Microsoft Edge Microsoft Edge を今すぐお試しください Windows 10 のための高速で安全なブラウザー 今すぐ使う

スキップしてメイン コンテンツへ
Microsoft
Microsoft サポート
  • Office
  • Windows
  • Surface
  • Xbox
  • お買い得商品
  • サポート
      • Windows アプリ
      • OneDrive
      • Outlook
      • Skype
      • OneNote
      • PCs & tablets
      • アクセサリ
      • Microsoft HoloLens
      • Xbox とゲーム
      • ゲーム
      • Windows ゲーム
      • 映画とテレビ番組
      • Microsoft Azure
      • Microsoft Dynamics 365
      • Microsoft 365
      • すべてのサーバー製品およびクラウド製品
      • エンタープライズ ソリューション
      • データ プラットフォーム
      • .NET
      • Visual Studio
      • Windows アプリの開発
      • ドキュメント
      • 無料ダウンロード & セキュリティ
      • 教育
      • プリペイド カード
    • すべて表示
    0
    サインイン
    Microsoft サポート

    AD レプリケーション エラー 2146893022 "対象のプリンシパル名が間違っています" に関するトラブルシューティング

    Microsoft が提供するコンテンツ

    Microsoft が提供するコンテンツ


    概要


    この資料では、Active Directory のレプリケーションが失敗してエラー 2146893022 “対象のプリンシパル名が間違っています" が生成される問題のトラブルシューティングの方法について説明します。

    このエラーは、宛先 (対象) ドメイン コントローラーによって提供されたサービス チケットを、ソース ドメイン コントローラーが暗号化解除しない場合に発生します。

    一番の原因:

    宛先ドメイン コントローラーが受け取ったサービス チケットの発行元である Kerberos キー配布センター (KDC) が持っているソース ドメイン コントローラーのパスワードが古いバージョンです。  

    一番の解決策:

    1. 宛先ドメイン コントローラー上の KDC  サービスを停止します。 これを行うには、コマンド プロンプトで次のコマンドを実行します。

      net stop KDC
    2. [Active Directory サイトとサービス] または repadmin を使用して、ソース ドメイン コントローラーから、宛先ドメイン コントローラー上でのレプリケーションを開始します。  
    • ​​​repadmin を使用する場合:

      Repadmin replicate destinationDC sourceDC DN_of_Domain_NC


      たとえば、ContosoDC2.contoso.com 上でレプリケーションが失敗している場合は、 ContosoDC1.contoso.com 上で次のコマンドを実行します。


      Repadmin replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
    1. 宛先ドメイン コントローラー上の Kerberos KDC サービスを開始します。 これを行うには、次のコマンドを実行します。

      net start KDC

    これで問題が解決しない場合は、「解決方法」セクションの代替ソリューションを参照してください。この代替ソリューションでは、netdom resetpwd コマンドを使用して、ソース ドメイン コントローラーのコンピューター アカウント パスワードをリセットします。  これらの手順を実行しても問題が解決しない場合は、この資料の残りのセクションを参照してください。

    現象


    この問題が発生すると、以下のいずれかまたは複数の現象が発生します。

    • DCDIAG が、Active Directory レプリケーション テストの失敗を報告し、エラー 2146893022: “対象のプリンシパル名が間違っています" を返す。

      [レプリケーションの確認、<DC 名>] 最近のレプリケーション試行は失敗しました:
                   <ソース DC>  から  <宛先 DC>
                  名前付けコンテキスト: <ディレクトリ パーティションの DN パス> 
                  レプリケーションでエラーが生成されました (-2146893022):
                  対象のプリンシパル名が間違っています。
                  <日付> <時刻> でエラーが発生しました。
                  前回の成功は <日付> <時刻> です。
                  前回の成功から、<X> 回エラーが発生しました。
       
    • repadmin.exe が、レプリケーション試行の失敗を報告し、状態 -2146893022 (0x80090322) を報告する。

      一般的に -2146893022 (0x80090322) 状態を示す repadmin コマンドには、次のものがあります (ただし、これらに限りません)。  
       
      • DMIN /REPLSUMREPA
      • REPADMIN /SHOWREPL
      • REPADMIN /SHOWREPS
      • REPADMIN /SYNCALL

      "対象のプリンシパル名が間違っています" エラーを示している、"REPADMIN /SHOWREPS" および "REPADMIN /SYNCALL" からの出力サンプルを以下に示します。  
       

      c:\>repadmin /showreps
      <site name>\<destination DC>
      DC Options: IS_GC
      Site Options: (none)
      DC object GUID: <NTDS settings object object GUID>
      DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

