kerberos-verschlüsselten Frames wurden von Hardware (einschließlich Netzwerkgeräten), Software oder einem Angreifer geändert.

Fehlerbehebung

Ausführen dcdiag /test:checksecurityerror auf dem Quelldomänencontroller

SPNs können aufgrund einer einfachen Replikationslatenz fehlen, ungültig oder dupliziert sein, insbesondere nach höherer Heraufstufung oder Replikationsfehlern.

Doppelte SPNs können dazu führen, dass fehlerhafte SPNs Zuordnungen benennen.

DCDIAG /TEST:CheckSecurityError kann auf fehlende oder doppelte SPNs und andere Fehler überprüfen.

Führen Sie diesen Befehl in der Konsole aller Quelldomänencontroller aus, bei denen die ausgehende Replikation mit dem SEC_E_WRONG_PRINCIPAL Fehler fehlschlägt.

Mithilfe der folgenden Syntax können Sie die SPN-Registrierung anhand eines bestimmten Speicherorts überprüfen:
```
dcdiag /test:checksecurityerror replsource:<remote dc>
```
Überprüfen Sie, ob der von Kerberos verschlüsselte Netzwerkdatenverkehr das beabsichtigte Kerberos-Ziel (Name-to-IP-Zuordnung) erreicht hat.

Stellen Sie sich folgendes Szenario vor:
- Eingehende replizierbare Active Directory-Zieldomänencontroller durchsuchen ihre lokale Kopie des Verzeichnisses nach der objectGUID der NTDS-Einstellungsobjekte der Quelldomänencontroller.
- Die Domänencontroller fragen den aktiven DNS-Server nach einem passenden DC GUIDED CNAME-Eintrag ab. Anschließend wird es einem A/AAAA-Hosteintrag zugeordnet, der die IP-Adresse des Quelldomänencontrollers enthält.
  
  In diesem Szenario führt Active Directory einen Fallback für die Namensauflösung aus. Sie enthält Abfragen nach vollqualifizierten Computernamen in DNS oder Hostnamen mit einfacher Bezeichnung in WINS.
  
  Hinweis
  
  DNS-Server können auch WINS-Lookups in Fallbackszenarien durchführen.

Die folgenden Situationen können dazu führen, dass ein Zieldomänencontroller Kerberos-verschlüsselten Datenverkehr an das falsche Kerberos-Ziel übermittelt:

Veraltete NTDS-Einstellungsobjekte
Ungültige Name-zu-IP-Zuordnungen in DNS- und WINS-Hosteinträgen
Veraltete Einträge in HOST-Dateien

Um diese Bedingung zu überprüfen, führen Sie entweder eine Netzwerkablaufverfolgung durch, oder vergewissern Sie sich manuell, dass DNS-/NetBIOS-Namensabfragen auf den vorgesehenen Zielcomputer aufgelöst werden.

Methode 1: Netzwerkablaufverfolgungsmethode (wie von Network Monitor 3.3.1641 analysiert, indem vollständige Standardparser aktiviert sind)

Die folgende Tabelle zeigt eine Zusammenfassung des Netzwerkdatenverkehrs, der auftritt, wenn das Ziel-DC1 eingehender Datenverkehr das Active Directory-Verzeichnis aus der Quelle DC2 repliziert.

