AD レプリケーション エラー-2146893022 のトラブルシューティング:「対象のプリンシパル名が正しくありません」
概要
どの Active Directory のレプリケーションが失敗し、エラー-2146893022 が発生する問題をトラブルシューティングする方法について説明します。"対象のプリンシパル名はが正しくありません"。
このエラーは、ソース ドメイン コント ローラーが送信先 (ターゲット) のドメイン コント ローラーによって提供されるサービス ・ チケットを解読していないときに発生します。
Top cause:
宛先ドメイン コント ローラーは、古いバージョンのソース ドメイン コント ローラーのパスワードには、 Kerberos キー配布センター (KDC)からサービス チケットを受け取ります。
最上位の解決方法:
- 宛先ドメイン コント ローラー上には、 KDCサービスを停止します。これを行うには、コマンド プロンプトで次のコマンドを実行します。
net stop KDC
- Repadmin を使用して:
Repadmin replicate destinationDC sourceDC DN_of_Domain_NC
たとえば、ContosoDC2.contoso.com では、レプリケーションが失敗する場合は、ContosoDC1.contoso.com の次のコマンドを実行します。
Repadmin replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
- 宛先ドメイン コント ローラー上の Kerberos KDC サービスを開始します。これを行うには、次のコマンドを実行します。
net start KDC
これで問題が解決しない場合は、ソース ドメイン コント ローラーのコンピューター アカウントのパスワードをリセットするのには、 netdom resetpwdコマンドを使用する代替ソリューションの「解決方法」を参照してください。次の手順で問題が解決しない場合は、この資料の残りの部分を確認します。
現象
この問題が発生すると、次の現象の 1 つ以上発生します。
- DCDIAG は、Active Directory レプリケーションのテストは失敗してエラー-2146893022 が返されることを報告:「対象のプリンシパル名が正しくありません」。
[レプリケーション チェック、< DC 名 >]最近使用したレプリケーションの試行が失敗しました。
< ソース ドメイン コント ローラー > から < 宛先 DC >
名前付けコンテキスト: < ディレクトリ パーティションの DN パス >
レプリケーション エラーを生成する(-2146893022):
対象のプリンシパル名が正しくないです。
< 日付 >< 時間 > でエラーが発生しました。
時間 > の < 日付 >< は、最後の成功が発生しました。
< X > の障害は、最後の成功後に発生しました。
- Repadmin.exe は、レプリケーションの試行が失敗し、 -2146893022 (0x80090322)の状態を報告を報告します。
-2146893022 (0x80090322)の状態をよく示す Repadmin コマンドを含めるが、次に制限されません。
- DMIN 関数/REPLSUMREPA
- REPADMIN/SHOWREPL
- REPADMIN/SHOWREPS
- REPADMIN/SYNCALL
「REPADMIN/SHOWREPS」および「REPADMIN/SYNCALL」から「対象のプリンシパル名が正しくありません」エラーは、次のようにその inidicate のサンプル出力。
c:\>repadmin /showreps
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>==== INBOUND NEIGHBORS ======================================DC=<DN path for directory partition>
<site name>\<source DC via RPC
DC object GUID: <source DCs ntds settings object object guid>
Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
<X #> consecutive failure(s).
Last success @ <date> <time>.
