Ошибка репликации 2148074274 главное конечное имя неверно

Обновлено 03.05.2022

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов Pyatilistnik.org. В прошлый раз я вам показал .как вы можете легко взаимодействовать с файлами папками с помощью утилиты robocopy, я показал как делать резервные копии и многое другое. В сегодняшней статье я покажу, как устраняется ошибка в репликации контроллеров домена Active Directory, ошибка звучит вот так (2148074274) The target principal name is incorrect. Давайте смотреть в чем дело.

Проверяя на одном из контроллеров домена репликацию через утилиту repadmin, я обнаружил, что от одного из участников стала появляться ошибка:

(2148074274) The target principal name is incorrect

Оказалось, что перестал корректно работать безопасный режим между этим неисправным контроллером домена и основным контроллером домена. Как советует Microsoft, его нужно сбросить.

🛠Как исправить ошибку The target principal name is incorrect

Идем на неисправный контроллер домена и отключаем службу центра распространения ключей Kerberos (Kerberos Key Distribution Center service — KDC). Вызовите окно «Выполнить» и введите в нем:

Найдите там службу «Центр распространения ключей Kerberos (Kerberos Key Distribution Center service — KDC)«, зайдите в ее свойства, остановите ее и выставите тип запуска «Вручную«. После этого перезагрузите сервер.

После загрузки в командной строке выполните:

Первой командой мы выясняем, кто у нас сервер PDC, далее мы будим к нему обращаться в команде по сбросу безопасного канала в параметре /server. В /userd указываем учетную запись имеющую права администратора в данном домене.

После сброса безопасного канала перезапустите контроллер домена. Даже если вы попытайтесь сбросить защищенный канал с помощью утилиты Netdom, и команда не будет успешно завершена, приступите к процессу перезапуска. После завершения перезапуска компьютеров запустите оснастку «Services», перезапустите службу KDC и повторите попытку репликации, не забудьте ей выставить тип запуска «Автоматический«.

Далее проверьте репликацию между контроллерами.

Дополнительные ссылки

https://docs.microsoft.com/ru-RU/troubleshoot/windows-server/identity/target-principal-name-is-incorrect-when-replicating-data

На этом у меня все. Мы с вами устранили ошибку репликации (2148074274) The target principal name is incorrect. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Добрый день.

Прошу помощи, т.к. накосячил в том, что не достаточно литературы прочитал по миграции и подготовке к ней. Теперь имею массу проблем с нерабочим КД.

Есть старый сервер serverdomain на Server 2003, была произведена миграция на сервер SR117004 с  2008 R2.

После миграции по netdom query fsmo выдавался ответ о том, что новый КД SR117004 является владельцем всех ролей.

Сейчас на обоих серверах ответ «Параметр задан неверно»

На netdom query pdc оба сервера называют SR117004, но службы AD его как КД не видят.

До миграции serverdomain являлся так же основным шлюзом. После миграции, на нём был изменён IP, а шлюзом стал Mikrotik.

Ошибок на новом КД вышло столько, что не понятно с какой начинать разгребать эту ситуацию.

На новом КД не создались каталоги Sysvol и Netlogon.

Далее список ошибок и выдачей диагностических утилит.

————————————————————————————————-

————————————————————————————————-

————————————————————————————————-

DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут
быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера
для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

