Solucionar el error de replicación de AD 1396: error de inicio de sesión: el nombre de cuenta destino es incorrecto.

Síntomas

Este artículo describe los síntomas, causa y resolución para resolver la replicación de Active Directory con el error de Win32 1396: "Error de inicio de sesión: el nombre de cuenta destino es incorrecto." El artículo se publicó anteriormente con el título siguiente, "solución de problemas operaciones de Active Directory que con el error 1396: error de inicio de sesión: el nombre de cuenta destino es incorrecto".

  1. Informes DCDIAG que las replicaciones de directorio activo ha fallado con el error "1396: error de inicio de sesión: el nombre de cuenta destino es incorrecto."

    Servidor de prueba: < nombre del sitio > \ < nombre de DC >
    Iniciando prueba: replicaciones
    [Comprobación de replicaciones, < nombre de DC >] Error en un intento de replicación recientes:
    Desde < DC de origen > a < DC de destino >
    Contexto de nomenclatura: CN = < ruta de acceso de DN de contexto de nombres >
    La replicación generó un error (1396):
    Error de inicio de sesión: El nombre de cuenta destino es incorrecto.
    El error ocurrió en tiempo > < fecha ><.
    Se produjo el último éxito en tiempo > < fecha ><.
    XX errores desde la última operación correcta

  2. REPADMIN. EXE indica que error en ese intento de replicación con estado 1396.

    Los comandos REPADMIN que suele citar el estado 1396 incluyen pero no se limitan a:

    ·         REPADMIN /ADD
    ·         REPADMIN /REPLSUM*
    ·         REPADMIN /REHOST
    ·         REPADMIN /SHOWVECTOR /LATENCY 

    ·         REPADMIN /SHOWREPS
    ·         REPADMIN /SHOWREPL
    ·         REPADMIN /SYNCALL


    Un ejemplo de "REPADMIN /SHOWREPS" que representan la replicación entrante de CONTOSO DC2 para CONTOSO-DC1 con salida el "Error de inicio de sesión: el nombre de cuenta destino es incorrecto." error que se muestra a continuación:

    Default-First-Site-Name\CONTOSO-DC1
    Opciones de DSA: IS_GC
    Opciones de sitio: (ninguno)
    GUID del objeto DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01
    Id. de invocación DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01

    === VECINOS DE ENTRADA ===

    DC=contoso,DC=com
    Predeterminado-primer-sitio-Name\CONTOSO-DC2 a través de RPC
    GUID del objeto DSA: 74fbe06c-932c-46b5-831b-af9e31f496b2
    En el último intento @ < fecha >< hora > error, resultado 1396 (0x574):
    Error de inicio de sesión: el nombre de cuenta destino es incorrecto.
    <> # consecutivos errores.
    Éxito @ < fecha >< hora > pasado.

  3. El comando "Replicar ahora" en servicios y sitios de Active Directory devuelve "Error de inicio de sesión: el nombre de cuenta destino es incorrecto."

    Haciendo doble clic en el objeto de conexión desde un controlador de dominio de origen y eligiendo "replican ahora" falla con "Error de inicio de sesión: el nombre de cuenta destino es incorrecto.". La pantalla el mensaje de error se muestra a continuación:

    1. Texto de título de diálogo: replicar ahora

      Texto del mensaje de diálogo: se ha producido el siguiente error durante el intento de sincronizar el contexto de nomenclatura < ruta de acceso de partición DNS > de < DC de origen > del controlador de dominio a controlador de dominio de < destino DC >:

      Error de inicio de sesión: El nombre de cuenta destino es incorrecto.
      Esta operación no continuará.

      Botones en el cuadro de diálogo: Aceptar


  4. NTDS KCC, NTDS General o eventos de Microsoft-Windows-ActiveDirectory_DomainService con el estado 1396 se registran en el registro de sucesos del servicio de directorio.

    Eventos de Active Directory que comúnmente citan el estado 1396 incluyen pero no se limitan a:

    Origen de eventos

    Id. de suceso

    Cadena de evento

    Microsoft-Windows-ActiveDirectory_DomainService

    1125

    El Asistente para la instalación del servicios de dominio de Active Directory (Dcpromo) no pudo establecer conexión con el siguiente controlador de dominio.

    Replicación de NTDS
    (Este evento muestra el SPN de parte de 3)

    1645

    Active Directory no realizó una llamada a procedimiento remoto autenticado (RPC) a otro controlador de dominio porque el nombre principal de servicio deseado (SPN) para el controlador de dominio de destino no está registrado en el controlador de dominio del centro de distribución de claves (KDC) que resuelve el SPN.

    Microsoft-Windows-ActiveDirectory_DomainService

    1655

    Los servicios de dominio de Active Directory ha intentado comunicarse con el siguiente catálogo global y los intentos fracasaron.

    Microsoft-Windows-ActiveDirectory_DomainService

    2847

    El Comprobador de coherencia encuentra una conexión de replicación para el servicio de directorio local de sólo lectura y se intentó actualizar de forma remota en la siguiente instancia del servicio de directorio.  Error en la operación.  Se reintentará.

