Błąd replikacji AD 1396 Rozwiązywanie problemów: Niepowodzenie logowania: Nazwa konta docelowego jest niepoprawny.


Objawy


W tym artykule opisano symptomy, przyczyny i rozdzielczość rozpoznająca replikacji usługi Active Directory, błąd Win32 1396: "Błąd logowania: Nazwa konta docelowego jest nieprawidłowa." Wcześniej opublikowany artykuł o tytule w brzmieniu "Rozwiązywanie problemów z Active Directory operacji, które z błędem 1396: Niepowodzenie logowania: Nazwa konta docelowego jest nieprawidłowa".

  1. Raporty DCDIAG, które replikacji Active Directory nie powiodła się z powodu błędu "1396: Błąd logowania: Nazwa konta docelowego jest nieprawidłowa."

    Serwer testowy: < nazwa witryny > \ < nazwa kontrolera domeny >
    Uruchamianie testu: replikacji
    [Sprawdź replikacjami < nazwa kontrolera domeny >] Ostatnia próba replikacji nie powiodła się:
    Z < źródłowy kontroler domeny > do < docelowy kontroler domeny >
    Kontekst nazewnictwa: CN = < ścieżka DN kontekstu nazewnictwa >
    Replikacja wygenerowany błąd (1396):
    Niepowodzenie logowania: Nazwa konta docelowego jest nieprawidłowa.
    Wystąpił błąd w czasie > < data ><.
    Godzina ostatniej pomyślnej operacji < data >< godzina >.
    Wystąpiły błędy XX od ostatniego sukcesu

  2. REPADMIN. EXE raportuje, że taka próba replikacji nie powiodła się ze stanem 1396.

    REPADMIN polecenia, które powszechnie cite 1396 stan obejmują, ale nie są ograniczone do:
     

    ·         REPADMIN /ADD
    ·
             REPADMIN /REPLSUM*
    ·         REPADMIN /REHOST
    ·         REPADMIN /SHOWVECTOR /LATENCY
     

    ·         REPADMIN /SHOWREPS
    ·         REPADMIN /SHOWREPL

    ·         REPADMIN /SYNCALL


    Przykładowe dane wyjściowe z "REPADMIN/SHOWREPS" przedstawiające replikację przychodzącą z CONTOSO DC2 niepowodzeniu DC1 CONTOSO "Błąd logowania: Nazwa konta docelowego jest nieprawidłowa." Błąd przedstawiono poniżej:

    Default-First-Site-Name\CONTOSO-DC1
    Opcje DSA: IS_GC
    Opcje witryny: (Brak)
    Identyfikator GUID obiektu DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01
    Atrybut invocationID DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01

    === PRZYCHODZĄCYCH SĄSIADÓW ===

    DC=contoso,DC=com
    Domyślna pierwsza witryny Name\CONTOSO-DC2 przez RPC
    Identyfikatora GUID obiektu DSA: 74fbe06c-932c-46b5-831b-af9e31f496b2
    Ostatnia próba @ < data >< godzina > nie powiodło się, wynik 1396 (0x574):
    Błąd logowania: Nazwa konta docelowego jest nieprawidłowa.
    <> nr kolejnych niepowodzeń.
    Ostatni sukces @ < data >< godzina >.

  3. Polecenie "Replikuj teraz" w przystawce Lokacje i usługi zwraca "Błąd logowania: Nazwa konta docelowego jest nieprawidłowa."

    Kliknięcie prawym przyciskiem myszy obiekt połączenia ze źródłowego kontrolera domeny i wybierając polecenie "Replikuj teraz" nie powiodło się "Błąd logowania: Nazwa konta docelowego jest nieprawidłowa.". Na ekranie komunikatu o błędzie jest pokazany poniżej:
    1. Okno dialogowe tekst tytułu: Replikuj teraz

      Okno dialogowe tekst wiadomości: Wystąpił następujący błąd podczas próby zsynchronizowania kontekstu nazewnictwa < ścieżka partycji DNS > z < źródłowy kontroler domeny > kontrolera domeny do kontrolera domeny < docelowy kontroler domeny >:

      Niepowodzenie logowania: Nazwa konta docelowego jest nieprawidłowa.
      Tej operacji nie będzie kontynuowane.

      Przycisków w oknie dialogowym: OK


  4. NTDS KCC, ogólne NTDS lub zdarzeń Microsoft-Windows-ActiveDirectory_DomainService o stanie 1396 są rejestrowane w dzienniku zdarzeń usługi katalogowej.

