Active Directory 複寫錯誤1396:登入失敗:目標帳戶名稱不正確

本文說明解決具有 Win32 錯誤1396之 Active Directory 複寫失敗的徵兆、原因及解決方法。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   2183411

徵狀

本文說明解決使用 Win32 錯誤1396的 Active Directory 複寫失敗的徵兆、原因及解決方法:

登入失敗:目標帳戶名稱不正確。

  1. DCDIAG 報告 Active Directory 複製失敗,錯誤1396:

    登入失敗:目標帳戶名稱不正確。

    測試伺服器: <Site name><DC Name>
    開始測試:複製
    [複製檢查 <DC Name> ]最近的複寫嘗試失敗:
    從 <source DC> to <destination DC>
    命名內容: CN =<DN path of naming context>
    複寫產生錯誤 (1396) :
    登入失敗:目標帳戶名稱不正確。
    發生失敗 <date> <time> 。
    上次成功發生于 <date> <time> 。
    XX 失敗自上次成功之後發生

  2. REPADMIN.EXE 報告:複寫嘗試失敗,狀態1396。

    通常表示1396狀態的 REPADMIN 命令包括但不限於下列專案:

    • REPADMIN /ADD
    • REPADMIN /REPLSUM*
    • REPADMIN /REHOST
    • REPADMIN /SHOWVECTOR /LATENCY
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL
    • REPADMIN /SYNCALL

    REPADMIN /SHOWREPS contoso-DC2,將輸入複寫描述為 contoso-DC1 失敗但登入失敗的範例輸出 :目標帳戶名稱不正確 錯誤如下:

    Default-First-Site-Name\CONTOSO-DC1
    DSA 選項: IS_GC
    網站選項: (無)
    DSA 物件 GUID: <GUID>
    DSA invocationID: <invocationID>

    = = = = 內接鄰居 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

    DC=contoso,DC=com
    透過 RPC Default-First-Site-Name\CONTOSO-DC2
    DSA 物件 GUID: <GUID>
    上次嘗試 @ <date> <time> 失敗,結果 1396 (0x574) :
    登入失敗:目標帳戶名稱不正確。
    < # > 連續失敗 (s) 。
    上次成功 @ <date> <time> 。

  3. Active Directory 網站和服務傳回登出失敗的 立即 複寫命令 :目標帳戶名稱不正確

    以滑鼠右鍵按一下源 DC 中的 connection 物件,然後選擇 [ 立即 複寫] 失敗時 登入失敗:目標帳戶名稱不正確。 螢幕上的錯誤訊息如下:

    對話方塊標題文字:立即複製

    對話方塊訊息文字:嘗試將命名內容 <partition DNS path> 從網域控制站同步處理 <source DC> 至網域控制站時發生下列錯誤 <destination DC> :

    登入失敗:目標帳戶名稱不正確。
    此作業不會繼續。

    對話方塊中的按鈕:確定

  4. 使用1396狀態的 NTDS KCC、NTDS 一般或 Microsoft-Windows ActiveDirectory_DomainService 事件記錄在目錄服務事件記錄檔中。

    通常指出1396狀態的 Active Directory 事件包括但不限於下列專案:

    Event Source 事件識別碼 事件字串
    Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory 網域服務安裝精靈 (Dcpromo) 無法建立與下列網域控制站的連線。
    NTDS 複寫 (此事件會列出3部分的 SPN) 1645 Active Directory 未對另一個網域控制站執行已驗證的遠端過程呼叫 (RPC) ,因為目的網域控制站的所需服務主體名稱 (SPN) 未在解析 SPN (的的網域控制站上註冊。
    Microsoft-Windows-ActiveDirectory_DomainService 1655 Active Directory 網域服務嘗試與下列通用類別目錄通訊,但嘗試失敗。
    Microsoft-Windows-ActiveDirectory_DomainService 2847 知識一致性檢查程式會找到本機唯讀目錄服務的複寫連線,並嘗試在下列目錄服務實例上遠端更新它。 作業失敗。 將會重試。
    NTDS KCC 1925 嘗試為下列可寫入的目錄分割區建立複寫連結失敗。
    NTDS KCC 1926 嘗試建立與下列參數的唯讀目錄磁碟分割的複製連結失敗。
    NETLOGON 5781 伺服器無法在 DNS 中註冊其名稱
  5. Dcpromo 失敗,出現屏上錯誤:

    Active Directory 安裝失敗

    操作失敗,原因如下:
    目錄服務無法為 CN = NTDS 設定,CN = ServerBeingPromoted,CN = Servers,CN = Site,CN = Sites,CN=Configuration,DC=contoso,DC=com 在伺服器 ReplicationSourceDC.contoso.com 上建立伺服器物件。 請確認提供的網路認證具有足夠的存取權來新增複本。
    「登入失敗:目標帳戶名稱不正確。」

    確定

    在此情況下,會在要升級的伺服器上記錄事件識別碼1645、1168及1125。

  6. 使用來對應磁片磁碟機 net use

    C:\>net use z: \\<server_name>\c$
    

    發生系統錯誤1396。
    登入失敗:目標帳戶名稱不正確。

    在此情況下,伺服器也會在系統事件記錄中記錄事件識別碼333,並使用 SQL Server 使用大量的虛擬記憶體。

  7. DC 時間不正確。

  8. 在還原 RODC (已刪除)的 krbtgt 帳戶後,KDC 不會在 RODC 上啟動。 使用協力廠商還原工具進行還原之後,會出現錯誤1396。

    在 RODC 上記錄事件識別碼1645。
    Dcdiag 也會報告無法更新 RODC krbtgt 帳戶的錯誤。

原因

存在多個根本原因。 已知的根原因包括:

  1. 使用 Kerberos 來代表用戶端嘗試驗證的通用類別目錄上不存在 SPN。

    在 Active Directory 複寫的內容中,Kerberos 用戶端是目的地 DC,執行 SPN 查閱的 KDC 可能是目的地 DC 本身,但可以是遠端 DC。

  2. 應包含所要尋找之服務主體名稱的使用者或服務帳戶,不存在於由 KDC 代表目的地 DC (嘗試複寫)上搜尋的通用類別目錄上。

    在 Active Directory 複寫的內容中,來源 DC 電腦帳戶不存在於 DC 上,由 DC 以執行輸入複寫的目的 DC 來搜尋。

  3. 目的地 DC 的來源 Dc 網域缺少 LSA 密碼。

  4. 要尋找的 SPN 存在於與來源 DC 不同的電腦帳戶上。

  5. 對於複寫失敗的 RODC,RODC 特有的 KRBTGT 帳戶可能已遭刪除。

解決方案

  1. 檢查目的 DC 上的目錄服務事件記錄,以取得 NTDS 複寫事件1645,並注意下列事項:

    目的地 DC 的名稱
    要查閱的 SPN (E3514235-4B06-11D1-AB04-00C04FC2DCD2/ <object guid for source DCs NTDS Settings object> / <target domain> ... <tld> @ <target domain> 。<tld>
    目的地 DC 使用的 KDC

  2. 從步驟1中標出的 KDC 主控台中,輸入 nltest /dsgetdc:<forest root DNS domain name > /gc

    在目的地 DC 上因1396錯誤而失敗的複寫嘗試之後,立即執行 NLTEST 定位器測試。

    這應該會識別 KDC 執行 SPN 查閱的 GC。

    在 Microsoft Windows ActiveDirectory_DomainService 事件1655中,KDC 所搜尋的 GC 也可能會 captued。

  3. 搜尋步驟1中在步驟2發現的通用類別目錄上發現的 SPN。

    C:\>repadmin /showattrServer_NameDC=corp,DC=contoso,dc=com <GC used by KDC> <DN path of forest root domain> /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)" /gc /subtree /atts:cn,serviceprincipalname
    

    C:\>dsquery * forestroot -scope subtree -filter "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*)" -attr * -sServer_Name.europe.corp.microsoft.com
    