      ==== INBOUND NEIGHBORS ======================================

      DC=<DN path for directory partition>
          <site name>\<source DC via RPC
              DC object GUID: <source DCs ntds settings object object guid>
              Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
                  The target principal name is incorrect.
              <X #> consecutive failure(s).
              Last success @ <date> <time>.


      c:\>repadmin /syncall /Ade
      Syncing all NC's held on localhost.
      Syncing partition: DC=<Directory DN path>
      CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

    • [Active Directory サイトとサービス] の [今すぐレプリケート] コマンドを実行すると、"対象のプリンシパル名が間違っています" メッセージが返される。

      [ソース DC] 内の接続オブジェクトを右クリックして [今すぐレプリケート] を選択すると失敗して、"対象のプリンシパル名が間違っています" メッセージが返されます。画面に表示されるエラー メッセージは次のとおりです。     

      Dialog title text: Replicate Now

      Dialog message text: The following error occurred during the attempt to contact the domain controller <source DC name>:

      The target principal name is incorrect 

      Buttons in Dialog: OK

    • 状態が -2146893022 である NTDS KCC イベント、NTDS General イベント、または Microsoft-Windows-ActiveDirectory_DomainService イベントが、ディレクトリ サービスのイベント ログに記録される。

      一般的に -2146893022 状態を示す Active Directory イベントには、次のものがあります (ただし、これらに限りません)。

      イベント ソース

      イベント ID

      イベント文字列

      NTDS Replication

      1586 PDC エミュレーター マスターとの、Windows NT 4.0 またはそれ以前のレプリケーション チェックポイントに失敗しました。

      PDC エミュレーター マスター役割が、次の正常なチェックポイントよりも前にローカル ドメイン コントローラーに譲渡された場合は、Windows NT 4.0 およびそれ以前の OS を実行しているドメイン コントローラーに対してセキュリティ アカウント マネージャー (SAM) データベースの完全同期が実行される可能性があります。
       
      NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのためにレプリケーション リンクを確立しようとして失敗しました。
       

      NTDS KCC

      1308

      次のドメイン コントローラーとレプリケートする試みが連続して行われましたが継続的に失敗していることが、知識整合性チェッカー (KCC) により検出されました。

      Microsoft-Windows-ActiveDirectory_DomainService 1926 次のパラメーターで読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとして失敗しました。
       

      NTDS Inter-site Messaging

      1373

      サイト間メッセージング サービスにより、次のサービスのメッセージを次のトランスポート経由で受信することができませんでした。 メッセージのクエリは失敗しました。 

    原因


    "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" エラー コードは、Active Directory エラーではなく、RPC, Kerberos, SSL, LSA, and NTLM  といった下位レイヤー コンポーネントから返されることがあり、その根本原因はさまざまです。

     Windows コードが "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" にマップする Kerberos エラーには、次のものがあります。

    • KRB_AP_ERR_MODIFIED (0x29 / 10 進数値 41 / KRB_APP_ERR_MODIFIED)
    • KRB_AP_ERR_BADMATCH (0x24h / 10 進数値 36 / "Ticket and authenticator don't match (チケットと認証システムの不一致)")
    • KRB_AP_ERR_NOT_US (0x23h / 10 進数値 35 /  "The ticket isn't for us (チケットの不適合)")

    "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" の具体的な根本原因としては、たとえば次のようなものがあります。

    • DNS ファイル、WINS ファイル、HOST ファイル、または LMHOST ファイル内で名前と IP のマッピングが間違っているため、宛先ドメイン コントローラーが、異なる Kerberos 領域にある間違ったソース ドメイン コントローラーに接続した。  
    • KDC とソース ドメイン コントローラーとで、ソース ドメイン コントローラーのコンピューター アカウント パスワードのバージョンが異なるため、Kerberos ターゲット コンピューター (ソース ドメイン コントローラー) が、Kerberos クライアント (宛先ドメイン コントローラー) から送信された Kerberos 認証データを暗号化解除できなかった。  
    • KDC が、ソース ドメイン コントローラーの SPN を探すためのドメインを見つけられなかった。
    • Kerberos で暗号化されたフレーム内の認証データが、ハードウェア (ネットワーク デバイスを含む)、ソフトウェア、または攻撃者によって変更された。

