Ошибка репликации Active Directory -2146893022 (0x80090322): имя целевого субъекта неверно

  • Статья

В этой статье описывается, как устранить проблему, из-за которой репликация Active Directory завершается сбоем и вызывает ошибку (-2146893022: имя целевого субъекта неверно).

Применимо к: Windows Server (все поддерживаемые версии)
Исходный номер базы знаний: 2090913

Примечание.

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь по проблеме, обратитесь в сообщество Майкрософт.

Сводка

Эта ошибка возникает, если исходный контроллер домена не расшифровывает билет службы, предоставленный конечным (целевым) контроллером домена.

Первопричина

Контроллер домена назначения получает билет службы из центра распространения ключей Kerberos (KDC). Кроме того, KDC имеет старую версию пароля для исходного контроллера домена.

Разрешение верхнего уровня

  1. Остановите службу KDC на целевом контроллере домена. Для этого выполните следующую команду в командной строке:

    net stop KDC

  2. Запустите репликацию на целевом контроллере домена с исходного контроллера домена. Используйте сайты и службы AD или Repadmin.

    Использование repadmin:

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    Например, если репликация завершается сбоем ContosoDC2.contoso.com, выполните следующую команду в ContosoDC1.contoso.com:

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  3. Запустите службу Kerberos KDC на целевом контроллере домена, выполнив следующую команду:

    net start KDC

Если проблема не устранена, см. раздел Решение альтернативного решения, в котором вы используете netdom resetpwd команду для сброса пароля учетной записи компьютера исходного контроллера домена. Если эти действия не помогли устранить проблему, ознакомьтесь с остальной частью этой статьи.

Симптомы

При возникновении этой проблемы возникает один или несколько из следующих симптомов:

  • DCDIAG сообщает о сбое теста репликации Active Directory и возвращает ошибку -2146893022: имя целевого субъекта неверно.

    [Проверка репликации,<Имя> контроллера домена] Не удалось выполнить недавнюю попытку репликации:
    От <исходного контроллера домена> к целевому контроллеру <домена>
    Контекст именования: <путь DN к секции каталога>
    Репликация вызвала ошибку (-2146893022):
    Главное конечное имя неверно.
    Сбой произошел в <дату><.>
    Последний успех произошел в <дату><.>
    <С момента последнего успеха произошли ошибки X> .

  • Repadmin.exe сообщает о сбое попытки репликации и о состоянии -2146893022 (0x80090322).

    Repadmin Команды, которые обычно указывают состояние -2146893022 (0x80090322), включают, но не ограничиваются следующими:

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      Пример выходных данных из REPADMIN /SHOWREPS и REPADMIN /SYNCALL , указывающих на ошибку неправильного имени целевого субъекта , выглядит следующим образом:

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • Команда реплицировать сейчас на сайтах и службах Active Directory возвращает следующее сообщение об ошибке:
    Неправильное имя целевого субъекта

    Не удастся щелкнуть правой кнопкой мыши объект подключения из исходного контроллера домена, а затем выбрать команду реплицировать. Экранное сообщение об ошибке выглядит следующим образом:

    Текст заголовка диалогового окна: "Реплицировать сейчас"
    Текст сообщения диалогового окна. При попытке связаться с именем> исходного контроллера <домена произошла следующая ошибка:
    Неправильное имя целевого субъекта
    Кнопки в диалоговом окне: ОК

    • NtDS Knowledge Consistency Checker (KCC), NTDS General или Microsoft-Windows-ActiveDirectory_DomainService события с состоянием -2146893022 регистрируются в журнале событий службы каталогов.

      События Active Directory, которые обычно ссылаются на состояние -2146893022 , включают, но не ограничиваются следующими:

      Источник события Код события Строка события
      Репликация NTDS 1586 Не удалось выполнить контрольную точку репликации Windows NT 4.0 или более ранней версии с master эмулятора PDC.