c:\>repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322): -
Active Directory サイトとサービスの [今すぐ複製] コマンドは、「対象のプリンシパル名が正しくありません」メッセージを返します。
ソース ドメイン コント ローラーから接続オブジェクトを右クリックし、複製の開始は失敗し、「対象のプリンシパル名が正しくありません」のメッセージが返されます。画面に表示されるエラー メッセージは、次のようにします。
Dialog title text: Replicate Now
Dialog message text: The following error occurred during the attempt to contact the domain controller <source DC name>:The target principal name is incorrectButtons in Dialog: OK -
NTDS KCC、NTDS 一般的なまたは-2146893022の状態を持つマイクロソフトの Windows の ActiveDirectory_DomainService イベントは、ディレクトリ サービス イベント ログに記録されます。
-2146893022の状態をよく引用されるアクティブなディレクトリ イベントが含まれますが次のよう。
イベント ソース
イベント ID
イベント文字列
NTDS 複製
1586 Windows NT 4.0 または PDC エミュレーター マスターとそれ以前のレプリケーション チェックポイントに失敗しました。
セキュリティの完全な同期アカウント マネージャー (SAM) データベースを Windows NT 4.0 を実行するドメイン コント ローラーに、以前のバージョンが行う場合は、PDC エミュレーター マスターの役割は、次のチェックポイントが完了する前にローカル ドメイン コント ローラーに転送されます。
NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立することができませんでした。
NTDS KCC
1308
知識整合性チェッカー (KCC) は次のドメイン コント ローラーとレプリケートする試行が連続して一貫して失敗したことを検出しました。
Microsoft-Windows-ActiveDirectory_DomainService 1926 できませんでした次のパラメーターを使用して読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとすると、
NTDS サイト間メッセージング
1373 サイト間メッセージング サービスでは、次のサービスを次のトランスポート経由のメッセージは表示されませんでした。メッセージのクエリが失敗しました。
原因
「-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL」のエラー コードは Active Directory エラーではありませんがRPC、Kerberos、SSL、LSA、および NTLM を含む別の根本的な原因の下の層のコンポーネントによって返されます。
「-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL」に、Windows のコードによって割り当てられている Kerberos エラーを以下に示します。
- KRB_AP_ERR_MODIFIED (0x29 41/10 進数/KRB_APP_ERR_MODIFIED)
- KRB_AP_ERR_BADMATCH (0x24h/36 10 進」チケットとオーセンティケータが一致しない」と)
- KRB_AP_ERR_NOT_US (0x23h/35 10 進数「チケットでは、私たちに」/)
「-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL」のいくつか特定の根本的な原因を以下に示します。
- DNS、WINS、ホストまたは LMHOST ファイルに無効な名前と IP マッピングには、異なる Kerberos 領域の不適切なソース ドメイン コント ローラーに接続先のドメイン コント ローラーが原因となった。
- Kerberos の対象となるコンピューター (ソース ドメイン コント ローラー) では、KDC とソース ドメイン コント ローラーには、ソース ドメイン コント ローラーのコンピューター アカウントのパスワードの別のバージョンがインストールされているため (レプリケーション先のドメイン コント ローラー) の Kerberos クライアントによって送信された Kerberos 認証データを解読できませんでした。
- KDC は、ソース ドメイン コント ローラーの SPN を検索するドメインを見つけられませんでした。
- フレームの暗号化された Kerberos の認証データは、ソフトウェア、または攻撃者に、ハードウェア (ネットワーク デバイスを含む) によって変更されました。
解決策
ソース ドメイン コント ローラーで dcdiag の/test:checksecurityerror を実行します。
Spn が見つからないか、無効なまたはレプリケーションの遅延、特に次の昇格、またはレプリケーション エラーが原因で重複している可能性があります。
重複した Spn は、名前のマッピングに無効な SPN を可能性があります。
DCDIAG の/TEST:CheckSecurityError は、不足するいると、重複した Spn およびその他のエラーを確認できます。
SEC_E_WRONG_PRINCIPAL エラーが発生した「アウト バウンド」の複製に失敗したすべてのソース Dc のコンソールでは、このコマンドを実行します。
次の構文を使用して、特定の場所と SPN の登録を確認できます。
dcdiag/test:checksecurityerror replsource: <リモート dc>
Kerberos が Kerberos 対象 (名前と IP のマッピング) に達すると、ネットワーク トラフィックを暗号化することを確認します。
