Errore di replica di Active Directory -2146893022: Il nome dell'entità di destinazione non è corretto

In questo articolo viene descritto come risolvere un problema in cui la replica di Active Directory ha esito negativo e viene generato un errore (-2146893022: il nome dell'entità di destinazione non è corretto).

Si applica a:   Windows Server 2012 R2
Numero KB originale:   2090913

Nota

Utenti di casa: Questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si desidera assistenza per un problema, rivolgersi a Microsoft Community.

Riepilogo

Questo errore si verifica quando il controller di dominio di origine non decrittografa il ticket di servizio fornito dal controller di dominio di destinazione (di destinazione).

Causa principale

Il controller di dominio di destinazione riceve un ticket di servizio da un Centro distribuzione chiavi Kerberos (KDC). Inoltre, il KDC ha una versione precedente della password per il controller di dominio di origine.

Risoluzione superiore

  1. Arrestare il servizio KDC nel controller di dominio di destinazione. A tale scopo, eseguire il comando seguente al prompt dei comandi:

    net stop KDC
    
  2. Avviare la replica nel controller di dominio di destinazione dal controller di dominio di origine. Utilizzare Siti e servizi di Active Directory o Repadmin .

    Utilizzo repadmin di :

    Repadmin /replicate destinationDC sourceDC DN_of_Domain_NC
    

    Ad esempio, se la replica ha esito negativo ContosoDC2.contoso.com su , eseguire il comando seguente in ContosoDC1.contoso.com :

    Repadmin /replicate ContosoDC2.contoso.com ContosoDC1.contoso.com "DC=contoso,DC=com"
    
  3. Avviare il servizio KDC Kerberos nel controller di dominio di destinazione eseguendo il comando seguente:

    net start KDC
    

Se il problema non viene risolto, vedere la sezione Risoluzione per una soluzione alternativa in cui si utilizza il comando per reimpostare la password dell'account computer del controller di netdom resetpwd dominio di origine. Se questi passaggi non risolvono il problema, leggere il resto di questo articolo.

Sintomi

Quando si verifica questo problema, si verifica uno o più dei sintomi seguenti:

  • DCDIAG segnala che il test delle repliche di Active Directory non è riuscito e ha restituito l'errore -2146893022: Il nome dell'entità di destinazione non è corretto.

    [Controllo repliche, <DC Name> ] Un tentativo di replica recente non è riuscito:
    Da <source DC> a <destination DC>
    Contesto dei nomi: <DN path of directory partition>
    La replica ha generato un errore (-2146893022):
    Il nome dell'entità di destinazione non è corretto.
    L'errore si è verificato in <date> <time> .
    L'ultimo esito positivo si è verificato in <date> <time> .
    <X> si sono verificati errori dall'ultimo esito positivo.

  • Repadmin.exe segnala che un tentativo di replica non è riuscito e segnala lo stato -2146893022 (0x80090322).

    Repadmin i comandi che in genere indicano lo stato -2146893022 (0x80090322) includono ma non sono limitati ai seguenti:

    • DMIN /REPLSUMREPA

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPL

    • REPADMIN /SYNCALL

      L'output di REPADMIN /SHOWREPS esempio da e che indicano che il nome REPADMIN /SYNCALL dell'entità di destinazione non è corretto è il seguente:

      c:\> repadmin /showreps  
      <site name>\<destination DC>
      DC Options: IS_GC
      Site Options: (none)
      DC object GUID: <NTDS settings object object GUID>
      DChttp://bemis/13/Pages/2090913_en-US.aspx invocationID: <invocation ID string>
      
      ==== INBOUND NEIGHBORS ======================================
      
      DC=<DN path for directory partition>
           <site name>\<source DC via RPC
               DC object GUID: <source DCs ntds settings object object guid>
               Last attempt @ <date> <time> failed, result -2146893022 (0x80090322):
      The target principal name is incorrect.
               <X #> consecutive failure(s).
               Last success @ <date> <time>.
      
      c:\> repadmin /syncall /Ade
      Syncing all NC's held on localhost.
      Syncing partition: DC=<Directory DN path>
      CALLBACK MESSAGE: Error contacting server CN=NTDS Settings,CN=<server name>,CN=Servers,CN=<site name>,CN=Sites,CN=Configuration,DC=<forest root domain> (network error): -2146893022 (0x80090322):
      