      Полная синхронизация базы данных диспетчера учетных записей безопасности (SAM) с контроллерами домена, работающими Windows NT 4.0 и более ранних версий, может произойти, если эмулятор PDC master роль передается локальному контроллеру домена перед следующей успешной контрольной точкой.
      NTDS KCC 1925 Попытка установить ссылку репликации для следующей секции каталога, допускаемой для записи, завершилась ошибкой.
      NTDS KCC 1308 Средство проверки согласованности знаний (KCC) обнаружило, что последовательные попытки репликации с помощью следующего контроллера домена последовательно завершаются сбоем.
      Microsoft-Windows-ActiveDirectory_DomainService 1926 Не удалось установить ссылку репликации на раздел каталога только для чтения со следующими параметрами.
      Обмен сообщениями между сайтами NTDS 1373 Службе межсайтовых сообщений не удалось получить сообщения для следующей службы через следующий транспорт. Сбой запроса для сообщений.

Причина

Код ошибки -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL не является ошибкой Active Directory. Он может быть возвращен следующими компонентами нижнего слоя для различных первопричин:

  • RPC
  • Kerberos;
  • SSL
  • LSA
  • NTLM;

Ошибки Kerberos, сопоставленные кодом Windows с 2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL :

  • KRB_AP_ERR_MODIFIED (0x29/41 десятичный/KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h/36 decimal/"Билет и аутентификатор не совпадают")
  • KRB_AP_ERR_NOT_US (0x23h/35 decimal/"Билет не для нас")

Ниже приведены некоторые конкретные первопричины \0x80090322 2146893022\SEC_E_WRONG_PRINCIPAL:

  • Сопоставление недопустимых имен с IP-адресами в DNS, WINS, HOST или LMHOST-файле. Это привело к подключению целевого контроллера домена к неправильному исходному контроллеру домена в другой области Kerberos.

  • KDC и исходный контроллер домена имеют разные версии пароля учетной записи компьютера исходного контроллера домена. Таким образом, целевому компьютеру Kerberos (исходному контроллеру домена) не удалось расшифровать данные проверки подлинности Kerberos, отправленные клиентом Kerberos (контроллером домена назначения).

  • KDC не удалось найти домен для поиска имени субъекта-службы исходного контроллера домена.

  • Данные проверки подлинности в зашифрованных кадрах Kerberos были изменены оборудованием (включая сетевые устройства), программным обеспечением или злоумышленником.

Разрешение

  • Запуск dcdiag /test:checksecurityerror в исходном контроллере домена

    Имена субъектов-служб могут отсутствовать, быть недопустимыми или дублироваться из-за простой задержки репликации, особенно после повышения уровня или сбоев репликации.

    Дублирование имен субъектов-служб может привести к неправильному сопоставлению имени субъекта-службы.

    DCDIAG /TEST:CheckSecurityErrorможет проверка для отсутствующих или повторяющихся имен субъектов-служб и других ошибок.

    Выполните эту команду в консоли всех исходных контроллеров домена, которые завершаются сбоем исходящей репликации с ошибкой SEC_E_WRONG_PRINCIPAL .

    Вы можете проверка регистрацию имени субъекта-службы в определенном расположении с помощью следующего синтаксиса:

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Убедитесь, что зашифрованный сетевой трафик Kerberos достиг предполагаемого целевого объекта Kerberos (сопоставление имен и IP)

    Рассмотрим следующий сценарий.

    • Контроллеры домена назначения Active Directory входящего реплицирования выполняют поиск в локальной копии каталога по идентификатору objectGUID объектов параметров NTDS исходных контроллеров домена.

    • Контроллеры домена запрашивают у активного DNS-сервера соответствующую запись DC GUIDED CNAME. Затем он сопоставляется с записью A/AAAA узла, содержащей IP-адрес исходного контроллера домена.

      В этом сценарии Active Directory запускает резервный вариант разрешения имен. Он включает запросы для полных имен компьютеров в DNS или имен узлов с одной меткой в WINS.

      Примечание.

      DNS-серверы также могут выполнять поиск WINS в резервных сценариях.

В следующих ситуациях контроллер домена назначения отправляет трафик, зашифрованный Kerberos, в неправильный целевой объект Kerberos:

  • Устаревшие объекты параметров NTDS
  • Сопоставления недопустимых имен и IP-адресов в записях узлов DNS и WINS
  • Устаревшие записи в файлах HOST

Чтобы проверка для этого условия, выполните трассировку сети или вручную убедитесь, что запросы имен DNS/NetBIOS разрешаются на целевой компьютер.