    KCC DE NTDS

    1925

    Error al intentar establecer un vínculo de replicación para la partición de directorio grabable siguiente.

    KCC DE NTDS

    1926

    El intento para establecer un vínculo de replicación para una partición de directorio de sólo lectura con los siguientes parámetros error.

    NETLOGON

    5781

    servidor no puede registrar su nombre en el DNS


    Otros síntomas incluyen:

  5. Dcpromo se produce un error en la pantalla:
    ---------------------------
    Error de instalación de Active Directory
    ---------------------------
    Error en la operación:
    El servicio de directorio no pudo crear el objeto servidor para CN = NTDS Settings, CN = ServerBeingPromoted, CN = Servers, CN = sitios, CN = Sites, CN = Configuration, DC = contoso, DC = com en el servidor ReplicationSourceDC.contoso.com. Asegúrese de
    las credenciales de red proporcionadas tienen acceso suficiente para agregar una réplica.
    "Error de inicio de sesión: el nombre de cuenta destino es incorrecto."
    ---------------------------
    OK  
    ---------------------------
    En este caso, el identificador de suceso 1645, 1168 y 1125 se registran en el servidor que se está promocionando.

  6. Asigne una unidad utilice net use
    C:\ > net use z: \\ < nombreDeServidor > \c$
    Error de sistema 1396.
    Error de inicio de sesión: El nombre de cuenta destino es incorrecto.
    En este caso, el servidor también estaba iniciando 333 de ID de evento en el registro de sucesos del sistema y usando SQL Server ha utilizando una gran cantidad de memoria virtual.

  7. La hora del controlador de dominio no es correcta.

  8. El KDC no se iniciará en un RODC después de una restauración de la cuenta krbtgt para el RODC, que se había eliminado. Después de la restauración utilizando herramientas de restauración de otros fabricantes, aparece el error 1396.
    Id. de suceso 1645 se registra en el RODC.
    DCDiag también informa de un error que no puede actualizar la cuenta krbtgt RODC.

Causa

Existen varias causas. Conoce causas incluyen:

  1. El SPN no existe en el catálogo global buscado el KDC en nombre del cliente al intentar efectuar la autenticación mediante Kerberos.

    En el contexto de replicación de Active Directory, el cliente Kerberos es el DC de destino, el KDC realiza la búsqueda SPN es probablemente el destino DC propio pero puede ser un controlador de dominio remoto.

  2. El usuario o la cuenta de servicio que debe contener el nombre principal de servicio que se buscan no existe en el catálogo global en nombre de destino intenta replicar el controlador de dominio buscado el KDC

    En el contexto de replicación de Active Directory, la cuenta de equipo del controlador de dominio de origen no existe en el catálogo global busca en el controlador de dominio en nombre de la DC de destino realizar la replicación entrante.

  3. El DC de destino no tiene un secreto LSA para el dominio controladores de dominio de origen.

  4. El SPN que se buscaron existe en una cuenta de equipo diferente que el DC de origen.

  5. Para problemas donde falla la replicación en un RODC, puede ha eliminado la cuenta KRBTGT RODC específico.

Solución

  1. Compruebe el registro de sucesos del servicio de directorio en el controlador de dominio de destino para eventos de replicación de NTDS 1645 y observe lo siguiente

    El nombre del DC de destino
    El SPN que se buscan (E3514235-4B06-11D1-AB04-00C04FC2DCD2 / < objeto guid de objeto de configuración NTDS de DC de origen > /target < dominio >. < tld > @< dominio de destino >. < tld >
    El KDC se utiliza el controlador de dominio de destino

  2. Desde la consola del KDC identificado en el paso 1, escriba: nltest/dsgetdc: < nombre de dominio DNS de raíz de bosque > /gc

    Ejecute la prueba de localizador NLTEST inmediatamente después de un intento de replicación que se produce el error 1396 en el controlador de dominio de destino.
    Esto debe identificar ese GC que realiza búsquedas SPN contra el KDC
    El GC se busca el KDC también pueden captued en el evento de Microsoft-Windows-ActiveDirectory_DomainService 1655.

  3. Busque el SPN que se descubrió en el paso 1 en el catálogo global descubierto en el paso 2

    C:\ > repadmin /showattr nombre_servidor DC = corp, DC = contoso, dc = com < GC utilizado por KDC >< /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>) ruta DN del dominio raíz del bosque >" /gc /subtree /atts:cn, serviceprincipalname

    - o -

    C:\ > dsquery * forestroot-ámbito subtree - filtrar "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*)" - attr * -s nombreDeServidor. europe.corp.microsoft.com

    Compruebe que existe el objeto host para el SPN
    Compruebe la ruta de acceso de DN para el host objeto, incluso si el objeto es CNF / conflicto alterados o reside en el contenedor perdidos y encontrados.
    Compruebe que el SPN de replicación de AD de controladores de dominio de origen esté registrado únicamente en la cuenta de equipo de controladores de dominio de origen

    Si no se encuentra el SPN replicaiton, determinar si el controlador de dominio de origen ha registrado su SPN con sí mismo, y si el SPN no existe en el catálogo global utilizado por el KDC debido a la latencia de replicación simple o un error de replicación

  4. Comprobar el estado de canal seguro y confía en la salud

 

Esta tabla enumera otros síntomas, causas y soluciones:

Síntoma

Causa

Solución

El controlador de dominio no funciona y registra los ID de evento 1925 y 1411 en controladores de dominio de Windows Server 2008 y Windows Server 2003 controladores de dominio en el mismo dominio que han sido restaurados autoritariamente.

