Risoluzione dei problemi relativi all'errore di replica di Active Directory -2146893022: "Nome principale di destinazione scorretto"


Riepilogo


In questo articolo viene descritto come risolvere un problema che si verifica quando la replica di Active Directory ha esito negativo e genera l'errore -2146893022: “Nome principale di destinazione scorretto".

Questo errore si verifica quando il controller di dominio di origine non decrittografa il ticket di servizio fornito dal controller di dominio di destinazione (target).

Causa principale:

Il controller di dominio di destinazione riceve un ticket di servizio da un Centro distribuzione chiavi Kerberos (KDC) che dispone di una versione precedente della password del controller di dominio di origine.

Soluzione principale:

  1. Arrestare il servizio KDC nel controller di dominio di destinazione. Per effettuare questa operazione, al prompt dei comandi eseguire il comando riportato di seguito:

    net stop KDC
  2. Avviare la replica nel controller di dominio di destinazione dal controller di dominio di origine tramite Siti e servizi di Active Directory o Repadmin.
  • ​​​Tramite Repadmin:

    Repadmin replicate destinationDC sourceDC DN_of_Domain_NC


    Se ad esempio l'errore di replica si verifica in ContosoDC2.contoso.com, eseguire il comando riportato di seguito in ContosoDC1.contoso.com:


    Repadmin replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
  1. Avviare il servizio KDC Kerberos nel controller di dominio di destinazione. Per effettuare questa operazione, eseguire il comando riportato di seguito:

    net start KDC

Se il problema persiste, cercare nella sezione "Soluzione" una soluzione alternativa in cui si usa il comando netdom resetpwd per reimpostare la the password dell'account del computer per il controller di dominio di origine. Se questi passaggi non permettono di risolvere il problema, leggere il resto dell'articolo.

Sintomi


Quando si verifica questo problema, si riscontrano uno o più dei seguenti sintomi:

  • DCDIAG segnala che il test delle repliche di Active Directory ha avuto esito negativo e ha restituito l'errore -2146893022: “Nome principale di destinazione scorretto".

    [Controllo repliche,<Nome controller di dominio>] Un recente tentativo di replica non è riuscito:
                Da <controller di dominio di origine> a <controller di dominio di destinazione>
                Contesto dei nomi: <Percorso nome distinto della partizione di directory>
                La replica ha generato un errore (-2146893022):
               Nome principale di destinazione scorretto.
                L'errore si è verificato alle ore <data> <ora>.
                L'ultima operazione riuscita è stata eseguita alle ore <data> <ora>.
                <X> errori rilevati dopo l'ultima operazione riuscita.
     
  • Repadmin.exe segnala un tentativo di replica non riuscito e uno stato -2146893022 (0x80090322).

    Tra i comandi Repadmin che indicano in genere lo stato -2146893022 (0x80090322) sono inclusi i seguenti:  
     
    • DMIN /REPLSUMREPA
    • REPADMIN /SHOWREPL
    • REPADMIN /SHOWREPS
    • REPADMIN /SYNCALL

    Viene riportato di seguito l'output di esempio dei comandi "REPADMIN /SHOWREPS" e "REPADMIN /SYNCALL" che segnalano l'errore "Nome principale di destinazione scorretto": 
     

    c:\>repadmin /showreps
    <site name>\<destination DC>
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: <NTDS settings object object GUID>
    DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

    ==== INBOUND NEIGHBORS ======================================

    DC=<DN path for directory partition>
        <site name>\<source DC via RPC
            DC object GUID: <source DCs ntds settings object object guid>
            Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            <X #> consecutive failure(s).
            Last success @ <date> <time>.


    c:\>repadmin /syncall /Ade
    Syncing all NC's held on localhost.
    Syncing partition: DC=<Directory DN path>
    CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • Il comando "Replica ora" in Siti e servizi di Active Directory restituisce un messaggio "Nome principale di destinazione scorretto".