F#	SRC	DEST	Protokoll	Rahmen	Kommentar
1	DC1	DC2	MSRPC	MSRPC:c/o Request: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90	Dest DC RPC-Aufruf an EPM auf Quell-DC über 135
2	DC2	DC1	MSRPC	MSRPC:c/o Response: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0	EPM-Antwort an RPC-Aufrufer
3	DC1	DC2	MSRPC	MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0	RPC-Bindungsanforderung an E351... Dienst-UUID
4	DC2	DC1	MSRPC	MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0	RPC-Bindungsantwort
5	DC1	KDC	KerberosV5	KerberosV5:TGS-Anforderungsbereich: `CONTOSO.COMSname`: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com	TGS-Anforderung für den Replikations-SPN des Quelldomänencontrollers. Dieser Vorgang wird nicht auf dem Draht des Zieldomänencontrollers angezeigt, der selbst als KDC verwendet.
6	KDC	DC1	KerberosV5	KerberosV5:TGS Response Cname: CONTOSO-DC1$	TGS-Antwort an den Zieldomänencontroller contoso-dc1. Dieser Vorgang wird nicht auf dem Draht des Zieldomänencontrollers angezeigt, der selbst als KDC verwendet.
7	DC1	DC2	MSRPC	`MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2`	AP-Anforderung
8	DC2	DC1	MSRPC	`MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0`	AP-Antwort.

Drilldown auf Frame 7	Drilldown für Frame 8	Kommentare
`MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2`	`MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0`	DC1 stellt über den port, der vom EPM auf DC2 zurückgegeben wird, eine Verbindung mit dem AD-Replikationsdienst auf DC2 her.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0	Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278	Vergewissern Sie sich, dass der `Dest` AD-Replikationsquell-DC (in der ersten Spalte als Computer und in Spalte 2 Src-Computer bezeichnet) die in der Ablaufverfolgung angegebene IP-Adresse besitzt . Dies ist `x.x.x.35` in diesem Beispiel.
Ticket: Bereich: `CONTOSO.COM`, `Sname`: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com	ErrorCode: KRB_AP_ERR_MODIFIED (41) Bereich: <Überprüfen Sie, ob der vom Quelldomänencontroller zurückgegebene Bereich mit dem Kerberos-Bereich übereinstimmt, der vom Zieldomänencontroller> vorgesehen ist. `Sname`:<verify that the `sName` in the AP response matches contains the hostname of the intended source DC and NOT another DC that the destination in fälschlicherweise aufgelöst aufgrund eines problems bei der Name-to-IP-Zuordnung>.	Beachten Sie in Spalte 1 den Bereich des Kerberos-Zielbereichs, `contoso.com` gefolgt vom Replikations-SPN der Quelldomänencontroller (`Sname`), der aus der Active Directory-Replikationsdienst-UUID (E351...) besteht, die mit der Objekt-GUID des NTDS-Einstellungsobjekts der Quelldomänencontroller verkettet ist. Der GUIDED-Wert 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 rechts vom E351... Replikationsdienst-UUID ist die Objekt-GUID für das NTDS-Einstellungsobjekt der Quelldomänencontroller. Sie ist derzeit in der Kopie von Active Directory für Zieldomänencontroller definiert. Stellen Sie sicher, dass diese Objekt-GUID mit dem Wert im DSA-Objekt-GUID-Feld übereinstimmt, wenn `repadmin /showreps` über die Konsole des Quelldomänencontrollers ausgeführt wird. Eine `ping` oder `nslookup` der vollqualifizierten CNAME-Quelldomänencontroller, die with_msdcs verkettet sind.<Der DNS-Name des Gesamtstrukturstamms> aus der Konsole des Zieldomänencontrollers muss die aktuelle IP-Adresse der Quelldomänencontroller zurückgeben: `ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com` `nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>` Konzentrieren Sie sich in der Antwort in Spalte 2 auf das `Sname` Feld, und überprüfen Sie, ob es den Hostnamen des AD-Replikationsquelldomänencontrollers enthält. Ungültige Name-zu-IP-Zuordnungen können dazu führen, dass der Ziel-Domänencontroller eine Verbindung mit einem Domänencontroller in einem ungültigen Zielbereich herstellt, wodurch der Wert des Bereichs ungültig ist, wie in diesem Fall gezeigt. Fehlerhafte Host-zu-IP-Zuordnungen können dazu führen, dass DC1 eine Verbindung mit DC3 in derselben Domäne herstellt. Es würde weiterhin KRB_AP_ERR_MODIFIED generieren, aber der Bereichsname in Frame 8 würde mit dem Bereich in Frame 7 übereinstimmen.

