Windows 7 в системе отображения конечных точек не осталось доступных конечных точек

Ошибка репликации 1753: «В системе отображения конечных точек не осталось доступных конечных точек» Replication error 1753 There are no more endpoints available from the endpoint mapper

Область применения. Windows Server Applies To: Windows Server

В этой статье описываются симптомы, причины и способы устранения Active Directory операций, которые завершаются ошибкой Win32 1753: «нет дополнительных конечных точек, доступных в модуле сопоставления конечной точки». This article describes symptoms, cause and resolution steps for Active Directory operations that fail with Win32 error 1753: «There are no more endpoints available from the endpoint mapper.»

Программа DCDIAG сообщает о том, что проверка подключения Active Directory репликации теста или тест Кновсофролехолдерс завершилась с ошибкой 1753: «больше нет конечных точек, доступных в модуле сопоставления конечной точки». DCDIAG reports that the Connectivity test, Active Directory Replications test or KnowsOfRoleHolders test has failed with error 1753: «There are no more endpoints available from the endpoint mapper.»

REPADMIN.EXE сообщает о том, что попытка репликации завершилась ошибкой с состоянием 1753. REPADMIN.EXE reports that replication attempt has failed with status 1753. Команды REPADMIN, которые обычно упоминают состояние 1753, включают, но не ограничиваются: REPADMIN commands that commonly cite the 1753 status include but are not limited to:

• REPADMIN/РЕПЛСУМ REPADMIN /REPLSUM
• REPADMIN/ШОВРЕПЛ REPADMIN /SHOWREPL
• REPADMIN/SHOWREPS REPADMIN /SHOWREPS
• REPADMIN/СИНКАЛЛ REPADMIN /SYNCALL

Пример выходных данных из файла «REPADMIN/SHOWREPS», который показывает, что входящая репликация с CONTOSO-DC2 на CONTOSO-DC1 завершилась сбоем с ошибкой «отказано в доступе к репликации», показана ниже: Sample output from «REPADMIN /SHOWREPS» depicting inbound replication from CONTOSO-DC2 to CONTOSO-DC1 failing with the «replication access was denied» error is shown below:

Команда проверить топологию репликации в Active Directory сайтов и служб возвращает «нет доступных конечных точек из сопоставителя конечной точки». The Check Replication Topology command in Active Directory Sites and Services returns «There are no more endpoints available from the endpoint mapper.»

Щелкните правой кнопкой мыши объект подключения из исходного контроллера домена и выберите пункт проверить топологию репликации с ошибкой «в модуле сопоставления конечных точек отсутствуют другие конечные точки. Right-clicking on the connection object from a source DC and choosing Check Replication Topology fails with «There are no more endpoints available from the endpoint mapper.» Ниже показано сообщение об ошибке на экране. The on-screen error message is shown below:

Текст заголовка диалогового окна: Проверка топологии репликации текст сообщения диалогового окна: при попытке обращения к контроллеру домена произошла следующая ошибка: больше нет доступных конечных точек из сопоставителя конечных точек. Dialog title text: Check Replication Topology Dialog message text: The following error occurred during the attempt to contact the domain controller: There are no more endpoints available from the endpoint mapper.

Команда » Реплицировать сейчас » в Active Directory «сайты и службы» возвращает «нет доступных конечных точек из сопоставителя конечной точки». The Replicate now command in Active Directory Sites and Services returns «there are no more endpoints available from the endpoint mapper.» Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена и выбрав пункт репликация завершается с ошибкой «в модуле сопоставления конечных точек больше нет доступных конечных узлов. Right-clicking on the connection object from a source DC and choosing Replicate now fails with «There are no more endpoints available from the endpoint mapper.» Ниже показано сообщение об ошибке на экране. The on-screen error message is shown below:

Текст заголовка диалогового окна: диалоговое окно «Репликация» текст сообщения: при попытке синхронизации контекста именования из контроллера домена с контроллером домена произошла следующая ошибка : Dialog title text: Replicate Now Dialog message text: The following error occurred during the attempt to synchronize naming context from Domain Controller to Domain Controller :

В модуле сопоставления конечных точек больше нет доступных конечных узлов. There are no more endpoints available from the endpoint mapper. Операция не будет продолжена The operation will not continue

События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с состоянием-2146893022 регистрируются в журнале служб каталогов в Просмотр событий. NTDS KCC, NTDS General or Microsoft-Windows-ActiveDirectory_DomainService events with the -2146893022 status are logged in the Directory Services log in Event Viewer.

