Erreur de réplication de l'Active Directory -2146893022 : « Le nom principal de la cible n’est pas correct. »


Avis


Utilisateurs à domicile : Cet article s'adresse aux agents de support technique et aux professionnels de l'informatique. Si vous êtes à la recherche d'aide pour résoudre un problème, veuillez demander à la communauté Microsoft.

Résumé


Cet article décrit comment résoudre un problème d’échec de la réplication Active Directory et de génération de l’erreur -2146893022 : « Le nom principal de la cible n’est pas correct. »

Cette erreur se produit quand le contrôleur de domaine source ne déchiffre pas le ticket de service fourni par le contrôleur de domaine (cible) de destination.

Cause principale :

Le contrôleur de domaine de destination reçoit un ticket de service d’un centre de distribution de clés Kerberos (KDC) qui possède une ancienne version du mot de passe pour le contrôleur de domaine source.

Résolution principale :

  1. Arrêtez le service KDCdans le contrôleur de domaine de destination. Pour cela, exécutez la commande suivante à une invite de commandes :

    net stop KDC
  2. Démarrez la réplication dans le contrôleur de domaine de destination à partir du contrôleur de domaine source à l’aide des Sites et services Active Directory ou de Repadmin.
  • ​​​À l’aide de repadmin :

    Repadmin replicate destinationDC sourceDC DN_of_Domain_NC


    Par exemple, si la réplication échoue sur ContosoDC2.contoso.com, exécutez la commande suivante sur ContosoDC1.contoso.com :


    Repadmin replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
  1. Démarrez le service KDC dans le contrôleur de domaine de destination. Pour cela, exécutez la commande suivante :

    net start KDC

Si cela ne résout pas le problème, consultez la section « Résolution » pour une solution alternative dans laquelle vous utilisez la commande netdom resetpwd pour réinitialiser le mot de passe du compte d’ordinateur du contrôleur de domaine source. Si ces étapes ne résolvent pas le problème, passez en revue le reste de cet article.

Symptômes


Lorsque ce problème se produit, vous rencontrez un ou plusieurs des symptômes suivants :

  • DCDIAG signale que le test de réplication Active Directory a échoué et a renvoyé l’erreur -2146893022 : « Le nom principal de la cible n’est pas correct. »

    [Vérification des réplications,<Nom du contrôleur de domaine>] Une tentative de réplication récente a échoué :
                De <Contrôleur de domaine source> à <Contrôleur de domaine de destination>
                Contexte de nommage : <Chemin d’accès du nom unique de la partition d’annuaire >
                Le processus de réplication a généré une erreur (-2146893022) :
                Le nom principal de la cible n'est pas correct.
                La défaillance s’est produite le <date> <time>.
                La dernière réussite s’est produite le <date> <time>.
                <X> échecs se sont produits depuis la dernière réussite.
     
  • Repadmin.exe signale qu’une tentative de réplication a échoué et indique le statut -2146893022 (0x80090322).

    Les commandes Repadmin qui indiquent couramment le statut -2146893022 (0x80090322) incluent, sans limitation :  
     
    • DMIN /REPLSUMREPA
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Un exemple de sortie à partir de « REPADMIN /SHOWREPS » et « REPADMIN /SYNCALL » qui indique l’erreur « Le nom principal de la cible n’est pas correct » se présente comme suit : 
     

    c:\>repadmin /showreps
    <site name>\<destination DC>
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: <NTDS settings object object GUID>
    DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

    ==== INBOUND NEIGHBORS ======================================

    DC=<DN path for directory partition>
        <site name>\<source DC via RPC
            DC object GUID: <source DCs ntds settings object object guid>
            Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            <X #> consecutive failure(s).
            Last success @ <date> <time>.


    c:\>repadmin /syncall /Ade
    Syncing all NC's held on localhost.
    Syncing partition: DC=<Directory DN path>
    CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • La commande « Répliquer maintenant » des Sites et services Active Directory renvoie le message « Le nom principal de la cible n’est pas correct. ».

    Cliquer avec le bouton droit sur l’objet de connexion depuis un contrôleur de domaine source, puis sélectionner Répliquer maintenant provoque un échec et renvoie le message « Le nom principal de la cible n’est pas correct ». Le message d'erreur qui s'affiche est le suivant :

    Dialog title text: Replicate Now

    Dialog message text: The following error occurred during the attempt to contact the domain controller <source DC name>:

    The target principal name is incorrect 

    Buttons in Dialog: OK

  • Les événements du vérificateur de cohérence des données (KCC) NTDS, NTDS General ou Microsoft-Windows-ActiveDirectory_DomainService dont l’état est -2146893022 sont enregistrés dans le journal des événements du service d’annuaire.

