Errore di replica di Active Directory -2146893022 (0x80090322): il nome dell'entità di destinazione non è corretto

Articolo
04/11/2024

Questo articolo descrive come risolvere un problema in cui la replica di Active Directory ha esito negativo e genera un errore (-2146893022: il nome dell'entità di destinazione non è corretto).

Si applica a: Windows Server (tutte le versioni supportate)
Numero KB originale: 2090913

Nota

Utenti privati: Questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si sta cercando assistenza per un problema, rivolgersi alla community Microsoft.

Riepilogo

Questo errore si verifica quando il controller di dominio di origine non decrittografa il ticket di servizio fornito dal controller di dominio di destinazione (destinazione).

Causa principale

Il controller di dominio di destinazione riceve un ticket di servizio da un Centro distribuzione chiavi Kerberos (KDC). E il KDC ha una versione precedente della password per il controller di dominio di origine.

Risoluzione superiore

Arrestare il servizio KDC nel controller di dominio di destinazione. A tale scopo, eseguire il comando seguente al prompt dei comandi:
```
net stop KDC
```
Avviare la replica nel controller di dominio di destinazione dal controller di dominio di origine. Usare Siti e servizi di Active Directory o Repadmin.

Uso di repadmin:
```
Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC
```
Ad esempio, se la replica ha esito negativo in ContosoDC2.contoso.com, eseguire il comando seguente in ContosoDC1.contoso.com:
```
Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
```
Avviare il servizio KDC Kerberos nel controller di dominio di destinazione eseguendo il comando seguente:
```
net start KDC
```

Se il problema non viene risolto, vedere la sezione Risoluzione per una soluzione alternativa in cui si usa il netdom resetpwd comando per reimpostare la password dell'account computer del controller di dominio di origine. Se questi passaggi non risolvono il problema, vedere il resto di questo articolo.

Sintomi

Quando si verifica questo problema, si verificano uno o più dei sintomi seguenti:

DCDIAG segnala che il test delle repliche di Active Directory non è riuscito e ha restituito l'errore -2146893022: il nome dell'entità di destinazione non è corretto.

[Controllo repliche,<Nome> controller di dominio] Tentativo di replica recente non riuscito:
Dal <controller di> dominio di origine al controller di dominio di <destinazione>
Contesto di denominazione: <percorso DN della partizione di directory>
La replica ha generato un errore (-2146893022):
"Nome principale di destinazione scorretto.
L'errore si è verificato all'ora <>della data><.
L'ultimo esito positivo si è verificato all'ora <>della data><.
<Gli errori X> si sono verificati dopo l'ultimo esito positivo.

Repadmin.exe segnala che un tentativo di replica non è riuscito e segnala lo stato -2146893022 (0x80090322).

Repadmin I comandi che in genere indicano lo stato -2146893022 (0x80090322) includono, ma non sono limitati a quelli seguenti:

REPADMIN /REPLSUM
REPADMIN /SHOWREPL
REPADMIN /SHOWREPS

REPADMIN /SYNCALL

L'output di esempio da REPADMIN /SHOWREPS e REPADMIN /SYNCALL che indica che il nome dell'entità di destinazione non è corretto è il seguente:

c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

Il comando replica ora in Siti e servizi di Active Directory restituisce il messaggio di errore seguente:
Il nome dell'entità di destinazione non è corretto

Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e quindi selezionare Replica. Il messaggio di errore visualizzato sullo schermo è il seguente:

Testo del titolo della finestra di dialogo: Replica ora
Testo del messaggio della finestra di dialogo: Si è verificato l'errore seguente durante il tentativo di contattare il nome> del controller di dominio di origine del controller <di dominio:
Il nome dell'entità di destinazione non è corretto
Pulsanti nella finestra di dialogo: OK

Nel registro eventi del servizio directory vengono registrati gli eventi di Verifica coerenza conoscenze NTDS (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con stato -2146893022 .

Gli eventi di Active Directory che in genere citano lo stato -2146893022 includono, ma non sono limitati a quelli seguenti:

Origine evento	ID evento	Stringa di evento
Replica NTDS	1586	Il checkpoint di replica windows NT 4.0 o precedente con il master dell'emulatore PDC non è riuscito. Una sincronizzazione completa del database di gestione degli account di sicurezza (SAM) con i controller di dominio che eseguono Windows NT 4.0 e versioni precedenti potrebbe avere luogo se il ruolo master dell'emulatore PDC viene trasferito al controller di dominio locale prima del successivo checkpoint riuscito.
NTDS KCC	1925	Il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile seguente non è riuscito.
NTDS KCC	1308	Knowledge Consistency Checker (KCC) ha rilevato che i tentativi successivi di replica con il controller di dominio seguente hanno costantemente avuto esito negativo.
Microsoft-Windows-ActiveDirectory_DomainService	1926	Tentativo di stabilire un collegamento di replica a una partizione di directory di sola lettura con i parametri seguenti non riuscito
Messaggistica tra siti NTDS	1373	Il servizio Messaggistica tra siti non è riuscito a ricevere messaggi per il servizio seguente tramite il trasporto seguente. La query per i messaggi non è riuscita.