    解決方法


    ソース DC で dcdiag /test:checksecurityerror を実行する

    単純なレプリケーション待ち時間 (特にプロモーションの直後) やレプリケーション エラーにより、SPN が不足している、無効である、または重複している可能性があります。 

    SPN の重複は、SPN と名前のマッピング不良の原因となることがあります。

    DCDIAG /TEST:CheckSecurityError を実行することで、SPN の不足 / 重複およびその他のエラーがないか確認できます。

    "出力方向" のレプリケーションが失敗して SEC_E_WRONG_PRINCIPAL エラーが発生しているすべてのソース DC のコンソールで、このコマンドを実行します。

    次の構文を使用することで、特定の場所に照らして SPN 登録を確認できます。

    dcdiag /test:checksecurityerror replsource:<remote dc>
     

    Kerberos で暗号化されたネットワーク トラフィックが、意図した Kerberos ターゲットに到達したことを確認する (名前と IP のマッピング)

    次のような状況で問題が発生します。

    • 入力方向のレプリケーションが行われている Active Directory の宛先ドメイン コントローラーは、各自のディレクトリのローカル コピー内を検索して、ソース DC の NTDS 設定オブジェクトの objectGUID を見つける。  
    • DC はアクティブな DNS サーバーに対し、一致する DC GUIDED CNAME レコードを求めるクエリを実行し、このレコードが、ホストの "A" / "AAAA" レコード (ソース ドメイン コントローラーの IP アドレスが含まれている) にマップされる。 

    このシナリオでは、Active Directory は、DNS における完全修飾コンピューター名、または WINS における単一ラベルのホスト名を求めるクエリを含んだ名前解決のフォールバックを実行します。

    注: DNS サーバーは、フォールバックのシナリオにおいては WINS 参照を実行することもできます。

    古い NTDS 設定オブジェクト、DNS および WINS のホスト レコード内の名前と IP のマッピング不良、HOST ファイル内の古いエントリ、これらはすべて、宛先ドメイン コントローラーが Kerberos で暗号化されたトラフィックを間違った Kerberos ターゲットに送信する原因となり得ます。 

    この条件があるかチェックするには、ネットワーク トレースを取得するか、あるいは、DNS / NetBIOS 名のクエリが意図したターゲット コンピューターに解決されていることを手動で検証します。


    方法 1: ネットワーク トレースを取得する方法 (既定のパーサーをすべて有効にすることでネットワーク モニター 3.3.1641 によって解析されるトレース)

    次の表に、宛先 DC1 の入力方向でソース DC2 からの Active Directory ディレクトリがレプリケートされるときに発生するネットワーク トラフィックの概要を示します。
     

    F#

    ソース

    宛先

    プロトコル

    フレーム

    コメント

    1

    DC1

    DC2

    MSRPC

    MSRPC:c/o Request: unknown   Call=0x5  Opnum=0x3  Context=0x1  Hint=0x90
     

    宛先 DC RPC が 135 経由でソース DC 上の EPM を呼び出す

    2

    DC2

    DC1

    MSRPC

    MSRPC:c/o Response: unknown   Call=0x5  Context=0x1  Hint=0xF4  Cancels=0x0
     

    EPM が RPC 呼び出し元に応答する

    3

    DC1

    DC2

    MSRPC

    MSRPC:c/o Bind:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2  Assoc Grp=0x0  Xmit=0x16D0  Recv=0x16D0
     

    E351… サービス UUID に対する RPC バインド要求

    4

    DC2

    DC1

    MSRPC

    MSRPC:c/o Bind Ack:  Call=0x2  Assoc Grp=0x9E62  Xmit=0x16D0  Recv=0x16D0
     

    RPC バインド応答

    5

    DC1

    KDC

    KerberosV5

    KerberosV5:TGS Request Realm: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com
     