————————————————————————————————-

dcdiag с нового КД

————————————————————————————————-

dcdiag со старого КД

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-NameSERVERDOMAIN
      Starting test: Connectivity
         ……………………. SERVERDOMAIN passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-NameSERVERDOMAIN
      Starting test: Replications
         ……………………. SERVERDOMAIN passed test Replications
      Starting test: NCSecDesc
         ……………………. SERVERDOMAIN passed test NCSecDesc
      Starting test: NetLogons
         ……………………. SERVERDOMAIN passed test NetLogons
      Starting test: Advertising
         ……………………. SERVERDOMAIN passed test Advertising
      Starting test: KnowsOfRoleHolders
         ……………………. SERVERDOMAIN passed test KnowsOfRoleHolders
      Starting test: RidManager
         Dcdiag could not locate (null) in the dcdiag’s cache of servers.  Try
         running this dcdiag test  against this server, to avoid any problems
         caused by replication latency.
         ……………………. SERVERDOMAIN failed test RidManager
      Starting test: MachineAccount
         ……………………. SERVERDOMAIN passed test MachineAccount
      Starting test: Services
         ……………………. SERVERDOMAIN passed test Services
      Starting test: ObjectsReplicated
         ……………………. SERVERDOMAIN passed test ObjectsReplicated
      Starting test: frssysvol
         ……………………. SERVERDOMAIN passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ……………………. SERVERDOMAIN failed test frsevent
      Starting test: kccevent
         An Warning Event occured.  EventID: 0x80000785
            Time Generated: 09/02/2020   12:03:48
            (Event String could not be retrieved)
         An Warning Event occured.  EventID: 0x80000785
            Time Generated: 09/02/2020   12:03:48
            (Event String could not be retrieved)
         An Warning Event occured.  EventID: 0x80000785
            Time Generated: 09/02/2020   12:03:48
            (Event String could not be retrieved)
         ……………………. SERVERDOMAIN failed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0x000016AD
            Time Generated: 09/02/2020   11:08:46
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x40000004
            Time Generated: 09/02/2020   11:17:55
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0xC0002719
            Time Generated: 09/02/2020   11:18:34
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x40000004
            Time Generated: 09/02/2020   11:41:56
            (Event String could not be retrieved)
         ……………………. SERVERDOMAIN failed test systemlog
      Starting test: VerifyReferences
         ……………………. SERVERDOMAIN passed test VerifyReferences

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ……………………. ForestDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ……………………. ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ……………………. DomainDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ……………………. DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ……………………. Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ……………………. Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ……………………. Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ……………………. Configuration passed test CheckSDRefDom

   Running partition tests on : permschool34
      Starting test: CrossRefValidation
         ……………………. permschool34 passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ……………………. permschool34 passed test CheckSDRefDom

   Running enterprise tests on : permschool34.local
      Starting test: Intersite
         ……………………. permschool34.local passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
         A Global Catalog Server could not be located — All GC’s are down.
         ……………………. permschool34.local failed test FsmoCheck

Добрый день, Коллеги!
Так получилось, что в лесу Active Directory 2 контроллера одного домена оказались с несколько отличающимися ОС:
Основной контроллер в центральном офисе (DC) — Windows 2008 SP2 x86 (6.0.6002) — все FSMO роли
Вторичный контроллер в филиале Челябинска (DC-CHEL) — Windows 2008 R2 SP1 x64 (6.1.7601) — только GC
Всё это каким-то образом работало какое-то время, пока не начались вполне осязаемые пользователями проблемы с резолвом DNS-имен хостов домена.
Как позже я выяснил, какое-то время (довольно продолжительное) контроллеры не видели друг друга, а DC-CHEL вообще скорее всего был выключен. В журнале DNS с самого начала было предупреждение 4013, то есть ожидалось завершение первичной синхронизации каталога. И примерно через год она сменилась ошибкой 4000, после чего пользователи и ощутили неладное. В системном журнале каких-то прямых предпосылок увидеть не удалось. Косвенно возможно повлияли: предупреждение 29 от Kerberos-Key-Distribution-Center, и далее, когда пошла ошибка 4000 от DNS, посыпались 1055 от GroupPolicy, 4 от Security-Kerberos.
Очевидно, что изначально что-то мешало репликации. Контроллеры находятся в разных сайтах и разных подсетях. В стеке TCP/IP все в порядке, хотя был один момент, когда обратный маршрут на DC отсутствовал, но это исправили.
Возможных причин я вижу несколько:
1. Из-за различий версий Windows (R2 и не R2) службы AD не могут работать корректно вместе.
2. Предупреждение DNS 4013. Гугл приводит в совершенно разные топики. И советы тоже разные. Вплоть до выноса зоны DNS в отдельный DNS-сервер (не интегрированный в AD). Так и не понял до конца.
Возможно я что-то упустил. По ходу дополю, если что.
Какие варианты решения:
1. Понижение роли контроллера DC-CHEL (что тоже еще пока еще не осуществимо стандартными способами, dcpromo /forceRemoval не помогает, выдает ошибку «DFS Replication: Главное конечное имя неверно.») до рядового сервера. Приведение контроллеров к одной версии Windows.
2. Если все же совместная работа этих версий Windows возможна, то как-то заставить из реплицироваться.