    Les événements Active Directory qui indiquent fréquemment l’état -2146893022 incluent mais ne sont pas limitées à ce qui suit.

    Source de l’événement

    ID de l’événement

    Chaîne de l’événement

    Réplication NTDS

    1586 Le point de vérification de la réplication Windows NT version 4.0 ou antérieure avec le maître d’émulateur de contrôleur de domaine principal a échoué.

    Une synchronisation complète de la base de données Gestionnaire des comptes de sécurité (SAM) sur les contrôleurs de domaine exécutant Windows NT version 4.0 ou antérieure peut avoir lieu si le rôle de maître d’émulateur du contrôleur de domaine principal est transféré au contrôleur de domaine local avant le point de contrôle suivant réussi.
     
    Vérificateur de cohérence des données (KCC) NTDS 1925 La tentative d’établissement d’un lien de réplication pour la partition d’annuaire accessible en écriture suivante a échoué.
     

    Vérificateur de cohérence des données (KCC) NTDS

    1308

    Le vérificateur de cohérence des données (KCC) a détecté que des tentatives successives de réplication avec le contrôleur de domaine suivant ont systématiquement échoué.

    Microsoft-Windows-ActiveDirectory_DomainService 1926 La tentative d’établissement d’un lien de réplication vers une partition d’annuaire en lecture seule avec les paramètres suivants a échoué.
     

    Service de messagerie intersite NTDS

    1373

    Le service de messagerie intersite n’a pas pu recevoir de messages pour le service suivant via le transport suivant. La requête de messages a échoué. 

Cause


Le code d’erreur « -2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL » ne fait pas référence à une erreur Active Directory mais il peut être renvoyé par des composants de couches inférieures, notamment RPC, Kerberos, SSL, LSA et NTLM pour des causes initiales différentes.

Les erreurs Kerberos mappées par le code Windows à « -2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL » sont les suivantes :

  • KRB_AP_ERR_MODIFIED (0x29 / 41 décimales / KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h / 36 décimales / « Le ticket et l’authentificateur ne correspondent pas »)
  • KRB_AP_ERR_NOT_US (0x23h / 35 décimales / « Le ticket n’est pas pour nous »)

Certaines causes principales spécifiques pour « -2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL » sont les suivantes :

  • Un mappage de nom à IP incorrect dans le fichier DNS, WINS, HOST ou LMHOST a provoqué la connexion du contrôleur de domaine de destination à un contrôleur de domaine source incorrect dans un autre domaine Kerberos.
  • L’ordinateur cible Kerberos (contrôleur de domaine source) n’a pas pu déchiffrer les données d’authentification Kerberos envoyées par le client Kerberos (contrôleur de domaine de destination) car le contrôleur de domaine source et le centre de distribution de clés Kerberos (KDC) disposent de versions différentes du mot de passe du compte d’ordinateur du contrôleur de domaine source.
  • Le centre de distribution de clés Kerberos (KDC) n’a pas pu trouver un domaine pour rechercher le nom de principal du service du contrôleur de domaine source.
  • Les données d’authentification des trames Kerberos chiffrées ont été modifiées par le matériel (y compris les périphériques réseau), des logiciels ou un attaquant.

Résolution


Exécuter dcdiag /test:checksecurityerror sur le contrôleur de domaine source

Les SPN (noms principaux de serveur) peuvent être manquants, non valides ou dupliqués en raison d’une latence de réplication simple, notamment après des échecs de promotion ou de réplication.

Les noms de principal du service dupliqués peuvent créer un nom de principal du service incorrect pour nommer les mappages.

DCDIAG /TEST:CheckSecurityError peut rechercher les noms de principal du service manquants/dupliqués ainsi que d’autres erreurs.

Exécutez cette commande sur la console de tous les contrôleurs de domaine source qui ont échoué la réplication « sortante » avec l’erreur SEC_E_WRONG_PRINCIPAL.