  • Il comando replica ora in Siti e servizi di Active Directory restituisce il seguente messaggio di errore:
    Il nome dell'entità di destinazione non è corretto

    Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e quindi scegliere Replica ora ha esito negativo. Il messaggio di errore su schermo è il seguente:

    Testo del titolo della finestra di dialogo: Replica ora
    Testo del messaggio della finestra di dialogo: Si è verificato l'errore seguente durante il tentativo di contattare il controller di <source DC name> dominio:
    Il nome dell'entità di destinazione non è corretto
    Pulsanti nella finestra di dialogo: OK

  • Gli eventi NTDS Knowledge Consistency Checker (KCC), NTDS Generale o Microsoft-Windows-ActiveDirectory_DomainService con stato -2146893022 vengono registrati nel registro eventi del servizio directory.

    Gli eventi di Active Directory che comunemente cita lo stato -2146893022 includono, ma non sono limitati ai seguenti:

    Origine evento ID evento Stringa evento
    Replica NTDS 1586 Il Windows NT di replica 4.0 o precedente con il master emulatore PDC non è riuscito.

    Una sincronizzazione completa del database di gestione degli account di sicurezza (SAM) con i controller di dominio che eseguono Windows NT 4.0 e versioni precedenti potrebbe avere luogo se il ruolo di master emulatore PDC viene trasferito al controller di dominio locale prima del successivo checkpoint corretto.
    NTDS KCC 1925 Il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile seguente non è riuscito.
    NTDS KCC 1308 Controllo di coerenza informazioni (KCC, Knowledge Consistency Checker) ha rilevato che i tentativi successivi di replica con il controller di dominio seguente non sono riusciti in modo coerente.
    Microsoft-Windows-ActiveDirectory_DomainService 1926 Il tentativo di stabilire un collegamento di replica a una partizione di directory di sola lettura con i parametri seguenti non è riuscito
    Messaggistica tra siti NTDS 1373 Il servizio Messaggistica tra siti non è stato in grado di ricevere messaggi per il servizio seguente tramite il trasporto seguente. La query per i messaggi non è riuscita.

Causa

Il codice di errore -2146893022 0x80090322 \ \ SEC_E_WRONG_PRINCIPAL non è un errore di Active Directory. Può essere restituito dai componenti di livello inferiore seguenti per cause radice diverse:

  • RPC
  • Kerberos
  • SSL
  • LSA
  • NTLM

Gli errori Kerberos mappati Windows codice a -2146893022 0x80090322 \ \ SEC_E_WRONG_PRINCIPAL includono:

  • KRB_AP_ERR_MODIFIED (0x29 / 41 / decimali KRB_APP_ERR_MODIFIED)
  • KRB_AP_ERR_BADMATCH (0x24h / 36 / decimale "Ticket e autenticatore non corrispondono")
  • KRB_AP_ERR_NOT_US (0x23h / 35 / decimale "Il ticket non fa per noi")

Alcune cause radice specifiche per -2146893022 0x80090322 \ \ SEC_E_WRONG_PRINCIPAL includono:Some specific root causes for -2146893022 0x80090322 SEC_E_WRONG_PRINCIPAL include:

  • Mapping da nome a IP non valido nel file DNS, WINS, HOST o LMHOST. Ha causato la connessione del controller di dominio di destinazione al controller di dominio di origine errato in un'area di autenticazione Kerberos diversa.

  • Il KDC e il controller di dominio di origine hanno versioni diverse della password dell'account computer del controller di dominio di origine. Il computer di destinazione Kerberos (controller di dominio di origine) non è stato in grado di decrittografare i dati di autenticazione Kerberos inviati dal client Kerberos (controller di dominio di destinazione).

  • Il KDC non è riuscito a trovare un dominio per cercare l'SPN del controller di dominio di origine.

  • I dati di autenticazione nei frame crittografati Kerberos sono stati modificati dall'hardware (inclusi i dispositivi di rete), dal software o da un utente malintenzionato.

Risoluzione

  • Esecuzione dcdiag /test:checksecurityerror nel controller di dominio di origine

    Gli SPN potrebbero essere mancanti, non validi o duplicati a causa di latenza di replica semplice, in particolare a seguito di promozioni o errori di replica.

    I nomi SPN duplicati possono causare mapping di nomi SPN non valido.

