Résolution de l’erreur de réplication Active Directory 1396 : échec d’ouverture de session : le nom du compte cible est incorrect.


Symptômes


Cet article décrit les symptômes, la cause et la résolution pour résoudre la réplication Active Directory échoue avec l’erreur Win32 1396 : « Échec de la connexion : le nom du compte cible est incorrect. » L’article a été publié précédemment avec le titre suivant, « Troubleshooting Active Directory Operations échouent avec l’erreur 1396 : échec d’ouverture de session : le nom du compte cible est incorrect ».

  1. Rapports DCDIAG que les réplications Active Directory a échoué avec l’erreur « 1396 : Échec de la connexion : le nom du compte cible est incorrect. »

    Serveur d’évaluation : < nom Site > \ < nom du contrôleur de domaine >
    Test de démarrage : réplications
    [Contrôle des réplications, < nom du CD >] Échec d’une tentative de réplication récentes :
    À partir de < du contrôleur de domaine source > à < DC de destination >
    Contexte de nommage : CN = < DN du chemin d’accès du contexte d’appellation >
    La réplication a généré une erreur (1396) :
    Échec de l’ouverture de session : Le nom du compte cible est incorrect.
    La défaillance s’est produite à < date >< heure >.
    La dernière réussite s’est produite à < date >< heure >.
    Échecs XX ont eu lieu depuis la dernière réussite

  2. REPADMIN. EXE signale que la réplication a échoué avec l’état 1396.

    Les commandes REPADMIN qui citent généralement l’état 1396 incluent mais ne sont pas limitées à :
     

    ·         REPADMIN /ADD
    ·
             REPADMIN /REPLSUM*
    ·         REPADMIN /REHOST
    ·         REPADMIN /SHOWVECTOR /LATENCY
     

    ·         REPADMIN /SHOWREPS
    ·         REPADMIN /SHOWREPL

    ·         REPADMIN /SYNCALL


    Exemple de résultat de « REPADMIN /SHOWREPS » représentant la réplication entrante à partir de CONTOSO-DC2 à CONTOSO-DC1 échoue avec le « Échec d’ouverture de session : le nom du compte cible est incorrect. » erreur est illustré ci-dessous :

    Default-First-Site-Name\CONTOSO-DC1
    Options de DSA : IS_GC
    Options de site : (aucune)
    GUID d’objet DSA : b6dc8589-7e00-4a5d-b688-045aef63ec01
    ID d’invocation DSA : b6dc8589-7e00-4a5d-b688-045aef63ec01

    === VOISIN ENTRANT ===

    DC=contoso,DC=com
    Par défaut-Premier-Site-Name\CONTOSO-DC2 via RPC
    GUID d’objet DSA : 74fbe06c-932c-46b5-831b-af9e31f496b2
    Dernière tentative @ < date >< heure > a échoué, résultat 1396 (0x574) :
    Échec de l’ouverture de session : le nom du compte cible est incorrect.
    <> # les échecs consécutifs.
    Dernier succès @ < date >< heure >.

  3. La commande « Répliquer maintenant » dans les Sites Active Directory et les Services renvoie « Échec d’ouverture de session : le nom du compte cible est incorrect. »

    Avec le bouton droit sur l’objet connexion à partir d’une contrôleur de domaine source et en choisissant « répliquent maintenant » échoue avec « échec d’ouverture de session : le nom du compte cible est incorrect. ». Le message d’erreur est à l’écran illustré ci-dessous :
    1. Texte du titre de boîte de dialogue : Répliquer maintenant

      Texte de message de boîte de dialogue : l’erreur suivante s’est produite pendant la tentative de synchronisation du contexte d’attribution de noms < chemin d’accès de partition DNS > à partir du contrôleur de domaine < du contrôleur de domaine source > pour le contrôleur de domaine < DC de destination > :

      Échec de l’ouverture de session : Le nom du compte cible est incorrect.
      Cette opération ne peut pas continuer.

      Boutons de la boîte de dialogue : OK


  4. KCC NTDS, NTDS général ou événements Microsoft-Windows-ActiveDirectory_DomainService avec l’état 1396 sont consignés dans le journal des événements directory service.

