Active Directory 復寫錯誤 1396:登入失敗:目標帳戶名稱不正確
本文說明解決 Active Directory 複寫失敗與 Win32 錯誤 1396 的徵兆、原因和解決方式。
適用:Windows Server 2012 R2
原始 KB 編號: 2183411
徵狀
本文說明解決Active Directory 複寫失敗與 Win32 錯誤 1396 的徵兆、原因和解決方式:
登入失敗:目標帳戶名稱不正確。
DCDIAG 報告 Active Directory 複寫失敗,錯誤為 1396:
登入失敗:目標帳戶名稱不正確。
測試伺服器: <月臺名稱><DC 名稱>
開始測試:複寫
[複寫檢查,<DC 名稱>] 最近的複寫嘗試失敗:
從 <來源 DC> 到 <目的地 DC>
命名內容:命名內容的 CN=<DN 路徑>
複寫 (1396) 產生錯誤:
登入失敗:目標帳戶名稱不正確。
失敗發生在 <日期><時間>。
上次成功發生在 <日期><時間>。
上次成功後發生 XX 失敗REPADMIN.EXE 報告復寫嘗試失敗,狀態為 1396。
通常會指出 1396 狀態的 REPADMIN 命令包含但不限於:
REPADMIN /ADDREPADMIN /REPLSUM*REPADMIN /REHOSTREPADMIN /SHOWVECTOR /LATENCYREPADMIN /SHOWREPSREPADMIN /SHOWREPLREPADMIN /SYNCALL
描述從 CONTOSO-DC2 到 CONTOSO-DC1 的輸入複寫失敗併發生登入失敗:目標帳戶名稱不正確錯誤的範例輸出
REPADMIN /SHOWREPS如下所示:Default-First-Site-Name\CONTOSO-DC1
DSA 選項:IS_GC
網站選項: (無)
DSA 物件 GUID: <GUID>
DSA invocationID: <invocationID>==== 輸入的芳鄰======================================
DC=contoso,DC=com
Default-First-Site-Name\CONTOSO-DC2 via RPC
DSA 物件 GUID: <GUID>
上次嘗試 @ <日期><時間> 失敗,結果 1396 (0x574) :
登入失敗:目標帳戶名稱不正確。
<#> 連續失敗 () 。
上次成功 @ <日期><時間>。Active Directory 月臺和服務中的 replicate now 命令會傳回 登入失敗:目標帳戶名稱不正確。
以滑鼠右鍵按兩下來源 DC 的連線物件, 然後選擇複寫現在 會失敗,並出現 登入失敗:目標帳戶名稱不正確。 畫面上的錯誤訊息如下所示:
對話框標題文字:立即複寫
對話訊息正文:嘗試將命名內容<分割區 DNS 路徑>從域控制器來源 DC> 同步至域控制器<<目的地 DC> 時發生下列錯誤:
登入失敗:目標帳戶名稱不正確。
此作業將不會繼續。對話框中的按鈕:確定
具有 1396 狀態的 NTDS KCC、NTDS 一般或 Microsoft-Windows-ActiveDirectory_DomainService 事件會記錄在目錄服務事件記錄檔中。
通常會引用 1396 狀態的 Active Directory 事件包含但不限於:
Event Source 事件識別碼 事件字串 Microsoft-Windows-ActiveDirectory_DomainService 1125 Active Directory 網域服務 安裝精靈 (Dcpromo) 無法與下列域控制器建立連線。 NTDS 複寫 (此事件會列出 3 部分的 SPN) 1645 Active Directory 未對另一個域控制器 (RPC) 執行已驗證的遠端過程調用,因為目的地域控制器所需的服務主體名稱 (SPN) 未在密鑰發佈中心註冊, (解析 SPN 的 KDC) 域控制器。 Microsoft-Windows-ActiveDirectory_DomainService 1655 Active Directory 網域服務 嘗試與下列全域編錄通訊,但嘗試失敗。 Microsoft-Windows-ActiveDirectory_DomainService 2847 知識一致性檢查程式會找到本機只讀目錄服務的複寫連線,並嘗試在下列目錄服務實例上從遠端更新。 作業失敗。 它會重試。 NTDS KCC 1925 嘗試建立下列可寫入目錄分割區的復寫連結失敗。 NTDS KCC 1926 嘗試使用下列參數建立唯讀目錄分割區的複寫連結失敗。 NETLOGON 5781 伺服器無法在 DNS 中註冊其名稱 Dcpromo 失敗,發生螢幕錯誤:
Active Directory 安裝失敗
工作失敗,因為:
目錄服務無法為伺服器 ReplicationSourceDC.contoso.com 上的 CN=NTDS Settings,CN=ServerBeingPromoted,CN=Servers,CN=Site,CN=Sites,CN=Configuration,DC=contoso,DC=com 建立伺服器物件。 請確定提供的網路認證有足夠的存取權可新增複本。
「登入失敗:目標帳戶名稱不正確。」確定
在此情況下,事件標識碼 1645、1168 和 1125 會記錄在正在升級的伺服器上。
使用對應磁碟驅動器
net useC:\>net use z: \\<server_name>\c$發生系統錯誤 1396。
登入失敗:目標帳戶名稱不正確。在此情況下,伺服器也會在系統事件記錄檔中記錄事件標識碼 333,並使用 SQL Server 使用大量的虛擬記憶體。
DC 時間不正確。
在已刪除 RODC 的 krbtgt 帳戶還原之後,KDC 將不會在 RODC 上啟動。 使用第三方還原工具進行還原之後,會出現錯誤 1396。
事件標識碼 1645 會記錄在 RODC 上。
Dcdiag 也會報告無法更新 RODC krbtgt 帳戶的錯誤。
原因
存在多個根本原因。 已知的根本原因包括:
SPN 不存在於 KDC 代表嘗試使用 Kerberos 進行驗證的用戶端所搜尋的全域目錄中。
在 Active Directory 複寫的內容中,Kerberos 用戶端是目的地 DC,執行 SPN 查閱的 KDC 可能是目的地 DC 本身,但可能是遠端 DC。
應該包含要查閱之服務主體名稱的用戶或服務帳戶,不存在於 KDC 代表嘗試複寫的目的地 DC 所搜尋的全域目錄中。
在 Active Directory 複寫的內容中,來源 DC 計算機帳戶不存在於 DC 代表執行輸入複寫的目的地 DC 所搜尋的全域目錄中。
目的地 DC 缺少來源 DC 網域的 LSA 秘密。
所查閱的SPN存在於與來源DC不同的電腦帳戶上。
針對復寫無法連線到 RODC 的問題,可能已刪除 RODC 特定的 KRBTGT 帳戶。
解決方案
檢查目的地 DC 上的目錄服務事件記錄檔,以取得 NTDS 複寫事件 1645,並注意下列事項:
目的地 DC 的名稱
要查閱的 SPN (E3514235-4B06-11D1-AB04-00C04FC2DCD2/<來源 DC NTDS Settings 物件/<目標網域>的物件> guid。<tld>@<target 網域>。<Tld>
目的地 DC 正在使用的 KDC從步驟 1 中識別的 KDC 控制台,輸入
nltest /dsgetdc:<forest root DNS domain name > /gc。在目的地 DC 發生 1396 錯誤而失敗的複寫嘗試之後,立即執行 NLTEST 定位器測試。
這應該會識別 KDC 正在執行 SPN 查閱的 GC。
KDC 所搜尋的 GC 也可能會在 Microsoft-Windows-ActiveDirectory_DomainService 事件 1655 中被封裝。
在步驟 2 中探索到的全域編錄上,搜尋步驟 1 中探索到的 SPN。
C:\>repadmin /showattrServer_NameDC=corp,DC=contoso,dc=com <GC used by KDC> <DN path of forest root domain> /filter:"(serviceprincipalname=<SPN cited in the NTDS Replication event 1645>)" /gc /subtree /atts:cn,serviceprincipalname或
C:\>dsquery * forestroot -scope subtree -filter "(serviceprincipalname=E3514235-4B06-11D1-AB04-00C04FC2DCD2/65cead9f-4949-46a3-a49a-f1fbfe13d2b3*)" -attr * -sServer_Name.europe.corp.microsoft.com確認SPN的主機物件存在。
確認主物件的 DN 路徑,包括物件是否為 CNF/conflict 受控或位於遺失且找到的容器中。