Methode 2: Überprüfung der Name-zu-IP-Zuordnung (ohne Verwendung einer Netzwerkablaufverfolgung)

Über die Konsole des Quelldomänencontrollers:

Befehl	Kommentar
`IPCONFIG /ALL \|MORE`	Hinweis: IP-Adresse der NIC, die von Zieldomänencontrollern verwendet wird
`REPADMIN /SHOWREPS \|MORE`	Beachten Sie den Wert der DSA-Objekt-GUID. Es gibt die Objekt-GUID für das NTDS-Einstellungsobjekt der Quelldomänencontroller in der Kopie der Active Directory-Quelldomänencontroller an.

Über die Konsole des Zieldomänencontrollers:

Befehl	Kommentar
`IPCONFIG /ALL \|MORE`	Beachten Sie die primären, sekundären und tertiären DNS-Server, die konfiguriert sind, damit der Zieldomänencontroller während dns-Lookups abfragen kann.
`REPADMIN /SHOWREPS \|MORE`	Suchen Sie im Abschnitt Eingehende Nachbarn der `repadmin` Ausgabe die Replikation status, bei der der Zieldomänencontroller eine gemeinsame Partition aus dem betreffenden Quelldomänencontroller repliziert. Die für den Quelldomänencontroller im Replikationsabschnitt status Des Berichts aufgeführte DSA-Objekt-GUID sollte der im `/showreps` Header aufgeführten Objekt-GUID entsprechen, wenn sie auf der Konsole des Quelldomänencontrollers ausgeführt wird.
`IPCONFIG /FLUSHDNS`	Löschen des DNS-Clientcaches
Starten>Ausführen>Editor `%systemroot%\system32\drivers\etc\hosts`	Überprüfen Sie, ob Host-zu-IP-Zuordnungen auf die Quelldomänencontroller mit einer Bezeichnung oder einem vollqualifizierten DNS-Namen verweisen. Entfernen Sie, falls vorhanden. Speichern Sie Die Änderungen an der HOST-Datei. Führen Sie `Nbtstat -R` aus (Großbuchstaben R), um den NetBIOS-Namenscache zu aktualisieren.
`NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>` Wiederholen Sie dies für jede zusätzliche DNS-Server-IP, die auf dem Zieldomänencontroller konfiguriert ist. Beispiel: `c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103`	Vergewissern Sie sich, dass die zurückgegebene IP-Adresse mit der IP-Adresse des oben aufgeführten Zieldomänencontrollers übereinstimmt, die in der Konsole des Quelldomänencontrollers aufgezeichnet wurde. Wiederholen Sie dies für alle IP-Adressen von DNS-Servern, die auf dem Zieldomänencontroller konfiguriert sind.
`nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP>`	Überprüfen Sie auf doppelte Host-A-Einträge für alle DNS-Server-IP-Adressen, die auf dem Zieldomänencontroller konfiguriert sind.
`nbtstat -A <IP address of DNS Server IP returned by nslookup>`	Sollte den Namen des Quelldomänencontrollers zurückgeben.

Hinweis

Eine Replikationsanforderung, die an einen Nicht-Domänencontroller weitergeleitet wird (aufgrund einer fehlerhaften Name-zu-IP-Zuordnung) oder an einen Domänencontroller, der derzeit nicht über den E351 verfügt... Die bei der Endpunktzuordnung registrierte Dienst-UUID gibt den Fehler 1753 zurück: Es sind keine weiteren Endpunkte mit der Endpunktzuordnung verfügbar.

Das Kerberos-Ziel kann aufgrund eines Kennwortkonflikts keine authentifizierten Kerberos-Daten entschlüsseln.

Dieses Problem kann auftreten, wenn sich das Kennwort für den Quelldomänencontroller zwischen dem KDC und der Kopie des Quelldomänencontrollers des Active Directory-Verzeichnisses unterscheidet. Die Kopie des Zieldomänencontrollers des Computerkontokennworts des Quelldomänencontrollers ist möglicherweise veraltet, wenn er sich nicht selbst als KDC verwendet.