    Événements actives Directory couramment citent l’état 1396 incluent mais ne sont pas limitées à :

    Source de l’événement

    ID d’événement

    Chaîne d’événement

    Microsoft-Windows-ActiveDirectory_DomainService
    1125Le domaine Services Assistant Installation Active Directory (Dcpromo) n’a pas pu établir de connexion avec le contrôleur de domaine suivant.

    Réplication NTDS
    (Cet événement répertorie le SPN partie 3)

    1645Active Directory n’a pas effectué un appel de procédure distante (RPC) vers un autre contrôleur de domaine car le nom principal de service désiré (SPN) pour le contrôleur de domaine de destination n’est pas enregistré sur le contrôleur de domaine centre de distribution de clés (KDC, Key Distribution Center) qui résout le nom principal de service.
    Microsoft-Windows-ActiveDirectory_DomainService1655Les Services de domaine Active Directory a tenté de communiquer avec le catalogue global suivant et les tentatives ont échoué.
    Microsoft-Windows-ActiveDirectory_DomainService2847Le vérificateur de cohérence des connaissances trouve une connexion de réplication pour le service d’annuaire local d’en lecture seule et a tenté de mettre à jour à distance sur l’instance de service de répertoire suivant.  L’opération a échoué.  Il sera tentée à nouveau.
    KCC NTDS1925Échec de la tentative d’établissement d’un lien de réplication pour la partition d’annuaire accessible en écriture suivante.

    KCC NTDS1926La tentative d’établir un lien de réplication pour une partition d’annuaire en lecture seule avec les paramètres suivants a échoué.
    NETLOGON 5781serveur ne peut pas enregistrer son nom dans le système DNS

    Autres symptômes sont les suivants :

  5. Dcpromo échoue avec une erreur à l’écran :
    ---------------------------
    Échoué de l’Installation d’Active Directory
    ---------------------------
    L’opération a échoué car :
    Le Service d’annuaire n’a pas pu créer l’objet serveur pour CN = NTDS Settings, CN = ServerBeingPromoted, CN = serveurs, CN = sites, CN = Sites, CN = Configuration, DC = contoso, DC = com sur le serveur ReplicationSourceDC.contoso.com. Vérifiez que
    les informations d’identification réseau fournies ont des droits d’accès suffisants pour ajouter un réplica.
    « Échec de la connexion : le nom du compte cible est incorrect. »
    ---------------------------
    OK  
    ---------------------------
    Dans ce cas, l’ID d’événement 1645, 1168 et 1125 sont enregistrés sur le serveur qui est en cours de promotion.

  6. Mapper un lecteur à l’aide d’utilisation nette
    C:\ > net use z: \\ < nom_serveur > \c$
    L’erreur système 1396 s’est produite.
    Échec de l’ouverture de session : Le nom du compte cible est incorrect.
    Dans ce cas, le serveur a été aussi consignation d’événement ID est 333 dans le journal des événements système et utilise une grande quantité de mémoire virtuelle à l’aide de SQL Server.

  7. Le contrôleur de domaine est incorrect.

  8. Le KDC ne démarre pas sur un RODC après une restauration du compte krbtgt pour le RODC, qui avait été supprimé. Après la restauration à l’aide des outils de restauration tiers, erreur 1396 s’affiche.
    ID d’événement 1645 est enregistré sur le RODC.
    Dcdiag signale également une erreur qu’il ne peut pas mettre à jour le compte krbtgt RODC.

Cause


Il existe plusieurs causes. Connu les causes premières à inclure :

  1. Le nom principal de service n’existe pas sur le catalogue global recherche effectuée par le KDC pour le compte du client qui tente de s’authentifier à l’aide de Kerberos.

    Dans le cadre de la réplication Active Directory, le client Kerberos est le DC de destination, le KDC d’exécution d’une recherche de nom principal de service est probablement la destination du contrôleur de domaine lui-même, mais peut être un contrôleur de domaine distant.

  2. L’utilisateur ou le compte de service que doit contenir le nom principal de service qui est recherché n’existe pas sur le catalogue global recherche effectuée par le KDC pour le compte de destination tentative de réplication des contrôleurs de domaine

    Dans le cadre de la réplication Active Directory, la compte d’ordinateur de contrôleur de domaine de source n’existe pas sur le catalogue global recherche effectuée par le contrôleur de domaine pour la contrôleur de domaine destination effectuant la réplication entrante.