確認來源DC AD 複寫SPN只在來源DC計算機帳戶上註冊。
如果遺漏復寫 SPN,請判斷來源 DC 是否已向自己註冊其 SPN,以及由於簡單復寫延遲或復寫失敗,KDC 所使用的 GC 上是否遺失 SPN
檢查安全通道健康情況和信任健康情況。
下表列出其他徵兆、原因和解決方法:
| 徵兆 | 原因 | 解決方案 |
|---|---|---|
| DC 無法運作,並記錄已授權還原之相同網域中的 Windows Server 2008 域控制器和 Windows Server 2003 域控制器上的事件標識碼 1925 和 1411。 | 之所以發生這些問題,是因為當您執行授權還原時,KRBTGT 帳戶的版本號碼會增加。 KRBTGT 帳戶是 Kerberos 金鑰發佈中心 (KDC) 服務所使用的服務帳戶。 | 在此情況下,您可能需要在 KB939820 中套用 Hotfix。 |
| 使用 net use 對應磁碟驅動器 C:\Documents and Settings\wschong>net use z: \<server_name>\c$ System error 1396 has occurred. 登入失敗:目標帳戶名稱不正確。 在此情況下,伺服器會記錄事件標識碼 333 並使用高記憶體,SQL Server 使用最高。 |
如果使用 net use 對應磁碟驅動器時出現錯誤,原因可能是非分頁記憶體或分頁集區內存暫時不足。 系統會持續記錄這類事件,直到計算機重新啟動,或卸除相關的Hive,即使暫時記憶體不足停止也一樣。 如需 SQL Server 效能問題的詳細資訊,請參閱針對 2005 SQL Server 效能問題進行疑難解答。 | 若要防止系統日後持續記錄事件 333,請在伺服器上套用 Hotfix 970054,並將下列登錄值設定為 1:
|
| DC 時間不正確。 | DC 是設定為與 VMware 主機同步處理時間的虛擬機,造成事件 1925、1645。 | 取消核取從 VMWare 主機同步處理虛擬 DC 時間的選項,使其可以與 PDC 同步處理時間。 |
| Dcpromo 失敗,發生螢幕上的錯誤:Active Directory 安裝失敗。 工作失敗,因為: 目錄服務無法在伺服器 ReplicationSourceDC.contoso.com 上建立 CN=NTDS 設定、CN=ServerBeingPromoted、CN=Servers、CN=Site、CN=Sites、CN=Configuration、DC=contoso、DC=com 的伺服器物件。 請確定提供的網路認證有足夠的存取權可新增複本。 登入失敗:目標帳戶名稱不正確。 在此情況下,事件標識碼 1645、1168 和 1125 會記錄在正在升級的伺服器上。 |
在 dcpromo 期間,協助程式 DC 上的 SPN (複寫來源 DC) 無效。 | 針對協助程式 DC SPN 無效的 dcpromo 錯誤,請使用 SetSPN 在協助程式 DC 上建立新的 SPN,格式為 GC/serverName.contoso.com |
其他相關資訊
其他原因包括:
事件標識碼 1925 可能會發生在已授權還原之相同網域中的 Windows Server 2008 域控制器和 Windows Server 2003 域控制器上。 在此情況下,您可能需要套用 Hotfix 939820。
在 dcpromo 期間,協助程式 DC 上的 SPN (複寫來源 DC) 無效。
如果使用 net use 對應磁碟驅動器時出現錯誤,原因可能是非分頁記憶體或分頁集區內存暫時不足。 系統會持續記錄這類事件,直到計算機重新啟動,或卸除相關的Hive,即使暫時記憶體不足停止也一樣。 如需 SQL Server 效能問題的詳細資訊,請參閱針對 2005 SQL Server 效能問題進行疑難解答。
DC 是設定為與 VMware 主機同步處理時間的虛擬機,造成事件 1925、1645。
針對刪除 KRBTGT 帳戶的 RODC 特定案例:使用 NTDSUTIL 以授權方式還原KRBTGT_#####帐户,然後匯入 LDIFDE 檔案以更正後端連結。 至少需要更新 RODC 計算機物件上的 msDS-KrbTgtLink 屬性,以指向已還原帳戶的 DN。
資料收集
如果您需要 Microsoft 支援的協助,建議您依照 使用 TSS 針對 Active Directory 複寫問題收集資訊中所述的步驟來收集資訊。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應