AD 复制错误 1396年进行疑难解答︰ 登录失败︰ 该目标帐户名称不正确。


症状


本文介绍的症状,原因和解决方法解决 Active Directory 复制失败,返回错误 Win32 1396:"登录失败︰ 该目标帐户名称不正确。"本文以前发布具有以下标题"失败,出现错误 1396年疑难解答活动目录操作︰ 登录失败︰ 该目标帐户名称不正确"。

  1. 活动目录复制因错误而失败的 DCDIAG 报告"1396年︰ 登录失败︰ 该目标帐户名称不正确。"

    测试服务器︰ < 网站名称 > \ < DC 名称 >
    开始测试︰ 复制
    [复制复选,< DC 名称 >]最新的复制尝试失败︰
    从 < 源 DC > < 目标 DC >
    命名上下文︰ CN = < 命名上下文的 DN 路径 >
    复制生成的错误 (1396):
    登录失败︰ 该目标帐户名称不正确。
    在 < 日期 >< 时间 > 中出现故障。
    在 < 日期 >< 时间 > 发生的上一次成功。
    XX 失败以来的最后一次成功

  2. REPADMIN。EXE 将报告该复制尝试已失败,状态 1396年。

    REPADMIN 命令,通常引用 1396年状态包括但不是限于︰
     

    ·         REPADMIN /ADD
    ·
             REPADMIN /REPLSUM*
    ·         REPADMIN /REHOST
    ·         REPADMIN /SHOWVECTOR /LATENCY
     

    ·         REPADMIN /SHOWREPS
    ·         REPADMIN /SHOWREPL

    ·         REPADMIN /SYNCALL


    示例输出"REPADMIN /SHOWREPS"来描述从 CONTOSO DC2 对 CONTOSO DC1 与失败的入站的复制从"登录失败︰ 该目标帐户名称不正确。"错误如下所示︰

    Default-First-Site-Name\CONTOSO-DC1
    DSA 选项︰ IS_GC
    站点选项: (无)
    DSA 对象 GUID: b6dc8589-7e00-4a5d-b688-045aef63ec01
    DSA invocationID: b6dc8589-7e00-4a5d-b688-045aef63ec01

    === 入站邻居 ===

    DC=contoso,DC=com
    默认的第一个的网站-Name\CONTOSO-DC2 通过 RPC
    DSA 对象 GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2
    @ < 日期 >< 时间 > 的尝试失败,最后一个结果 1396 (0x574):
    登录失败︰ 该目标帐户名称不正确。
    <> # 次连续失败。
    最后 @ < 日期 >< 时间 > 的成功。

  3. 在 Active Directory 站点和服务"立即复制"命令将返回"登录失败︰ 该目标帐户名称不正确。"

    连接对象从源 DC 上右击并选择"立即复制"失败,出现"登录失败︰ 该目标帐户名称不正确。"。屏上错误消息如下所示︰
    1. 对话框标题文本︰ 立即复制

      对话框消息文本︰ 在尝试同步命名上下文 < 分区 DNS 路径 > 从 < 源 DC > 的域控制器到域控制器 < 目标 DC > 的过程中出现了以下错误︰

      登录失败︰ 该目标帐户名称不正确。
      此操作将不会继续。

      在对话框中的按钮: 确定


  4. 在目录服务事件日志中记录 NTDS KCC、 NTDS 常规或 Microsoft 的 Windows ActiveDirectory_DomainService 1396 状态的事件。

    通常,他们 1396年状态的活动目录事件包括但不是限于︰

    事件源

    事件 ID

    事件字符串

    Microsoft-Windows-ActiveDirectory_DomainService
    1125Active Directory 域服务安装向导 (Dcpromo) 无法建立与下面的域控制器的连接。

    NTDS 复制
    (此事件中将列出三个部分构成 SPN)

    1645因为目标域控制器所需的服务主体名称 (SPN) 尚未注册 SPN 解析的密钥分发中心 (KDC) 域控制器上,active Directory 未经过身份验证的远程过程调用 (RPC) 执行到另一个域控制器。
    Microsoft-Windows-ActiveDirectory_DomainService1655Active Directory 域服务试图与以下全局编录通信,则尝试未成功。
    Microsoft-Windows-ActiveDirectory_DomainService2847知识一致性检查器位于本地只读目录服务复制连接并尝试重新在下列目录服务实例远程更新。 操作失败。 将重试。
    NTDS KCC1925未能建立下面的可写目录分区的复制链接。