    確認 SPN 的 host 物件存在。

    請確認主機物件的 DN 路徑,包含物件是否 CNF/衝突,或位於遺失和找到的容器中。

    確認來源 dcs AD 複寫 SPN 只會在來源 Dc 電腦帳戶上註冊。

    如果丟失複寫 SPN,請判斷來源 DC 是否已自行登錄其 SPN,以及由於簡易複寫延遲或複寫失敗,而不是 KDC 所用的 GC 上缺少 SPN。

  4. 請檢查安全通道健康情況和信任狀況。

下表列出其他的徵兆、原因和解決方法:

徵狀 原因 解決方案
DC 未在 Windows Server 2008 網域控制站和 Windows Server 2003 網域控制站的 Windows Server 上記錄事件識別碼1925和1411,但已權威性還原。 發生這些問題的原因是,當您執行權威性還原時,KRBTGT 帳戶的版本號碼會增加。 KRBTGT 帳戶是 Kerberos 金鑰發佈中心 (KDC) 服務所使用的服務帳戶。 在此情況下,您可能需要在 KB939820 中套用修補程式。
使用 net 使用來對應磁片磁碟機
C:\Documents 及 Settings\wschong>net use z: \<server_name> \c $ System 錯誤1396。
登入失敗:目標帳戶名稱不正確。
在此情況下,伺服器會使用最高的 SQL Server 記錄事件識別碼333和使用高記憶體。
如果使用 net use 對應磁片磁碟機時發生錯誤,則原因可能是非分頁式記憶體或分頁集區記憶體暫時不足。 系統會持續錄製這類事件直到重新開機電腦,或是卸載相關的蜂巢(即使暫時記憶體 insufficiency 停止)。 如需 SQL Server 效能問題的詳細資訊,請參閱 Sql server 2005 的疑難排解效能問題 若要防止系統今後連續記錄事件333,請在伺服器上套用修補程式970054,並將下列登錄值設定為1:
  • 位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
  • 名稱: RegistryFlushErrorSubside
  • 類型: REG_DWORD
  • 值:1或2
DC 時間不正確。 DC 是設定為與 VMware 主機同步處理時間的虛擬機器,它會導致事件1925、1645。 取消核取從 VMWare 主機同步處理時間的選項,使其可與 PDC 同步處理時間。
Dcpromo 失敗,出現螢幕錯誤: Active Directory 安裝失敗。 操作失敗,原因如下:
目錄服務無法為 CN = NTDS 設定,CN = ServerBeingPromoted,CN = Servers,CN = Site,CN = Sites,CN=Configuration,DC=contoso,DC=com 在伺服器 ReplicationSourceDC.contoso.com 上建立伺服器物件。 確定提供的網路認證具有足夠的存取權來新增複本。
登入失敗:目標帳戶名稱不正確。

在此情況下,會在要升級的伺服器上記錄事件識別碼1645、1168及1125。
在 dcpromo 中,在協助器 DC 上的 SPN (複寫來源 DC) 是不正確。 針對在 helper DC SPN 不正確 dcpromo 錯誤,使用 SetSPN 在協助 DC 上建立新的 SPN,格式為 GC/serverName: .com

詳細資訊

其他原因包括:

  1. 事件識別碼1925可能會發生于 Windows Server 2008 網域控制站和 Windows Server 2003 網域控制站的相同網域中已權威性還原。 在此情況下,您可能需要套用修復程式939820。

  2. 在 dcpromo 中,在協助器 DC 上的 SPN (複寫來源 DC) 是不正確。

  3. 如果使用 net use 對應磁片磁碟機時發生錯誤,則原因可能是非分頁式記憶體或分頁集區記憶體暫時不足。 系統會持續錄製這類事件直到重新開機電腦,或是卸載相關的蜂巢(即使暫時記憶體 insufficiency 停止)。 如需 SQL Server 效能問題的詳細資訊,請參閱 Sql server 2005 的疑難排解效能問題

  4. DC 是設定為與 VMware 主機同步處理時間的虛擬機器,它會導致事件1925、1645。

  5. 針對已刪除 KRBTGT 帳戶的 RODC 特定案例:權威性還原 KRBTGT_ # # # # # account using NTDSUTIL,然後匯入 LDIFDE 檔案以修正反向連結。 在 RODC 上,必須更新 RODC 之電腦物件上的 KrbTgtLink 屬性,使其指向已還原帳戶的 DN。