Vous pouvez vérifier l’inscription du nom de principal du service par rapport à un emplacement spécifique à l’aide de la syntaxe suivante :

dcdiag /test:checksecurityerror replsource:<domaine de contrôle distant>
 

Vérifier que le trafic réseau chiffré Kerberos a atteint la cible Kerberos voulue (mappage de nom à IP)

Prenons l’exemple du scénario suivant :

  • Les contrôleurs de domaine de destination Active Directory de réplication entrante recherchent leur copie locale du répertoire pour la valeur objectGUID des objets Paramètres NTDS des contrôleurs de domaine source.
  • Les contrôleurs de domaine interrogent le serveur DNS actif à la recherche d’un enregistrement DC GUIDED CNAME correspondant, qui est ensuite mappé à un enregistrement « A » / « AAAA » hôte contenant l’adresse IP du contrôleur de domaine source.

Dans ce scénario, Active Directory exécute une stratégie de secours de résolution de noms qui inclut des requêtes de noms d’ordinateur complets dans des noms d’hôtes DNS ou DNS en une seule partie dans WINS.

Remarque Les serveurs DNS peuvent également effectuer des recherches WINS dans les scénarios de stratégie de secours.

Les objets Paramètres NTDS obsolètes, les mappages incorrects de nom à IP dans les enregistrements d’hôte DNS et WINS et les entrées obsolètes dans les fichiers HOST peuvent provoquer la soumission, par un contrôleur de domaine de destination, d’un trafic chiffré Kerberos vers une cible Kerberos incorrecte.

Pour vérifier cette condition, utilisez un suivi réseau ou vérifiez manuellement que les requêtes de nom DNS/NetBIOS se résolvent sur l’ordinateur cible voulu.


Méthode 1 : Méthode de suivi réseau (tel qu’analysé par le moniteur réseau version 3.3.1641 en ayant activé les analyseurs par défaut complets)

Le tableau suivant présente un synopsis de trafic réseau qui se produit lorsque le contrôleur de domaine DC1 de destination entrant réplique l’annuaire Active Directory à partir du contrôleur de domaine DC2 source.
 

F#

SRC

DEST

Protocole

Trame

Commentaire

1

DC1

DC2

MSRPC

MSRPC:c/o Request: unknown   Call=0x5  Opnum=0x3  Context=0x1  Hint=0x90
 

Appel RPC du contrôleur de domaine de destination à EPM sur le contrôleur de domaine source sur 135

2

DC2

DC1

MSRPC

MSRPC:c/o Response: unknown   Call=0x5  Context=0x1  Hint=0xF4  Cancels=0x0
 

Réponse d’EPM à l’appelant RPC

3

DC1

DC2

MSRPC

MSRPC:c/o Bind:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0
 

Requête bind RPC à l’UUID de service E351...

4

DC2

DC1

MSRPC

MSRPC:c/o Bind Ack:  Call=0x2  Assoc Grp=0x9E62  Xmit=0x16D0  Recv=0x16D0
 

Réponse Bind RPC

5

DC1

KDC

KerberosV5

KerberosV5:TGS Request Realm: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com
 

Requête TGS de nom principal de service (SPN) de la réplication du contrôleur de domaine source. Cette opération n’apparaîtra pas sur le transfert de destination que le contrôle de domaine utilise lui-même en tant que centre de distribution de clés Kerberos (KDC).

6

KDC

DC1

KerberosV5

KerberosV5:TGS Response Cname: CONTOSO-DC1$
 

Réponse TGS à contoso-dc1 du contrôleur de domaine de destination. Cette opération n’apparaîtra pas sur le transfert de destination que le contrôle de domaine utilise lui-même en tant que centre de distribution de clés Kerberos (KDC).

7

DC1

DC2

MSRPC

MSRPC:c/o Alter Cont:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2
 

Demande AP.

8

DC2

DC1

MSRPC

MSRPC:c/o Alter Cont Resp:  Call=0x2  Assoc Grp=0x9E62  Xmit=0x16D0  Recv=0x16D0

Réponse AP.

 

Analyse de la trame 7

Analyse de la trame 8

Commentaires.

MSRPC MSRPC:c/o Alter Cont:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2
 

MSRPC:c/o Alter Cont Resp:  Call=0x2  Assoc Grp=0xC3EA43  Xmit=0x16D0  Recv=0x16D0

DC1 se connecte au service de réplication AD sur DC2, sur le port renvoyé par l’EPM sur DC2.

Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0

Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278

Vérifiez que le contrôleur de domaine source de la réplication AD (désigné comme l’ordinateur « Dest » dans la 1ère colonne et comme l’ordinateur « Src » dans la colonne 2) possède l’adresse IP indiquée dans le suivi (x.x.x.35 dans cet exemple).
 