    ソース DC のレプリケーション SPN を求める TGS 要求。 この処理は、自身を KDC として使用する宛先 DC の伝送路には現れません。

    6

    KDC

    DC1

    KerberosV5

    KerberosV5:TGS Response Cname: CONTOSO-DC1$
     

    宛先 DC contoso-dc1 に対する TGS 応答。 この処理は、自身を KDC として使用する宛先 DC の伝送路には現れません。

    7

    DC1

    DC2

    MSRPC

    MSRPC:c/o Alter Cont:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2
     

    AP 要求

    8

    DC2

    DC1

    MSRPC

    MSRPC:c/o Alter Cont Resp:  Call=0x2  Assoc Grp=0x9E62  Xmit=0x16D0  Recv=0x16D0

    AP 応答

     

    フレーム 7 のドリルダウン

    フレーム 8 のドリルダウン

    コメント。

    MSRPC MSRPC:c/o Alter Cont:  UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)  Call=0x2
     

    MSRPC:c/o Alter Cont Resp:  Call=0x2  Assoc Grp=0xC3EA43  Xmit=0x16D0  Recv=0x16D0

    DC2 上の EPM によって返されたポート経由で DC1 が DC2 上の AD レプリケーション サービスに接続します。

    Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0

    Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278

    AD レプリケーションのソース DC (この例では列 1 の “Dest” コンピューターと、列 2 の “Src” コンピューター“) が、トレースに示されている IP アドレス (この例では x.x.x.35) を "所有" していることを確認します。
     

    Ticket: Realm: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com

    ErrorCode: KRB_AP_ERR_MODIFIED (41)

    Realm: <ソース DC によって返された領域が、宛先 DC が意図している Kerberos 領域と一致していることを確認します>。


    Sname: <AP 応答一致の sName に、意図したソース DC のホスト名が含まれていること、ならびに、名前と IP のマッピング不良の問題によって宛先 DC が間違って解決した別の DC ではないことを確認します。

    列 1 では、ターゲット Kerberos 領域の領域 (“contoso.com” の後にソース DC のレプリケーション SPN (“Sname”) が続いている) に注目します。Sname は、Active Directory レプリケーション サービス UUID (E351…) と、ソース DC の NTDS 設定オブジェクトのオブジェクト GUID が連結されたものです。

    E351... (レプリケーション サービス UUID) の右側にある GUIDED 値 "6f3f96d3-dfbf-4daf-9236-4d6da6909dd2" は、宛先 DC の Active Directory コピーに現在定義されている、ソース DC の NTDS 設定オブジェクトのオブジェクト GUID です。 このオブジェクト GUID が、ソース DC のコンソールから “repadmin /showreps” を実行したときの “DSA オブジェクト GUID” フィールドの値と一致していることを確認します。

    次のように、 "_msdcs.<forest root DNS name>"  が連結されたソース DC の完全修飾 CNAME に対して宛先 DC のコンソールから ping または nslookup を実行したときに、ソース DC の現在の IP アドレスが返されなければなりません。 

    ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

    nslookup –type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

    列 2 に示された応答内では、“Sname” フィールドに注目し、AD レプリケーションのソース DC のホスト名が含まれていることを確認します。

    名前と IP のマッピング不良があると、完全に無効なターゲット領域内にある DC に宛先 DC が接続する原因となる可能性があり、この例に示すように、領域値が無効になる原因となります。  ホストと IP のマッピング不良があると、DC1 が同じドメイン内の DC3 に接続する原因となる可能性があり、この場合にもやはり KRB_AP_ERR_MODIFIED  が生成されますが、フレーム 8 の領域名はフレーム 7 の領域と一致することになります。




    方法 2: 名前と IP のマッピングの検証 (ネットワーク トレースを使用しない方法)

    ソース DC のコンソールから次のコマンドを実行します。

    コマンド

    コメント

    IPCONFIG /ALL |MORE

    宛先 DC が使用している NIC の IP アドレスを書き留めます。
     

    REPADMIN /SHOWREPS |MORE

    “DSA オブジェクト GUID” の値を書き留めます。この値は、ソース DC の Active Directory コピーに定義されている、ソース DC の NTDS 設定オブジェクトのオブジェクト GUID を示します。
     