    Facendo clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliendo quindi Replica ora, l'operazione ha esito negativo e restituisce un messaggio "Nome principale di destinazione scorretto". Il messaggio di errore visualizzato è il seguente:

    Dialog title text: Replicate Now

    Dialog message text: The following error occurred during the attempt to contact the domain controller <source DC name>:

    The target principal name is incorrect 

    Buttons in Dialog: OK

  • Nel registro eventi del servizio directory vengono registrati gli eventi NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con stato -2146893022.

    Tra gli eventi Active Directory che indicano in genere lo stato -2146893022 sono inclusi gli eventi descritti di seguito.

    Origine evento

    ID evento

    Stringa evento

    Replica NTDS

    1586 Il punto di controllo della replica di Windows NT 4.0 (o versione precedente) con il master emulatore PDC non era valido.

    Se il ruolo master emulatore PDC viene trasferito nel controller di dominio locale prima del successivo punto di controllo valido, è possibile che venga eseguita una sincronizzazione completa del database di Gestione account di protezione (SAM) per i controller di dominio con Windows NT 4.0 (e versioni precedenti).
     
    KCC di NTDS 1925 Impossibile stabilire un collegamento di replica per la seguente partizione di directory scrivibile.
     

    KCC di NTDS

    1308

    Controllo di coerenza informazioni (KCC) ha rilevato che tutti i tentativi successivi di replica con il seguente controller di dominio sono falliti.

    Microsoft-Windows-ActiveDirectory_DomainService 1926 Impossibile stabilire un collegamento di replica per una partizione di directory di sola lettura con i seguenti parametri.
     

    Messaggistica tra siti NTDS

    1373

    Il servizio Messaggistica tra siti (ISM) non riesce a ricevere alcun messaggio per il seguente servizio mediante il seguente trasporto. La query per i messaggi non è riuscita. 

Causa


Il codice di errore "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" non è un errore Active Directory ma può essere restituito da componenti di livelli inferiori, tra cui RPC, Kerberos, SSL, LSA, e NTLM per diverse cause radice.

Tra gli errori Kerberos mappati dal codice Windows a "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" sono inclusi i seguenti:

  • KRB_AP_ERR_MODIFIED (0x29 / 41 decimal / KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h / 36 decimal / "Ticket and authenticator don't match")
  • KRB_AP_ERR_NOT_US (0x23h / 35 decimal /  "The ticket isn't for us")

Vengono descritte di seguito alcune cause radice specifiche per l'errore "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL":

  • A causa di un mapping non valido tra nome e IP nel file DNS, WINS, HOST o LMHOST, il controller di dominio di destinazione si è connesso al controller di dominio di origine errato in un'area di autenticazione Kerberos diversa.
  • Il computer di destinazione Kerberos (controller di dominio di origine) non è riuscito a decrittografare i dati di autenticazione Kerberos inviati dal client Kerberos (controller di dominio di destinazione) perché il servizio KDC e il controller di dominio di origine dispongono di versioni diverse della password dell'account del computer del controller di dominio di origine.
  • Non è stato possibile per il servizio KDC trovare un dominio per cercare l'SPN del controller di dominio di origine.
  • I dati di autenticazione nei frame con crittografia Kerberos sono stati modificati da dispositivi hardware (inclusi dispositivi di rete), da software o dall'autore di un attacco.

Soluzione


Eseguire dcdiag /test:checksecurityerror nel controller di dominio di origine

Gli SPN mancanti, non validi o duplicati possono dipendere da una semplice latenza di replica, soprattutto dopo errori di promozione o di replica.

Gli SPN duplicati possono determinare mapping non validi tra SPN e nome.

DCDIAG /TEST:CheckSecurityError può verificare la presenza di SPN mancanti o duplicati e di altri errori.

Eseguire questo comando nella console di tutti i controller di dominio di origine con replica "in uscita" non riuscita con l'errore SEC_E_WRONG_PRINCIPAL.