Replikationsfehler können verhindern, dass Domänencontroller einen aktuellen Kennwortwert für Domänencontroller in einer bestimmten Domäne haben.

Jeder Domänencontroller führt den KDC-Dienst für seinen Domänenbereich aus. Bei Transaktionen im gleichen Bereich bevorzugt ein Zieldomänencontroller das Abrufen von Kerberos-Tickets von sich selbst. Es kann jedoch ein Ticket von einem Remotedomänencontroller erhalten. Empfehlungen werden verwendet, um Kerberos-Tickets aus anderen Bereichen abzurufen.

Der NLTEST /DSGETDC:<DNS domain of target domain> /kdc Befehl, der an einer Eingabeaufforderung mit erhöhten Rechten in unmittelbarer Nähe zu einem SEC_E_WRONG_PRINCIPAL Fehler ausgeführt wird, kann verwendet werden, um schnell zu ermitteln, auf welchen KDC ein Kerberos-Client abzielt.

Die endgültige Methode zum Bestimmen des Domänencontrollers, von dem ein Kerberos-Client ein Ticket erhalten hat, besteht darin, eine Netzwerkablaufverfolgung zu erstellen. Das Fehlen von Kerberos-Datenverkehr in einer Netzwerkablaufverfolgung kann auf Folgendes hindeuten:

Der Kerberos-Client hat bereits Tickets erworben.
Es bekommt Tickets von sich selbst.
Ihre Netzwerkablaufverfolgungsanwendung analysiert Kerberos-Datenverkehr nicht ordnungsgemäß.

Kerberos-Tickets für das angemeldete Benutzerkonto können mithilfe des KLIST purge Befehls an einer Eingabeaufforderung mit erhöhten Rechten gelöscht werden.

Kerberos-Tickets für das Systemkonto, die von der Active Directory-Replikation verwendet werden, können mit ohne Neustart KLIST -li 0x3e7 purgegelöscht werden.

Domänencontroller können zur Verwendung anderer Domänencontroller festgelegt werden, indem der KDC-Dienst auf einem lokalen oder Remotedomänencontroller beendet wird.

Verwenden Sie REPADMIN /SHOWOBJMETA , um offensichtliche Versionsnummernunterschiede bei kennwortbezogenen Attributen (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) für den Quelldomänencontroller in der Kopie des Quelldomänencontrollers und des Zieldomänencontrollers des Active Directory-Verzeichnisses zu überprüfen.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

Der netdom-Befehl resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> , der an einer Eingabeaufforderung mit erhöhten Rechten auf der Konsole des Domänencontrollers ausgeführt wird, für die eine Kennwortzurücksetzung erforderlich ist, kann zum Zurücksetzen von Kennwörtern des Domänencontrollercomputerkontos verwendet werden.