    DCDIAG /TEST:CheckSecurityError può verificare la presenza di SPN mancanti o duplicati e di altri errori.

    Eseguire questo comando nella console di tutti i controller di dominio di origine che non hanno esito positivo nella replica in uscita con SEC_E_WRONG_PRINCIPAL errore.

    È possibile controllare la registrazione dell'SPN in un percorso specifico utilizzando la sintassi seguente:

    dcdiag /test:checksecurityerror replsource:<remote dc>
    
  • Verificare che il traffico di rete crittografato Kerberos raggiunga la destinazione Kerberos prevista (mapping da nome a IP)

    Considerare lo scenario descritto di seguito:

    • I controller di dominio di destinazione di Active Directory in replica in ingresso ricercano nella copia locale della directory l'objectGUID dei controller di dominio di origine NTDS Impostazioni oggetti.

    • I controller di dominio interrogano il server DNS attivo per trovare un record CNAME DC GUIDED corrispondente. Viene quindi mappato a un record A/AAAA host contenente l'indirizzo IP del controller di dominio di origine.

      In questo scenario, Active Directory esegue un fallback della risoluzione dei nomi. Include query per i nomi di computer completi in DNS o nomi host con etichetta singola in WINS.

      Nota

      I server DNS possono inoltre eseguire ricerche WINS in scenari di fallback.

Le situazioni seguenti possono tutti causare a un controller di dominio di destinazione di inviare il traffico crittografato con Kerberos alla destinazione Kerberos errata:

  • Oggetti Impostazioni NTDS non obsoleti
  • Mapping nome-IP non valido nei record host DNS e WINS
  • Voci non valide nei file HOST

Per verificare questa condizione, eseguire una traccia di rete o verificare manualmente che le query nome DNS/NetBIOS si risolvono nel computer di destinazione previsto.

Metodo 1: metodo di traccia di rete (analizzato da Network Monitor 3.3.1641 con parser predefiniti completi abilitati)

Nella tabella seguente viene illustrata una sinossi di traffico di rete che si verifica quando la destinazione DC1 in ingresso replica la directory di Active Directory dall'origine DC2.

F # SRC DEST Protocollo Frame Aggiungere commenti
1 DC1 DC2 MSRPC MSRPC:c/o Request: unknown Call=0x5 Opnum=0x3 Context=0x1 Hint=0x90 Dest DC RPC call to EPM on source DC over 135
2 DC2 DC1 MSRPC MSRPC:c/o Risposta: Call=0x5 Context=0x1 Hint=0xF4 Cancels=0x0 Risposta EPM al chiamante RPC
3 DC1 DC2 MSRPC MSRPC:c/o Bind: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Assoc Grp=0x0 Xmit=0x16D0 Recv=0x16D0 Richiesta di binding RPC a E351... UUID del servizio
4 DC2 DC1 MSRPC MSRPC:c/o Bind Ack: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Risposta di binding RPC
5 DC1 KDC KerberosV5 Area di autenticazione richieste KerberosV5:TGS: CONTOSO.COM Sname : E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com Richiesta TGS per l'SPN di replica del controller di dominio di origine. Questa operazione non verrà visualizzata sul cavo del controller di dominio di destinazione che usa self come KDC.
6 KDC DC1 KerberosV5 KerberosV5:TGS Response Cname: CONTOSO-DC1$ Risposta TGS al controller di dominio contoso-dc1 di destinazione. Questa operazione non verrà visualizzata sul cavo del controller di dominio di destinazione che usa self come KDC.
7 DC1 DC2 MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 Richiesta AP
8 DC2 DC1 MSRPC MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0x9E62 Xmit=0x16D0 Recv=0x16D0 Risposta AP.
Drill-down nel fotogramma 7 Drill-down nel fotogramma 8 Commenti
MSRPC MSRPC:c/o Alter Cont: UUID{E3514235-4B06-11D1-AB04-00C04FC2DCD2} DRSR(DRSR) Call=0x2 MSRPC:c/o Alter Cont Resp: Call=0x2 Assoc Grp=0xC3EA43 Xmit=0x16D0 Recv=0x16D0 DC1 si connette al servizio di replica di Active Directory su DC2 tramite la porta restituita dall'EPM su DC2.
Ipv4: Src = x.x.x.245, Dest = x.x.x.35, Next Protocol = TCP, Packet ID =, Total IP Length = 0 Ipv4: Src = x.x.x.35, Dest = x.x.x.245, Next Protocol = TCP, PACKET ID = 31546, Total IP Length = 278 Verificare che il controller di dominio di origine della replica di Active Directory (indicato come computer nella prima colonna e Dest il computer Src nella colonna 2 sia proprietario dell'indirizzo IP indicato nella traccia). È in x.x.x.35 questo esempio.
Ticket: Realm: CONTOSO.COM , Sname : E3514235-4B06-11D1-AB04-00C04FC2DCD2/6f3f96d3-dfbf-4daf-9236-4d6da6909dd2/contoso.com ErrorCode: KRB_AP_ERR_MODIFIED (41)