Causa

Il codice di errore -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL non è un errore di Active Directory. Può essere restituito dai componenti di livello inferiore seguenti per cause radice diverse:

RPC
Kerberos
SSL
LSA
NTLM

Gli errori Kerberos mappati dal codice di Windows a -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL includono:

KRB_AP_ERR_MODIFIED (0x29/41 KRB_APP_ERR_MODIFIED decimali/)
KRB_AP_ERR_BADMATCH (0x24h/36 decimali/"Ticket and authenticator don't match")
KRB_AP_ERR_NOT_US (0x23h/35 decimale/"Il ticket non è per noi")

Alcune cause radice specifiche per -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL includono:

Mapping da nome a IP non valido nel file DNS, WINS, HOST o LMHOST. Ciò ha causato la connessione del controller di dominio di destinazione al controller di dominio di origine errato in un'area di autenticazione Kerberos diversa.
Il controller di dominio KDC e il controller di dominio di origine hanno versioni diverse della password dell'account computer del controller di dominio di origine. Pertanto, il computer di destinazione Kerberos (controller di dominio di origine) non è riuscito a decrittografare i dati di autenticazione Kerberos inviati dal client Kerberos (controller di dominio di destinazione).
Il KDC non è riuscito a trovare un dominio per cercare il nome SPN del controller di dominio di origine.
I dati di autenticazione nei frame crittografati Kerberos sono stati modificati dall'hardware (inclusi i dispositivi di rete), dal software o da un utente malintenzionato.

Risoluzione

Eseguire dcdiag /test:checksecurityerror nel controller di dominio di origine

I nomi SPN potrebbero essere mancanti, non validi o duplicati a causa di una latenza di replica semplice, in particolare dopo l'innalzamento di livello o gli errori di replica.

I nomi SPN duplicati possono causare mapping di nomi SPN non validi.

DCDIAG /TEST:CheckSecurityError è in grado di verificare la presenza di nomi SPN mancanti o duplicati e di altri errori.

Eseguire questo comando nella console di tutti i controller di dominio di origine che non riescono a eseguire la replica in uscita con l'errore SEC_E_WRONG_PRINCIPAL .

È possibile controllare la registrazione SPN in un percorso specifico usando la sintassi seguente:
```
dcdiag /test:checksecurityerror replsource:<remote dc>
```
Verificare che il traffico di rete crittografato Kerberos abbia raggiunto la destinazione Kerberos prevista (mapping da nome a IP)

Considerare lo scenario descritto di seguito:
- I controller di dominio di destinazione di destinazione Active Directory in ingresso cercano nella copia locale della directory l'objectGUID degli oggetti impostazioni NTDS dei controller di dominio di origine.
- I controller di dominio eseguono query sul server DNS attivo per trovare un record CNAME DC GUIDED corrispondente. Viene quindi mappato a un record A/AAAA host che contiene l'indirizzo IP del controller di dominio di origine.
  
  In questo scenario Active Directory esegue un fallback per la risoluzione dei nomi. Include query per nomi di computer completi in DNS o nomi host a etichetta singola in WINS.
  
  Nota
  
  I server DNS possono anche eseguire ricerche WINS in scenari di fallback.

Le situazioni seguenti possono tutte causare l'invio del traffico crittografato Kerberos alla destinazione Kerberos errata da parte di un controller di dominio di destinazione:

Oggetti impostazioni NTDS non aggiornati
Mapping da nome a IP non valido nei record host DNS e WINS
Voci non aggiornate nei file HOST

Per verificare la presenza di questa condizione, eseguire una traccia di rete o verificare manualmente che le query sul nome DNS/NetBIOS del nome si risolvono nel computer di destinazione previsto.

Metodo 1: Metodo di traccia di rete (analizzato da Network Monitor 3.3.1641 con parser predefiniti completi abilitati)

Nella tabella seguente viene illustrata una sintesi del traffico di rete che si verifica quando la directory in ingresso DC1 di destinazione replica la directory Active Directory dall'origine DC2.