È possibile controllare la registrazione SPN per una posizione specifica usando la seguente sintassi:

dcdiag /test:checksecurityerror replsource:<controller di dominio remoto>
 

Verificare che il traffico di rete con crittografia Kerberos abbia raggiunto la destinazione Kerberos desiderata (mapping tra nome e IP)

Si consideri lo scenario descritto di seguito:

  • I controller di dominio di destinazione Active Directory con replica in ingresso cercano nella copia locale della directory l'elemento objectGUID degli oggetti Impostazioni NTDS dei controller di dominio di origine.
  • I controller di dominio eseguono una query sul server DNS attivo per ricercare un record DC GUIDED CNAME corrispondente che viene quindi mappato a un record "A" / "AAAA" host contenente l'indirizzo IP del controller di dominio di origine.

In questo scenario Active Directory esegue un fallback per la risoluzione dei nomi che include query per nomi di computer completi in DNS oppure nomi host con etichetta singola in WINS.

Nota Anche i server DNS possono eseguire ricerche WINS in scenari di fallback.

Oggetti Impostazioni NTDS non aggiornati, mapping non validi tra nomi e IP in record host DNS e WINS, nonché voci non aggiornate nei file HOST possono tutti determinare l'invio alla destinazione Kerberos errata di traffico con crittografia Kerberos da parte di un controller di dominio di destinazione.

Per verificare l'esistenza di questa condizione, rilevare una traccia di rete oppure verificare manualmente che le query nome DNS/nome NetBIOS si risolvano nel computer di destinazione desiderato.


Metodo 1: traccia di rete (analisi di Network Monitor 3.3.1641 con tutti i parser predefiniti abilitati)

Nella tabella seguente viene riportato un riepilogo del traffico di rete che si verifica quando il controller di dominio di destinazione DC1 esegue la replica in ingresso della directory Active Directory dal controller di dominio di origine DC2.
 

F#

SRC

DEST

Protocollo

Frame

Commento

1

DC1

DC2

MSRPC

MSRPC:c/o Request: unknown   Call=0x5  Opnum=0x3  Context=0x1  Hint=0x90
 

Chiamata RPC del controller di dominio di destinazione a EPM nel controller di dominio di origine su 135.

2

DC2

DC1

MSRPC

MSRPC:c/o Response: unknown   Call=0x5  Context=0x1  Hint=0xF4  Cancels=0x0
 

Risposta EPM al chiamante RPC.

3

DC1

DC2

MSRPC

MSRPC:c/o Bind:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0
 

Richiesta di binding RPC all'UUID del servizio E351…

4

DC2

DC1

MSRPC

MSRPC:c/o Bind Ack:  Call=0x2  Assoc Grp=0x9E62  Xmit=0x16D0  Recv=0x16D0
 

Risposta di binding RPC.

5

DC1

KDC

KerberosV5

KerberosV5:TGS Request Realm: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com
 

Richiesta TGS per l'SPN di replica del controller di dominio di origine. Questa operazione non verrà visualizzata nella connessione se il controller di dominio di destinazione usa se stesso come KDC.

6

KDC

DC1

KerberosV5

KerberosV5:TGS Response Cname: CONTOSO-DC1$
 

Risposta TGS al controller di dominio di destinazione contoso-dc1. Questa operazione non verrà visualizzata nella connessione se il controller di dominio di destinazione usa se stesso come KDC.

7

DC1

DC2

MSRPC

MSRPC:c/o Alter Cont:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2
 

Richiesta AP.

8

DC2

DC1

MSRPC

MSRPC:c/o Alter Cont Resp:  Call=0x2  Assoc Grp=0x9E62  Xmit=0x16D0  Recv=0x16D0

Risposta AP.

 

Drilldown on Frame 7

Drilldown on Frame 8

Commenti.

MSRPC MSRPC:c/o Alter Cont:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2
 

MSRPC:c/o Alter Cont Resp:  Call=0x2  Assoc Grp=0xC3EA43  Xmit=0x16D0  Recv=0x16D0

DC1 si connette al servizio di replica di Active Directory in DC2 sulla porta restituita da EPM in DC2.

Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0

Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278

Verificare che il controller di dominio di origine della replica di Active Directory (indicato qui come computer “Dest” nella 1a colonna e come computer “Src” nella 2a colonna “sia proprietario’ dell'indirizzo IP citato nella traccia (x.x.x.35 in questo esempio).
 

Ticket: Realm: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com

ErrorCode: KRB_AP_ERR_MODIFIED (41)

Realm: <verify that realm returned by the source DC matches the Kerberos realm intended by the destination DC>.


Sname: <verify that the sName in the AP response matches contains the hostname of the intended source DC and NOT another DC that the destination incorrectly resolved to due to a bad name-to-ip mapping problem.

Nella colonna 1 si noti l'area di autenticazione Kerberos di destinazione “contoso.com” seguita dall'SPN di replica dei controller di dominio di origine (“Sname”) costituito dall'UUID (E351…) del servizio di replica di Active Directory concatenato con il GUID dell'oggetto Impostazioni NTDS dei controller di dominio di origine.

Il valore GUIDED "6f3f96d3-dfbf-4daf-9236-4d6da6909dd2" a destra dell'UUID del servizio di replica E351... è il GUID dell'oggetto Impostazioni NTDS dei controller di dominio di origine attualmente definito nella copia di Active Directory dei controller di dominio di destinazione. Verificare che questo GUID oggetto corrisponda al valore del campo “GUID oggetto DSA” quando si esegue “repadmin /showreps” dalla console del controller di dominio di origine.

L'esecuzione di un ping o di nslookup del record CNAME completo dei controller di dominio di origine concatenato con "_msdcs.<nome DNS radice della foresta>" dalla console del controller di dominio di destinazione deve restituire l'indirizzo IP corrente dei controller di dominio di origine: 

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup –type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<dominio radice della foresta> <IP server DNS>

Nella risposta mostrata nella colonna 2, esaminare il campo “Sname” e verificare che contenga il nome host del controller di dominio di origine della replica di Active Directory.

Mapping non validi tra nome e IP potrebbero determinare la connessione del controller di dominio di destinazione a un controller di dominio in un'area di autenticazione completamente errata, dando origine a un valore Realm non valido, come mostrato in questo esempio. Mapping non validi tra host e IP potrebbero determinare la connessione di DC1 a DC3 nello stesso dominio. In questo caso, verrebbe comunque generato l'errore KRB_AP_ERR_MODIFIED ma il nome dell'area di autenticazione nel frame 8 corrisponderebbe all'area di autenticazione nel frame 7.




Metodo 2: verifica del mapping tra nome e IP (senza usare una traccia di rete)

Dalla console del controller di dominio di origine:

Comando

Commento

IPCONFIG /ALL |MORE

Prendere nota dell'indirizzo IP della scheda NIC usato dai controller di dominio di destinazione.
 

REPADMIN /SHOWREPS |MORE

Prendere nota del valore del campo “GUID oggetto DSA” che indica il GUID dell'oggetto Impostazioni NTDS dei controller di dominio di origine nella copia di Active Directory dei controller di dominio di origine.
 

Dalla console del controller di dominio di destinazione:

Comando

Commento

IPCONFIG /ALL |MORE

Prendere nota dei server DNS primari, secondari e terziari configurati che possono essere usati dal controller di dominio di destinazione per eseguire query durante le ricerche DNS.
 

REPADMIN /SHOWREPS |MORE

Nella sezione “Inbound Neighbors” dell'output di Repadmin individuare lo stato di replica con in cui il controller di dominio di destinazione replica una partizione comune dal controller di dominio di origine in questione.

Il "GUID oggetto” “DSA” elencato per il controller di dominio di origine nella sezione del report relativa allo stato di replica deve corrispondere al GUID oggetto elencato nell'intestazione /showreps in caso di esecuzione dalla console del controller di dominio di origine.
 

IPCONFIG /FLUSHDNS

Cancellare la cache del client DNS.
 

Start ->Esegui -> Notepad %systemroot%\system32\drivers\etc\hosts

Cercare i mapping tra host e IP che fanno riferimento al nome DNS completo o con etichetta singola dei controller di dominio di origine. Rimuoverli se presenti. Salvare le modifiche del file HOST.