Area di autenticazione: <verify that realm returned by the source DC matches the Kerberos realm intended by the destination DC> .

Sname: <verify that the sName in the AP response matches contains the hostname of the intended source DC and NOT another DC that the destination incorrectly resolved to due to a bad name-to-ip mapping problem>.
Nella colonna 1, prendere nota dell'area di autenticazione Kerberos di destinazione seguita dai controller di dominio di origine SPN di replica ( ) che è costituito dal servizio di replica contoso.com Sname di Active Directory UUID (E351...) concatenato al GUID dell'oggetto nt Impostazioni DS dei controller di dominio di origine.

Il valore GUIDED 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2 a destra di E351... UUID del servizio di replica è il GUID oggetto per l'oggetto impostazioni NTDS dei controller di dominio di origine. Attualmente è definito nella copia dei controller di dominio di destinazione di Active Directory. Verificare che il GUID dell'oggetto corrisponda al valore nel campo GUID oggetto DSA quando viene eseguito dalla console del controller repadmin /showreps di dominio di origine.

A o dei controller di dominio di origine CNAME completo ping nslookup concatenati with_msdcs.<forest root DNS name> dalla console del controller di dominio di destinazione deve restituire l'indirizzo IP corrente dei controller di dominio di origine:

ping 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.contoso.com

nslookup -type=cname 6f3f96d3-dfbf-4daf-9236-4d6da6909dd2._msdcs.<forest root domain> <DNS Server IP>

Nella risposta visualizzata nella colonna 2, concentrarsi sul campo e verificare che contenga il nome host del controller di dominio dell'origine Sname di replica di Active Directory.

I mapping nome-IP non validi potrebbero causare la connessione del controller di dominio di destinazione a un controller di dominio in un'area di autenticazione di destinazione non valida, causando l'invalido del valore dell'area di autenticazione, come illustrato in questo caso. I mapping da host a IP non valido potrebbero causare la connessione di DC1 a DC3 nello stesso dominio. Verrebbe comunque generato KRB_AP_ERR_MODIFIED, ma il nome dell'area di autenticazione nel fotogramma 8 corrisponderebbe all'area di autenticazione nel fotogramma 7.

Metodo 2: verifica del mapping da nome a IP (senza utilizzare una traccia di rete)

Dalla console del controller di dominio di origine:

Comando Aggiungere commenti
IPCONFIG /ALL |MORE Nota Indirizzo IP della scheda NIC utilizzata dai controller di dominio di destinazione
REPADMIN /SHOWREPS |MORE Valore nota del GUID dell'oggetto DSA. Indica il GUID dell'oggetto per i controller di dominio di origine NTDS Impostazioni Object nella copia dei controller di dominio di origine di Active Directory.

Dalla console del controller di dominio di destinazione:

Comando Aggiungere commenti
IPCONFIG /ALL |MORE Si noti il server DNS primario, secondario e qualsiasi altro server DNS terziario configurato in cui il controller di dominio di destinazione può eseguire query durante le ricerche DNS.
REPADMIN /SHOWREPS |MORE Nella sezione Vicini in ingresso dell'output individuare lo stato di replica in cui il controller di dominio di destinazione replica una partizione comune dal controller di repadmin dominio di origine in questione.

Il GUID dell'oggetto DSA elencato per il controller di dominio di origine nella sezione relativa allo stato della replica del report deve corrispondere al GUID dell'oggetto elencato nell'intestazione quando viene eseguito nella console del controller di /showreps dominio di origine.
IPCONFIG /FLUSHDNS Cancellare la cache del client DNS
Start > Esegui > Blocco note
%systemroot%\system32\drivers\etc\hosts
Verificare la presenza di mapping da host a IP che fanno riferimento all'etichetta singola o al nome DNS completo dei controller di dominio di origine. Rimuovi se presente. Salvare le modifiche al file HOST.