    NTDS KCC1926尝试与失败的下列参数建立复制链接到只读目录分区。
    NETLOGON 5781服务器无法在 DNS 中注册其名称

    其他症状包括︰

  5. Dcpromo 失败并出现在屏幕上的错误︰
    ---------------------------
    Active Directory 安装失败
    ---------------------------
    操作失败,因为︰
    目录服务未能创建服务器对象为 CN = NTDS 设置,CN = ServerBeingPromoted,CN = 服务器,CN = 网站中,CN = 站点,CN = 配置中,DC = contoso,DC = com 服务器 ReplicationSourceDC.contoso.com 上。请确保
    提供的网络凭据有足够的访问权添加副本。
    "登录失败︰ 该目标帐户名称不正确。"
    ---------------------------
    OK  
    ---------------------------
    在这种情况下,事件 ID 1645、 1168 和 1125年都记录在正在升级的服务器。

  6. 使用 net use 将驱动器映射
    C:\ > 网络使用 z: \\ < 服务器名称 > \c$
    发生了系统错误 1396年。
    登录失败︰ 该目标帐户名称不正确。
    在这种情况下,服务器也在系统事件日志中记录事件 ID 333 并使用 SQL Server 时使用大量虚拟内存。

  7. DC 时间不正确。

  8. KDC 无法启动在 RODC 上 krbtgt 帐户还原后的 rodc,已经被删除。使用第三方在恢复之后恢复工具,1396年出错。
    在 RODC 上记录了事件 ID 1645。
    Dcdiag 还报告它无法更新此 RODC krbtgt 帐户的错误。

原因


存在多个根本原因。已知的根本原因包括︰

  1. 全局编录搜索 kdc 代表试图使用 Kerberos 进行身份验证的客户端上不存在该 SPN。

    在 Active Directory 复制环境,Kerberos 客户端目标 DC,KDC 执行 SPN 查找可能是目标本身的 DC,但可能是远程 DC。

  2. 代表目标 DC 试图复制由 KDC 搜索全局编录上不存在的用户或服务帐户应包含正在查找的服务主体名称

    在 Active Directory 复制上下文中,源 DC 的计算机帐户不存在在代表目标 DC 执行入站复制搜索域控制器的全局编录。

  3. 目标 DC 缺少 LSA 机密的源域控制器的域。

  4. 在其他计算机帐户比源 DC 上存在所查阅的 SPN。
  5. 有关复制到 RODC 的故障位置的问题,RODC 特有 KRBTGT 帐户可能已被删除。

解决方案


  1. 检查复制 NTDS 事件 1645年目标 DC 上的目录服务事件日志,请注意以下

    目标 DC 的名称
    SPN 所查阅 (E3514235-4B06-11D1-AB04-00C04FC2DCD2 / < 对象 guid 的源域控制器的 NTDS 设置对象 > / < 目标域 >。 < tld > @< 目标域 >。 < tld >
    KDC 正由目标 DC

  2. 在步骤 1 中标识的 KDC 控制台上键入︰ nltest /dsgetdc: < 目录林根 DNS 域名称 > /gc

    运行 NLTEST 定位器测试紧跟无法 1396年错误目标 DC 上的复制尝试。
    这应能识别 KDC 正在执行针对 SPN 查找该 GC
    正在搜索 kdc GC 也可能在 Microsoft 的 Windows ActiveDirectory_DomainService 事件 1655 captued。

  3. 在步骤 1 中发现的 SPN 搜索全局编录在步骤 2 中发现

    C:\ > repadmin /showattr服务器名称DC = corp,DC = contoso,dc = com < GC 使用 KDC 的 >< 目录林根域的 DN 路径 > /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)"/gc /subtree /atts:cn、 serviceprincipalname



    C:\ > dsquery * forestroot-作用域子树-筛选器"(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*)"attr *-s服务器名。 europe.corp.microsoft.com

    验证存在该 SPN 的主机对象
    验证主机对象包括,无论对象是 CNF / 冲突出错或丢失的与找到容器中驻留的 DN 路径。
    验证只能在源域控制器的计算机帐户已注册的源 Dc AD 复制 SPN

    如果缺少 replicaiton SPN,则确定是否源 DC 注册的 SPN 与其本身,以及是否缺少 GC 使用简单复制延迟或复制故障由于 KDC 上的 SPN 设置