Eseguire “Nbtstat –R” (“R” maiuscola) per aggiornare la cache dei nomi NetBIOS.
 

NSLOOKUP –type=CNAME <GUID oggetto Impostazioni NTDS dei controller di dominio di origine>._msdcs.<nome DNS radice della foresta> <IP server DNS primario>

Ripetere per ogni IP di server DNS aggiuntivo configurato nel controller di dominio di destinazione.

Esempio: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103
 

Verificare che l'IP restituito corrisponda all'indirizzo IP del controller di dominio di destinazione sopra elencato registrato dalla console del controller di dominio di origine.

Ripetere per tutti gli IP di server DNS configurati nel controller di dominio di destinazione.

nslookup -type=A+AAAA <FQDN del controller di dominio di origine> <IP server DNS> Cercare record "A" host duplicati in tutti gli IP di server DNS configurati nel controller di dominio di destinazione.
 
nbtstat -A <indirizzo IP del server DNS restituito da nslookup> Dovrebbe restituire il nome del controller di dominio di origine.
 


Nota Una richiesta di replica indirizzata a un controller non di dominio (a causa di un mapping non valido tra nome e IP) o un controller di dominio che non dispone attualmente dell'UUID del servizio E351... registrato con il mapper di endpoint restituisce l'errore 1753: "Nessun endpoint disponibile dal mapping degli endpoint". 

 

La destinazione Kerberos non riesce a decrittografare i dati autenticati Kerberos a causa di password non corrispondenti

Questa condizione può verificarsi se la password del controller di dominio di origine differisce tra KDC e la copia della directory Active Directory del controller di dominio di origine. È possibile che la copia del controller di dominio di destinazione della password dell'account del computer controller di dominio di origine non sia aggiornata se non usa se stessa come KDC.

Gli errori di replica possono impedire ai controller di dominio di disporre di valori di password aggiornati per i controller di dominio in un dominio specifico.

Ogni controller di dominio esegue il servizio KDC per l'area di autenticazione del proprio dominio. Per alcune transazioni di aree di autenticazione, un controller di dominio di destinazione preferisce ottenere i ticket Kerberos da se stesso. È possibile tuttavia che ottenga un ticket da un controller di dominio remoto. Vengono usati riferimenti per ottenere ticket Kerberos da altre aree di autenticazione.

È possibile usare il comando NLTEST /DSGETDC:<DNS domain of target domain> /kdc eseguito da un prompt dei comandi con privilegi elevati subito dopo un errore SEC_E_WRONG_PRINCIPAL per identificare rapidamente il servizio KDC di destinazione di un client Kerberos.

Il modo definitivo per determinare il controller di dominio da cui un client Kerberos ha ottenuto un ticket consiste nel rilevare una traccia di rete. L'assenza di traffico Kerberos in una traccia di rete può indicare che il client Kerberos ha già acquisito ticket, ossia recupera ticket autonomamente senza connessione, o che l'applicazione di traccia di rete non stia analizzando correttamente il traffico Kerberos.

I ticket Kerberos per l'account utente connesso possono essere ripuliti a partire da un prompt dei comandi con privilegi elevati usando il comando KLIST purge

I ticket Kerberos per l'account di sistema usati dalla replica di Active Directory possono essere ripuliti senza necessità di riavvio usando KLIST -li 0x3e7 purge.

È possibile fare in modo che i controller di dominio usino altri controller di dominio arrestando il servizio KDC in un controller di dominio locale o remoto.

Usare REPADIN /SHOWOBJMETA per cercare differenze evidenti di numeri di versione in attributi correlati alla password (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) per il controller di dominio di origine nella copia della directory Active Directory del controller di dominio di origine e del controller di dominio di destinazione.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

È possibile usare il comando netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> eseguito da un prompt dei comandi con privilegi elevati nella console del controller di dominio che richiede una reimpostazione della password per reimpostare le password dell'account del computer controller di dominio.