    Active Directory zdarzenia, które powszechnie cite stan 1396 obejmują, ale nie są ograniczone do:

    Źródło zdarzenia

    Identyfikator zdarzenia

    Ciąg zdarzenia

    Microsoft-Windows-ActiveDirectory_DomainService
    1125Usługi domenowe w usłudze Active Directory Kreatora instalacji (Dcpromo) nie może ustanowić połączenia z następującym kontrolerem domeny.

    Replikacja NTDS
    (To zdarzenie wykazy SPN 3-częściowa)

    1645Usługi Active Directory nie wykonał uwierzytelnionych zdalnego wywołania procedury (RPC) do innego kontrolera domeny, ponieważ żądany głównej nazwy usługi (SPN) dla docelowy kontroler domeny nie jest zarejestrowana w Centrum dystrybucji kluczy (KDC) kontroler domeny, który rozpoznaje nazwy SPN.
    Microsoft-Windows-ActiveDirectory_DomainService1655Usługi domenowe w usłudze Active Directory podjął próbę nawiązania komunikacji z następujących wykazu globalnego i próby zakończyły się niepowodzeniem.
    Microsoft-Windows-ActiveDirectory_DomainService2847Knowledge Consistency Checker znajduje się połączenie replikacji dla lokalnej tylko do odczytu usługi katalogowej i podjął próbę zaktualizowania go zdalnie na następujące wystąpienia usługi katalogu.  Operacja nie powiodła się.  Zostanie ponowiona.
    USŁUGA KCC NTDS1925 r.Próba ustanowienia łącza replikacji dla następujących Zapisywalna partycja katalogu nie powiodła się.

    USŁUGA KCC NTDS1926Próba ustanowienia łącza replikacji z partycją katalogu tylko do odczytu o następujących parametrach nie powiodła się.
    NETLOGON 5781Serwer nie może zarejestrować swoje nazwy w systemie DNS

    Inne objawy to:

  5. Polecenie dcpromo nie powiedzie się z powodu błędu na ekranie:
    ---------------------------
    Instalacja usługi Active Directory nie powiodła się
    ---------------------------
    Operacja nie powiodła się, ponieważ:
    Usługa katalogowa nie może utworzyć obiektu serwera dla CN = NTDS Settings, CN = ServerBeingPromoted, CN = serwery, CN = lokacja, CN = Sites, CN = Configuration, DC = contoso, DC = com na serwerze ReplicationSourceDC.contoso.com. Upewnij się
    dostarczone poświadczenia sieciowe mają wystarczający dostęp, aby dodać replikę.
    "Błąd logowania: Nazwa konta docelowego jest nieprawidłowa."
    ---------------------------
    OK  
    ---------------------------
    W tym przypadku identyfikator zdarzenia 1645, 1168 i 1125 są rejestrowane na serwerze, który jest promowane.

  6. Mapowanie dysku przy użyciu polecenie net use
    C:\ > polecenie net use z: \ < nazwa_serwera > \c$gdzie
    Wystąpił błąd systemowy 1396.
    Niepowodzenie logowania: Nazwa konta docelowego jest nieprawidłowa.
    W takim przypadku serwer został również rejestrowanie 333 identyfikator zdarzenia w dzienniku zdarzeń systemowych i przy użyciu programu SQL Server przy użyciu dużą ilość pamięci wirtualnej.

  7. Kontroler domeny jest nieprawidłowy.

  8. KDC nie zostanie uruchomiona na kontrolerze RODC po przywróceniu konta krbtgt dla kontrolera RODC, które zostało usunięte. Po przywróceniu przy użyciu narzędzia Przywracanie strony trzeciej pojawi się błąd 1396.
    Na kontrolerze RODC jest rejestrowany identyfikator zdarzenia 1645.
    Dcdiag również zgłasza błąd, że nie można zaktualizować konta krbtgt kontrolera RODC.

Przyczyna


Istnieje wiele przyczyn. Znane przyczyny obejmują:

  1. Nazwa SPN nie istnieje w wykazie globalnym przeszukiwane przez Centrum dystrybucji KLUCZY w imieniu klienta, próba uwierzytelnienia za pomocą protokołu Kerberos.

    W kontekście replikacji usługi Active Directory klient protokołu Kerberos jest docelowy kontroler domeny KDC wykonujący wyszukiwanie nazwy SPN jest prawdopodobnie docelowy kontroler domeny sam, ale może być zdalnego kontrolera domeny.

  2. Konto użytkownika lub konto usługi, które powinno zawierać główna nazwa usługi są wyszukiwane nie istnieje na przeszukiwane przez Centrum dystrybucji KLUCZY w imieniu docelowy kontroler domeny poddawana replikacji wykazu globalnego

    W kontekście replikacji usługi Active Directory źródło konto komputera kontrolera domeny nie istnieje w wykazie globalnym przeszukiwane przez kontrolera domeny w imieniu wykonywanie replikacji przychodzącej docelowy kontroler domeny.