Eseguire Nbtstat -R (R maiuscola) per aggiornare la cache dei nomi NetBIOS.
NSLOOKUP -type=CNAME <object guid of source DCs NTDS Settings object>._msdcs.<forest root DNS name> <primary DNS Server IP>

Ripetere l'operazione per ogni IP del server DNS aggiuntivo configurato nel controller di dominio di destinazione.

esempio: c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 152.45.42.103
Verificare che l'IP restituito corrisponda all'indirizzo IP del controller di dominio di destinazione elencato sopra registrato dalla console del controller di dominio di origine.

Ripetere l'operazione per tutti gli IP dei server DNS configurati nel controller di dominio di destinazione.
nslookup -type=A+AAAA <FQDN of source DC> <DNS Server IP> Verificare la presenza di record A host duplicati in tutti gli IP del server DNS configurati nel controller di dominio di destinazione.
nbtstat -A <IP address of DNS Server IP returned by nslookup> Deve restituire il nome del controller di dominio di origine.

Nota

Una richiesta di replica indirizzata a un controller non di dominio (a causa di un mapping nome-IP non valido) o a un controller di dominio che attualmente non dispone di E351... L'UUID del servizio registrato con il mapping degli endpoint restituisce l'errore 1753: non sono disponibili altri endpoint con il mapper di endpoint.

La destinazione Kerberos non può decrittografare i dati autenticati Kerberos a causa di una mancata corrispondenza della password.

Questo problema può verificarsi se la password per il controller di dominio di origine è diversa tra la copia del controller di dominio di origine e la copia del controller di dominio di origine della directory di Active Directory. La copia del controller di dominio di destinazione della password dell'account computer del controller di dominio di origine potrebbe non essere valida se non viene utilizzata come KDC.

Gli errori di replica possono impedire ai controller di dominio di avere un valore di password corrente per i controller di dominio in un determinato dominio.

Ogni controller di dominio esegue il servizio KDC per l'area di autenticazione del dominio. Per le stesse transazioni dell'area di autenticazione, un controller di dominio di destinazione preferisce ottenere ticket Kerberos da se stesso. Tuttavia, potrebbe ottenere un ticket da un controller di dominio remoto. I riferimenti vengono utilizzati per ottenere ticket Kerberos da altre aree di autenticazione.

Il comando eseguito al prompt dei comandi con privilegi elevati in prossimità di un errore di SEC_E_WRONG_PRINCIPAL può essere usato per identificare rapidamente il KDC di destinazione di un NLTEST /DSGETDC:<DNS domain of target domain> /kdc client Kerberos.

Il modo definitivo per determinare il controller di dominio da cui un client Kerberos ha ricevuto un ticket è prendere una traccia di rete. La mancanza di traffico Kerberos in una traccia di rete può indicare:

  • Il client Kerberos ha già acquisito ticket.
  • Sta ricevendo i biglietti fuori rete da se stesso.
  • L'applicazione di traccia di rete non analizza correttamente il traffico Kerberos.

I ticket Kerberos per l'account utente connesso possono essere eliminati da un prompt dei comandi con privilegi elevati utilizzando il KLIST purge comando .

I ticket Kerberos per l'account di sistema utilizzato dalla replica di Active Directory possono essere eliminati senza riavviare utilizzando KLIST -li 0x3e7 purge .

I controller di dominio possono essere utilizzati da altri controller di dominio arrestando il servizio KDC in un controller di dominio locale o remoto.

Utilizzare per verificare la presenza di ovvie differenze dei numeri di versione negli attributi correlati alle REPADIN /SHOWOBJMETA password (dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet, lmPwdHistory) per il controller di dominio di origine nella copia della directory di Active Directory del controller di dominio di origine e del controller di dominio di destinazione.

C:\>repadmin /showobjmeta <source DC> <DN path of source DC computer account>
C:\>repadmin /showobjmeta <KDC selected by destination DC> <DN path of source DC computer account>

Il comando netdom eseguito al prompt dei comandi con privilegi elevati nella console del controller di dominio che richiede la reimpostazione della password può essere utilizzato per reimpostare le password degli account computer del controller di resetpwd /server:<DC to direct password change to> /userd:<user name> /passwordd:<password> dominio.