Ticket: Realm: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com

Code d’erreur : KRB_AP_ERR_MODIFIED (41)

Realm : <vérifiez que le domaine Kerberos renvoyé par le contrôleur de domaine source correspond au domaine Kerberos voulu par le contrôleur de domaine de destination>.


Sname : <vérifiez que le Sname de la réponse AP correspond et contient le nom d’hôte du contrôleur de domaine source voulu et PAS un autre contrôleur de domaine que la destination a résolu de manière incorrecte en raison d’un problème de mappage de nom à IP non valide.>

Dans la colonne 1, notez comme domaine de la cible Kerberos « contoso.com » suivi du nom SPN (« Sname ») de réplication des contrôleurs de domaine source, qui consiste en l'UUID (E351...) de réplication Active Directory concaténé avec le GUID objet du paramètre NTDS des contrôleurs de domaine source.

La valeur GUIDED « 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 » à droite de l’UUID du service de réplication E351 est le GUID d’objet de l’objet Paramètres NTDS des contrôleurs de domaine source actuellement défini dans la copie des contrôleurs de domaine de destination d’Active Directory. Vérifiez que le GUID de cet objet correspond à la valeur du champ « DSA Object GUID » lorsque « repadmin /showreps » est exécuté depuis la console du contrôleur de domaine source).

Un ping ou nslookup des contrôleurs de domaine source entièrement qualifiés CNAME concaténés avec « _msdcs.<forest root DNS name> » depuis la console du contrôleur de domaine de destination doit renvoyer les adresses IP actuelles des contrôleurs de domaine source : 

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup –type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<domaine racine de forêt> <IP du serveur DNS>

Dans la réponse indiquée dans la colonne 2, concentrez-vous sur le champ « Sname » et vérifiez qu’il contient le nom d’hôte du contrôleur de domaine source de la réplication AD.

Les mappages de nom à IP incorrects peuvent provoquer la connexion du contrôleur de domaine de destination à un contrôleur de domaine dans un domaine Kerberos cible complètement non valide à l’origine de la valeur de domaine Kerberos non valide, comme indiqué dans ce cas. Les mappages d’hôte à IP incorrects peuvent provoquer la connexion du DC1 au DC3 dans le même domaine, ce qui génère toujours l'erreur KRB_AP_ERR_MODIFIED, mais le nom de domaine Kerberos de la trame 8 correspondrait au domaine de la trame 7.




Méthode 2 : vérification du mappage de nom à IP (sans utiliser un suivi réseau)

Depuis la console du contrôleur de domaine source :

Commande

Commentaire

IPCONFIG /ALL |MORE

Notez l’adresse IP de la carte réseau utilisée par les contrôleurs de domaine de destination
 

REPADMIN /SHOWREPS |MORE

Notez la valeur de « GUID de l'objet DSA » qui indique le GUID d’objet de l’objet Paramètres NTDS des contrôleurs de domaine source dans la copie des contrôleurs de domaine source d’Active Directory
 

Depuis la console du contrôleur de domaine de destination :

Commande

Commentaire

IPCONFIG /ALL |MORE

Remarquez les serveurs DNS principal, secondaire et tertiaire configurés que le contrôleur de domaine de destination peut interroger au cours de recherches DNS.
 

REPADMIN /SHOWREPS |MORE

Dans la section « Instances voisines entrantes » de la sortie de repadmin, recherchez l’état de réplication où le contrôleur de domaine de destination réplique une partition commune à partir du contrôleur de domaine source en question.

Le « GUID de l’objet DSA » répertorié pour le contrôleur de domaine source dans la section Statut de la réplication du rapport doit correspondre au GUID de l’objet répertorié dans l’en-tête /showreps quand il est exécuté sur la console du contrôleur de domaine source.
 

IPCONFIG /FLUSHDNS

Videz le cache du client DNS.
 

Démarrer ->Exécuter -> Notepad %systemroot%\system32\drivers\etc\hosts

Vérifiez les mappages hôte à IP faisant référence au nom DNS en une seule partie ou complet des contrôleurs de domaine source. Supprimez le cas échéant. Enregistrez les modifications du fichier HOST.

Exécutez « Nbtstat –R » (avec unR majuscule) pour actualiser le cache de noms NetBIOS.
 