    宛先 DC のコンソールから次のコマンドを実行します。

    コマンド

    コメント

    IPCONFIG /ALL |MORE

    プライマリ DNS サーバー、セカンダリ DNS サーバーに加え、DNS 参照中に宛先 DC がクエリを発行しうる対象として構成されている第 3 の DNS サーバーを書き留めます。
     

    REPADMIN /SHOWREPS |MORE

    repadmin 出力の “入力方向の近隣サーバー” セクションで、宛先 DC が問題のソース DC の共通パーティションをレプリケートしているときのレプリケーション状態を見つけます。

    レポートのレプリケーション状態セクションにソース DC としてリストされている “DSA オブジェクト GUID” は、ソース DC のコンソールで実行したときに /showreps ヘッダー部にリストされたオブジェクト GUID と一致していなければなりません。
     

    IPCONFIG /FLUSHDNS

    DNS クライアントのキャッシュをクリアします
     

    [スタート] -> [ファイル名を指定して実行] -> Notepad %systemroot%\system32\drivers\etc\hosts

    ソース DC の単一ラベルまたは完全修飾 DNS 名を参照している、ホストと IP のマッピングがないか調べます。 存在する場合は削除します。 HOST ファイルに対する変更を保存します。

    “Nbtstat –R” (大文字の “R”) を実行して NetBIOS 名キャッシュを更新します。
     

    NSLOOKUP –type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP

    宛先 DC 上に構成されている追加 DNS サーバーの IP ごとに、繰り返します。 

    例: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103
     

    返された IP が、上記一覧に示された、ソース DC のコンソールから記録されたターゲット DC の IP アドレスと一致することを確認します。

    宛先 DC 上に構成されているすべての DNS サーバーの IP ごとに、繰り返します。

    nslookup -type=A+AAAA <ソース DC の FQDN> <DNS サーバー IP> 宛先 DC 上に構成されているすべての DNS サーバーの IP について、ホスト "A" の重複レコードがないか調べます。
     
    nbtstat -A <nslookup で返された DNS サーバー IP の IP アドレス> ソース DC の名前が返されるはずです。
     


    注: レプリケーション要求が (名前と IP のマッピング不良により) ドメイン コントローラー以外に送信された場合や、エンドポイント マッパーに登録されている E351... サービス UUID を現在持っていないドメイン コントローラーに送信された場合は、エラー 1753 "エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません" が返されます。     

     

    パスワードの不一致により Kerberos のターゲットが Kerberos で認証されたデータを暗号化解除できない

    KDC と、ソース ドメイン コントローラーの Active Directory ディレクトリ コピーとの間で、ソース ドメイン コントローラーのパスワードが異なる場合に、この状態が発生することがあります。    宛先ドメイン コントローラーが自身を KDC として使用していない場合、宛先ドメイン コントローラーが持っているソース ドメイン コントローラーのコンピューター アカウント パスワードのコピーが古くなっている可能性があります。 

    レプリケーション エラーがあると、ドメイン コントローラーが、指定のドメイン内にあるドメイン コントローラーの現在のパスワード値を持てなくなる可能性があります。 

    すべてのドメイン コントローラーがそれぞれのドメイン領域の KDC サービスを実行します。 同じ領域のトランザクションについては、宛先ドメイン コントローラーは、自身から Kerberos チケットを取得することを優先します。  しかし、リモート ドメイン コントローラーからチケットを取得することができます。  他の領域からの Kerberos チケットの取得には参照が使用されます。

    コマンド NLTEST /DSGETDC:<DNS domain of target domain> /kdc (SEC_E_WRONG_PRINCIPAL エラーに近接した時間に管理者特権のコマンド プロンプトで実行する) を使用すると、どの KDC を Kerberos クライアントがターゲットにしているかを素早く特定できます。 

    Kerberos クライアントが取得したチケットの発行元ドメイン コントローラーを判別する最も確実な方法は、ネットワーク トレースを取得することです。  ネットワーク トレースに Kerberos トラフィックが欠落している場合、それは、Kerberos クライアントが既にチケットを取得済みであるか、自身からの伝送路以外でチケットを取得しているか、あるいはネットワーク トレース アプリケーションが Kerberos トラフィックを正しく解析していないことを示している可能性があります。