F#	SRC	DEST	Protocollo	Telaio	Comment
1	DC1	DC2	MSRPC	Richiesta MSRPC:c/o: Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90	Dest DC RPC call to EPM on source DC over 135
2	DC2	DC1	MSRPC	Risposta MSRPC:c/o: sconosciuto Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0	Risposta EPM al chiamante RPC
3	DC1	DC2	MSRPC	Associazione MSRPC:c/o: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0	Richiesta di associazione RPC a E351... service UUID
4	DC2	DC1	MSRPC	MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0	Risposta di binding RPC
5	DC1	KDC	KerberosV5	Area di autenticazione richiesta KerberosV5:TGS: `CONTOSO.COMSname`: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com	Richiesta TGS per il nome SPN di replica del controller di dominio di origine. Questa operazione non verrà visualizzata sul filo del controller di dominio di destinazione usa automaticamente come KDC.
6	KDC	DC1	KerberosV5	KerberosV5:TGS Response Cname: CONTOSO-DC1$	Risposta TGS al controller di dominio di destinazione contoso-dc1. Questa operazione non verrà visualizzata sul filo del controller di dominio di destinazione usa automaticamente come KDC.
7	DC1	DC2	MSRPC	`MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2`	Richiesta AP
8	DC2	DC1	MSRPC	`MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0`	Risposta AP.

Drill-down sul fotogramma 7	Drill-down sul fotogramma 8	Commenti
`MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2`	`MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0`	DC1 si connette al servizio di replica di Active Directory in DC2 tramite la porta restituita da EPM in DC2.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0	Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278	Verificare che il `Dest` controller di dominio di origine della replica di Active Directory ,denominato computer nella prima colonna e computer Src nella colonna 2 , sia il proprietario dell'indirizzo IP citato nella traccia. È `x.x.x.35` in questo esempio.
Ticket: Realm: `CONTOSO.COM`, `Sname`: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com	ErrorCode: KRB_AP_ERR_MODIFIED (41) Area di autenticazione: <verificare che l'area di autenticazione restituita dal controller di dominio di origine corrisponda all'area di autenticazione Kerberos prevista dal controller di> dominio di destinazione. `Sname`:<verificare che `sName` nella risposta AP contenga il nome host del controller di dominio di origine previsto e NON un altro controller di dominio a cui la destinazione è stata risolta in modo errato a causa di un problema> di mapping da nome a ip non valido.	Nella colonna 1 si noti l'area di autenticazione dell'area di autenticazione Kerberos di destinazione, seguita `contoso.com` dal nome SPN di replica dei controller di dominio di origine (`Sname`), costituito dall'oggetto UUID (E351...) del servizio di replica di Active Directory concatenato con il GUID dell'oggetto del controller di dominio di origine NTDS Settings. Valore GUIDED 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 a destra dell'E351... UUID del servizio di replica è il GUID oggetto per l'oggetto impostazioni NTDS dei controller di dominio di origine. È attualmente definito nella copia dei controller di dominio di destinazione di Active Directory. Verificare che questo GUID oggetto corrisponda al valore nel campo GUID oggetto DSA quando `repadmin /showreps` viene eseguito dalla console del controller di dominio di origine. Oggetto `ping` o `nslookup` dei controller di dominio di origine concatenati CNAME completi with_msdcs.<il nome> DNS radice della foresta dalla console del controller di dominio di destinazione deve restituire l'indirizzo IP corrente dei controller di dominio di origine: `ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com` `nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>` Nella risposta illustrata nella colonna 2, concentrarsi sul `Sname` campo e verificare che contenga il nome host del controller di dominio di origine della replica di Active Directory. I mapping da nome a IP non validi potrebbero causare la connessione del controller di dominio di destinazione a un controller di dominio in un'area di autenticazione di destinazione non valida, causando l'invalidità del valore dell'area di autenticazione, come illustrato in questo caso. I mapping da host a IP non validi potrebbero causare la connessione di DC1 a DC3 nello stesso dominio. Genera comunque KRB_AP_ERR_MODIFIED, ma il nome dell'area di autenticazione nel frame 8 corrisponde all'area di autenticazione nel frame 7.

Metodo 2: Verifica del mapping da nome a IP (senza usare una traccia di rete)

Dalla console del controller di dominio di origine:

Comando	Comment
`IPCONFIG /ALL \|MORE`	Nota Indirizzo IP della scheda di interfaccia di rete usata dai controller di dominio di destinazione
`REPADMIN /SHOWREPS \|MORE`	Valore nota del GUID dell'oggetto DSA. Indica il GUID dell'oggetto per l'oggetto impostazioni NTDS controller di dominio di origine nella copia dei controller di dominio di origine di active Directory.