NSLOOKUP –type=CNAME <guid d’objet de l’objet Paramètres NTDS des contrôleurs de domaine de source>._msdcs. <nom DNS de la racine de forêt> <adresse IP du serveur DNS principal

Répétez l'opération pour chaque adresse IP de serveur DNS supplémentaire configuré sur le contrôleur de domaine de destination.

exemple : c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103
 

Vérifiez que l’adresse IP renvoyée correspond à l’adresse IP du contrôleur de domaine cible répertorié ci-dessus enregistré à partir de la console du contrôleur de domaine source.

Répétez pour toutes les adresses IP des serveurs DNS configurés sur le contrôleur de domaine de destination.

nslookup -type=A+AAAA <FQDN du contrôleur de domaine source> <IP du serveur DNS> Recherchez les enregistrements « A » hôte dupliqués sur toutes les adresses IP des serveurs DNS configurés sur le contrôleur de domaine de destination.
 
nbtstat -A <adresse IP du serveur DNS renvoyée par nslookup> Doit renvoyer le nom du contrôleur de domaine source.
 


Remarque : une demande de réplication vers un ordinateur autre qu'un contrôleur de domaine (en raison d'un mappage de nom à IP incorrect) ou vers un contrôleur de domaine qui ne possède pas l'UUID de service E351... inscrit auprès du mappeur de point de terminaison renvoie l'erreur 1753 : « Le mappeur de point de terminaison n'a plus de point de terminaison disponible. » 

 

La cible Kerberos ne peut pas déchiffrer les données authentifiées par Kerberos raison d’une incompatibilité de mot de passe

Cette condition peut se produire si le mot de passe du contrôleur de domaine source diffère entre le KDC et la copie du contrôleur de domaine source du répertoire Active Directory. La copie du contrôleur de domaine de destination du mot de passe du compte d'ordinateur du contrôleur de domaine source peut être caduque si elle n'est pas utilisée en tant que centre de distribution de clés Kerberos (KDC).

Les échecs de réplication peuvent empêcher les contrôleurs de domaine d'avoir une valeur de mot de passe actuelle pour les contrôleurs de domaine dans un domaine donné.

Chaque contrôleur de domaine exécute le service KDC pour son domaine du domaine Kerberos. Pour les transactions de même domaine Kerberos, un contrôleur de domaine de destination favorise l'obtention des tickets Kerberos depuis lui-même. Toutefois, il peut obtenir un ticket d'un contrôleur de domaine distant. Les références sont utilisées pour obtenir des tickets Kerberos à partir d’autres domaines Kerberos.

La commande NLTEST /DSGETDC:<DNS domain of target domain> /kdc exécutée à une invite de commande avec élévation de privilèges à une heure proche de l'erreur SEC_E_WRONG_PRINCIPAL peut être utilisée pour identifier rapidement quel KDC est ciblé par un client Kerberos.

Pour déterminer le contrôleur de domaine depuis lequel un client Kerberos a obtenu un ticket, la méthode définitive consiste à effectuer un suivi réseau. L’absence de trafic Kerberos dans un suivi réseau peut indiquer que le client Kerberos a déjà acquis des tickets, qu’il obtient des tickets de manière non simultanée depuis lui-même ou que votre application de suivi réseau n’analyse pas correctement le trafic Kerberos.

Les tickets Kerberos pour le compte d'utilisateur connecté peuvent être vidés à une invite de commandes avec élévation de privilèges à l'aide de la commande KLIST purge.

Les tickets Kerberos pour le compte système qui sont utilisés par la réplication Active Directory peuvent être vidés sans redémarrage de l'ordinateur à l'aide de KLIST -li 0x3e7 purge.

Les contrôleurs de domaine peuvent être configurés pour utiliser d'autres contrôleurs de domaine en arrêtant le service KDC sur un contrôleur de domaine local ou distant.

Utilisez REPADIN/SHOWOBJMETA pour rechercher des différences de numéro de version évidentes dans des attributs liés aux mots de passe (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) pour le contrôleur de domaine source dans la copie du contrôleur de domaine source et du contrôleur de domaine de destination de l'annuaire Active Directory.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

La commande netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> exécutée à une invite de commandes avec élévation de privilèges sur la console du contrôleur de domaine qui nécessite une réinitialisation de mot de passe peut être utilisée pour réinitialiser le mot de passe des comptes d'ordinateur du contrôleur de domaine.