    ログオン ユーザーのアカウントの Kerberos チケットを消去するには、管理者特権のコマンド プロンプトで KLIST purge  コマンドを実行します。

    Active Directory レプリケーションで使用されるシステム アカウントの Kerberos チケットを、再起動せずに消去するには、 KLIST -li 0x3e7 purgeを使用します。

    ローカルまたはリモートのドメイン コントローラー上の KDC サービスを停止することによって、ドメイン コントローラーに他のドメイン コントローラーを使用させることができます。 

    ソース ドメイン コントローラーおよび宛先ドメイン コントローラーの Active Directory ディレクトリ コピー内にあるソース ドメイン コントローラーのパスワード関連属性 (dBCSPwd、UnicodePWD、NtPwdHistory、PwdLastSet、lmPwdHistory) に明らかなバージョン番号の違いがあるかどうかを調べるには、REPADIN /SHOWOBJMETA  を使用します。      

    C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

    C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

    コマンド netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> (パスワードを必要とするドメイン コントローラーのコンソールで、 管理者特権のコマンド プロンプトで実行する) を使用すると、ドメイン コントローラーのコンピューター アカウント パスワードをリセットできます。  

    詳細情報


    具体的なシナリオに対するトラブルシューティング 

    宛先ドメイン コントローラーが間違ったソースからプルする原因となっているホストと IP のマッピング不良の再現手順  

    1. contoso.com ドメインの \\dc1 + \\DC2 + \\DC3 を昇格させます。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
    2. \\DC1 および \\DC2 の KDC を停止して、ネットワーク トレースに見られる不正な Kerberos トラフィックを強制します。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
    3. リモート フォレスト内にある DC の IP アドレスをポイントする、\\DC2 用の Host ファイル エントリを作成して、  ホストの "A" / "AAAA" レコード内にあるホストと IP のマッピング不良、あるいは宛先ドメイン コントローラーの Active Directory ディレクトリ コピー内にある古い NTDS 設定オブジェクトをシミュレートします。
    4. \\DC1 のコンソールで [Active Directory サイトとサービス] を起動します。 \\DC2 の \\DC1 の受信接続要求オブジェクト を右クリックすると、"対象のアカウント名は間違っています" レプリケーション エラーが発生することがわかります。 

    KDC とソース ドメイン コントローラー間のソース ドメイン コントローラー パスワードの不一致の再現手順 

    1. contoso.com ドメインの \\dc1 + \\DC2 + \\DC3 を昇格させます。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
    2. \\DC1 および \\DC2 の KDC を停止して、ネットワーク トレースに見られる不正な Kerberos トラフィックを強制します。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
    3. KDC \\DC3 での入力方向のレプリケーションを無効にして、KDC でのレプリケーション エラーをシミュレートします。 
    4. \\DC1 と \\DC2 の両方が \\DC2 の現在のパスワードを持つように、\\DC2 上でコンピューター アカウント パスワードを 3 回以上リセットします。  
    5. \\DC1 のコンソールで [Active Directory サイトとサービス] を起動します。 \\DC2 の \\DC1 の受信接続要求オブジェクト を右クリックすると、"対象のアカウント名は間違っています" レプリケーション エラーが発生することがわかります。 

    DS RPC クライアント ログ記録  

    NTDS\Diagnostics Loggings\DS RPC Client = 3 に設定します。 レプリケーションをトリガーします。 タスク カテゴリ イベント 1962 + 1963 を見つけます。 "ディレクトリ サービス" フィールドに示されている完全修飾名を書き留めます。   宛先ドメイン コントローラーはこのレコードを ping して、返されたアドレスをソース DC の現在の IP アドレスにマップできるはずです。