Estos problemas se producen porque aumenta el número de versión de la cuenta KRBTGT al realizar una restauración autoritaria. La cuenta KRBTGT es una cuenta de servicio utilizada por el servicio Centro de distribución de claves Kerberos (KDC).

En este caso, debe aplicar el hotfix en 939820 a los controladores de dominio de Windows Server 2003. Consulte 2000948 y http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

Asigne una unidad utilice net use
C:\Documents and Settings\wschong > net use z: \\ < nombreDeServidor > \c$

Error de sistema 1396.
Error de inicio de sesión: El nombre de cuenta destino es incorrecto.
En este caso, el servidor se registro 333 de ID de evento y uso de memoria alta, con SQL Server con mayor.

Si el error aparece durante la asignación de una unidad que utilice net use, la causa podría ser que la memoria no paginada o la memoria paginable es insuficiente temporalmente. El sistema mantiene grabación tales eventos hasta que se reinicie el equipo o el subárbol relacionado se descarga, aunque la insuficiencia de memoria temporal, se detiene. Para obtener más información acerca de los problemas de rendimiento de SQL Server, vea Solucionar problemas de rendimiento en SQL Server 2005.

Para evitar que el sistema de registro de sucesos 333 continuamente en el futuro, aplique la revisión 970054 en el servidor y establezca el siguiente valor del registro en 1:

Ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Nombre: RegistryFlushErrorSubside
Tipo: REG_DWORD
Valor: 1 o 2

La hora del controlador de dominio no es correcta.

El controlador de dominio es una máquina virtual que se configuró para sincronizar la hora con el host de VMware, causado eventos 1925, 1645.

desactivada la opción de sincronización de hora para DC virtual del host de VMWare, por lo que puede sincronizar la hora con el PDC.

Dcpromo se produce un error en la pantalla:
---------------------------
Error de instalación de Active Directory
---------------------------
Error en la operación:
El servicio de directorio no pudo crear el objeto servidor para CN = NTDS Settings, CN = ServerBeingPromoted, CN = Servers, CN = sitios, CN = Sites, CN = Configuration, DC = contoso, DC = com en el servidor ReplicationSourceDC.contoso.com. Asegúrese de
las credenciales de red proporcionadas tienen acceso suficiente para agregar una réplica.
"Error de inicio de sesión: el nombre de cuenta destino es incorrecto."
---------------------------
OK  
---------------------------
En este caso, el identificador de suceso 1645, 1168 y 1125 se registran en el servidor que se está promocionando.

Durante dcpromo, el SPN en el auxiliar de DC (el origen de replicación DC) no es válido.

Error de dcpromo donde auxiliar DC SPN no es válido, utilice SetSPN para crear SPN nuevo en auxiliar DC, en formato GC/serverName.contoso.com

Más información

Otras causas incluyen:

5. event ID 1925 puede producirse en controladores de dominio de Windows Server 2008 y Windows Server 2003 controladores de dominio en el mismo dominio que se han restaurado de forma autoritaria. En este caso, debe aplicar el hotfix en 939820 a los controladores de dominio de Windows Server 2003. Consulte 2000948 y http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

Para obtener más detalles: Ver artículo interno 2278126 ADREPL: replicación de AD falla con error 1396 durante 10 horas después del reinicio

6. durante dcpromo, el SPN en el auxiliar de DC (el origen de replicación DC) no es válido.

7. Si el error aparece durante la asignación de una unidad que utilice net use, la causa podría ser que la memoria no paginada o la memoria paginable es insuficiente temporalmente. El sistema mantiene grabación tales eventos hasta que se reinicie el equipo o el subárbol relacionado se descarga, aunque la insuficiencia de memoria temporal, se detiene. Para obtener más información acerca de los problemas de rendimiento de SQL Server, vea Solucionar problemas de rendimiento en SQL Server 2005.

8. en el controlador de dominio es una máquina virtual que se configuró para sincronizar la hora con el host de VMware, causado eventos 1925, 1645.

9. para la situación específica de RODC donde se elimina la cuenta KRBTGT: Restaurar autoritariamente la cuenta KRBTGT_ ### mediante NTDSUTIL y, a continuación, importar el archivo LDIFDE para corregir los vínculos de retroceso.  Como mínimo, el atributo msDS-KrbTgtLink en el objeto de equipo del RODC tendrá que actualizarse para que apunte a la DN de la cuenta restaurada.

 

 

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×