repadmin /replsum
Время запуска сводки по репликации: 2015-09-24 01:51:25

Начат сбор данных для сводки по репликации, подождите:
  .....
Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
 DC               >60 days            5 /   5  100  (2148074274) Главное конечное имя неверно.

Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
 DC-CHEL          >60 days            5 /   5  100  (2148074274) Главное конечное имя неверно.

Возникли следующие ошибки при попытке получения сведений о репликации:
        8341 - dc.epa.net

В общем, что сейчас не делай с контроллером DC-CHEL, всё упирается в одну ошибку «Главное конечное имя неверно.» Может подскажете что-нибудь более эффективное при меньших трудозатратах, чтобы контроллер не пришлось везти на переустановку винды из Челябинска, а потом обратно.

При попытке ручной репликации данных между контроллерами домена Active Directory в остатке Active Directory Sites and Services (dssite.msc) появилась ошибка:

The following error occurred during the attempt to synchronize naming context from Domain Controller X to Domain Controller Y.
The target principal name is incorrect.
This operation will not continue.

При проверке репликации с помощью repadmin, у одного из DC появляется ошибка:

(2148074274) The target principal name is incorrect.

В журнале событий DC есть такие ошибки:

Source: Security-Kerberos
Event ID: 4

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server DC2. The target name used was cifs/DC2.winitpro.ru. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (winitpro.ru) is different from the client domain (winiptro.ru), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.

Event ID 3210:

Failed to authenticate with DC, a Windows NT domain controller for domain WINITPRO.

Event ID 5722:

The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred:

В первую очередь проверьте:

1. Доступность проблемного контроллера домена с помощью простого ICMP ping
2. Проверьте, что на нем доступен порт TCP 445 и опубликованы сетевые папки SysVol и NetLogon;

Если все ОК, значит проблема в том, между контроллерами домена нарушен безопасный канал передачи данных. Проверьте его с помощью PowerShell команды:

Test-ComputerSecureChannel -Verbose

Служба KDC на целевом контроллере домена не может расшифровать тикет Kerberos из-за того, что в ней хранится старый пароль этого контроллера домена.

Чтобы исправить проблему, нужно сбросить этот пароль. Сначала нужно найти текущий контроллер домена с FSMO ролью PDC.

netdom query fsmo |find "PDC"

В нашем примере PDC находится на MSK-DC02. Мы будем исопользовать это имя в команде
netdom resetpwd
далее.

Остановите службу Kerberos Key Distribution Center (KDC) на контроллере домена, на котором появляется ошибка “The target principal name is incorrect” и измените тип запуска на Disabled. Можно изменить настройки службы из консоли services.msc или с помощью PowerShell:

Get-Service kdc -ComputerName msk-dc03 | Set-Service –startuptype disabled –passthru

Перезагрузите этот контроллер домена.

Теперь нужно сбросить безопасный канал связи с контроллером домена с ролью PDC:

netdom resetpwd /server:msk-dc02 /userd:winitproadministrator /passwordd:*

Укажите пароль администратора домена.

Перезагрузите проблемный DC и запустите службу KDC. Попробуйте запустить репликацию и проверить ошибки.

repadmin /syncall
repadmin /replsum
repadmin /showrepl

Если репликация успешно выполнена, в журнале Directory Service Event Viewerа должно появится событие Event ID 1394:

All Problems preventing updates to the Active Directory Domain Services database have been cleared. New Updates to the Active Directory Domain Services database are succeeding. The Net Logon service has restarted

Проверьте состояние вашего домена и контроллеров домена Active Directory согласно этого гайда.