    Kerberos ワークフロー

    Kerberos ワークフローでは次のアクションが行われます。

    • クライアント コンピューターが IntializeSecurityContext を呼び出し、ネゴシエート セキュリティ サポート プロバイダー (SSP) を指定します。 
    • クライアントが自身の TGT を使用して KDC と接触し、ターゲット ドメイン コントローラーの TGS チケットを要求します。
    • KDC がグローバル カタログ内を検索して、宛先ドメイン コントローラーの領域内にあるソース (e351 またはホスト名) を探します。 
    • ターゲット ドメイン コントローラーが宛先ドメイン コントローラーの領域内にある場合、 KDC はクライアントにサービス チケットを提供します。
    • ターゲット ドメイン コントローラーが別の領域内にある場合、 KDC はクライアントに紹介チケットを提供します。
    • クライアントは、ターゲット ドメイン コントローラーのドメイン内にある KDC と接触し、サービス チケットを要求します。 
    • ソース ドメイン コントローラーの SPN がこの領域に存在しない場合、"KDC_ERR_S_PRINCIPAL_UNKNOWN" エラーが表示されます。 
    • 宛先ドメイン コントローラーはターゲットと接触し、自身のチケットを提示します。 
    • ターゲット ドメイン コントローラーがチケット内の名前を所有しており、このチケットを暗号化解除できれば、認証が機能します。 
    • ターゲット ドメイン コントローラーが RPC サーバーのサービス UUID をホストしている場合、伝送路上の Kerberos "KRB_AP_ERR_NOT_US" または "KRB_AP_ERR_MODIFIED" エラーが次のメッセージにマップし直されます。  

      -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "対象のプリンシパル名が間違っています"

    詳しくは、「Troubleshooting Kerberos Errors  (英語情報)」ホワイト ペーパーを参照してください。 


    最終更新日: 2017/08/21
    • メール
    • 印刷
    ありがとうございます。 お送りいただいたフィードバックはサポート サービスの向上に役立てさせていただきます。

    サポート

    サポート

    • ダウンロードを見つける
    • アカウント サポート
    • サポートされている製品一覧
    • 製品サポート ライフサイクル

    セキュリティ

    セキュリティ

    • セーフティとセキュリティ センター
    • Security Essentials のインストール
    • 悪意のあるソフトウェアの削除ツール

    お問い合わせ先

    お問い合わせ先

    • 不正行為を報告
    • Microsoft サポートに問い合わせる
    • プライバシーに関する質問
    • 世界のマイクロソフトの所在地
    他の国/地域のこのサイト
    Algérie - Français
    Argentina - Español
    Australia - English
    Belgique - Français
    België - Nederlands
    Bolivia - Español
    Bosna i Hercegovina - Hrvatski
    Brasil - Português
    Canada - English
    Canada - Français
    Chile - Español
    Colombia - Español
    Costa Rica - Español
    Crna Gora - Srpski
    Danmark - Dansk
    Deutschland - Deutsch
    Dominican Republic - Español
    Ecuador - Español
    Eesti - Eesti
    El Salvador - Español
    España - Español
    Estados Unidos - Español
    France - Français
    Guatemala - Español
    Hong Kong SAR - English
    Hrvatska - Hrvatski
    India - English
    Indonesia (Bahasa) - Bahasa
    Ireland - English
    Italia - Italiano
    Latvija - Latviešu
    Lietuva - Lietuvių
    Luxembourg - Français
    Magyarország - Magyar
    Malaysia - English
    Maroc - Français
    México - Español
    Nederland - Nederlands
    New Zealand - English
    Norge - Bokmål
    Panamá - Español
    Paraguay - Español
    Perú - Español
    Philippines - English
    Polska - Polski
    Portugal - Português
    Puerto Rico - Español
    România - Română
    Schweiz - Deutsch
    Singapore - English
    Slovenija - Slovenščina
    Slovensko - Slovenčina
    South Africa - English
    Srbija - Srpski
    Suisse - Français
    Suomi - Suomi
    Sverige - Svenska
    Tunisie - Français
    Türkiye - Türkçe
    United Kingdom - English
    United States - English
    Uruguay - Español
    Venezuela - Español
    Việt Nam - Tiếng việt
    Ísland - Íslenska
    Österreich - Deutsch
    Česká Republika - Čeština
    Ελλάδα - Ελληνικά
    България - Български
    Казахстан - Русский
    Россия - Русский
    Україна - Українська
    ישראל - עברית
    الإمارات العربية المتحدة - العربية
    المملكة العربية السعودية - العربية
    مصر - العربية
    भारत - हिंदी
    ไทย - ไทย
    中国 - 简体中文
    台灣 - 繁體中文
    日本 - 日本語
    香港特別行政區 - 繁體中文
    대한민국 - 한국어
    日本語 (日本)
    • 使用条件
    • プライバシーとクッキー
    • 商標
    • © Microsoft 2018