Fehler (Zielprinzipalname ist falsch) beim manuellen Replizieren von Daten zwischen Domänencontrollern

Dieser Artikel bietet eine Lösung für einen Fehler, der auftritt, wenn Sie Daten manuell zwischen Domänencontrollern replizieren.

Gilt für: Windows 2000
Ursprüngliche KB-Nummer: 288167

Hinweis

Dieser Artikel gilt für Windows 2000. Der Support für Windows 2000 endet am 13. Juli 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung Ihrer Migrationsstrategie von Windows 2000. Weitere Informationen finden Sie unter Microsoft-Support Lifecycle-Richtlinie.

Symptome

Wenn Sie das Snap-In Active Directory-Standorte und -Dienste verwenden, um Daten manuell zwischen Windows 2000-Domänencontrollern zu replizieren, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

Der Zielprinzipalname ist falsch.

Oder

Zugriff verweigert

Darüber hinaus können die folgenden Ereignis-ID-Meldungen im Systemprotokoll protokolliert werden:

Event Source: Netlogon  
Event Category: None  
Event ID: 3210  
User: N/A  
Event Description:  
Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.
Event Source: Netlogon  
Event ID: 5722  
Event Category: None  
User: N/A  
Event Description:  
The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred: n3

Lösung

Um dieses Problem zu beheben, bestimmen Sie zunächst, welcher Domänencontroller der aktuelle PDC-Emulator (Primary Domain Controller) ist, master Rolleninhaber. Verwenden Sie dazu eine der folgenden Methoden:

  • Installieren Sie das Hilfsprogramm Netdom.exe über die Windows 2000-Supporttools, und führen Sie dann den folgenden Befehl aus:

    netdom query fsmo
    
  • Starten Sie das Active Directory-Benutzer und -Computer-Snap-In, klicken Sie mit der rechten Maustaste auf die Domäne, und klicken Sie dann auf Betriebsmaster. Klicken Sie auf die Registerkarte PDC . der aktuelle Rolleninhaber wird im Fenster Betriebsmaster angezeigt. Auf dieser Registerkarte können Sie die Vorgänge master Rolle im zweiten Fenster in den aktuellen Computer ändern (wenn dieser Computer nicht der aktuelle Halter ist).

  • Verwenden Sie das Hilfsprogramm Ntdsutil.exe (das in Windows 2000 enthalten ist) und das Resource Kit-Befehlszeilenprogramm. Diese Schnittstellen werden jedoch für fortgeschrittene Benutzer empfohlen. Weitere Informationen finden Sie unter Suchen von Servern mit flexiblen Einzel- master-Betriebsrollen.

Deaktivieren Sie auf Domänencontrollern, bei denen dieses Problem auftritt, den Kerberos Key Distribution Center-Dienst (KDC):

  1. Klicken Sie auf Start, zeigen Sie auf Programme, klicken Sie auf Verwaltung, und klicken Sie dann auf Dienste.
  2. Doppelklicken Sie auf KDC, legen Sie den Starttyp auf Deaktiviert fest, und starten Sie den Computer neu.

Verwenden Sie nach dem Neustart des Computers das Netdom-Hilfsprogramm, um die sicheren Kanäle zwischen diesen Domänencontrollern und den VORGÄNGEN des PDC-Emulators master Rolleninhabers zurückzusetzen. Führen Sie dazu den folgenden Befehl auf den Domänencontrollern aus, die nicht über die PDC-Emulatorvorgänge master Rolleninhabers ausgeführt werden:

netdom resetpwd /server: server_name /userd: domain_name \administrator /passwordd: administrator_password

Dabei ist server_name der Name des Servers, bei dem es sich um die Vorgänge des PDC-Emulators master Rolleninhabers handelt.

Nachdem Sie den sicheren Kanal zurückgesetzt haben, starten Sie die Domänencontroller neu. Auch wenn Sie versuchen, den sicheren Kanal mithilfe des Netdom-Hilfsprogramms zurückzusetzen und der Befehl nicht erfolgreich abgeschlossen wird, fahren Sie mit dem Neustartvorgang fort.

Wenn nur die PDC-Emulatorvorgänge master Rolleninhaber ausgeführt werden, erzwingt der KDC die erneute Synchronisierung der anderen Domänencontroller mit diesem Computer, anstatt sich selbst ein neues Kerberos-Ticket auszustellen.

Nachdem der Neustart der Computer abgeschlossen ist, starten Sie das Dienstprogramm, starten Sie den KDC-Dienst neu, und versuchen Sie dann erneut, die Replikation zu erstellen.

Weitere Informationen

Wenn mehrere Domänencontroller in der Domäne vorhanden sind, variiert die Fehlermeldung, die Sie erhalten, wenn dieses Problem auftritt, je nachdem, wie die Replikation versucht wird, und ob einer der beteiligten Domänencontroller auch der PDC-Emulatorvorgänge master Rolleninhaber ist.

Wenn Sie mithilfe von net view \\computername versuchen, eine Verbindung mit dem Domänencontroller herzustellen, der über die PDC-Emulatorvorgänge master Rolle von einem anderen Domänencontroller verfügt, erhalten Sie möglicherweise die Fehlermeldung "Zugriff verweigert". Wenn Sie jedoch die IP-Adresse (Internet Protocol) verwenden, kann der Befehl erfolgreich ausgeführt werden.

Wenn dieses Problem auftritt, werden möglicherweise zahlreiche Fehler in den Ereignisprotokollen gemeldet. Diese Fehler variieren je nach den folgenden Bedingungen:

  • Der Domänencontroller war nicht voll funktionsfähig, bevor das Problem aufgetreten ist.

  • Der Domänencontroller hat den Prozess des Active Directory-Installations-Assistenten nicht erfolgreich abgeschlossen.

  • Der Sysvol-Ordner auf dem Domänencontroller wurde nicht freigegeben.

  • Der Domänencontroller verfügte nicht über die vollständige Dateistruktur unter dem Ordner Domain_name und dem Ordner Richtlinien, der sich in %SystemRoot%\Sysvol\Sysvol\Domain_name\Policies befindet. Das folgende Ereignis ist ein Beispiel für ein Ereignis, das gemeldet werden kann:

    Event ID: 3034  
    Type: Warning  
    Source: MRxSmb  
    Description: The redirector was unable to initialize security context or query context attributes.
    

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.