Error de replicación de Active Directory -2146893022 (0x80090322): el nombre de la entidad de seguridad de destino es incorrecto

  • Artículo

En este artículo se describe cómo solucionar un problema en el que se produce un error en la replicación de Active Directory y se genera un error (-2146893022: El nombre principal de destino es incorrecto).

Se aplica a: Windows Server (todas las versiones admitidas)
Número de KB original: 2090913

Nota:

Usuarios domésticos: Este artículo solo está pensado para agentes de soporte técnico y profesionales de TI. Si busca ayuda con un problema, pregunte a la comunidad de Microsoft.

Resumen

Este error se produce cuando el controlador de dominio de origen no descifra el vale de servicio proporcionado por el controlador de dominio de destino (destino).

Causa principal

El controlador de dominio de destino recibe un vale de servicio de un Centro de distribución de claves kerberos (KDC). Y el KDC tiene una versión anterior de la contraseña para el controlador de dominio de origen.

Resolución superior

  1. Detenga el servicio KDC en el controlador de dominio de destino. Para ello, ejecute el siguiente comando en un símbolo del sistema:

    net stop KDC

  2. Inicie la replicación en el controlador de dominio de destino desde el controlador de dominio de origen. Use sitios y servicios de AD o Repadmin.

    Mediante repadmin:

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC

    Por ejemplo, si se produce un error en la replicación en ContosoDC2.contoso.com, ejecute el siguiente comando en ContosoDC1.contoso.com:

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"

  3. Inicie el servicio KDC de Kerberos en el controlador de dominio de destino ejecutando el siguiente comando:

    net start KDC

Si no resuelve el problema, consulte la sección Resolución para obtener una solución alternativa en la que use el netdom resetpwd comando para restablecer la contraseña de la cuenta de equipo del controlador de dominio de origen. Si estos pasos no resuelven el problema, revise el resto de este artículo.

Síntomas

Cuando se produce este problema, experimenta uno o varios de los síntomas siguientes:

  • DCDIAG informa de que la prueba de replicación de Active Directory ha producido un error y ha devuelto el error -2146893022: El nombre principal de destino es incorrecto.

    [Comprobación de las replicaciones,<Nombre del controlador de> dominio] Error en un intento de replicación reciente:
    Del controlador de dominio> de origen al <controlador de dominio de <destino>
    Contexto de nomenclatura: <ruta de acceso DN de la partición de directorio>
    La replicación generó un error (-2146893022):
    El nombre principal de destino es incorrecto.
    El error se produjo en la <fecha><y hora>.
    La última operación correcta se produjo en la <fecha><y hora>.
    <Se han producido errores X> desde el último éxito.

  • Repadmin.exe informa de que se produjo un error en un intento de replicación e informa de un estado de -2146893022 (0x80090322).

    Repadmin Los comandos que suelen indicar el estado -2146893022 (0x80090322) incluyen, entre otros, los siguientes:

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SYNCALL

      La salida de ejemplo de REPADMIN /SHOWREPS y REPADMIN /SYNCALL que indican que el nombre principal de destino es un error incorrecto es el siguiente:

      c:\> repadmin /showreps  
<site name>\<destination DC>
DC Options: IS_GC
Site Options: (none)
DC object GUID: <NTDS settings object object GUID>
DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>

==== INBOUND NEIGHBORS ======================================

DC=<DN path for directory partition>
     <site name>\<source DC via RPC
         DC object GUID: <source DCs ntds settings object object guid>
         Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
The target principal name is incorrect.
         <X #> consecutive failure(s).
         Last success @ <date> <time>.

c:\> repadmin /syncall /Ade
Syncing all NC's held on localhost.
Syncing partition: DC=<Directory DN path>
CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):

  • El comando replica now en Sitios y servicios de Active Directory devuelve el siguiente mensaje de error:
    El nombre de la entidad de seguridad de destino es incorrecto

    Se produce un error al hacer clic con el botón derecho en el objeto de conexión de un controlador de dominio de origen y, a continuación, seleccionar Replicar . El mensaje de error en pantalla es el siguiente:

    Texto del título del cuadro de diálogo: Replicar ahora
    Texto del mensaje de diálogo: se produjo el siguiente error durante el intento de ponerse en contacto con el nombre> del controlador de dominio de origen del controlador <de dominio:
    El nombre de la entidad de seguridad de destino es incorrecto
    Botones en el cuadro de diálogo: Aceptar

    • Los eventos NTDS Knowledge Consistency Checker (KCC), NTDS General o Microsoft-Windows-ActiveDirectory_DomainService que tienen el estado -2146893022 se registran en el registro de eventos del servicio de directorio.