Dalla console del controller di dominio di destinazione:

Comando	Comment
`IPCONFIG /ALL \|MORE`	Si noti il server DNS primario, secondario ed eventuali server DNS terziari configurati su cui il controller di dominio di destinazione potrebbe eseguire query durante le ricerche DNS.
`REPADMIN /SHOWREPS \|MORE`	Nella sezione Inbound Neighbors dell'output `repadmin` individuare lo stato della replica in cui il controller di dominio di destinazione replica una partizione comune dal controller di dominio di origine in questione. Il GUID dell'oggetto DSA elencato per il controller di dominio di origine nella sezione relativa allo stato della replica del report deve corrispondere al GUID dell'oggetto elencato nell'intestazione `/showreps` quando viene eseguito nella console del controller di dominio di origine.
`IPCONFIG /FLUSHDNS`	Cancellare la cache del client DNS
Iniziare>Correre>Blocco note `%systemroot%\system32\drivers\etc\hosts`	Verificare la presenza di mapping da host a IP che fanno riferimento all'etichetta singola o al nome DNS completo dei controller di dominio di origine. Rimuovere se presente. Salvare le modifiche apportate al file HOST. Eseguire `Nbtstat -R` (R maiuscolo) per aggiornare la cache dei nomi NetBIOS.
`NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>` Ripetere per ogni indirizzo IP del server DNS aggiuntivo configurato nel controller di dominio di destinazione. Esempio: `c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103`	Verificare che l'indirizzo IP restituito corrisponda all'indirizzo IP del controller di dominio di destinazione elencato in precedenza registrato dalla console del controller di dominio di origine. Ripetere per tutti gli indirizzi IP dei server DNS configurati nel controller di dominio di destinazione.
`nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP>`	Verificare la presenza di record A dell'host duplicati in tutti gli indirizzi IP del server DNS configurati nel controller di dominio di destinazione.
`nbtstat -A <IP address of DNS Server IP returned by nslookup>`	Deve restituire il nome del controller di dominio di origine.

Nota

Richiesta di replica indirizzata a un controller non di dominio (a causa di un mapping da nome a IP non valido) o a un controller di dominio che attualmente non dispone dell'E351... service UUID registrato con il mapper degli endpoint restituisce l'errore 1753: non sono più disponibili endpoint con il mapper degli endpoint.

La destinazione Kerberos non può decrittografare i dati autenticati Kerberos a causa di una mancata corrispondenza della password.

Questo problema può verificarsi se la password per il controller di dominio di origine differisce tra il KDC e la copia del controller di dominio di origine della directory Active Directory. La copia del controller di dominio di destinazione della password dell'account computer del controller di dominio di origine potrebbe non essere aggiornata se non usa se stessa come KDC.

Gli errori di replica possono impedire ai controller di dominio di avere un valore di password corrente per i controller di dominio in un determinato dominio.

Ogni controller di dominio esegue il servizio KDC per l'area di autenticazione del dominio. Per le stesse transazioni dell'area di autenticazione, un controller di dominio di destinazione preferisce ottenere i ticket Kerberos da se stesso. Tuttavia, può ottenere un ticket da un controller di dominio remoto. Le segnalazioni vengono usate per ottenere ticket Kerberos da altre aree di autenticazione.

Il NLTEST /DSGETDC:<DNS domain of target domain> /kdc comando eseguito in un prompt dei comandi con privilegi elevati in prossimità di un SEC_E_WRONG_PRINCIPAL errore può essere usato per identificare rapidamente quale KDC è destinato a un client Kerberos.

Il modo definitivo per determinare quale controller di dominio da cui un client Kerberos ha ottenuto un ticket consiste nell'eseguire una traccia di rete. La mancanza di traffico Kerberos in una traccia di rete può indicare:

Il client Kerberos ha già acquisito i ticket.
Sta facendo decollare i biglietti da se stesso.
L'applicazione di traccia di rete non analizza correttamente il traffico Kerberos.

I ticket Kerberos per l'account utente connesso possono essere eliminati a un prompt dei comandi con privilegi elevati usando il KLIST purge comando .

I ticket Kerberos per l'account di sistema usato dalla replica di Active Directory possono essere eliminati senza un riavvio tramite KLIST -li 0x3e7 purge.

