概要
この資料では、Active Directory のレプリケーションが失敗してエラー 2146893022 “対象のプリンシパル名が間違っています" が生成される問題のトラブルシューティングの方法について説明します。
このエラーは、宛先 (対象) ドメイン コントローラーによって提供されたサービス チケットを、ソース ドメイン コントローラーが暗号化解除しない場合に発生します。
一番の原因:
宛先ドメイン コントローラーが受け取ったサービス チケットの発行元である Kerberos キー配布センター (KDC) が持っているソース ドメイン コントローラーのパスワードが古いバージョンです。
一番の解決策:
- 宛先ドメイン コントローラー上の KDC サービスを停止します。 これを行うには、コマンド プロンプトで次のコマンドを実行します。
net stop KDC - [Active Directory サイトとサービス] または repadmin を使用して、ソース ドメイン コントローラーから、宛先ドメイン コントローラー上でのレプリケーションを開始します。
- repadmin を使用する場合:
Repadmin replicate destinationDC sourceDC DN_of_Domain_NC
たとえば、ContosoDC2.contoso.com 上でレプリケーションが失敗している場合は、 ContosoDC1.contoso.com 上で次のコマンドを実行します。
Repadmin replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
- 宛先ドメイン コントローラー上の Kerberos KDC サービスを開始します。 これを行うには、次のコマンドを実行します。
net start KDC
これで問題が解決しない場合は、「解決方法」セクションの代替ソリューションを参照してください。この代替ソリューションでは、netdom resetpwd コマンドを使用して、ソース ドメイン コントローラーのコンピューター アカウント パスワードをリセットします。 これらの手順を実行しても問題が解決しない場合は、この資料の残りのセクションを参照してください。
現象
この問題が発生すると、以下のいずれかまたは複数の現象が発生します。
- DCDIAG が、Active Directory レプリケーション テストの失敗を報告し、エラー 2146893022: “対象のプリンシパル名が間違っています" を返す。
[レプリケーションの確認、<DC 名>] 最近のレプリケーション試行は失敗しました:
<ソース DC> から <宛先 DC>
名前付けコンテキスト: <ディレクトリ パーティションの DN パス>
レプリケーションでエラーが生成されました (-2146893022):
対象のプリンシパル名が間違っています。
<日付> <時刻> でエラーが発生しました。
前回の成功は <日付> <時刻> です。
前回の成功から、<X> 回エラーが発生しました。
- repadmin.exe が、レプリケーション試行の失敗を報告し、状態 -2146893022 (0x80090322) を報告する。
一般的に -2146893022 (0x80090322) 状態を示す repadmin コマンドには、次のものがあります (ただし、これらに限りません)。
- DMIN /REPLSUMREPA
- REPADMIN /SHOWREPL
- REPADMIN /SHOWREPS
- REPADMIN /SYNCALL
"対象のプリンシパル名が間違っています" エラーを示している、"REPADMIN /SHOWREPS" および "REPADMIN /SYNCALL" からの出力サンプルを以下に示します。
c:\>repadmin /showreps
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>==== INBOUND NEIGHBORS ======================================DC=<DN path for directory partition>
<site name>\<source DC via RPC
DC object GUID: <source DCs ntds settings object object guid>
Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
<X #> consecutive failure(s).
Last success @ <date> <time>.