Метод 1. Метод трассировки сети (в том виде, в который в мониторе сети 3.3.1641 включены полные средства синтаксического анализа по умолчанию)

В следующей таблице показан сводка сетевого трафика, который происходит, когда целевой dc1 входящий реплицирует каталог Active Directory из исходного DC2.

F# SRC DEST Протокол Frame Комментарий
1 DC1; DC2 MSRPC ЗАПРОС MSRPC:c/o: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 Dest DC RPC-вызов EPM на исходном контроллере домена более 135
2 DC2 DC1; MSRPC Ответ MSRPC:c/o: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 Ответ EPM на вызывающий RPC
3 DC1; DC2 MSRPC MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 Запрос привязки RPC к E351... service UUID
4 DC2 DC1; MSRPC MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Ответ RPC Bind
5 DC1; KDC KerberosV5 Область запроса KerberosV5:TGS: CONTOSO.COMSname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com Запрос TGS для репликации имени субъекта-службы исходного контроллера домена. Эта операция не будет отображаться в проводе целевого контроллера домена, использующего self в качестве KDC.
6 KDC DC1; KerberosV5 KerberosV5:TGS Response Cname: CONTOSO-DC1$ Ответ TGS на целевой контроллер домена contoso-dc1. Эта операция не будет отображаться в проводе целевого контроллера домена, использующего self в качестве KDC.
7 DC1; DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Запрос AP
8 DC2 DC1; MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Ответ AP.
Детализация на кадре 7 Детализация на кадре 8 Comments
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 подключается к службе репликации AD на DC2 через порт, возвращенный EPM на DC2.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, следующий протокол = TCP, идентификатор пакета =, общая длина IP-адресов = 0 Ipv4: Src = x.x.x.35, Dest = x.x.x.245, следующий протокол = TCP, идентификатор пакета = 31546, общая длина IP-адресов = 278 Убедитесь, что исходный контроллер домена репликации AD (называется компьютером Dest в первом столбце, а компьютер Src в столбце 2 является владельцем IP-адреса, указанного в трассировке). Это в x.x.x.35 этом примере.
Билет: Область: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

Область: <убедитесь, что область, возвращенная исходным контроллером домена, соответствует области Kerberos, предназначенной целевому контроллеру домена>.

Sname:< убедитесь, что sName в ответе AP содержится имя узла предполагаемого исходного контроллера домена, а не другого контроллера домена, в который назначение неправильно разрешило из-за проблемы> с неправильным сопоставлением имени и ip.		 В столбце 1 обратите внимание на область целевой области Kerberos, за contoso.com которой следует исходное имя субъекта-службы репликации контроллеров домена (Sname), которое состоит из UUID службы репликации Active Directory (E351...), объединенный с идентификатором GUID объекта параметров NTDS исходных контроллеров домена.

GUIDED-значение 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 справа от E351... UUID службы репликации — это GUID объекта для объекта параметров NTDS исходных контроллеров домена. В настоящее время он определен в копии целевого контроллера домена Active Directory. Убедитесь, что этот ИДЕНТИФИКАТОР объекта соответствует значению в поле DSA Object GUID при repadmin /showreps запуске из консоли исходного контроллера домена.

nslookup Или ping полностью объединенных with_msdcs контроллеров исходного домена CNAME.<корневое DNS-имя> леса из консоли целевого контроллера домена должно возвращать текущий IP-адрес контроллеров домена источника:

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

В ответе, показанном в столбце 2, сосредоточьтесь на Sname поле и убедитесь, что оно содержит имя узла исходного контроллера домена репликации AD.

Недопустимые сопоставления имен и IP могут привести к подключению целевого контроллера домена к контроллеру домена в недопустимой целевой области, в результате чего значение области будет недопустимым, как показано в этом случае. Неправильные сопоставления между узлами и IP-адресами могут привести к подключению DC1 к DC3 в том же домене. Он по-прежнему будет создавать KRB_AP_ERR_MODIFIED, но имя области в кадре 8 будет соответствовать области в кадре 7.

Метод 2. Проверка сопоставления имени и IP -адреса (без использования трассировки сети)

В консоли исходного контроллера домена:

Command Комментарий
IPCONFIG /ALL |MORE Примечание. IP-адрес сетевой карты, используемый контроллерами домена назначения
REPADMIN /SHOWREPS |MORE Обратите внимание на значение GUID объекта DSA. Он обозначает идентификатор GUID объекта для объекта NTDS параметров исходного контроллера домена в копии исходного контроллера домена Active Directory.

