Active Directory レプリケーション エラー 1396: ログオン エラー: ターゲット アカウント名が正しくありません
この記事では、Win32 エラー 1396 で失敗した Active Directory レプリケーションを解決するための症状、原因、解決策について説明します。
適用対象: Windows Server 2012 R2
元の KB 番号: 2183411
現象
この記事では、Win32 エラー 1396 で失敗した Active Directory レプリケーションを解決するための症状、原因、解決策について説明します。
ログオン エラー: 対象のアカウント名は間違っています。
DCDIAG は、Active Directory レプリケーションがエラー 1396 で失敗したことを報告します。
ログオン エラー: 対象のアカウント名は間違っています。
テスト サーバー: <サイト名><DC 名>
テストの開始: レプリケーション
[レプリケーションチェック,<[DC 名>] 最近のレプリケーション試行が失敗しました。
ソース DC から<宛先 DC> へ<>
名前付けコンテキスト: 名前付けコンテキストの CN=<DN パス>
レプリケーションでエラーが生成されました (1396)。
ログオンエラー: ターゲット アカウント名が正しくありません。
エラーは日付><時刻>に<発生しました。
最後の成功は、日付><時刻>に<発生しました。
XX エラーは、前回の成功以降に発生しましたREPADMIN.EXE、レプリケーションの試行が状態 1396 で失敗したことを報告します。
一般的に 1396 状態を引用する REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。
REPADMIN /ADDREPADMIN /REPLSUM*REPADMIN /REHOSTREPADMIN /SHOWVECTOR /LATENCYREPADMIN /SHOWREPSREPADMIN /SHOWREPLREPADMIN /SYNCALL
CONTOSO-DC2 から CONTOSO-DC1 への受信レプリケーションがログオン エラーで失敗したことを示すサンプル出力
REPADMIN /SHOWREPS: ターゲット アカウント名が正しくないエラーを次に示します。Default-First-Site-Name\CONTOSO-DC1
DSA オプション: IS_GC
サイト オプション: (なし)
DSA オブジェクト GUID: <GUID>
DSA の呼び出し ID: <invocationID>==== 受信ネイバー ======================================
DC=contoso,DC=com
RPC 経由の Default-First-Site-Name\CONTOSO-DC2
DSA オブジェクト GUID: <GUID>
最後の試行 @ <日付><時刻> が失敗し、結果 1396 (0x574):
ログオンエラー: ターゲット アカウント名が正しくありません。
<#> 連続するエラー。
最後の成功 @ <日付><時刻>。Active Directory サイトとサービスの [レプリケート] コマンドでログオン エラーが返される : ターゲット アカウント名が正しくありません。
ソース DC から接続オブジェクトを右クリックし、[レプリケート] を選択するとログオン エラーで失敗 する:ターゲット アカウント名が正しくありません。 画面に表示されるエラー メッセージを次に示します。
ダイアログ タイトル テキスト: [今すぐレプリケート]
ダイアログ メッセージ テキスト: ドメイン コントローラー ソース DC からドメイン コントローラー<の宛先> DC> に名前付けコンテキスト <パーティション DNS パス>を<同期しようとしたときに、次のエラーが発生しました。
ログオンエラー: ターゲット アカウント名が正しくありません。
この操作は続行されません。ダイアログのボタン: OK
NTDS KCC、NTDS General、または 1396 状態の Microsoft-Windows-ActiveDirectory_DomainService イベントは、ディレクトリ サービス イベント ログに記録されます。
一般的に 1396 状態を引用する Active Directory イベントには、次のものが含まれますが、これらに限定されません。
ソース イベント ID イベント文字列 Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory Domain Services インストール ウィザード (Dcpromo) は、次のドメイン コントローラーとの接続を確立できませんでした。 NTDS レプリケーション (このイベントには、3 部構成の SPN が一覧表示されます) 1645 Active Directory は、宛先ドメイン コントローラーの目的のサービス プリンシパル名 (SPN) が、SPN を解決するキー配布センター (KDC) ドメイン コントローラーに登録されていないため、別のドメイン コントローラーに対して認証されたリモート プロシージャ コール (RPC) を実行しませんでした。 Microsoft-Windows-ActiveDirectory_DomainService 1655 Active Directory Domain Services次のグローバル カタログとの通信が試行され、試行は失敗しました。 Microsoft-Windows-ActiveDirectory_DomainService 2847 ナレッジ整合性チェッカーは、ローカルの読み取り専用ディレクトリ サービスのレプリケーション接続を見つけて、次のディレクトリ サービス インスタンスでリモートで更新しようとしました。 処理に失敗しました。 再試行されます。 NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。 NTDS KCC 1926 次のパラメーターを使用して、読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立できませんでした。 Netlogon 5781 サーバーがその名前を DNS に登録できない Dcpromo が画面に表示されるエラーで失敗します。