c:\>repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322): -
[Active Directory サイトとサービス] の [今すぐレプリケート] コマンドを実行すると、"対象のプリンシパル名が間違っています" メッセージが返される。
[ソース DC] 内の接続オブジェクトを右クリックして [今すぐレプリケート] を選択すると失敗して、"対象のプリンシパル名が間違っています" メッセージが返されます。画面に表示されるエラー メッセージは次のとおりです。
Dialog title text: Replicate Now
Dialog message text: The following error occurred during the attempt to contact the domain controller <source DC name>:The target principal name is incorrectButtons in Dialog: OK -
状態が -2146893022 である NTDS KCC イベント、NTDS General イベント、または Microsoft-Windows-ActiveDirectory_DomainService イベントが、ディレクトリ サービスのイベント ログに記録される。
一般的に -2146893022 状態を示す Active Directory イベントには、次のものがあります (ただし、これらに限りません)。
イベント ソース
イベント ID
イベント文字列
NTDS Replication
1586 PDC エミュレーター マスターとの、Windows NT 4.0 またはそれ以前のレプリケーション チェックポイントに失敗しました。
PDC エミュレーター マスター役割が、次の正常なチェックポイントよりも前にローカル ドメイン コントローラーに譲渡された場合は、Windows NT 4.0 およびそれ以前の OS を実行しているドメイン コントローラーに対してセキュリティ アカウント マネージャー (SAM) データベースの完全同期が実行される可能性があります。
NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのためにレプリケーション リンクを確立しようとして失敗しました。
NTDS KCC
1308
次のドメイン コントローラーとレプリケートする試みが連続して行われましたが継続的に失敗していることが、知識整合性チェッカー (KCC) により検出されました。
Microsoft-Windows-ActiveDirectory_DomainService 1926 次のパラメーターで読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立しようとして失敗しました。
NTDS Inter-site Messaging
1373 サイト間メッセージング サービスにより、次のサービスのメッセージを次のトランスポート経由で受信することができませんでした。 メッセージのクエリは失敗しました。
原因
"-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" エラー コードは、Active Directory エラーではなく、RPC, Kerberos, SSL, LSA, and NTLM といった下位レイヤー コンポーネントから返されることがあり、その根本原因はさまざまです。
Windows コードが "-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" にマップする Kerberos エラーには、次のものがあります。
- KRB_AP_ERR_MODIFIED (0x29 / 10 進数値 41 / KRB_APP_ERR_MODIFIED)
- KRB_AP_ERR_BADMATCH (0x24h / 10 進数値 36 / "Ticket and authenticator don't match (チケットと認証システムの不一致)")
- KRB_AP_ERR_NOT_US (0x23h / 10 進数値 35 / "The ticket isn't for us (チケットの不適合)")
"-2146893022 \ 0x80090322 \ SEC_E_WRONG_PRINCIPAL" の具体的な根本原因としては、たとえば次のようなものがあります。
- DNS ファイル、WINS ファイル、HOST ファイル、または LMHOST ファイル内で名前と IP のマッピングが間違っているため、宛先ドメイン コントローラーが、異なる Kerberos 領域にある間違ったソース ドメイン コントローラーに接続した。
- KDC とソース ドメイン コントローラーとで、ソース ドメイン コントローラーのコンピューター アカウント パスワードのバージョンが異なるため、Kerberos ターゲット コンピューター (ソース ドメイン コントローラー) が、Kerberos クライアント (宛先ドメイン コントローラー) から送信された Kerberos 認証データを暗号化解除できなかった。
- KDC が、ソース ドメイン コントローラーの SPN を探すためのドメインを見つけられなかった。
- Kerberos で暗号化されたフレーム内の認証データが、ハードウェア (ネットワーク デバイスを含む)、ソフトウェア、または攻撃者によって変更された。
解決方法
ソース DC で dcdiag /test:checksecurityerror を実行する
単純なレプリケーション待ち時間 (特にプロモーションの直後) やレプリケーション エラーにより、SPN が不足している、無効である、または重複している可能性があります。
SPN の重複は、SPN と名前のマッピング不良の原因となることがあります。
DCDIAG /TEST:CheckSecurityError を実行することで、SPN の不足 / 重複およびその他のエラーがないか確認できます。
"出力方向" のレプリケーションが失敗して SEC_E_WRONG_PRINCIPAL エラーが発生しているすべてのソース DC のコンソールで、このコマンドを実行します。