Problembehandlung für bestimmte Szenarien

Repro-Schritte für eine fehlerhafte Host-zu-IP-Zuordnung, die dazu führt, dass der Zieldomänencontroller aus einer falschen Quelle pullt.
1. Heraufstufen von \\dc1 + \\DC2 + \\DC3 in der contoso.com Domäne. Die End-to-End-Replikation erfolgt ohne Fehler.
2. Beenden Sie das KDC auf \\DC1 und \\DC2, um off-box Kerberos-Datenverkehr zu erzwingen, der in einer Netzwerkablaufverfolgung beobachtet werden kann. Die End-to-End-Replikation erfolgt ohne Fehler.
3. Erstellen Sie einen Hostdateieintrag für \\DC2, der auf die IP-Adresse eines Domänencontrollers in einer Remotegesamtstruktur verweist. Es wird eine fehlerhafte Host-zu-IP-Zuordnung in einem A/AAAA-Hostdatensatz oder vielleicht ein veraltetes NTDS-Einstellungsobjekt in der Kopie des Zieldomänencontrollers des Active Directory-Verzeichnisses simuliert.
4. Starten Sie Active Directory-Standorte und -Dienste in der Konsole von \\DC1. Klicken Sie mit der rechten Maustaste auf das eingehende Verbindungsobjekt von \\DC1 aus \\DC2, und beachten Sie, dass der Zielkontoname ein falscher Replikationsfehler ist.
Reproduktionsschritte für einen Nichtübereinstimmung des Kennworts des Quelldomänencontrollers zwischen KDC und Dem Quelldomänencontroller.
1. Heraufstufen von \\dc1 + \\DC2 + \\DC3 in der contoso.com Domäne. Die End-to-End-Replikation erfolgt ohne Fehler.
2. Beenden Sie das KDC auf \\DC1 und \\DC2, um off-box Kerberos-Datenverkehr zu erzwingen, der in der Netzwerkablaufverfolgung beobachtet werden kann. Die End-to-End-Replikation erfolgt ohne Fehler.
3. Deaktivieren der eingehenden Replikation auf KDC \\DC3, um einen Replikationsfehler auf dem KDC zu simulieren.
4. Setzen Sie das Computerkontokennwort für \\DC2 dreimal oder mehrmals zurück, sodass \\DC1 und \\DC2 über das aktuelle Kennwort für \\DC2 verfügen.
5. Starten Sie Active Directory-Standorte und -Dienste in der Konsole von \\DC1. Klicken Sie mit der rechten Maustaste auf das eingehende Verbindungsobjekt von \\DC1 aus \\DC2, und beachten Sie, dass der Name des Zielkontos falsch ist .
DS RPC-Clientprotokollierung

Legen Sie NTDS\Diagnostics Loggings\DS RPC Client = 3 fest. Lösen Sie die Replikation aus. Suchen Sie nach Vorgangskategorieereignis 1962 + 1963. Beachten Sie den vollqualifizierten cname Wert, der im Feld Verzeichnisdienst aufgeführt ist. Der Zieldomänencontroller sollte in der Lage sein, diesen Datensatz zu pingen und die zurückgegebene Adresse der aktuellen IP-Adresse des Quelldomänencontrollers zuzuordnen.
Kerberos-Workflow

Der Kerberos-Workflow umfasst die folgenden Aktionen:
- Der Clientcomputer ruft die IntializeSecurityContext-Funktion auf und gibt den Sicherheitsunterstützungsanbieter (SSP) aushandeln an.
- Der Client kontaktiert das KDC mit seinem TGT und fordert ein TGS-Ticket für den Zieldomänencontroller an.
- Das KDC durchsucht den globalen Katalog nach einer Quelle (entweder e351 oder Hostname) im Bereich des Zieldomänencontrollers.
- Wenn sich der Zieldomänencontroller im Bereich des Zieldomänencontrollers befindet, stellt der KDC dem Client ein Dienstticket bereit.
- Wenn sich der Zieldomänencontroller in einem anderen Bereich befindet, stellt das KDC dem Client ein Empfehlungsticket bereit.
- Der Client kontaktiert ein KDC in der Domäne des Zieldomänencontrollers und fordert ein Dienstticket an.
- Wenn der SPN des Quelldomänencontrollers nicht im Bereich vorhanden ist, erhalten Sie einen KDC_ERR_S_PRINCIPAL_UNKNOWN Fehler.
- Der Zieldomänencontroller kontaktiert das Ziel und zeigt sein Ticket an.
- Wenn der Zieldomänencontroller den Namen im Ticket besitzt und ihn entschlüsseln kann, funktioniert die Authentifizierung.
- Wenn der Zieldomänencontroller die UUID des RPC-Serverdiensts hostet, wird der KRB_AP_ERR_NOT_US- oderKRB_AP_ERR_MODIFIED-Fehler bei Kerberos wie folgt neu zugeordnet:
  
  -2146893022 dezimal/0x80090322/SEC_E_WRONG_PRINCIPAL/"Der Zielprinzipalname ist falsch"

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.