В консоли целевого контроллера домена:

Command Комментарий
IPCONFIG /ALL |MORE Обратите внимание на основной, вторичный и любой третичный DNS-серверы, настроенные для запросов целевого контроллера домена во время поиска DNS.
REPADMIN /SHOWREPS |MORE В разделе Входящих соседей выходных repadmin данных найдите состояние репликации, в котором целевой контроллер домена реплицирует общую секцию из исходного контроллера домена.

ИДЕНТИФИКАТОР GUID объекта DSA, указанный для исходного контроллера домена в разделе состояния репликации отчета, должен соответствовать ИДЕНТИФИКАТОРу GUID объекта, указанному в /showreps заголовке при запуске в консоли исходного контроллера домена.
IPCONFIG /FLUSHDNS Очистка кэша DNS-клиента
Начать>Запустить>Блокнот
%systemroot%\system32\drivers\etc\hosts		 Проверьте наличие сопоставлений между узлами и IP-адресами, ссылающимися на одну метку контроллеров домена источника или полное DNS-имя. Удалите, если он присутствует. Сохраните изменения в файле HOST.

Выполните команду Nbtstat -R (прописная буква R), чтобы обновить кэш имен NetBIOS.
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

Повторите для каждого дополнительного IP-адреса DNS-сервера, настроенного в целевом контроллере домена.

Примере: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 Убедитесь, что возвращенный IP-адрес соответствует УКАЗАННОМу выше IP-адресу целевого контроллера домена, записанному из консоли исходного контроллера домена.

Повторите для всех IP-адресов DNS-серверов, настроенных на целевом контроллере домена.
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> Проверьте наличие повторяющихся записей узла A во всех IP-адресах DNS-сервера, настроенных в целевом контроллере домена.
nbtstat -A <IP address of DNS Server IP returned by nslookup> Возвращает имя исходного контроллера домена.

Примечание.

Запрос на репликацию, направленный на контроллер, не относящееся к домену (из-за неправильного сопоставления между именами и IP-адресами), или контроллеру домена, на который в настоящее время нет E351... UUID службы, зарегистрированный в средстве сопоставления конечных точек, возвращает ошибку 1753: в средстве сопоставления конечных точек больше нет.

Целевой объект Kerberos не может расшифровать данные, прошедшие проверку подлинности Kerberos, из-за несоответствия паролей.

Эта проблема может возникнуть, если пароль исходного контроллера домена отличается между KDC и копией исходного контроллера домена каталога Active Directory. Копия пароля учетной записи компьютера исходного контроллера домена конечного контроллера домена может быть устаревшей, если он не использует себя в качестве центра управления доменами.

Сбои репликации могут помешать контроллерам домена получить текущее значение пароля для контроллеров домена в заданном домене.

Каждый контроллер домена запускает службу KDC для своей области домена. Для транзакций в той же области контроллер домена назначения предпочитает получать билеты Kerberos от себя. Однако он может получить билет от удаленного контроллера домена. Рефералы используются для получения билетов Kerberos из других областей.

Команда, выполняемая NLTEST /DSGETDC:<DNS domain of target domain> /kdc в командной строке с повышенными привилегиями в непосредственной близости к ошибке SEC_E_WRONG_PRINCIPAL , может использоваться для быстрого определения целевого KDC, на который нацелен клиент Kerberos.

Окончательный способ определить, с какого контроллера домена клиент Kerberos получил билет, — выполнить трассировку сети. Отсутствие трафика Kerberos в трассировке сети может указывать на:

  • Клиент Kerberos уже приобрел билеты.
  • Он получает билеты от себя.
  • Приложение трассировки сети неправильно анализирует трафик Kerberos.

Билеты Kerberos для учетной записи вошедшего пользователя можно очистить в командной строке с повышенными привилегиями с помощью KLIST purge команды .

Билеты Kerberos для системной учетной записи, используемой репликацией Active Directory, можно очистить без перезапуска с помощью KLIST -li 0x3e7 purge.

Контроллеры домена можно использовать другие контроллеры домена, остановив службу KDC на локальном или удаленном контроллере домена.