次の構文を使用することで、特定の場所に照らして SPN 登録を確認できます。
dcdiag /test:checksecurityerror replsource:<remote dc>
Kerberos で暗号化されたネットワーク トラフィックが、意図した Kerberos ターゲットに到達したことを確認する (名前と IP のマッピング)
次のような状況で問題が発生します。
- 入力方向のレプリケーションが行われている Active Directory の宛先ドメイン コントローラーは、各自のディレクトリのローカル コピー内を検索して、ソース DC の NTDS 設定オブジェクトの objectGUID を見つける。
- DC はアクティブな DNS サーバーに対し、一致する DC GUIDED CNAME レコードを求めるクエリを実行し、このレコードが、ホストの "A" / "AAAA" レコード (ソース ドメイン コントローラーの IP アドレスが含まれている) にマップされる。
このシナリオでは、Active Directory は、DNS における完全修飾コンピューター名、または WINS における単一ラベルのホスト名を求めるクエリを含んだ名前解決のフォールバックを実行します。
注: DNS サーバーは、フォールバックのシナリオにおいては WINS 参照を実行することもできます。
古い NTDS 設定オブジェクト、DNS および WINS のホスト レコード内の名前と IP のマッピング不良、HOST ファイル内の古いエントリ、これらはすべて、宛先ドメイン コントローラーが Kerberos で暗号化されたトラフィックを間違った Kerberos ターゲットに送信する原因となり得ます。
この条件があるかチェックするには、ネットワーク トレースを取得するか、あるいは、DNS / NetBIOS 名のクエリが意図したターゲット コンピューターに解決されていることを手動で検証します。
方法 1: ネットワーク トレースを取得する方法 (既定のパーサーをすべて有効にすることでネットワーク モニター 3.3.1641 によって解析されるトレース)
次の表に、宛先 DC1 の入力方向でソース DC2 からの Active Directory ディレクトリがレプリケートされるときに発生するネットワーク トラフィックの概要を示します。
| F# | ソース | 宛先 | プロトコル | フレーム | コメント |
| 1 | DC1 | DC2 | MSRPC | MSRPC:c/o Request: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 | 宛先 DC RPC が 135 経由でソース DC 上の EPM を呼び出す |
| 2 | DC2 | DC1 | MSRPC | MSRPC:c/o Response: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 | EPM が RPC 呼び出し元に応答する |
| 3 | DC1 | DC2 | MSRPC | MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 | E351… サービス UUID に対する RPC バインド要求 |
| 4 | DC2 | DC1 | MSRPC | MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 | RPC バインド応答 |
| 5 | DC1 | KDC | KerberosV5 | KerberosV5:TGS Request Realm: CONTOSO.COM Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com | ソース DC のレプリケーション SPN を求める TGS 要求。 この処理は、自身を KDC として使用する宛先 DC の伝送路には現れません。 |
| 6 | KDC | DC1 | KerberosV5 | KerberosV5:TGS Response Cname: CONTOSO-DC1$ | 宛先 DC contoso-dc1 に対する TGS 応答。 この処理は、自身を KDC として使用する宛先 DC の伝送路には現れません。 |
| 7 | DC1 | DC2 | MSRPC | MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 | AP 要求 |
| 8 | DC2 | DC1 | MSRPC | MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 | AP 応答 |
| フレーム 7 のドリルダウン | フレーム 8 のドリルダウン | コメント。 |
| MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 | MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 | DC2 上の EPM によって返されたポート経由で DC1 が DC2 上の AD レプリケーション サービスに接続します。 |
| Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0 | Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278 | AD レプリケーションのソース DC (この例では列 1 の “Dest” コンピューターと、列 2 の “Src” コンピューター“) が、トレースに示されている IP アドレス (この例では x.x.x.35) を "所有" していることを確認します。 |
| Ticket: Realm: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com | ErrorCode: KRB_AP_ERR_MODIFIED (41) | 列 1 では、ターゲット Kerberos 領域の領域 (“contoso.com” の後にソース DC のレプリケーション SPN (“Sname”) が続いている) に注目します。Sname は、Active Directory レプリケーション サービス UUID (E351…) と、ソース DC の NTDS 設定オブジェクトのオブジェクト GUID が連結されたものです。 ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com 列 2 に示された応答内では、“Sname” フィールドに注目し、AD レプリケーションのソース DC のホスト名が含まれていることを確認します。 |