Ulteriori informazioni


Scenari specifici della risoluzione dei problemi

Passaggi per riprodurre il problema relativo al mapping non valido tra host e IP che determina l'uso di un'origine errata per il controller di dominio di destinazione

  1. Alzare di livello \\dc1 + \\DC2 + \\DC3 nel dominio contoso.com. La replica end-to-end viene eseguita senza errori.
  2. Arrestare KDC su \\DC1 e \\DC2 per forzare il traffico Kerberos off-box osservabile in una traccia di rete. La replica end-to-end viene eseguita senza errori.
  3. Creare per \\DC2 una voce del file Host che punti all'indirizzo IP di un controller di dominio in una foresta remota per simulare un mapping non valido tra host e IP in un record "A" / "AAAA" host o forse un oggetto Impostazioni NTDS non aggiornato nella copia della directory Active Directory del controller di dominio di destinazione.
  4. Avviare Siti e servizi di Active Directory nella console di \\DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso di \\DC1 da \\DC2 e osservare l'errore di replica "Il nome dell'account di destinazione non è corretto".

Passaggi per riprodurre il problema di password di un controller di dominio di origine non corrispondente tra il servizio KDC e il controller di dominio di origine

  1. Alzare di livello \\dc1 + \\DC2 + \\DC3 nel dominio contoso.com. La replica end-to-end viene eseguita senza errore.
  2. Arrestare KDC su \\DC1 e \\DC2 per forzare il traffico Kerberos off-box osservabile nella traccia di rete. La replica end-to-end viene eseguita senza errore.
  3. Disabilitare la replica in ingresso su KDC \\DC3 per simulare un errore di replica nel servizio KDC.
  4. Reimpostare la password dell'account del computer in \\DC2 tre o più volte in modo che \\DC1 e \\DC2 abbiano entrambi la password aggiornata per \\DC2.
  5. Avviare Siti e servizi di Active Directory nella console di \\DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso di \\DC1 da \\DC2 e osservare l'errore di replica "Il nome dell'account di destinazione non è corretto".

Registrazione client DS RPC  

Impostare NTDS\Diagnostics Loggings\DS RPC Client = 3. Attivare la replica. Cercare Task Category Event 1962 + 1963. Si noti il record cname completo elencato nel campo del servizio directory. Il controller di dominio di destinazione deve poter effettuare il ping del record e ottenere la mappa indirizzi per l'indirizzo IP corrente del controller di dominio di origine.

Flusso di lavoro Kerberos

Il flusso di lavoro Kerberos include le seguenti azioni:

  • Il computer client chiama IntializeSecurityContext e specifica Negotiate come Security Support Provider (SSP).
  • Il client contatta il servizio KDC con il proprio TGT e richiede un ticket TGS per il controller di dominio target.
  • Il servizio KDC cerca nel Catalogo globale un'origine (e351 o un nome host) nell'area di autenticazione del controller di dominio di destinazione.
  • Se il controller di dominio target si trova nell'area di autenticazione del controller di dominio di destinazione, il servizio KDC fornisce al client un ticket di servizio.
  • Se il controller di dominio target si trova in un'area di autenticazione diversa, il servizio KDC fornisce al client un ticket di riferimento.
  • Il client contatta un servizio KDC nel dominio del controller di dominio target e richiede un ticket di servizio.
  • Se nell'area di autenticazione non esiste l'SPN del controller di dominio di origine, si riceve un errore "KDC_ERR_S_PRINCIPAL_UNKNOWN".
  • Il controller di dominio di destinazione contatta il target e presenta il ticket.
  • Se il controller di dominio target dispone del nome nel ticket e può decrittografarlo, l'autenticazione funziona.
  • Se il controller di dominio target ospita l'UUID del servizio server RPC, l'errore "KRB_AP_ERR_NOT_US" o "KRB_AP_ERR_MODIFIED" di Kerberos in modalità di connessione viene rimappato al seguente errore:

    -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Nome principale di destinazione scorretto"

Per altre informazioni, vedere il white paper Troubleshooting Kerberos Errors.