Используйте REPADMIN /SHOWOBJMETA для проверка для очевидных различий в номерах версий в атрибутах, связанных с паролем (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) для исходного контроллера домена в копии каталога Active Directory исходного контроллера домена и конечного контроллера домена.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

Команду netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> , выполняемую в командной строке с повышенными привилегиями на консоли контроллера домена, для которой требуется сброс пароля, можно использовать для сброса паролей учетных записей компьютера контроллера домена.

Устранение неполадок в определенных сценариях

  • Повтор действий для неправильного сопоставления узла и IP, которое приводит к извлечению контроллера домена назначения из неправильного источника.

    1. Повышение уровня \\dc1 + \\DC2 + \\DC3 в домене contoso.com . Сквозная репликация выполняется без ошибок.

    2. Остановите KDC в \\DC1 и \\DC2, чтобы принудительно включить трафик Kerberos, который можно наблюдать в трассировке сети. Сквозная репликация выполняется без ошибок.

    3. Создайте запись файла узла для \\DC2, указывающую на IP-адрес контроллера домена в удаленном лесу. Он имитирует неправильное сопоставление между узлами и IP-адресами в записи A/AAAA узла или, возможно, устаревший объект NTDS Settings в копии каталога Active Directory контроллера домена назначения.

    4. Запустите сайты и службы Active Directory в консоли \\DC1. Щелкните правой кнопкой мыши объект входящего подключения \\DC1 из \\DC2 и обратите внимание, что имя целевой учетной записи является ошибкой неправильной репликации.

  • Шаги повторного воспроизведения для несоответствия паролей исходного контроллера домена между KDC и исходным контроллером домена.

    1. Повышение уровня \\dc1 + \\DC2 + \\DC3 в домене contoso.com . Сквозная репликация выполняется без ошибок.

    2. Остановите KDC в \\DC1 и \\DC2, чтобы принудительно включить трафик Kerberos, который можно наблюдать в трассировке сети. Сквозная репликация выполняется без ошибок.

    3. Отключение входящей репликации в KDC \\DC3 для имитации сбоя репликации в KDC.

    4. Сбросьте пароль учетной записи компьютера в \\DC2 три или более раз, чтобы у \\DC1 и \\DC2 был текущий пароль для \\DC2.

    5. Запустите сайты и службы Active Directory в консоли \\DC1. Щелкните правой кнопкой мыши объект входящего подключения \\DC1 из \\DC2 и обратите внимание, что имя целевой учетной записи является ошибкой неправильной репликации.

  • Ведение журнала клиента RPC DS

    Задайте NTDS\Diagnostics Loggings\DS RPC Client = 3. Запуск репликации. Найдите событие категории задач 1962 + 1963. Обратите внимание на полный список cname , указанный в поле службы каталогов . Контроллер домена назначения должен иметь возможность проверки связи с этой записью и иметь возвращенный адрес, сопоставленный с текущим IP-адресом исходного контроллера домена.

  • Рабочий процесс Kerberos

    Рабочий процесс Kerberos включает следующие действия:

    • Клиентский компьютер вызывает функцию IntializeSecurityContext и указывает поставщик поддержки безопасности Negotiate (SSP).

    • Клиент связывает KDC с его TGT и запрашивает билет TGS для целевого контроллера домена.

    • KDC ищет в глобальном каталоге источник (e351 или имя узла) в области контроллера домена назначения.

    • Если целевой контроллер домена находится в области контроллера домена назначения, центр управления домена предоставляет клиенту билет службы.

    • Если целевой контроллер домена находится в другой области, KDC предоставляет клиенту запрос на реферальную ссылку.

    • Клиент связывается с KDC в домене целевого контроллера домена и запрашивает билет службы.

    • Если имя субъекта-службы исходного контроллера домена не существует в области, вы получите сообщение об ошибке KDC_ERR_S_PRINCIPAL_UNKNOWN .

    • Контроллер домена назначения связывается с целевым объектом и представляет свой билет.

    • Если целевой контроллер домена владеет именем в билете и может расшифровать его, проверка подлинности работает.

    • Если на целевом контроллере домена размещается UUID службы сервера RPC, ошибка kerberos KRB_AP_ERR_NOT_US или KRB_AP_ERR_MODIFIED по сети сопоставляется со следующей ошибкой:

      -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Имя целевого субъекта неправильно"

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.