方法 2: 名前と IP のマッピングの検証 (ネットワーク トレースを使用しない方法)
ソース DC のコンソールから次のコマンドを実行します。
| コマンド | コメント |
| IPCONFIG /ALL |MORE | 宛先 DC が使用している NIC の IP アドレスを書き留めます。 |
| REPADMIN /SHOWREPS |MORE | “DSA オブジェクト GUID” の値を書き留めます。この値は、ソース DC の Active Directory コピーに定義されている、ソース DC の NTDS 設定オブジェクトのオブジェクト GUID を示します。 |
宛先 DC のコンソールから次のコマンドを実行します。
| コマンド | コメント |
| IPCONFIG /ALL |MORE | プライマリ DNS サーバー、セカンダリ DNS サーバーに加え、DNS 参照中に宛先 DC がクエリを発行しうる対象として構成されている第 3 の DNS サーバーを書き留めます。 |
| REPADMIN /SHOWREPS |MORE | repadmin 出力の “入力方向の近隣サーバー” セクションで、宛先 DC が問題のソース DC の共通パーティションをレプリケートしているときのレプリケーション状態を見つけます。 |
| IPCONFIG /FLUSHDNS | DNS クライアントのキャッシュをクリアします |
| [スタート] -> [ファイル名を指定して実行] -> Notepad %systemroot%\system32\drivers\etc\hosts | ソース DC の単一ラベルまたは完全修飾 DNS 名を参照している、ホストと IP のマッピングがないか調べます。 存在する場合は削除します。 HOST ファイルに対する変更を保存します。 |
| NSLOOKUP –type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP | 返された IP が、上記一覧に示された、ソース DC のコンソールから記録されたターゲット DC の IP アドレスと一致することを確認します。 |
| nslookup -type=A+AAAA <ソース DC の FQDN> <DNS サーバー IP> | 宛先 DC 上に構成されているすべての DNS サーバーの IP について、ホスト "A" の重複レコードがないか調べます。 |
| nbtstat -A <nslookup で返された DNS サーバー IP の IP アドレス> | ソース DC の名前が返されるはずです。 |
注: レプリケーション要求が (名前と IP のマッピング不良により) ドメイン コントローラー以外に送信された場合や、エンドポイント マッパーに登録されている E351... サービス UUID を現在持っていないドメイン コントローラーに送信された場合は、エラー 1753 "エンドポイント マッパーから使用できるエンドポイントはこれ以上ありません" が返されます。
パスワードの不一致により Kerberos のターゲットが Kerberos で認証されたデータを暗号化解除できない
KDC と、ソース ドメイン コントローラーの Active Directory ディレクトリ コピーとの間で、ソース ドメイン コントローラーのパスワードが異なる場合に、この状態が発生することがあります。 宛先ドメイン コントローラーが自身を KDC として使用していない場合、宛先ドメイン コントローラーが持っているソース ドメイン コントローラーのコンピューター アカウント パスワードのコピーが古くなっている可能性があります。
レプリケーション エラーがあると、ドメイン コントローラーが、指定のドメイン内にあるドメイン コントローラーの現在のパスワード値を持てなくなる可能性があります。
すべてのドメイン コントローラーがそれぞれのドメイン領域の KDC サービスを実行します。 同じ領域のトランザクションについては、宛先ドメイン コントローラーは、自身から Kerberos チケットを取得することを優先します。 しかし、リモート ドメイン コントローラーからチケットを取得することができます。 他の領域からの Kerberos チケットの取得には参照が使用されます。
コマンド NLTEST /DSGETDC:<DNS domain of target domain> /kdc (SEC_E_WRONG_PRINCIPAL エラーに近接した時間に管理者特権のコマンド プロンプトで実行する) を使用すると、どの KDC を Kerberos クライアントがターゲットにしているかを素早く特定できます。
Kerberos クライアントが取得したチケットの発行元ドメイン コントローラーを判別する最も確実な方法は、ネットワーク トレースを取得することです。 ネットワーク トレースに Kerberos トラフィックが欠落している場合、それは、Kerberos クライアントが既にチケットを取得済みであるか、自身からの伝送路以外でチケットを取得しているか、あるいはネットワーク トレース アプリケーションが Kerberos トラフィックを正しく解析していないことを示している可能性があります。
ログオン ユーザーのアカウントの Kerberos チケットを消去するには、管理者特権のコマンド プロンプトで KLIST purge コマンドを実行します。
Active Directory レプリケーションで使用されるシステム アカウントの Kerberos チケットを、再起動せずに消去するには、 KLIST -li 0x3e7 purgeを使用します。
ローカルまたはリモートのドメイン コントローラー上の KDC サービスを停止することによって、ドメイン コントローラーに他のドメイン コントローラーを使用させることができます。