Active Directory события, которые обычно упоминаются в состоянии-2146893022, включают в себя не только: Active Directory events that commonly cite the -2146893022 status include but are not limited to:

Причина Cause

Ниже показан рабочий процесс RPC, который начинается с регистрации серверного приложения с помощью сопоставителя конечных точек RPC (EPM) на шаге 1 для передачи данных из клиента RPC в клиентское приложение на шаге 7. The steps below shows the RPC workflow starting with the registration of the server application with the RPC Endpoint Mapper (EPM) in step 1 to the passing of data from the RPC client to the client application in step 7.

Добавляет рабочий процесс RPC ADDS RPC Workflow

1. Серверное приложение регистрирует свои конечные точки с помощью сопоставителя конечных точек RPC (EPM) Server app registers its endpoints with the RPC Endpoint Mapper (EPM)
2. Клиент выполняет вызов RPC (от имени пользователя, операционной системы или операции, инициированной приложением) Client makes an RPC call (on behalf of a user, OS or application initiated operation)
3. Клиентский RPC обращается к конечным компьютерам и запрашивает у конечной точки, чтобы завершить вызов клиента. Client side RPC contacts the target computers EPM and ask for the endpoint to complete the client call
4. Конечная точка компьютера сервера отвечает конечной точкой Server Machine’s EPM responds with an endpoint
5. Клиентское приложение обращается к серверу RPC на стороне клиента Client side RPC contacts the server app
6. Серверное приложение выполняет вызов, возвращает результат в RPC клиента. Server app executes the call, returns the result to the client RPC
7. RPC на стороне клиента передает результат обратно клиентскому приложению. Client side RPC passes the result back to the client app

Сбой 1753 возникает при сбое между действиями #3 и #4. Failure 1753 is generated by a failure between steps #3 and #4. В частности, ошибка 1753 означает, что RPC-клиент (конечный контроллер домена) мог связаться с сервером RPC (исходный контроллер домена) через порт 135, но на сервере RPC (исходном контроллере домена) не удалось разместить интересующее приложение RPC и возвращена ошибка на стороне сервера 1753. Specifically, error 1753 means that the RPC client (destination DC) was able to contact the RPC Server (source DC) over port 135 but the EPM on the RPC Server (source DC) was unable to locate the RPC application of interest and returned server side error 1753. Наличие ошибки 1753 указывает на то, что RPC-клиент (конечный контроллер домена) получил от сервера RPC ответ на ошибку на стороне сервера (исходный контроллер домена репликации Active Directory) по сети. The presence of the 1753 error indicates that the RPC client (destination DC) received the server side error response from the RPC Server (AD replication source DC) over the network.

Ниже перечислены основные причины возникновения ошибки 1753. Specific root causes for the 1753 error include:

• Серверное приложение никогда не запускалось (т. е. шаг #1 в схеме «Дополнительные сведения», расположенной выше, не была предпринята). The server app never started (i.e. Step #1 in the «more information» diagram located above was never attempted).
• Серверное приложение запущено, но во время инициализации произошла ошибка, препятствующая его регистрации в сопоставителе конечных точек RPC (т. е. шаг #1 на приведенной выше схеме «Дополнительные сведения» была предпринята, но не удалась). The server app started but there was some failure during initialization that prevented it from registering with the RPC Endpoint Mapper (i.e. Step #1 in the «more information» diagram above was attempted but failed).
• Серверное приложение запущено, но впоследствии умер. The server app started but subsequently died. (т. е. шаг #1 на схеме «Дополнительные сведения» выше был успешно выполнен, но был отменен позже, так как сервер умер). (i.e. Step #1 in the «more information» diagram above was completed successfully, but was undone later because the server died).
• Серверное приложение вручную отменяет регистрацию своих конечных точек (аналогично 3, но намеренно. The server app manually unregistered its endpoints (similar to 3 but intentional. Это не скорее всего, но включается для полноты.) Not likely but included for completeness.)
• RPC-клиент (конечный контроллер домена) связывался с другим сервером RPC по сравнению с предполагаемым, вызванным ошибкой сопоставления IP-адресов в DNS, WINS или Host/LMHOSTS File. The RPC client (destination DC) contacted a different RPC server than the intended one due to a Name to IP mapping error in DNS, WINS or host/Lmhosts file.

Ошибка 1753 не вызвана следующими причинами: Error 1753 is NOT caused by:

• Отсутствие сетевого подключения между клиентом RPC (целевым контроллером домена) и RPC-сервером (исходным контроллером домена) через порт 135 A lack of network connectivity between the RPC client (destination DC) and RPC Server (source DC) over port 135
• Отсутствие сетевого подключения между сервером RPC (исходным контроллером домена) с помощью порта 135 и RPC-клиента (конечный контроллер домена) через временный порт. A lack of network connectivity between the RPC server (source DC) using port 135 and the RPC client (destination DC) over the ephemeral port.
• Несоответствие пароля или невозможность исходного контроллера домена для расшифровки зашифрованного пакета Kerberos A password mismatch or the inability by the source DC to decrypt a Kerberos encrypted packet

Способы устранения Resolutions

Убедитесь, что служба, регистрирующая службу, запустила средство сопоставления конечных точек Verify that the service registering its service with the endpoint mapper has started

• Для контроллеров домена Windows 2000 и Windows Server 2003: Убедитесь, что исходный контроллер домена загружен в нормальный режим. For Windows 2000 and Windows Server 2003 DCs: Ensure that the source DC is booted into normal mode.
• Для Windows Server 2008 или Windows Server 2008 R2: в консоли исходного контроллера домена запустите Диспетчер служб (Services. msc) и убедитесь, что служба домен Active Directory Services запущена. For Windows Server 2008 or Windows Server 2008 R2: From the console of the source DC, start Services Manager (services.msc) and verify that the Active Directory Domain Services service is running.

Убедитесь, что клиент RPC (конечный контроллер домена) подключен к предполагаемому серверу RPC (исходный контроллер домена). Verify that RPC client (destination DC) connected to the intended RPC Server (source DC)

Все контроллеры домена в общем лесу Active Directory регистрируют запись CNAME контроллера домена в _msdcs. All DCs in a common Active Directory forest register a domain controller CNAME record in the _msdcs. Зона DNS независимо от домена, в котором они находятся в пределах леса. DNS zone regardless of what domain they reside in within the forest. Запись CNAME контроллера домена является производной от атрибута objectGUID объекта параметров NTDS для каждого контроллера доменов. The DC CNAME record is derived from the objectGUID attribute of the NTDS Settings object for each domain controller.

При выполнении операций на основе репликации целевой контроллер домена запрашивает DNS для записи CNAME исходного контроллера домена. When performing replication-based operations, a destination DC queries DNS for the source DCs CNAME record. Запись CNAME содержит полное имя компьютера исходного контроллера домена, которое используется для получения исходного IP-адреса DCs с помощью поиска в кэше DNS-клиента, поиска файлов Host/LMHOSTS, размещения записи A/AAAA в DNS или WINS. The CNAME record contains the source DC fully qualified computer name which is used to derive the source DCs IP address via DNS client cache lookup, Host / LMHost file lookup, host A / AAAA record in DNS, or WINS.