次のような状況を考えます。
- インバウンド複製する Active Directory 宛先ドメイン コント ローラーは、ソース ドメイン コント ローラーのNTDS 設定オブジェクトのオブジェクト Guid のディレクトリのローカル コピーを検索します。
- Dc"の A"のホストにマップされ、一致する DC のガイド付きの CNAME レコードのアクティブな DNS サーバーのクエリを実行すると、"AAAA"レコード ソース ドメイン コント ローラーの IP アドレスが含まれています。
このシナリオでは、Active Directory は、DNS または WINS に単一ラベルのホスト名で完全修飾コンピューター名のクエリを含む名前解決フォールバックを実行します。
古い NTDS 設定オブジェクト、DNS および WINS で不正な名前と IP のマッピングが、レコードをホストし、ホスト ファイルにエントリを除くすべて発生することが不適切な Kerberos のターゲットに、Kerberos 暗号化トラフィックを送信する宛先のドメイン コント ローラーです。
この条件を確認するにか、ネットワーク トレースを実行またはその名前の DNS を手動で確認すると目的のターゲット コンピューターに NetBIOS 名のクエリを解決します。
(全体の既定のパーサーを有効にすることにより、ネットワーク モニターの 3.3.1641 を使用して解析)、方法 1: ネットワークのトレース方法
次の表は、発生するネットワーク トラフィックの概要を示していますから Active Directory のディレクトリ ソース DC2 の DC1 を変換先の入力方向のレプリケートするとします。
| F# | SRC | DEST | プロトコル | フレーム | コメント |
| 1 | DC1 | DC2 | 処理する MSRPC | MSRPC:c/o 要求: 不明なを呼び出す = 0x5 Opnum = 0x3コンテキスト = 0x1ヒント 0x90 を = | EPM 135 以上のソース ドメイン コント ローラー上の宛先 DC の RPC 呼び出し |
| 2 | DC2 | DC1 | 処理する MSRPC | MSRPC:c/o の応答: 不明なを呼び出す = 0x5コンテキスト = 0x1ヒント 0xF4 の =キャンセル = 0x0 | RPC の呼び出し元への EPM 対応 |
| 3 | DC1 | DC2 | 処理する MSRPC | MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 | RPC bind 要求 E351. サービスの UUID |
| 4 | DC2 | DC1 | 処理する MSRPC | MSRPC:c Ack のバインド/:を呼び出す = 0x2 Assoc グループ = 0x9E62送信 = 0x16D0 Recv = 0x16D0 | RPC のバインドの応答 |
| 5 | DC1 | KDC | KerberosV5 | KerberosV5:TGS 要求の領域: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com | ソース ドメイン コント ローラーのレプリケーション SPN の TGS 要求します。この操作は表示されません宛先 DC の使用法のワイヤの自己 KDC として。 |
| 6 | KDC | DC1 | KerberosV5 | KerberosV5:TGS 応答の Cname: CONTOSO DC1 $ | 宛先 DC の contoso 社の dc1 に TGS 応答します。この操作は表示されません宛先 DC の使用法のワイヤの自己 KDC として。 |
| 7 | DC1 | DC2 | 処理する MSRPC | MSRPC:c または o 続きを変更します: UUID {E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)を呼び出す = 0x2 | AP の要求 |
| 8 | DC2 | DC1 | 処理する MSRPC | MSRPC:c または o 続き Resp を変更します:を呼び出す = 0x2 Assoc グループ = 0x9E62送信 = 0x16D0 Recv = 0x16D0 | AP 応答します。 |
| フレーム7のドリル ダウン | フレーム8のドリル ダウン | コメントです。 |
| 処理する MSRPC MSRPC:c または o 続きを変更します: UUID {E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR)を呼び出す = 0x2 | MSRPC:c または o 続き Resp を変更します:を呼び出す = 0x2 Assoc グループ = 0xC3EA43送信 = 0x16D0 Recv = 0x16D0 | DC1 は、DC2 上のエンドポイント マッパーによって返されるポート経由で、DC2 の AD レプリケーションのサービスに接続します。 |
| Ipv4: Src = x.x.x.245、取引先 = x.x.x.35、次にプロトコル TCP パケットの ID を = =、IP の合計の長さ = 0 | Ipv4: Src = x.x.x.35、Dest = x.x.x.245、プロトコルを次に、TCP のパケット ID を = = 31546、IP の全長 = 278 | AD レプリケーション ソース (と呼ばれるここに 1 の"Dest"コンピューターの DC を確認します。st列と 2 列目に"Src"コンピューター"を所有している ' トレース (この例では x.x.x.35) に示されている IP アドレスです。 |