  3. Docelowy kontroler domeny nie ma klucz tajny LSA dla domeny kontrolerów domeny źródłowej.

  4. Nazwa SPN są wyszukiwane istnieje na koncie komputera innego niż źródłowy kontroler domeny.
  5. W przypadku problemów z którym replikacja jest możliwe na kontrolerze RODC konta KRBTGT specyficzne dla kontrolera RODC mógł zostać usunięty.

Rozwiązanie


  1. Sprawdź dziennik zdarzeń usług katalogowych na docelowy kontroler domeny dla zdarzenia replikacji NTDS 1645 i pamiętać o następujących kwestiach

    Nazwa miejsca docelowego kontrolera domeny
    Nazwę SPN są wyszukiwane (E3514235-4B06-11D1-AB04-00C04FC2DCD2 / < identyfikator guid obiektu Ustawienia NTDS DCs źródła obiekt > / < target domeny >. < tld > @< domena docelowa >. < tld >
    Centrum dystrybucji KLUCZY, używany przez docelowy kontroler domeny

  2. Z konsoli KDC zidentyfikowanego w kroku 1, wpisz: nltest/dsgetdc: < nazwa domeny DNS głównej lasu > /gc

    Uruchom test lokalizatora NLTEST bezpośrednio po próba replikacji, która nie powiedzie się z powodu błędu 1396 na docelowy kontroler domeny.
    To należy zidentyfikować tego GC, który wykonuje wyszukiwania nazwy SPN przeciwko Centrum dystrybucji KLUCZY
    GC są przeszukiwane przez KDC może być również captued w zdarzeń Microsoft-Windows-ActiveDirectory_DomainService 1655.

  3. Wyszukaj nazwę SPN znaleziony w kroku 1 w katalogu globalnym znaleziony w kroku 2

    C:\ > repadmin/showattr nazwa_serwera DC = corp, DC = contoso, dc = com < GC używane przez Centrum dystrybucji KLUCZY >< /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>) ścieżka nazwy domeny katalogu głównego lasu >" /gc dopuszczalne /atts:cn, serviceprincipalname

    OR

    C:\ > dsquery * forestroot-zakres poddrzewo - filtr "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*)" - attr * -s nazwa_serwera. europe.corp.microsoft.com

    Sprawdź, czy istnieje obiekt hosta nazwy SPN
    Sprawdź, czy ścieżka DN dla hosta obiekt tym, czy obiekt jest CNF / konfliktu zniekształcone lub znajduje się w kontenerze Zgubione i znalezione.
    Sprawdź, czy źródło SPN replikacji kontrolerów domeny AD jest zarejestrowane tylko w źródle DCs konta komputera

    Jeśli brakuje replicaiton SPN, ustalić, czy źródłowego kontrolera domeny została zarejestrowana jego nazwy SPN na sam i czy nazwa SPN jest brak w GC używane przez Centrum dystrybucji KLUCZY, ze względu na opóźnienia replikacji prosty lub błąd replikacji

  4. Sprawdź kondycję bezpiecznego kanału i można im ufać zdrowia

 

Ta tabela zawiera listę inne objawy, przyczyny i rozwiązania:

SymptomPrzyczynaRozwiązanie

Kontroler domeny nie działa i rejestruje zdarzenie identyfikator 1925 i 1411 na kontrolerach domeny systemu Windows Server 2008 i kontrolerów domen systemu Windows Server 2003 w tej samej domenie, na który zostały przywrócone autorytatywnie.

Te problemy występują, ponieważ zwiększa numer wersji konta KRBTGT podczas wykonywania przywracania autorytatywnego. Konto KRBTGT jest konto usługi, który jest używany przez usługę Centrum dystrybucji kluczy Kerberos (KDC).  

W takim przypadku konieczne może być zastosowanie poprawki w 939820 na kontrolerach domeny systemu Windows Server 2003. Zobacz 2000948 i http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

Mapowanie dysku przy użyciu polecenie net use
C:\Documents and Settings\wschong > polecenie net use z: \ < nazwa_serwera > \c$gdzie

Wystąpił błąd systemowy 1396.
Niepowodzenie logowania: Nazwa konta docelowego jest nieprawidłowa.
W takim przypadku serwer był 333 identyfikator zdarzenia logowania i pamięci wysokiej, za pomocą programu SQL Server przy użyciu najwyższej.