Устаревшие объекты параметров NTDS и неправильные сопоставления имен с IP-адресами в DNS, WINS, Host и LMHOSTS могут привести к тому, что RPC-клиент (конечный контроллер домена) сможет подключиться к неправильному серверу RPC (исходный контроллер домена). Stale NTDS Settings objects and bad name-to-IP mappings in DNS, WINS, Host and LMHOST files may cause the RPC client (destination DC) to connect to the wrong RPC Server (Source DC). Кроме того, неправильное сопоставление имени с IP-адресом может привести к тому, что клиент RPC (конечный контроллер домена) будет подключаться к компьютеру, на котором не будет даже установлен серверное приложение RPC (в данном случае роль Active Directory). Furthermore, the bad name-to-IP mapping may cause the RPC client (destination DC) to connect to a computer that does not even have the RPC Server Application of interest (the Active Directory role in this case) installed. (Пример: устаревшая запись узла для DC2 содержит IP-адрес DC3 или компьютера члена). (Example: a stale host record for DC2 contains the IP address of DC3 or a member computer).

Убедитесь, что objectGUID исходного контроллера домена, который существует в целевой копии DCs, Active Directory соответствует значению objectGUID исходного контроллера домена, хранящемуся в копии Active Directory в исходном DC. Verify that the objectGUID for the source DC that exists in the destination DCs copy of Active Directory matches the source DC objectGUID stored in the source DCs copy of Active Directory. Если обнаружено несоответствие, используйте команду repadmin/шовобжмета на объекте NTDS Settings, чтобы увидеть, какой из них соответствует последнему подвижению исходного контроллера домена (указание: Сравните отметки даты для объекта параметров NTDS Дата создания, начиная с/шовобжмета, с момента последнего обновления в исходном файле DCs Dcpromo. log. If there is a discrepancy, use repadmin /showobjmeta on the ntds settings object to see which one corresponds to last promotion of the source DC (hint: compare date stamps for the NTDS Settings object create date from /showobjmeta against the last promotion date in the source DCs dcpromo.log file. Может потребоваться использовать последнюю дату изменения или создания DCPROMO. Сам файл журнала). You may have to use the last modify / create date of the DCPROMO.LOG file itself). Если идентификаторы GUID объекта не идентичны, то конечный контроллер домена, скорее всего, будет иметь устаревший объект параметров NTDS для исходного контроллера домена, запись CNAME которой ссылается на запись узла с неправильным именем для сопоставления IP-адресов. If the object GUIDs are not identical, the destination DC likely has a stale NTDS Settings object for the source DC whose CNAME record refers to a host record with a bad name to IP mapping.

На целевом контроллере домена выполните команду IPCONFIG/ALL, чтобы определить DNS-серверы, используемые целевым контроллером домена для разрешения имен. On the destination DC, run IPCONFIG /ALL to determine which DNS Servers the destination DC is using for name resolution:

На целевом контроллере домена выполните команду NSLOOKUP для записи CNAME исходного контроллера домена с полным именем. On the destination DC, run NSLOOKUP against the source DCs fully qualified DC CNAME record:

Убедитесь, что IP-адрес, возвращенный программой NSLOOKUP «владеет» именем узла и идентификатором безопасности исходного контроллера домена: Verify that the IP address returned by NSLOOKUP «owns» the host name / security identity of the source DC:

Войдите в консоль исходного контроллера домена, выполните команду «IPCONFIG» из командной строки и убедитесь, что исходный контроллер домена владеет IP-адресом, возвращенным приведенной выше командой NSLOOKUP. Log onto the console of the source DC, run «IPCONFIG» from the CMD prompt and verify that the source DC owns the IP address returned by the NSLOOKUP command above

Проверка наличия устаревших или дублирующихся узлов в DNS-сопоставлениях Check for stale / duplicate host to IP mappings in DNS

Если в записях узла существуют недопустимые IP-адреса, проверьте, включена ли очистка DNS. If invalid IP addresses exist in host records, investigate whether DNS scavenging is enabled and properly configured.