      Los eventos de Active Directory que suelen citar el estado -2146893022 incluyen, entre otros, los siguientes:

      Origen del evento Id. de evento Cadena de evento
      Replicación NTDS 1586 El punto de comprobación de replicación de Windows NT 4.0 o anterior con el maestro del emulador de PDC no se pudo realizar correctamente.

      Se puede realizar una sincronización completa de la base de datos del administrador de cuentas de seguridad (SAM) con controladores de dominio que ejecutan Windows NT 4.0 y versiones anteriores si el rol maestro del emulador de PDC se transfiere al controlador de dominio local antes del siguiente punto de comprobación correcto.
      NTDS KCC 1925 Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
      NTDS KCC 1308 El Comprobador de coherencia de conocimiento (KCC) ha detectado que se han producido errores constantes en los intentos sucesivos de replicar con el siguiente controlador de dominio.
      Microsoft-Windows-ActiveDirectory_DomainService 1926 Error al intentar establecer un vínculo de replicación a una partición de directorio de solo lectura con los parámetros siguientes
      Mensajería entre sitios NTDS 1373 El servicio de mensajería entre sitios no pudo recibir ningún mensaje para el siguiente servicio a través del siguiente transporte. Error en la consulta de mensajes.

Causa

El código de error -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL no es un error de Active Directory. Los siguientes componentes de capa inferior pueden devolverlo para diferentes causas raíz:

  • RPC
  • Kerberos
  • SSL
  • LSA
  • NTLM

Los errores de Kerberos asignados por código de Windows a -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL incluyen:

  • KRB_AP_ERR_MODIFIED (0x29/KRB_APP_ERR_MODIFIED decimal/ 41)
  • KRB_AP_ERR_BADMATCH (0x24h/36 decimal/"Ticket and authenticator don't match")
  • KRB_AP_ERR_NOT_US (0x23h/35 decimal/"El vale no es para nosotros")

Algunas causas raíz específicas de -2146893022\0x80090322\SEC_E_WRONG_PRINCIPAL incluyen:

  • Asignación de nombre a IP incorrecta en archivos DNS, WINS, HOST o LMHOST. Hizo que el controlador de dominio de destino se conectara al controlador de dominio de origen incorrecto en un dominio Kerberos diferente.

  • El KDC y el controlador de dominio de origen tienen diferentes versiones de la contraseña de la cuenta de equipo del controlador de dominio de origen. Por lo tanto, el equipo de destino de Kerberos (controlador de dominio de origen) no pudo descifrar los datos de autenticación Kerberos enviados por el cliente Kerberos (controlador de dominio de destino).

  • El KDC no pudo encontrar un dominio para buscar el SPN del controlador de dominio de origen.

  • Los datos de autenticación en marcos cifrados kerberos se modificaron mediante hardware (incluidos los dispositivos de red), software o un atacante.

Solución

  • Ejecución dcdiag /test:checksecurityerror en el controlador de dominio de origen

    Es posible que falten SPN, no sean válidos o estén duplicados debido a una latencia de replicación sencilla, especialmente después de la promoción o los errores de replicación.

    Los SPN duplicados pueden hacer que el SPN incorrecto asigne nombres.

    DCDIAG /TEST:CheckSecurityError puede comprobar si faltan o duplican SPN y otros errores.

    Ejecute este comando en la consola de todos los controladores de dominio de origen que no pueden realizar la replicación saliente con el error de SEC_E_WRONG_PRINCIPAL .

    Puede comprobar el registro de SPN en una ubicación específica mediante la sintaxis siguiente:

    dcdiag /test:checksecurityerror replsource:<remote dc>

  • Compruebe que el tráfico de red cifrado de Kerberos alcanzó el destino kerberos previsto (asignación de nombre a IP)

    Imagine la siguiente situación:

    • Los controladores de dominio de destino de Active Directory de replicación entrante buscan en su copia local del directorio el objetoGUID de los objetos ntds settings de controladores de dominio de origen.

    • Los controladores de dominio consultan al servidor DNS activo para obtener un registro CNAME GUIADO por DC coincidente. A continuación, se asigna a un registro A/AAAA de host que contiene la dirección IP del controlador de dominio de origen.

      En este escenario, Active Directory ejecuta una reserva de resolución de nombres. Incluye consultas para nombres de equipo completos en DNS o nombres de host de etiqueta única en WINS.

      Nota:

      Los servidores DNS también pueden realizar búsquedas WINS en escenarios de reserva.