I controller di dominio possono essere creati per usare altri controller di dominio arrestando il servizio KDC in un controller di dominio locale o remoto.

Usare REPADMIN /SHOWOBJMETA per verificare la presenza di ovvie differenze di numero di versione negli attributi correlati alle password (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) per il controller di dominio di origine nella copia del controller di dominio di dominio di origine e del controller di dominio di destinazione della directory Active Directory.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

Il comando netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> eseguito in un prompt dei comandi con privilegi elevati nella console del controller di dominio che richiede una reimpostazione della password può essere usato per reimpostare le password dell'account computer del controller di dominio.

Risolvere i problemi relativi a scenari specifici

Ripetere i passaggi per un mapping da host a IP non valido che causa il pull del controller di dominio di destinazione dall'origine errata.
1. Alzare di livello \\dc1 + \\DC2 + \\DC3 nel contoso.com dominio. La replica end-to-end si verifica senza errori.
2. Arrestare il KDC in \\DC1 e \\DC2 per forzare il traffico Kerberos predefinito che può essere osservato in una traccia di rete. La replica end-to-end si verifica senza errori.
3. Creare una voce di file host per \\DC2 che punta all'indirizzo IP di un controller di dominio in una foresta remota. Si tratta di simulare un mapping da host a IP non valido in un record A/AAAA host o forse un oggetto Impostazioni NTDS non aggiornato nella copia del controller di dominio di destinazione della directory Active Directory.
4. Avviare Siti e servizi di Active Directory nella console di \\DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso \\DC1 da \\DC2 e notare che il nome dell'account di destinazione è un errore di replica non corretto.
Ripetere i passaggi per una mancata corrispondenza della password del controller di dominio di origine tra KDC e il controller di dominio di origine.
1. Alzare di livello \\dc1 + \\DC2 + \\DC3 nel contoso.com dominio. La replica end-to-end viene eseguita senza errori.
2. Arrestare il KDC in \\DC1 e \\DC2 per forzare il traffico Kerberos predefinito che può essere osservato nella traccia di rete. La replica end-to-end viene eseguita senza errori.
3. Disabilitazione della replica in ingresso in KDC \\DC3 per simulare un errore di replica nel KDC.
4. Reimpostare la password dell'account computer in \\DC2 tre o più volte in modo che \\DC1 e \\DC2 abbiano entrambe la password corrente per \\DC2.
5. Avviare Siti e servizi di Active Directory nella console di \\DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso di \\DC1 da \\DC2 e notare che il nome dell'account di destinazione non è corretto .
Registrazione client RPC DS

Impostare NTDS\Diagnostics Loggings\DS RPC Client = 3. Attivare la replica. Cercare l'evento di categoria attività 1962 + 1963. Si noti il completo cname elencato nel campo del servizio directory . Il controller di dominio di destinazione deve essere in grado di effettuare il ping di questo record e avere la mappa degli indirizzi restituiti all'indirizzo IP corrente del controller di dominio di origine.
Flusso di lavoro Kerberos

Il flusso di lavoro Kerberos include le azioni seguenti:
- Client Computer chiama la funzione IntializeSecurityContext e specifica il provider di supporto di sicurezza Negotiate .
- Il client contatta il KDC con il TGT e richiede un ticket TGS per il controller di dominio di destinazione.
- Il KDC cerca nel Catalogo globale un'origine (e351 o nome host) nell'area di autenticazione del controller di dominio di destinazione.
- Se il controller di dominio di destinazione si trova nell'area di autenticazione del controller di dominio di destinazione, il KDC fornisce al client un ticket di servizio.
- Se il controller di dominio di destinazione si trova in un'area di autenticazione diversa, il KDC fornisce al client un ticket di riferimento.
- Il client contatta un KDC nel dominio del controller di dominio di destinazione e richiede un ticket di servizio.
- Se l'SPN del controller di dominio di origine non esiste nell'area di autenticazione, viene visualizzato un errore di KDC_ERR_S_PRINCIPAL_UNKNOWN .
- Il controller di dominio di destinazione contatta la destinazione e presenta il ticket.
- Se il controller di dominio di destinazione è proprietario del nome nel ticket e può decrittografarlo, l'autenticazione funziona.
- Se il controller di dominio di destinazione ospita l'UUID del servizio server RPC, l'errore Kerberos KRB_AP_ERR_NOT_US o KRB_AP_ERR_MODIFIED viene mappato di nuovo a quello seguente:
  
  -2146893022 decimal/0x80090322/SEC_E_WRONG_PRINCIPAL/ "Il nome dell'entità di destinazione non è corretto"

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.