Active Directory のインストールに失敗しました
操作は次の理由で失敗しました。
ディレクトリ サービスは、サーバー ReplicationSourceDC.contoso.com で CN=NTDS 設定、CN=ServerBeingPromoted、CN=Servers、CN=Site、CN=Sites、CN=Configuration、DC=contoso、DC=com のサーバー オブジェクトを作成できませんでした。 提供されているネットワーク資格情報に、レプリカを追加するための十分なアクセス権があることを確認してください。
"ログオン エラー: ターゲット アカウント名が正しくありません。OK
この場合、昇格しているサーバーにイベント ID 1645、1168、1125 がログオンします。
を使用してドライブをマップする
net useC:\>net use z: \\<server_name>\c$システム エラー 1396 が発生しました。
ログオンエラー: ターゲット アカウント名が正しくありません。この場合、サーバーはイベント ID 333 もシステム イベント ログに記録し、SQL Serverを使用して大量の仮想メモリを使用していました。
DC 時間が正しくありません。
KDC は、削除された RODC の krbtgt アカウントの復元後に RODC で開始されません。 サードパーティの復元ツールを使用した復元の後、エラー 1396 が表示されます。
イベント ID 1645 は RODC に記録されます。
Dcdiag は、RODC krbtgt アカウントを更新できないというエラーも報告します。
原因
複数の根本原因が存在します。 既知の根本原因は次のとおりです。
SPN は、Kerberos を使用して認証を試みるクライアントの代わりに KDC によって検索されたグローバル カタログに存在しません。
Active Directory レプリケーションのコンテキストでは、Kerberos クライアントは宛先 DC であり、SPN 参照を実行する KDC は宛先 DC 自体である可能性がありますが、リモート DC である可能性があります。
検索対象のサービス プリンシパル名を含むユーザーまたはサービス アカウントは、レプリケートしようとしている宛先 DC の代わりに KDC によって検索されたグローバル カタログに存在しません。
Active Directory レプリケーションのコンテキストでは、ソース DC コンピューター アカウントは、受信レプリケーションを実行する宛先 DC の代わりに DC によって検索されたグローバル カタログに存在しません。
宛先 DC には、ソース DC ドメインの LSA シークレットがありません。
検索中の SPN は、ソース DC とは別のコンピューター アカウントに存在します。
レプリケーションが RODC に失敗する問題の場合、RODC 固有の KRBTGT アカウントが削除されている可能性があります。
解決方法
NTDS レプリケーション イベント 1645 の宛先 DC で Directory Service イベント ログを確認し、次の点に注意してください。
宛先 DC の名前
検索中の SPN (E3514235-4B06-11D1-AB04-00C04FC2DCD2/<object guid for source DC NTDS Settings object>/<target domain>.<tld>@<target domain>.<Tld>
宛先 DC で使用されている KDC手順 1 で識別された KDC のコンソールから、「」と入力します
nltest /dsgetdc:<forest root DNS domain name > /gc。宛先 DC で 1396 エラーが発生して失敗したレプリケーション試行の直後に、NLTEST ロケーター テストを実行します。
これは、KDC が SPN 参照を実行している GC を識別する必要があります。
KDC によって検索される GC は、Microsoft-Windows-ActiveDirectory_DomainService イベント 1655 でも上限となる場合があります。
手順 2 で検出されたグローバル カタログで、手順 1 で検出された SPN を検索します。
C:\>repadmin /showattrServer_NameDC=corp,DC=contoso,dc=com <GC used by KDC> <DN path of forest root domain> /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)" /gc /subtree /atts:cn,serviceprincipalnameまたは
C:\>dsquery * forestroot -scope subtree -filter "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*)" -attr * -sServer_Name.europe.corp.microsoft.comSPN のホスト オブジェクトが存在することを確認します。
ホスト オブジェクトの DN パスを確認します。オブジェクトが CNF/conflict mangled であるか、紛失して見つかったコンテナーに存在するのかを含みます。
ソース DC AD レプリケーション SPN がソース DC コンピューター アカウントにのみ登録されていることを確認します。