Las situaciones siguientes pueden hacer que un controlador de dominio de destino envíe tráfico cifrado por Kerberos al destino kerberos incorrecto:

  • Objetos de configuración NTDS obsoletos
  • Asignaciones de nombre a IP incorrectas en registros de host DNS y WINS
  • Entradas obsoletas en archivos HOST

Para comprobar esta condición, realice un seguimiento de red o compruebe manualmente que las consultas de nombres DNS/NetBIOS se resuelven en el equipo de destino previsto.

Método 1: Método de seguimiento de red (analizado por Network Monitor 3.3.1641 con analizadores predeterminados completos habilitados)

En la tabla siguiente se muestra una sinopsis del tráfico de red que se produce cuando la entrada DC1 de destino replica el directorio de Active Directory desde dc2 de origen.

F# FUENTE DEST Protocolo Frame Comentario
1 DC1 DC2 MSRPC MSRPC:c/o Request: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 Dest DC RPC call to EPM on source DC over 135 (Dest DC RPC call to EPM on source DC over 135
2 DC2 DC1 MSRPC MSRPC:c/o Response: unknown Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 Respuesta de EPM al llamador rpc
3 DC1 DC2 MSRPC MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 Solicitud de enlace RPC a E351... UUID del servicio
4 DC2 DC1 MSRPC MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Respuesta de enlace RPC
5 DC1 KDC KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COMSname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com Solicitud de TGS para el SPN de replicación del controlador de dominio de origen. Esta operación no aparecerá en la conexión del controlador de dominio de destino que se usa como KDC.
6 KDC DC1 KerberosV5 KerberosV5:TGS Response Cname: CONTOSO-DC1$ Respuesta de TGS al controlador de dominio de destino contoso-dc1. Esta operación no aparecerá en la conexión del controlador de dominio de destino que se usa como KDC.
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Solicitud de AP
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Respuesta de AP.
Obtención de detalles en el marco 7 Obtención de detalles en el marco 8 Comentarios
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 se conecta al servicio de replicación de AD en DC2 a través del puerto devuelto por EPM en DC2.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0 Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, Packet ID = 31546, Total IP Length = 278 Compruebe que el Dest controlador de dominio de origen de replicación de AD (denominado equipo de la primera columna y equipo Src de la columna 2 posee la dirección IP citada en el seguimiento. Está x.x.x.35 en este ejemplo.
Vale: Realm: CONTOSO.COM, Sname: E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

Realm: <compruebe que el dominio devuelto por el controlador de dominio de origen coincide con el dominio kerberos previsto por el controlador> de dominio de destino.

Sname:<compruebe que en las sName coincidencias de respuesta AP contiene el nombre de host del controlador de dominio de origen previsto y NO otro controlador de dominio al que el destino ha resuelto incorrectamente debido a un problema> de asignación de nombre a ip incorrecto.		 En la columna 1, tenga en cuenta el dominio del dominio kerberos de destino, seguido contoso.com del SPN de replicación de controladores de dominio de origen (Sname) que consta del UUID del servicio de replicación de Active Directory (E351...) concatenado con el GUID de objeto del objeto de configuración NTDS de controladores de dominio de origen.

El valor GUIDED 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 a la derecha del E351... UUID del servicio de replicación es el GUID de objeto para el objeto de configuración NTDS de controladores de dominio de origen. Actualmente se define en la copia de controladores de dominio de destino de Active Directory. Compruebe que este GUID de objeto coincide con el valor del campo GUID del objeto DSA cuando repadmin /showreps se ejecuta desde la consola del controlador de dominio de origen.

nslookup O ping de los controladores de dominio de origen completos CNAME concatenados with_msdcs.<El nombre> DNS raíz del bosque de la consola del controlador de dominio de destino debe devolver la dirección IP actual de los controladores de dominio de origen:

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

En la respuesta que se muestra en la columna 2, céntrese en el Sname campo y compruebe que contiene el nombre de host del controlador de dominio de origen de replicación de AD.

Las asignaciones de nombre a IP incorrectas podrían hacer que el controlador de dominio de destino se conectara a un controlador de dominio en un dominio de destino no válido, lo que provocaría que el valor realm no fuera válido, como se muestra en este caso. Las asignaciones incorrectas de host a IP podrían hacer que DC1 se conecte a DC3 en el mismo dominio. Seguiría generando KRB_AP_ERR_MODIFIED, pero el nombre del dominio en el marco 8 coincidiría con el dominio del marco 7.