  3. Le contrôleur de domaine de destination ne dispose pas d’un secret LSA pour le domaine de contrôleurs de domaine source.

  4. Le SPN recherché existe sur un compte d’ordinateur autre que le contrôleur de domaine source.
  5. Pour les problèmes dans lesquels la réplication est défectueuse à un RODC, le compte KRBTGT de RODC spécifique a peut-être été supprimé.

Résolution


  1. Vérifiez le journal des événements Service d’annuaire sur le contrôleur de domaine de destination pour les événements de réplication NTDS 1645 et notez les éléments suivants

    Le nom de la destination du contrôleur de domaine
    Le nom principal de service recherchées (E3514235-4B06-11D1-AB04-00C04FC2DCD2 / < objet guid de l’objet Paramètres NTDS de contrôleurs de domaine de source > /target < domaine >. < tld > @< domaine cible >. < tld >
    Le KDC utilisé par le contrôleur de domaine de destination

  2. À partir de la console du KDC identifié à l’étape 1, tapez : nltest/dsgetdc : < nom de domaine DNS forêt racine > /gc

    Exécutez le test de localisation NLTEST immédiatement après une tentative de réplication échoue avec l’erreur 1396 sur le contrôleur de domaine de destination.
    Cela doit identifier ce catalogue global qui effectue les recherches de nom principal de service sur le KDC
    Le GC recherché par le KDC peut également être captued dans Microsoft-Windows-ActiveDirectory_DomainService événement 1655.

  3. Recherchez le SPN découvert à l’étape 1 sur le catalogue global a découvert à l’étape 2

    C:\ > repadmin /showattr nom_serveur DC = corp, DC = contoso, dc = com < CG utilisé par le KDC >< /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>) de chemin d’accès de nom de domaine du domaine racine de la forêt > » /atts:cn de /subtree/GC, nom principal de service

    OU

    C:\ > dsquery * forestroot-étendue de la sous-arborescence - Filtrer « (serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*) » - attr * -s nom_serveur. europe.corp.microsoft.com

    Vérifiez l’existence de l’objet hôte pour le SPN
    Vérifiez le chemin d’accès du nom unique de l’objet hôte notamment si l’objet est CNF / conflit déformés ou se trouve dans le conteneur perdu et trouvé.
    Vérifiez que la source de réplication de contrôleurs de domaine Active Directory nom principal de service est enregistrée uniquement dans la source du compte d’ordinateur de contrôleur de domaine

    Si le nom principal de service de replicaiton est manquant, déterminez si le contrôleur de domaine source a enregistré son nom principal de service avec elle-même, et si le nom principal de service n’apparaît pas dans le catalogue global utilisé par le KDC en raison de la latence de réplication ou un échec de la réplication

  4. Vérifier l’intégrité du canal sécurisé et l’état d’approbation

 

Ce tableau répertorie les autres symptômes, les causes et les solutions :

SymptômeCauseRésolution

Le contrôleur de domaine ne fonctionne pas et consigne les événements ID 1925 et 1411 sur les contrôleurs de domaine Windows Server 2008 et Windows Server 2003 les contrôleurs de domaine dans le même domaine qui ont été restaurés.

Ces problèmes se produisent car le numéro de version du compte KRBTGT augmente lorsque vous effectuez une restauration faisant autorité. Le compte KRBTGT est un compte de service utilisé par le service Centre de Distribution de clés Kerberos (KDC, Key Distribution Center).  

Dans ce cas, vous devrez peut-être appliquer le correctif logiciel de 939820 sur les contrôleurs de domaine Windows Server 2003. Consultez 2000948 et http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

Mapper un lecteur à l’aide d’utilisation nette
C:\Documents and Settings\wschong > net use z: \\ < nom_serveur > \c$

L’erreur système 1396 s’est produite.
Échec de l’ouverture de session : Le nom du compte cible est incorrect.
Dans ce cas, le serveur a été journalisation d’événement ID est 333 et l’utilisation de la mémoire haute, avec SQL Server à l’aide la plus élevée.