Informations supplémentaires


Résolution des problèmes liés à des scénarios spécifiques

Étapes de reproduction pour le mappage host-to-IP incorrect qui force le contrôleur de domaine de destination à extraire une source incorrecte

  1. Promouvez \\DC1 + \\DC2 + \\DC3 dans le domaine contoso.com. La réplication de bout en bout est effectuée sans erreurs.
  2. Arrêtez le centre de distribution de clés Kerberos (KDC) sur les \\DC1 et \\DC2 pour forcer le trafic Kerberos à distance qui peut être observé sur un suivi réseau. La réplication de bout en bout est effectuée sans erreurs.
  3. Créez une entrée de fichier HOST pour le \\DC2 qui pointe vers l'adresse IP d'un contrôleur de domaine dans une forêt distante pour simuler un mappage hôte à IP incorrect dans un enregistrement hôte « A » / « AAAA » ou éventuellement un objet Paramètres NTDS caduque dans la copie du contrôleur de domaine de destination de l'annuaire Active Directory.
  4. Démarrez les Sites et services Active Directory sur la console du \\DC1. Cliquez avec le bouton droit sur l'objet de connexion entrante du \\DC1 à partir du \\DC2 et notez l'erreur de réplication « Le nom du compte cible est incorrect ».

Étapes de reproduction d'une incompatibilité de mot de passe de contrôleur de domaine source entre le centre de distribution de clés Kerberos (KDC) et le contrôleur de domaine source.

  1. Promouvez \\DC1 + \\DC2 + \\DC3 dans le domaine contoso.com. La réplication de bout en bout est effectuée sans erreurs.
  2. Arrêtez le centre de distribution de clés Kerberos (KDC) sur les \\DC1 et \\DC2 pour forcer le trafic Kerberos à distance qui peut être observé sur un suivi réseau. La réplication de bout en bout est effectuée sans erreurs.
  3. Désactivation de la réplication entrante sur le KDC \\DC3 pour simuler un échec de la réplication sur le KDC.
  4. Réinitialisez le mot de passe du compte d'ordinateur sur \\DC2 trois fois ou plus, de sorte que \\DC1 et \\DC2 possèdent le mot de passe actuel pour \\DC2.
  5. Démarrez les Sites et services Active Directory sur la console du \\DC1. Cliquez avec le bouton droit sur l'objet de connexion entrant du \\DC1 à partir du \\DC2 et notez l'erreur de réplication « Le nom du compte cible est incorrect ».

Journalisation des clients DS RPC  

Définissez NTDS\Diagnostics Loggings\DS RPC Client = 3. Déclenchez la réplication. Recherchez l’événement de catégorie de tâche 1962 + 1963. Notez le nom qualifié complet répertorié dans le champ service de répertoire. Le contrôleur de domaine de destination doit être en mesure d’exécuter une commande ping sur cet enregistrement et d’obtenir que l’adresse renvoyée soit mappée à l’adresse IP actuelle du contrôleur de domaine source.

Flux de travail Kerberos

Le flux de travail Kerberos inclut les actions suivantes :

  • L'ordinateur client appelle IntializeSecurityContext et spécifie le fournisseur SSP (Negotiate Security Support Provider).
  • Le client contacte le centre de distribution de clés Kerberos (KDC) avec son TGT et demande un ticket TGS pour le contrôleur de domaine cible.
  • Le KDC recherche dans le catalogue global une source (e351 ou nom d'hôte) dans le domaine du contrôleur de domaine de destination.
  • Si le contrôleur de domaine cible se trouve dans le domaine du contrôleur de domaine de destination, le KDC fournit au client un ticket de service.
  • Si le contrôleur de domaine cible se trouve dans un domaine différent, le KDC fournit au client un ticket de renvoi.
  • Le client contacte un centre de distribution de clés Kerberos (KDC) dans le domaine du contrôleur de domaine cible et demande un ticket de service.
  • Si le nom de principal du service du contrôleur de domaine source n'existe pas dans le domaine Kerberos, l'erreur « KDC_ERR_S_PRINCIPAL_UNKNOWN » s'affiche.
  • Le contrôleur de domaine de destination contacte la cible et présente son ticket.
  • Si le contrôleur de domaine cible possède le nom du ticket et peut le déchiffrer, l'authentification fonctionne.
  • Si le contrôleur de domaine cible héberge l'UUID du service du serveur RPC, l'erreur « KRB_AP_ERR_NOT_US » ou «  KRB_AP_ERR_MODIFIED » de Kerberos est redistribuée comme suit :

    -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Le nom principal de la cible n’est pas correct."

Pour plus d'informations, consultez le livre blanc Dépannage des erreurs Kerberos.