レプリケーション SPN が見つからない場合は、ソース DC が SPN を自身に登録しているかどうか、および単純なレプリケーション待機時間またはレプリケーションエラーのために KDC で使用される GC に SPN が存在しないかどうかを判断します。
セキュリティで保護されたチャネルの正常性と信頼の正常性を確認します。
次の表に、その他の症状、原因、解決策を示します。
| 現象 | 原因 | 解決方法 |
|---|---|---|
| DC が機能せず、権限が復元されたのと同じドメイン内の Windows Server 2008 ドメイン コントローラーと Windows Server 2003 ドメイン コントローラーでイベント ID 1925 と 1411 をログに記録します。 | これらの問題は、権限のある復元を実行すると KRBTGT アカウントのバージョン番号が増えるため発生します。 KRBTGT アカウントは、Kerberos Key Distribution Center (KDC) サービスによって使用されるサービス アカウントです。 | この場合は、KB939820で修正プログラムを適用する必要がある場合があります。 |
| net use を使用してドライブをマップする C:\Documents and Settings\wschong>net use z: \<server_name>\c$ システム エラー 1396 が発生しました。 ログオンエラー: ターゲット アカウント名が正しくありません。 この場合、サーバーはイベント ID 333 をログに記録し、高いメモリを使用し、SQL Serverが最も多く使用されていました。 |
net use を使用してドライブのマッピング中にエラーが表示された場合、原因は非ページ メモリまたはページ プール メモリが一時的に不十分である可能性があります。 システムは、一時的なメモリ不足が停止しても、コンピューターが再起動されるか、関連するハイブがアンロードされるまで、このようなイベントを記録し続けます。 SQL Serverパフォーマンスの問題の詳細については、「SQL Server 2005 のパフォーマンスの問題のトラブルシューティング」を参照してください。 | 今後、システムがイベント 333 を継続的にログに記録しないようにするには、サーバーに修正プログラム 970054を適用し、次のレジストリ値を 1 に設定してください。
|
| DC 時間が正しくありません。 | DC は、VMware ホストとの同期時間に設定された仮想マシンで、イベント 1925、1645 が発生しました。 | VMWare ホストから仮想 DC の時刻を同期するオプションをオフにして、PDC と時刻を同期できるようにします。 |
| [Active Directory のインストールに失敗しました] という画面のエラーで Dcpromo が失敗します。 操作は次の理由で失敗しました。 ディレクトリ サービスは、CN=NTDS 設定、CN=ServerBeingPromoted、CN=Servers、CN=Site、CN=Sites、CN=Configuration、DC=contoso、DC=com のサーバー オブジェクトをサーバー ReplicationSourceDC.contoso.com に作成できませんでした。 指定されたネットワーク資格情報に、レプリカを追加するための十分なアクセス権があることを確認します。 ログオンエラー: ターゲット アカウント名が正しくありません。 この場合、昇格しているサーバーにイベント ID 1645、1168、1125 がログオンします。 |
dcpromo 中に、ヘルパー DC (レプリケーション ソース DC) の SPN が無効です。 | ヘルパー DC SPN が無効な dcpromo エラーの場合は、SetSPN を使用して、ヘルパー DC に新しい SPN を作成します。形式は GC/serverName.contoso.com |
詳細
その他の原因は次のとおりです。
イベント ID 1925 は、権限が復元されたのと同じドメイン内の Windows Server 2008 ドメイン コントローラーと Windows Server 2003 ドメイン コントローラーで発生する可能性があります。 この場合、修正プログラム 939820 を適用する必要がある場合があります。
dcpromo 中に、ヘルパー DC (レプリケーション ソース DC) の SPN が無効です。
net use を使用してドライブのマッピング中にエラーが表示された場合、原因は非ページ メモリまたはページ プール メモリが一時的に不十分である可能性があります。 システムは、一時的なメモリ不足が停止しても、コンピューターが再起動されるか、関連するハイブがアンロードされるまで、このようなイベントを記録し続けます。 SQL Serverパフォーマンスの問題の詳細については、「SQL Server 2005 のパフォーマンスの問題のトラブルシューティング」を参照してください。
DC は、VMware ホストとの同期時間に設定された仮想マシンで、イベント 1925、1645 が発生しました。
KRBTGT アカウントが削除される RODC 固有のシナリオでは、NTDSUTIL を使用してKRBTGT_##### アカウントを正式に復元し、LDIFDE ファイルをインポートしてバックリンクを修正します。 少なくとも、RODC のコンピューター オブジェクトの msDS-KrbTgtLink 属性は、復元されたアカウントの DN をポイントするように更新する必要があります。
データ収集
Microsoft サポートからの支援が必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」で説明されている手順に従って情報を収集することをお勧めします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示