Si l’erreur s’affiche lors du mappage d’un lecteur, utilisez net use, la cause peut être que la mémoire Non paginée ou la mémoire de réserve paginée est temporairement insuffisante. Le système continue à enregistrer des événements jusqu'à ce que l'ordinateur soit redémarré, ou que la ruche connexe soit déchargée, même si le problème temporaire de mémoire s'arrange. Pour plus d’informations sur les problèmes de performances de SQL Server, consultez Résolution des problèmes de performances dans SQL Server 2005.Pour empêcher le système de consignation de l’événement 333 en permanence à l’avenir, veuillez appliquer le correctif logiciel 970054 sur le serveur et définir la valeur de Registre suivante sur 1 :

Emplacement : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Nom : RegistryFlushErrorSubside
Type : REG_DWORD
Valeur : 1 ou 2
Le contrôleur de domaine est incorrect.
Le contrôleur de domaine est un ordinateur virtuel qui a été configurée pour synchroniser l’heure avec l’hôte VMware, a provoqué des événements 1925, 1645.désactivé la possibilité de synchroniser l’heure pour le contrôleur de domaine virtuel à partir de l’hôte de VMWare, afin qu’il peut synchroniser l’heure avec le contrôleur principal de domaine.
Dcpromo échoue avec une erreur à l’écran :
---------------------------
Échoué de l’Installation d’Active Directory
---------------------------
L’opération a échoué car :
Le Service d’annuaire n’a pas pu créer l’objet serveur pour CN = NTDS Settings, CN = ServerBeingPromoted, CN = serveurs, CN = sites, CN = Sites, CN = Configuration, DC = contoso, DC = com sur le serveur ReplicationSourceDC.contoso.com. Vérifiez que
les informations d’identification réseau fournies ont des droits d’accès suffisants pour ajouter un réplica.
« Échec de la connexion : le nom du compte cible est incorrect. »
---------------------------
OK  
---------------------------
Dans ce cas, l’ID d’événement 1645, 1168 et 1125 sont enregistrés sur le serveur qui est en cours de promotion.
Au cours de dcpromo, le nom SPN sur l’application d’assistance de contrôleur de domaine (la source de réplication DC) n’est pas valide.

L’erreur dcpromo où SPN du contrôleur de domaine n’est pas valide, utilisez SetSPN pour créer un nouveau nom principal de service sur l’application d’assistance de contrôleur de domaine, au format GC/serverName.contoso.com

Plus d'informations


Autres causes possibles sont les suivantes :

5. l’ID d’événement 1925 peut se produire sur les contrôleurs de domaine Windows Server 2003 dans le même domaine qui ont été restaurés et les contrôleurs de domaine Windows Server 2008. Dans ce cas, vous devrez peut-être appliquer le correctif logiciel de 939820 sur les contrôleurs de domaine Windows Server 2003. Consultez 2000948 et http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

Pour plus de détails : consultez l’article interne 2278126 ADREPL : réplication Active Directory échoue avec l’erreur 1396 pendant 10 heures après le redémarrage

6. au cours de dcpromo, le nom SPN sur l’application d’assistance de contrôleur de domaine (la source de réplication DC) n’est pas valide.

7. Si l’erreur s’affiche lors du mappage d’un lecteur, utilisez net use, la cause peut être que la mémoire Non paginée ou la mémoire de réserve paginée est temporairement insuffisante. Le système continue à enregistrer des événements jusqu'à ce que l'ordinateur soit redémarré, ou que la ruche connexe soit déchargée, même si le problème temporaire de mémoire s'arrange. Pour plus d’informations sur les problèmes de performances de SQL Server, consultez Résolution des problèmes de performances dans SQL Server 2005.

8. le contrôleur de domaine est un ordinateur virtuel qui a été configurée pour synchroniser l’heure avec l’hôte VMware, a provoqué des événements 1925, 1645.

9. pour un scénario spécifique RODC où le compte KRBTGT est supprimé : une restauration faisant autorité du compte KRBTGT_ ### en utilisant NTDSUTIL et importez ensuite le fichier LDIFDE pour corriger les liens inverses.  Au minimum, l’attribut msDS-KrbTgtLink sur l’objet ordinateur du RODC le devez être mis à jour pour pointer vers le nom unique du compte restauré.