Если вышеприведенные тесты или трассировка сети не отображают запрос имени, возвращающий недопустимый IP-адрес, рассмотрите возможность устаревания записей в файлах узлов, файлах Lmhosts и WINS-серверах. If the tests above or a network trace doesn’t show a name query returning an invalid IP address, consider stale entries in HOST files, LMHOSTS files and WINS Servers. Обратите внимание, что DNS-серверы также можно настроить для выполнения резервного разрешения имен WINS. Note that DNS Servers can also be configured to perform WINS fallback name resolution.

• Убедитесь, что серверное приложение (Active Directory et al) зарегистрировано с модулем сопоставления конечных точек на сервере RPC (исходный контроллер домена). Verify that the server application (Active Directory et al) has registered with the endpoint mapper on the RPC server (source DC)
• Active Directory использует сочетание хорошо известных и динамически регистрируемых портов. Active Directory uses a mix of well-known and dynamically registered ports. В этой таблице перечислены хорошо известные порты и протоколы, используемые Active Directory контроллерами домена. This table lists well known ports and protocols used by Active Directory domain controllers.

Хорошо известные порты не регистрируются с помощью сопоставителя конечных точек. Well-known ports are NOT registered with the endpoint mapper.

Active Directory и другие приложения также регистрируют службы, которые получают динамически назначаемые порты в диапазоне временных портов RPC. Active Directory and other applications also register services that receive dynamically assigned ports in the RPC ephemeral port range. Такие серверные приложения RPC динамически назначают TCP-порты между 1024 и 5000 на компьютерах под управлением Windows 2000 и Windows Server 2003 и порты в диапазоне от 49152 до 65535 на компьютерах под управлением Windows Server 2008 и Windows Server 2008 R2. Such RPC server applications are dynamically assigned TCP ports between 1024 and 5000 on Windows 2000 and Windows Server 2003 computers and ports between 49152 and 65535 range on Windows Server 2008 and Windows Server 2008 R2 computers. Порт RPC, используемый репликацией, можно жестко закодировать в реестре, выполнив действия, описанные в статье базы знаний 224196. The RPC port used by replication can be hard-coded in the registry using the steps documented in KB article 224196. Active Directory будет продолжать регистрацию в EPM, если настроено использование жестко закодированного порта. Active Directory continues to register with the EPM when configured to use a hard coded port.

Убедитесь, что интересующее серверное приложение RPC зарегистрировано с помощью сопоставителя конечных точек RPC на сервере RPC (исходный контроллер домена в случае репликации AD). Verify that the RPC Server application of interest has registered itself with the RPC endpoint mapper on the RPC Server (the source DC in the case of AD replication).

Эту задачу можно выполнить несколькими способами, но можно установить и запустить PORTQRY из командной строки привилегированного администратора на консоли исходного контроллера домена с помощью синтаксиса: There are a number of ways to accomplish this task but one is to install and run PORTQRY from an admin privileged CMD prompt on the console of the source DC using the syntax:

В выводе программы PortQry Обратите внимание на номера портов, которые динамически регистрируются с помощью протокола ncacn_ip_tcp в поле «интерфейс MS NT Directory (UUID = 351. )». In the portqry output, note the port numbers dynamically registered by the «MS NT Directory DRS Interface» (UUID = 351. ) for the ncacn_ip_tcp protocol. В следующем фрагменте показан пример выходных данных порткуери из контроллера домена Windows Server 2008 R2: The snippet below shows sample portquery output from a Windows Server 2008 R2 DC:

Другие возможные способы устранения этой ошибки: Other possible ways to resolve this error:

Убедитесь, что исходный контроллер домена загружен в нормальном режиме и что роль ОС и контроллера домена на исходном контроллере домена полностью запущена. Verify that the source DC is booted in normal mode and that the OS and DC role on the source DC have fully started.