Hello ,

We have Domain Controller which was OFF for long time , But After We started it , replication is not working for this Domain Controller

The description for Event ID 1925 from source Microsoft-Windows-ActiveDirectory_DomainService cannot be found.

2148074274 The handle is invalid

Also Other events like : Target Principal Name is Incorrect and Access Denied while manual sync using
repadmin /syncall

From the google it suggest that to reset password using netdom
command but I am having below confusion :

1. From Which Domain Controller Should I run the Command , the Probelmetic Domain controller which we turned on after few Days OR from the Good Domain Controller which holds our all FSMO roles

2. Also from Which Domain controller the KDC service should be stopped on the Problematic or the Good domain controller ?

Ref : https://support.microsoft.com/en-in/help/3073945/how-to-troubleshoot-active-directory-replication-error-5-access-is-den

Appropriate for your Help.

Thanks

---

Thanks , Prakash ,Please Note: My Posts are provided “AS IS” without warranty of any kind, either expressed or implied.

Hello ,

We have Domain Controller which was OFF for long time , But After We started it , replication is not working for this Domain Controller

The description for Event ID 1925 from source Microsoft-Windows-ActiveDirectory_DomainService cannot be found.

2148074274 The handle is invalid

Also Other events like : Target Principal Name is Incorrect and Access Denied while manual sync using
repadmin /syncall

From the google it suggest that to reset password using netdom
command but I am having below confusion :

1. From Which Domain Controller Should I run the Command , the Probelmetic Domain controller which we turned on after few Days OR from the Good Domain Controller which holds our all FSMO roles

2. Also from Which Domain controller the KDC service should be stopped on the Problematic or the Good domain controller ?

Ref : https://support.microsoft.com/en-in/help/3073945/how-to-troubleshoot-active-directory-replication-error-5-access-is-den

Appropriate for your Help.

Thanks

---

Thanks , Prakash ,Please Note: My Posts are provided “AS IS” without warranty of any kind, either expressed or implied.

Hello all,

I am getting the error in the subject when I check the replication status of my 5 DCs.

Found an article online that showed how to update the Kerberos password on the impacted DCs but I am getting in on 4 out of 5 DCs….

I went ahead and updated the password per the following steps:

Stop/Disable 

«Kerberos Key Distribution Center» (KDC)

Reboot DC

Run the following command as admin — 

netdom resetpwd /server:PDC_EMULATOR /userd:DOM2016administrator /passwordd:password

Reboot DC

Start up KDC.

However the error still remains…

H:>repadmin /replsum
Replication Summary Start Time: 2020-10-13 23:02:47

Beginning data collection for replication summary, this may take awhile:
  ……..

Source DSA         largest delta   fails/total %% error
DC01       02h:35m:35s 10 / 15 66 (2148074274) The target principal name is incorrect.
DC02           16m:30s   0 / 10   0
DC03 (PDC)         03d.04h:39m:21s 10 / 10 100 (2148074274) The target principal name is incorrect.
DC04              14h:50m:35s 10 / 15 66 (2148074274) The target principal name is incorrect.
DC05             02h:53m:35s   5 / 5 100 (2148074274) The target principal name is incorrect.

Destination DSA   largest delta   fails/total %% error
DC01   03d.04h:39m:22s 10 / 15 66 (2148074274) The target principal name is incorrect.
DC02       14h:49m:49s   5 / 10 50 (2148074274) The target principal name is incorrect.
DC03 (PDC)                  06m:17s   0 / 10   0
DC04             02h:29m:36s   5 / 5 100 (2148074274) The target principal name is incorrect.
DC05         03d.04h:35m:35s 15 / 15 100 (2148074274) The target principal name is incorrect.

When I force a replication after the password is set, it fails between 2 GUIDs but I can’t tell which it is as it doesn’t match up the GUID in the attributes of the DCs. 

This all started as one of the domain controllers lost DNS functionality and kept throwing Access Denied error when I try to open the console. Set the password and the DNS console starts up fine but now I am getting all these replication issues. 

Any input would be greatly appreciated.