| チケット: レルム: CONTOSO.COM、Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com | エラー コード: KRB_AP_ERR_MODIFIED (41) | [1] 列では、"contoso.com"という元の Active Directory 複製サービス オブジェクトのソース ドメイン コント ローラーの NTDS Settings オブジェクトの GUID と連結した UUID (E351) で構成されるドメイン コント ローラー レプリケーション SPN ("Sname") に続くとしてターゲットの Kerberos レルムのレルムを注意してください。 ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com 返信は、2 列目に示すように、"Sname"フィールドにフォーカスし、AD レプリケーション ソース ドメイン コント ローラーのホスト名が含まれていることを確認します。 |
方法 2: 名前と IP のマッピングの検証 (せずに、ネットワーク トレースを使用して)
ソースドメイン コント ローラーのコンソール。
| コマンド | コメント |
| IPCONFIG/ALL |MORE | 宛先ドメイン コント ローラーで使用されている NIC の IP アドレスに注意してください。 |
| REPADMIN/SHOWREPS |MORE | "DSA オブジェクト GUID の「active Directory のドメイン コント ローラーのコピー元のドメイン コント ローラーの NTDS 設定オブジェクトのソース オブジェクト GUID を表す値を注意してください。 |
宛先DC のコンソールから
| コマンド | コメント |
| IPCONFIG/ALL |MORE | プライマリ、セカンダリ、および任意の第 3 の DNS サーバーが構成されている宛先 DC が DNS 参照中にクエリができませんに注意してください。 |
| REPADMIN/SHOWREPS |MORE | Repadmin の出力の"Inbound Neighbors"セクションで、DC の問題のソースから宛先 DC が共通のパーティションをレプリケート レプリケーション ・ ステータスを検索します。 |
| IPCONFIG/FLUSHDNS | DNS クライアント キャッシュをクリアします。 |
| [スタート] メニューの [実行] メニューの [メモ帳 %systemroot%\system32\drivers\etc\hosts | ソース ドメイン コント ローラーの 1 つのラベルまたは完全修飾 DNS 名を参照するホストと IP のマッピングを確認します。存在する場合を削除します。ホスト ファイルに変更を保存します。 |
| NSLOOKUP: 種類 CNAME < ソース ドメイン コント ローラーの NTDS 設定オブジェクトのオブジェクト guid > ._msdcs < フォレスト ルートの DNS 名 >< = プライマリ DNS サーバーの IP。 | DC 上記のソース ドメイン コント ローラーのコンソールから記録されているターゲットの IP アドレスと一致する IP が返されることを確認します。 |
| nslookup の種類 = A + AAAA < FQDN ソース ドメイン コント ローラーの >< DNS サーバーの IP > | 宛先 DC 上で構成されているすべての DNS サーバーの Ip の重複するホスト"の A"レコードを確認します。 |
| nbtstat-a < nslookup によって返される DNS サーバーの IP の IP アドレス > | ソース ドメイン コント ローラーの名前を返す必要があります。 |
注: レプリケーション要求が指定された (不正な名前と IP のマッピングでは)、非ドメイン コント ローラーまたはドメイン コント ローラーがない現在、E351. UUID は、エンドポイント マッパーに登録されているサービスは、1753 年のエラーを返します:""が表示されるエンドポイント エンドポイント マッパーで使用できます。
Kerberos のターゲットには、パスワードの不一致のための Kerberos の認証データが復号化できません。
この状況は、ソースドメイン コント ローラーのパスワードは、Active Directory ディレクトリの KDC とソースドメイン コント ローラーのコピーの間で異なる場合に発生することができます。リンク先のドメイン コント ローラー 'のソースドメイン コント ローラーコンピューター アカウントのパスワードのコピーが使用されていない自体、KDC として場合は、古い場合があります。
レプリケーションの失敗から特定のドメインのドメイン コント ローラーの現在のパスワード値を持つドメイン コント ローラー%s を防ぐことができます。
すべてのドメイン コント ローラーには、そのドメイン領域の KDC サービスが実行されます。同じ領域は、トランザクションの宛先ドメイン コント ローラーは、それ自体から Kerberos チケットを取得を優先します。ただし、リモートドメイン コント ローラーからチケットを取得する可能性があります。参照を使用すると、他のレルムから Kerberos チケットを取得します。
、NLTEST /DSGETDC:<DNS domain of target domain> /kdcKerberos クライアントを対象とする KDC を迅速に特定するのには、SEC_E_WRONG_PRINCIPAL エラーの終了時間近くで管理者特権のコマンド プロンプトで実行されるコマンドを使用できます。
Kerberos クライアントからチケットを取得するドメイン コント ローラーを判断する確実な方法は、ネットワーク トレースを実行するのには。ネットワーク トレースでは、Kerberos トラフィックの欠如は、Kerberos クライアントは、チケットがすでに取得したが、それ自体からチケットをネットワークを取得すること、またはネットワークがアプリケーションをトレースすることは correvtly の Kerberos トラフィックの解析ではありません可能性があります。
使用して管理者特権のコマンド プロンプトでログオンしたユーザー アカウント用の Kerberos チケットを削除する、KLIST purgeコマンドです。
使用して再起動しなくても Active Directory のレプリケーションで使用されるシステム アカウントの Kerberos チケットを削除します。KLIST -li 0x3e7 purge.