Risolvere i problemi relativi a scenari specifici

  • Eseguire di nuovo i passaggi per il mapping host-IP non valido che causa il pull del controller di dominio di destinazione dall'origine errata.

    1. Alzare \ \ di livello dc1 + \ \ DC2 + \ \ DC3 nel contoso.com dominio. La replica end-to-end si verifica senza errori.

    2. Arrestare il KDC in DC1 e DC2 per forzare il traffico \ \ \ Kerberos off-box che può essere rilevato \ in una traccia di rete. La replica end-to-end si verifica senza errori.

    3. Creare una voce del file host \ \ per DC2 che punti all'indirizzo IP di un controller di dominio in una foresta remota. Si tratta di simulare un mapping host-IP non valido in un record A/AAAA host o forse un oggetto Impostazioni NTDS non valido nella copia della directory di Active Directory del controller di dominio di destinazione.

    4. Avviare Siti e servizi di Active Directory nella console di \ \ DC1. Fare clic con il pulsante \ \ destro del mouse sull'oggetto connessione in ingresso di DC1 da DC2 e notare che il nome \ \ dell'account di destinazione non è corretto.

  • Eseguire di nuovo i passaggi per una mancata corrispondenza della password del controller di dominio di origine tra KDC e il controller di dominio di origine.

    1. Alzare \ \ di livello dc1 + \ \ DC2 + \ \ DC3 nel contoso.com dominio. La replica end-to-end si verifica senza errori.

    2. Arrestare il KDC in DC1 e DC2 per forzare il traffico \ \ \ Kerberos off-box che può \ essere rilevato nella traccia di rete. La replica end-to-end si verifica senza errori.

    3. Disabilitazione della replica in ingresso in KDC \ \ DC3 per simulare un errore di replica nel KDC.

    4. Reimpostare la password dell'account computer su DC2 tre o più volte in modo che DC1 e DC2 dispongono entrambi \ \ \ \ della password corrente \ \ per \ \ DC2.

    5. Avviare Siti e servizi di Active Directory nella console di \ \ DC1. Fare clic con il pulsante destro del mouse sull'oggetto connessione in ingresso di DC1 da DC2 e notare che il nome \ \ \ \ dell'account di destinazione non è corretto.

  • Registrazione client RPC DS

    Impostare NTDS\Diagnostics Loggings\DS RPC Client = 3. Attivare la replica. Cercare l'evento categoria attività 1962 + 1963. Si noti il cname nome completo elencato nel campo del servizio directory. Il controller di dominio di destinazione deve essere in grado di eseguire il ping di questo record e fare in modo che l'indirizzo restituito sia mappato all'indirizzo IP corrente del controller di dominio di origine.

  • Flusso di lavoro Kerberos

    Il flusso di lavoro Kerberos include le azioni seguenti:

    • Il computer client chiama la funzione IntializeSecurityContext e specifica il provider di supporto della sicurezza Negotiate.

    • Il client contatta il KDC con il TGT e richiede un ticket TGS per il controller di dominio di destinazione.

    • Il servizio KDC cerca nel catalogo globale un'origine (e351 o nome host) nell'area di autenticazione del controller di dominio di destinazione.

    • Se il controller di dominio di destinazione si trova nell'area di autenticazione del controller di dominio di destinazione, il KDC fornisce al client un ticket di servizio.

    • Se il controller di dominio di destinazione si trova in un'area di autenticazione diversa, il KDC fornisce al client un ticket di riferimento.

    • Il client contatta un KDC nel dominio del controller di dominio di destinazione e richiede un ticket di servizio.

    • Se il nome SPN del controller di dominio di origine non esiste nell'area di autenticazione, viene visualizzato un KDC_ERR_S_PRINCIPAL_UNKNOWN errore.

    • Il controller di dominio di destinazione contatta la destinazione e presenta il ticket.

    • Se il controller di dominio di destinazione possiede il nome nel ticket e può decrittografarlo, l'autenticazione funziona.

    • Se il controller di dominio di destinazione ospita l'UUID del servizio server RPC, l'errore KRB_AP_ERR_NOT_US Kerberos o KRB_AP_ERR_MODIFIED viene mappato di nuovo a quello seguente:

      -2146893022 decimale / 0x80090322 / SEC_E_WRONG_PRINCIPAL / "Il nome dell'entità di destinazione non è corretto"