Método 2: Comprobación de asignación de nombre a IP (sin usar un seguimiento de red)

Desde la consola del controlador de dominio de origen:

Get-Help Comentario
IPCONFIG /ALL |MORE Nota Dirección IP de la NIC usada por los controladores de dominio de destino
REPADMIN /SHOWREPS |MORE Valor de nota del GUID del objeto DSA. Denota el GUID del objeto para el objeto de configuración NTDS de controladores de dominio de origen en la copia de controladores de dominio de origen de Active Directory.

Desde la consola del controlador de dominio de destino:

Get-Help Comentario
IPCONFIG /ALL |MORE Tenga en cuenta los servidores DNS principal, secundario y terciario configurados que el controlador de dominio de destino podría consultar durante las búsquedas dns.
REPADMIN /SHOWREPS |MORE En la sección Vecinos entrantes de la repadmin salida, busque el estado de replicación donde el controlador de dominio de destino replica una partición común del controlador de dominio de origen en cuestión.

El GUID del objeto DSA que aparece para el controlador de dominio de origen en la sección de estado de replicación del informe debe coincidir con el GUID del objeto que aparece en el /showreps encabezado cuando se ejecuta en la consola del controlador de dominio de origen.
IPCONFIG /FLUSHDNS Borrar la caché de cliente DNS
Empezar>Ejecutar>Bloc
%systemroot%\system32\drivers\etc\hosts		 Compruebe si hay asignaciones de host a IP que hacen referencia a la etiqueta única de controladores de dominio de origen o al nombre DNS completo. Quite si está presente. Guarde los cambios en el archivo HOST.

Ejecute Nbtstat -R (R en mayúscula) para actualizar la caché de nombres netBIOS.
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

Repita la operación para cada dirección IP de servidor DNS adicional configurada en el controlador de dominio de destino.

Ejemplo: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103		 Compruebe que la dirección IP devuelta coincide con la dirección IP del controlador de dominio de destino que se ha registrado anteriormente desde la consola del controlador de dominio de origen.

Repita la operación para todas las direcciones IP de servidores DNS configuradas en el controlador de dominio de destino.
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> Compruebe si hay registros de host A duplicados en todas las direcciones IP del servidor DNS configuradas en el controlador de dominio de destino.
nbtstat -A <IP address of DNS Server IP returned by nslookup> Debe devolver el nombre del controlador de dominio de origen.

Nota:

Una solicitud de replicación que se dirige a un controlador que no es de dominio (debido a una asignación de nombre a IP incorrecta) o a un controlador de dominio que no tiene actualmente el E351... UUID de servicio registrado con el asignador de puntos de conexión devuelve el error 1753: No hay más puntos de conexión disponibles con el asignador de puntos de conexión.

El destino kerberos no puede descifrar los datos autenticados de Kerberos debido a una falta de coincidencia de contraseña.

Este problema puede producirse si la contraseña del controlador de dominio de origen difiere entre el KDC y la copia del controlador de dominio de origen del directorio de Active Directory. La copia del controlador de dominio de destino de la contraseña de la cuenta de equipo del controlador de dominio de origen puede estar obsoleta si no se usa como KDC.

Los errores de replicación pueden impedir que los controladores de dominio tengan un valor de contraseña actual para los controladores de dominio de un dominio determinado.

Cada controlador de dominio ejecuta el servicio KDC para su dominio. Para las mismas transacciones de dominio, un controlador de dominio de destino favorece la obtención de vales kerberos de sí mismo. Sin embargo, puede obtener un vale de un controlador de dominio remoto. Las referencias se usan para obtener vales kerberos de otros reinos.

El NLTEST /DSGETDC:<DNS domain of target domain> /kdc comando que se ejecuta en un símbolo del sistema con privilegios elevados en muy proximidad a un error de SEC_E_WRONG_PRINCIPAL se puede usar para identificar rápidamente qué KDC tiene como destino un cliente Kerberos.

La manera definitiva de determinar de qué controlador de dominio obtuvo un vale un cliente Kerberos es realizar un seguimiento de red. La falta de tráfico Kerberos en un seguimiento de red puede indicar lo siguiente:

  • El cliente Kerberos ya ha adquirido vales.
  • Está sacando boletos de sí mismo.
  • La aplicación de seguimiento de red no analiza correctamente el tráfico Kerberos.

Los vales de Kerberos para la cuenta de usuario que ha iniciado sesión se pueden purgar en un símbolo del sistema con privilegios elevados mediante el KLIST purge comando .

Los vales de Kerberos para la cuenta del sistema que usa la replicación de Active Directory se pueden purgar sin reiniciar mediante KLIST -li 0x3e7 purge.

Los controladores de dominio se pueden hacer para usar otros controladores de dominio deteniendo el servicio KDC en un controlador de dominio local o remoto.