他のドメイン コント ローラー%s を使用して、ローカルまたはリモートのドメイン コント ローラーで KDC サービスを停止するには、ドメイン コント ローラーを作成できます。
REPADIN/SHOWOBJMETA を使用してパスワード関連の属性のわかりやすいバージョン番号の違いを確認 (dBCSPwd、UnicodePWD、NtPwdHistory さん、lmPwdHistory) 用のソースドメイン コント ローラーで Active Directory のディレクトリのソースドメイン コント ローラーと宛先ドメイン コント ローラーのコピーです。
C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>
C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>
、netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password>ドメイン コント ローラーコンピューター アカウントのパスワードをリセットするのには、パスワードのリセットを必要とするドメイン コント ローラーのコンソール上で管理者特権のコマンド プロンプトで実行されるコマンドを使用できます。
詳細
特定のシナリオのトラブルシューティング
不適切なソースから取得するのには、宛先ドメイン コント ローラーが原因となる不正なホストと IP マッピングの問題の再現手順
- \\Dc1 + \\DC2 \\DC3 contoso.com ドメインに昇格します。エンド ・ ツー ・ エンドのレプリケーションは、エラーなしに発生します。
- \\DC1 と \\DC2 は、ネットワーク トレースで発生する可能性があるボックスをオフの Kerberos トラフィックを強制するのには、KDC を停止します。エンド ・ ツー ・ エンドのレプリケーションは、エラーなしに発生します。
- \\DC2 ホスト"の A"に無効なホストと IP マッピングをシミュレートするためにリモート フォレスト内の DC の IP アドレスをポイントするためにホスト ファイルのエントリを作成/コピー先のオブジェクトを"AAAA"レコードや古い NTDS 設定ではおそらくのドメイン コント ローラー 'の Active Directory ディレクトリのコピーです。
- \\DC1 のコンソールで、Active Directory サイトとサービスを開始します。\\DC2 からの\\DC1's の受信接続オブジェクトを右クリックし、「対象のアカウント名が正しくありません」レプリケーション エラーを確認します。
KDC とソース ドメイン コント ローラーのソース ドメイン コント ローラーのパスワード不一致の問題の再現手順
- \\Dc1 + \\DC2 \\DC3 contoso.com ドメインに昇格します。エンド ・ ツー ・ エンドのレプリケーションは、エラーなしに発生します。
- \\DC1 と \\DC2 は、ネットワーク トレースで発生する可能性があるボックスをオフの Kerberos トラフィックを強制するのには、KDC を停止します。エンド ・ ツー ・ エンドのレプリケーションは、エラーなしに発生します。
- KDC 上でレプリケーション エラーをシミュレートする KDC \\DC3 の入力方向のレプリケーションを無効にします。
- \\DC1 と \\DC2 DC2 の現在のパスワードを使用しているので 3 回以上 \\DC2 上のコンピューター アカウント パスワードをリセットします。
- \\DC1 のコンソールで、Active Directory サイトとサービスを開始します。\\DC2 からの \\DC1's の受信接続オブジェクトを右クリックし、レプリケーションの「対象のアカウント名が正しくありません」エラーに注意してください。
DS RPC クライアントはログ
設定NTDS\Diagnostics Loggings\DS の RPC クライアント = 3です。レプリケーションをトリガーします。作業項目イベント 1962 + 1963 を探します。ディレクトリ サービス] フィールドに表示されている完全修飾の cname を注意してください。宛先ドメイン コント ローラーは、このレコードに ping を実行し、返されたアドレスがソース ドメイン コント ローラーの現在の IP アドレスにマップできる必要があります。
Kerberos のワークフロー
Kerberos のワークフローには、次のアクションが含まれています。
- クライアント コンピューターは、 IntializeSecurityContextを呼び出すし、ネゴシエート セキュリティ サポート プロバイダー (SSP) を指定します。
- クライアントは TGT を KDC に接続し、ターゲット ドメイン コント ローラーの TGS チケットを要求します。
- KDC では、宛先ドメイン コント ローラーの領域で (e351 またはホスト名) の元のグローバル カタログを検索します。
- ターゲット ドメイン コント ローラーは、レプリケーション先のドメイン コント ローラーの領域では、KDC はサービス チケットをクライアントに提供します。
- ターゲット ドメイン コント ローラーは、別のレルムでは、KDC は参照チケットをクライアントに提供します。
- クライアントは、ターゲット ドメイン コント ローラーのドメインの KDC と通信し、サービス チケットを要求します。
- レルム内で、ソース ドメイン コント ローラーの SPN が存在しない場合は、< 挿入エラー > が表示されます。
- 宛先ドメイン コント ローラーはターゲットに接続し、そのチケットを提示します。
- ターゲット ドメイン コント ローラーは、チケット内の名前を所有し、それを復号化できる、認証が機能します。
- ターゲット ドメイン コント ローラーが RPC サーバー サービス UUID、ワイヤ上の Kerberos"KRB_AP_ERR_NOT_US"をホストするかどうかまたは"KRB_AP_ERR_MODIFIED"エラーは、 、次に再割り当て。
10 進数の-2146893022/0x80090322/SEC_E_WRONG_PRINCIPAL「対象のプリンシパル名が正しくありません」と
の詳細については、see Kerberos エラーのトラブルシューティングのホワイト ペーパーです。
プロパティ
文書番号:2090913 - 最終更新日: 2017/07/16 - リビジョン: 3