Убедитесь, что служба домен Active Directory запущена. Verify that the Active Directory Domain Service is running. Если служба в данный момент остановлена или не была настроена с использованием значений запуска по умолчанию, сбросьте значения параметров запуска по умолчанию, перезагрузите измененный контроллер домена и повторите операцию. If the service is currently stopped or was not configured with default startup values, reset the default startup values, reboot the modified DC then retry the operation.

Убедитесь, что значение запуска и состояние службы для службы RPC и локатора RPC указаны правильно для версии ОС клиента RPC (конечный контроллер домена) и RPC-сервера (исходный контроллер домена). Verify that the startup value and service status for RPC service and RPC Locator is correct for OS version of the RPC Client (destination DC) and RPC Server (source DC). Если служба в данный момент остановлена или не была настроена с использованием значений запуска по умолчанию, сбросьте значения параметров запуска по умолчанию, перезагрузите измененный контроллер домена и повторите операцию. If the service is currently stopped or was not configured with default startup values, reset the default startup values, reboot the modified DC then retry the operation.

Кроме того, убедитесь, что контекст службы соответствует параметрам по умолчанию, перечисленным в следующей таблице. In addition, ensure that the service context matches default settings listed in the following table.

Убедитесь, что размер динамического диапазона портов не ограничен. Verify that the size of the dynamic port range has not been constrained. Ниже приведен синтаксис NETSH для Windows Server 2008 и Windows Server 2008 R2 для перечисления диапазона портов RPC: The Windows Server 2008 and Windows Server 2008 R2 NETSH syntax to enumerate the RPC port range is shown below:

Убедитесь, что определение жестко закодированных портов, определенных в KB 224196, попадает в диапазон динамических портов для исходной версии ОС DCs. Verify that hard coded port definitions defined in KB 224196 fall within the dynamic port range for source DCs OS version. Ознакомьтесь с статьей 224196 базы знаний и убедитесь, что жестко закодированный порт попадает в диапазон временных портов для версии операционной системы исходного контроллера домена. Review KB article 224196 and ensure that the hard coded port falls within the ephemeral port range for the source DC’s operating system version.

Убедитесь, что раздел ClientProtocols существует в разделе Хклм\софтваре\микрософт\рпк и содержит следующие 5 значений по умолчанию: Verify that the ClientProtocols key exists under HKLM\Software\Microsoft\Rpc and contains the following 5 default values:

Дополнительные сведения More information

Пример неверного имени для сопоставления IP-адресов, вызывающий ошибку RPC 1753 vs.-2146893022: имя целевого участника неверно Example of a bad name to IP mapping causing RPC error 1753 vs. -2146893022: the target principal name is incorrect

Домен contoso.com состоит из DC1 и DC2 с IP-адресами x. x. 1.1 и x. x. 1.2. The contoso.com domain consists of DC1 and DC2 with IP addresses x.x.1.1 and x.x.1.2. Записи узла «A»/»AAAA» для DC2 правильно зарегистрированы на всех DNS-серверах, настроенных для DC1. The host «A» / «AAAA» records for DC2 are correctly registered on all of the DNS Servers configured for DC1. Кроме того, файл HOSTs на компьютере DC1 содержит сопоставление записей DC2s с полным именем узла с IP-адресом x. x. 1.2. In addition, the HOSTS file on DC1 contains an entry mapping DC2s fully qualified hostname to IP address x.x.1.2. Позже DC2’s IP-адреса изменяются с X. X. 1.2 на X. X. 1.3, а новый компьютер-член присоединяется к домену с IP адресом x. x. 1.2. Later, DC2’s IP address changes from X.X.1.2 to X.X.1.3 and a new member computer is joined to the domain with IP address x.x.1.2. Попытки репликации AD, активируемые командой » Реплицировать сейчас » в Active Directory «сайты и службы», вызывают ошибку 1753, как показано в трассировке ниже: AD Replication attempts triggered by the Replicate now command in Active Directory Sites and Services snap-in fails with error 1753 as shown in the trace below:

В кадре 10целевой контроллер домена отправляет запрос на сопоставление исходных конечных точек контроллеров домена по порту 135 для Active Directory E351 UUID класса службы репликации. At frame 10, the destination DC queries the source DCs end point mapper over port 135 for the Active Directory replication service class UUID E351.