Jeśli błąd pojawia się podczas mapowania dysku przy użyciu polecenie net use, może to być spowodowane braku nie stronicowanej pamięci lub pamięci puli stronicowanej jest tymczasowo niewystarczające. System utrzymuje rejestrowanie takich zdarzeń, aż do ponownego uruchomienia komputera lub gałęzi pokrewnych jest zwalniany, mimo że zatrzymuje wystarczającej pamięci tymczasowej. Aby uzyskać więcej informacji dotyczących problemów z wydajnością programu SQL Server zobacz Rozwiązywanie problemów z wydajnością w programie SQL Server 2005.Aby zapobiec system rejestrowania zdarzeń 333 stale w przyszłości, należy zastosować poprawkę 970054 na serwerze i ustawić następującą wartość rejestru na wartość 1:

Lokalizacja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Nazwa: RegistryFlushErrorSubside
Typ: REG_DWORD
Wartość: 1 lub 2
Kontroler domeny jest nieprawidłowy.
Kontroler domeny jest maszyną wirtualną, który został ustawiony do synchronizacji czasu z hosta VMware, spowodowane zdarzenia 1925 r. 1645.niezaznaczone opcję synchronizacji czasu dla wirtualnego kontrolera domeny z hosta VMWare, tak, że można synchronizować czas z podstawowym kontrolerem domeny.
Polecenie dcpromo nie powiedzie się z powodu błędu na ekranie:
---------------------------
Instalacja usługi Active Directory nie powiodła się
---------------------------
Operacja nie powiodła się, ponieważ:
Usługa katalogowa nie może utworzyć obiektu serwera dla CN = NTDS Settings, CN = ServerBeingPromoted, CN = serwery, CN = lokacja, CN = Sites, CN = Configuration, DC = contoso, DC = com na serwerze ReplicationSourceDC.contoso.com. Upewnij się
dostarczone poświadczenia sieciowe mają wystarczający dostęp, aby dodać replikę.
"Błąd logowania: Nazwa konta docelowego jest nieprawidłowa."
---------------------------
OK  
---------------------------
W tym przypadku identyfikator zdarzenia 1645, 1168 i 1125 są rejestrowane na serwerze, który jest promowane.
Podczas dcpromo nazwy SPN na pomocniczy kontroler domeny (replikacja źródła prądu stałego) jest nieprawidłowa.

Dla błędu dcpromo, gdzie pomocnika oś główna nazwa usługi jest nieprawidłowa przy użyciu polecenia SetSPN do tworzenia nowej nazwy SPN na pomocniczy kontroler domeny, w formacie GC/serverName.contoso.com

Więcej informacji


Inne przyczyny obejmują:

5. Identyfikator zdarzenia 1925 r. może wystąpić na kontrolerach domeny systemu Windows Server 2008 i kontrolerów domeny systemu Windows Server 2003 w tej samej domenie, które zostały przywrócone autorytatywnie. W takim przypadku konieczne może być zastosowanie poprawki w 939820 na kontrolerach domeny systemu Windows Server 2003. Zobacz 2000948 i http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

Aby uzyskać więcej szczegółów: zobacz artykuł wewnętrzny 2278126 ADREPL: AD replikacja nie powiedzie się z powodu błędu 1396, przez 10 godzin po ponownym uruchomieniu komputera

6. w trakcie dcpromo nazwy SPN na pomocniczy kontroler domeny (replikacja źródła prądu stałego) jest nieprawidłowa.

7. Jeśli błąd pojawia się podczas mapowania dysku przy użyciu polecenie net use, może to być spowodowane braku nie stronicowanej pamięci lub pamięci puli stronicowanej jest tymczasowo niewystarczające. System utrzymuje rejestrowanie takich zdarzeń, aż do ponownego uruchomienia komputera lub gałęzi pokrewnych jest zwalniany, mimo że zatrzymuje wystarczającej pamięci tymczasowej. Aby uzyskać więcej informacji dotyczących problemów z wydajnością programu SQL Server zobacz Rozwiązywanie problemów z wydajnością w programie SQL Server 2005.

8. kontroler domeny jest maszyny wirtualnej, który został skonfigurowany do synchronizacji czasu z hosta VMware, spowodowane zdarzenia 1925 r. 1645.

9. w przypadku kontrolera RODC określonego scenariusza, gdzie usunięte konta KRBTGT: Autorytarnie przywróć konto KRBTGT_ ### za pomocą narzędzia NTDSUTIL, a następnie zaimportuj plik LDIFDE do Popraw wstecznych.  Co najmniej atrybut msDS-KrbTgtLink w obiekt komputera kontrolera RODC będzie musiał zostać uaktualnione w celu wskaż DN przywrócone konta.