ソース ドメイン コントローラーおよび宛先ドメイン コントローラーの Active Directory ディレクトリ コピー内にあるソース ドメイン コントローラーのパスワード関連属性 (dBCSPwd、UnicodePWD、NtPwdHistory、PwdLastSet、lmPwdHistory) に明らかなバージョン番号の違いがあるかどうかを調べるには、REPADIN /SHOWOBJMETA を使用します。
C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>
C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>
コマンド netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> (パスワードを必要とするドメイン コントローラーのコンソールで、 管理者特権のコマンド プロンプトで実行する) を使用すると、ドメイン コントローラーのコンピューター アカウント パスワードをリセットできます。
詳細情報
具体的なシナリオに対するトラブルシューティング
宛先ドメイン コントローラーが間違ったソースからプルする原因となっているホストと IP のマッピング不良の再現手順
- contoso.com ドメインの \\dc1 + \\DC2 + \\DC3 を昇格させます。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
- \\DC1 および \\DC2 の KDC を停止して、ネットワーク トレースに見られる不正な Kerberos トラフィックを強制します。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
- リモート フォレスト内にある DC の IP アドレスをポイントする、\\DC2 用の Host ファイル エントリを作成して、 ホストの "A" / "AAAA" レコード内にあるホストと IP のマッピング不良、あるいは宛先ドメイン コントローラーの Active Directory ディレクトリ コピー内にある古い NTDS 設定オブジェクトをシミュレートします。
- \\DC1 のコンソールで [Active Directory サイトとサービス] を起動します。 \\DC2 の \\DC1 の受信接続要求オブジェクト を右クリックすると、"対象のアカウント名は間違っています" レプリケーション エラーが発生することがわかります。
KDC とソース ドメイン コントローラー間のソース ドメイン コントローラー パスワードの不一致の再現手順
- contoso.com ドメインの \\dc1 + \\DC2 + \\DC3 を昇格させます。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
- \\DC1 および \\DC2 の KDC を停止して、ネットワーク トレースに見られる不正な Kerberos トラフィックを強制します。 エラーが発生することなくエンド ツー エンド レプリケーションが行われます。
- KDC \\DC3 での入力方向のレプリケーションを無効にして、KDC でのレプリケーション エラーをシミュレートします。
- \\DC1 と \\DC2 の両方が \\DC2 の現在のパスワードを持つように、\\DC2 上でコンピューター アカウント パスワードを 3 回以上リセットします。
- \\DC1 のコンソールで [Active Directory サイトとサービス] を起動します。 \\DC2 の \\DC1 の受信接続要求オブジェクト を右クリックすると、"対象のアカウント名は間違っています" レプリケーション エラーが発生することがわかります。
DS RPC クライアント ログ記録
NTDS\Diagnostics Loggings\DS RPC Client = 3 に設定します。 レプリケーションをトリガーします。 タスク カテゴリ イベント 1962 + 1963 を見つけます。 "ディレクトリ サービス" フィールドに示されている完全修飾名を書き留めます。 宛先ドメイン コントローラーはこのレコードを ping して、返されたアドレスをソース DC の現在の IP アドレスにマップできるはずです。
Kerberos ワークフロー
Kerberos ワークフローでは次のアクションが行われます。
- クライアント コンピューターが IntializeSecurityContext を呼び出し、ネゴシエート セキュリティ サポート プロバイダー (SSP) を指定します。
- クライアントが自身の TGT を使用して KDC と接触し、ターゲット ドメイン コントローラーの TGS チケットを要求します。
- KDC がグローバル カタログ内を検索して、宛先ドメイン コントローラーの領域内にあるソース (e351 またはホスト名) を探します。
- ターゲット ドメイン コントローラーが宛先ドメイン コントローラーの領域内にある場合、 KDC はクライアントにサービス チケットを提供します。
- ターゲット ドメイン コントローラーが別の領域内にある場合、 KDC はクライアントに紹介チケットを提供します。
- クライアントは、ターゲット ドメイン コントローラーのドメイン内にある KDC と接触し、サービス チケットを要求します。
- ソース ドメイン コントローラーの SPN がこの領域に存在しない場合、"KDC_ERR_S_PRINCIPAL_UNKNOWN" エラーが表示されます。
- 宛先ドメイン コントローラーはターゲットと接触し、自身のチケットを提示します。
- ターゲット ドメイン コントローラーがチケット内の名前を所有しており、このチケットを暗号化解除できれば、認証が機能します。
- ターゲット ドメイン コントローラーが RPC サーバーのサービス UUID をホストしている場合、伝送路上の Kerberos "KRB_AP_ERR_NOT_US" または "KRB_AP_ERR_MODIFIED" エラーが次のメッセージにマップし直されます。
-2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "対象のプリンシパル名が間違っています"
詳しくは、「Troubleshooting Kerberos Errors (英語情報)」ホワイト ペーパーを参照してください。