В кадре 11исходный контроллер домена, в данном случае рядовой компьютер, на котором еще не размещена роль контроллера домена, не зарегистрировал E351. UUID для службы репликации с локальным EPM реагирует на символьную ошибку EP_S_NOT_REGISTERED, которая соответствует десятичной ошибке 1753, шестнадцатеричной ошибке 0x6d9 и понятной ошибке «больше нет доступных конечных точек из сопоставителя конечной точки». In frame 11, the source DC, in this case a member computer that does not yet host the DC role and therefore has not registered the E351. UUID for the Replication service with its local EPM responds with symbolic error EP_S_NOT_REGISTERED which maps to decimal error 1753, hex error 0x6d9 and friendly error «there are no more endpoints available from the endpoint mapper».

Позже член компьютера с IP-адресом x. x. 1.2 будет повышен до реплики «Майберридк» в домене contoso.com. Later, the member computer with IP address x.x.1.2 gets promoted as a replica «MayberryDC» in the contoso.com domain. Опять же, команда replicate Now используется для активации репликации, но в этом случае происходит сбой при возникновении ошибки на экране «имя целевого участника неверно». Again, the Replicate now command is used to trigger replication but this time fails with the on-screen error «The target principal name is incorrect.» Компьютер, сетевой адаптер которого назначен IP-адрес x. x. 1.2, является контроллером домена, в настоящий момент загружается в нормальный режим и зарегистрировал E351. UUID службы репликации с локальным EPM, но не владеет именем или удостоверением безопасности DC2 и не может расшифровать запрос Kerberos от DC1, поэтому запрос теперь завершается ошибкой «имя целевого участника неверно». The computer whose network adapter is assigned the IP address x.x.1.2 is a domain controller, is currently booted into normal mode and has registered the E351. replication service UUID with its local EPM but it does not own the name or security identity of DC2 and cannot decrypt the Kerberos request from DC1 so the request now fails with error «The target principal name is incorrect.» Ошибка сопоставляется с десятичной ошибкой-2146893022/Hex Error 0x80090322. The error maps to decimal error -2146893022 / hex error 0x80090322.

Такие недопустимые сопоставления узлов и IP-адресов могут быть вызваны устаревшими записями в файлах Host/LMHOSTS, узлами A/AAAA-регистрации в DNS или WINS. Such invalid host-to-IP mappings could be caused by stale entries in host / lmhost files, host A / AAAA registrations in DNS, or WINS.

Сводка. Этот пример не выполнен из-за неправильного сопоставления узла с IP-адресом (в данном случае в файле узла) конечный контроллер домена разрешается в «исходный» контроллер домена, на котором не запущена служба домен Active Directory Services (или даже не установлена), поэтому имя участника-службы репликации еще не зарегистрировано, а исходный DC вернул ошибку 1753. Summary: This example failed because an invalid host-to-IP mapping (in the HOST file in this case) caused the destination DC to resolve to a «source» DC that did not have the Active Directory Domain Services service running (or even installed for that matter) so the replication SPN was not yet registered and the source DC returned error 1753. Во втором случае недопустимое сопоставление узла с IP-адресом (опять же в файле узла) привело к тому, что конечный контроллер домена подключится к контроллеру домена, который зарегистрировал E351. имя субъекта-службы репликации, но у этого источника было другое имя узла и идентификатор безопасности, чем у предполагаемого исходного контроллера 2146893022 домена. In the second case, an invalid host-to-IP mapping (again in the HOST file) caused the destination DC to connect to a DC that had registered the E351. replication SPN but that source had a different hostname and security identity than the intended source DC so the attempts failed with error -2146893022: The target principal name is incorrect.

Источник