Use REPADMIN /SHOWOBJMETA para comprobar las diferencias obvias de número de versión en los atributos relacionados con contraseña (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) para el controlador de dominio de origen en la copia del controlador de dominio de origen y del controlador de dominio de destino del directorio de Active Directory.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>

C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

El comando netdom resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> que se ejecuta en un símbolo del sistema con privilegios elevados en la consola del controlador de dominio que requiere un restablecimiento de contraseña se puede usar para restablecer las contraseñas de cuenta de máquina del controlador de dominio.

Solución de problemas de escenarios específicos

  • Vuelva a realizar los pasos para la asignación de host a IP incorrecta que hace que el controlador de dominio de destino extraiga de un origen incorrecto.

    1. Promover \\dc1 + \\DC2 + \\DC3 en el contoso.com dominio. La replicación de un extremo a otro se produce sin errores.

    2. Detenga el KDC en \\DC1 y \\DC2 para forzar el tráfico Kerberos desactivado que se puede observar en un seguimiento de red. La replicación de un extremo a otro se produce sin errores.

    3. Cree una entrada de archivo host para \\DC2 que apunte a la dirección IP de un controlador de dominio en un bosque remoto. Se trata de simular una asignación de host a IP incorrecta en un registro A/AAAA de host, o quizás un objeto NTDS Settings obsoleto en la copia del controlador de dominio de destino del directorio de Active Directory.

    4. Inicie Sitios y servicios de Active Directory en la consola de \\DC1. Haga clic con el botón derecho en el objeto de conexión entrante \\DC1 de \\DC2 y observe que el nombre de la cuenta de destino es un error de replicación incorrecto .

  • Pasos de reproducción para una falta de coincidencia de contraseña del controlador de dominio de origen entre KDC y el controlador de dominio de origen.

    1. Promover \\dc1 + \\DC2 + \\DC3 en el contoso.com dominio. La replicación de un extremo a otro se produce sin errores.

    2. Detenga el KDC en \\DC1 y \\DC2 para forzar el tráfico Kerberos desactivado que se puede observar en el seguimiento de red. La replicación de un extremo a otro se produce sin errores.

    3. Deshabilitación de la replicación entrante en KDC \\DC3 para simular un error de replicación en el KDC.

    4. Restablezca la contraseña de la cuenta de equipo en \\DC2 tres o más veces para que \\DC1 y \\DC2 tengan la contraseña actual para \\DC2.

    5. Inicie Sitios y servicios de Active Directory en la consola de \\DC1. Haga clic con el botón derecho en el objeto de conexión entrante \\DC1 de \\DC2 y observe que el nombre de la cuenta de destino es un error de replicación incorrecto .

  • Registro de cliente RPC de DS

    Establezca NTDS\Diagnostics Loggings\DS RPC Client = 3. Desencadenar replicación. Busque evento de categoría de tarea 1962 + 1963. Tenga en cuenta el completo que cname aparece en el campo servicio de directorio . El controlador de dominio de destino debe poder hacer ping a este registro y hacer que la dirección devuelta se asigne a la dirección IP actual del controlador de dominio de origen.

  • Flujo de trabajo de Kerberos

    El flujo de trabajo de Kerberos incluye las siguientes acciones:

    • El equipo cliente llama a la función IntializeSecurityContext y especifica el proveedor de soporte técnico de seguridad Negotiate (SSP).

    • El cliente se pone en contacto con el KDC con su TGT y solicita un vale de TGS para el controlador de dominio de destino.

    • El KDC busca un origen (e351 o nombre de host) en el catálogo global en el dominio del controlador de dominio de destino.

    • Si el controlador de dominio de destino está en el dominio del controlador de dominio de destino, el KDC proporciona al cliente un vale de servicio.

    • Si el controlador de dominio de destino está en un dominio diferente, el KDC proporciona al cliente un vale de referencia.

    • El cliente se pone en contacto con un KDC en el dominio del controlador de dominio de destino y solicita un vale de servicio.

    • Si el SPN del controlador de dominio de origen no existe en el dominio, recibirá un error de KDC_ERR_S_PRINCIPAL_UNKNOWN .

    • El controlador de dominio de destino se pone en contacto con el destino y presenta su vale.

    • Si el controlador de dominio de destino posee el nombre en el vale y puede descifrarlo, la autenticación funciona.

    • Si el controlador de dominio de destino hospeda el UUID del servicio de servidor RPC, el error de KRB_AP_ERR_NOT_US o KRB_AP_ERR_MODIFIED kerberos en conexión se reasigna al siguiente:

      -2146893022 decimal / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "El nombre principal de destino es incorrecto"

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.