  4. 检查安全通道运行状况并信任运行状况

 

此表列出了其他故障现象、 原因和解决方法︰

症状原因解决方案

域控制器无法正常工作和权威性地还原了位于同一域中记录事件 ID 1925 和 1411 Windows Server 2008 的域控制器和 Windows Server 2003 的域控制器上。

因为 KRBTGT 帐户的版本号将增加执行一次权威性还原时,会出现这些问题。该 KRBTGT 帐户是 Kerberos 密钥分发中心 (KDC) 服务使用的服务帐户。 

在这种情况下,您可能需要将939820中的修补程序应用于 Windows Server 2003 的域控制器。请参阅2000948http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

使用 net use 将驱动器映射
C:\Documents 和 Settings\wschong > 网络使用 z: \\ < 服务器名称 > \c$

发生了系统错误 1396年。
登录失败︰ 该目标帐户名称不正确。
在这种情况下,日志记录事件 ID 333,较高的内存,使用最高使用的 SQL Server 服务器。

如果映射驱动器使用网络使用时出现错误,原因可能是非分页内存或页面缓冲池内存是暂时不足。系统保留此类事件的记录直到计算机重新启动,或者相关的配置单元将卸载,即使临时内存不足停止的情况下。有关 SQL Server 性能问题的详细信息,请参阅SQL Server 2005 中的故障诊断性能问题为了防止系统不断地在未来记录该事件 333,请在服务器上应用此修复程序 970054,并将以下注册表值设置为 1:

位置︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session 管理器
名称︰ RegistryFlushErrorSubside
类型︰ REG_DWORD
值︰ 1 或 2
DC 时间不正确。
DC 是虚拟机的设置来同步时间与 VMware 主机,导致事件 1925,1645年。未选中的选项,以便它可以同步时间与 PDC 上的从 VMWare 主机的虚拟直流同步时间。
Dcpromo 失败并出现在屏幕上的错误︰
---------------------------
Active Directory 安装失败
---------------------------
操作失败,因为︰
目录服务未能创建服务器对象为 CN = NTDS 设置,CN = ServerBeingPromoted,CN = 服务器,CN = 网站中,CN = 站点,CN = 配置中,DC = contoso,DC = com 服务器 ReplicationSourceDC.contoso.com 上。请确保
提供的网络凭据有足够的访问权添加副本。
"登录失败︰ 该目标帐户名称不正确。"
---------------------------
OK  
---------------------------
在这种情况下,事件 ID 1645、 1168 和 1125年都记录在正在升级的服务器。
在 dcpromo 过程帮助器直流 (复制源 DC) 上的 SPN 设置无效。

对于 dcpromo 其中帮助器直流 SPN 是无效错误,使用 SetSPN 在 GC/serverName.contoso.com 格式的助手 DC 上创建新的 SPN

详细信息


其他原因包括︰

5.事件 ID 1925 可以出现在 Windows Server 2008 的域控制器和被权威性地还原的 Windows Server 2003 域控制器处在相同的域上。在这种情况下,您可能需要将939820中的修补程序应用于 Windows Server 2003 的域控制器。请参阅2000948http://blogs.technet.com/b/instan/archive/2009/07/30/problems-with-introducing-a-new-windows-server-2008-dc-into-a-windows-2003-forest.aspx?wa=wsignin1.0

有关更多详细信息︰ 请参见内部文章2278126 ADREPL: AD 复制将失败,并错误 1396年 10 小时后重新启动

6.在 dcpromo,帮助器直流 (复制源 DC) 上的 SPN 设置无效。

7.如果映射使用 net use 一个驱动器时出现错误,原因可能是非分页内存或页面缓冲池内存是暂时不足。系统保留此类事件的记录直到计算机重新启动,或者相关的配置单元将卸载,即使临时内存不足停止的情况下。有关 SQL Server 性能问题的详细信息,请参阅SQL Server 2005 中的故障诊断性能问题

8.该 DC 是虚拟机设置来同步时间与 VMware 主机,导致事件 1925,1645年。

9.为 RODC 特定情况下删除该 KRBTGT 帐户的位置︰ 使用 NTDSUTIL KRBTGT_ # # # 帐户执行权威性恢复,然后导入 LDIFDE 文件来更正反向链接。 至少,RODC 计算机对象上的 msDS KrbTgtLink 属性将需要被更新以指向还原帐户的 DN。