Error de replicación de Active Directory 8453: Se denegó el acceso a la replicación

  • Artículo

En este artículo se describe cómo solucionar un problema en el que se produce un error en la replicación de Active Directory y genera el error 8453: Se denegó el acceso a la replicación.

Se aplica a: Windows Server 2012 R2
Número de KB original: 2022387

Nota:

Usuarios domésticos: Este artículo solo está pensado para agentes de soporte técnico y profesionales de TI. Si está buscando ayuda con un problema, pregunte a la comunidad de Microsoft.

Resumen

Este error 8453 tiene las siguientes causas principales:

  • El controlador de dominio de destino no tiene los permisos necesarios para replicar el contexto o partición de nomenclatura.

  • El administrador que inició manualmente la replicación no tiene permisos para hacerlo.

    Nota:

    Esta condición no afecta a la replicación periódica o programada.

Causa principal

Para el período o la replicación programada, si el controlador de dominio de destino es un controlador de dominio de solo lectura (RODC):

El grupo de seguridad Controladores de dominio de enterprise Read-Only no tiene permisos para replicar cambios de directorio en la raíz del contexto de nomenclatura (NC) de la partición que no se replica y devuelve el error 8453.

Solución superior

En cada NC que los RODC no replican y que devuelve el error 8453, conceda permisos replicando cambios de directorio al grupo de seguridad Controladores de dominio de solo lectura empresarial del dominio raíz del bosque.

Ejemplo:

Un RODC childdc2.child.contoso.com no replica la partición y devuelve el contoso.com error 8453. Para solucionar esta situación, siga estos pasos:

  1. Abra ADSIEDIT.msc en un controlador de contoso.com dominio.

  2. Abra una conexión al nc de contoso.com dominio (contexto de nomenclatura predeterminado).

  3. Abra las propiedades de dc=contoso,dc=com NC y seleccione la pestaña Seguridad .

  4. Seleccione Agregar y escriba la siguiente entrada en el cuadro de texto:
    Controladores de dominio de Contoso\Enterprise Read-Only

    Nota:

    Este grupo solo existe en el dominio raíz del bosque.

  5. Seleccione Comprobar nombres y, a continuación, seleccione Aceptar.

  6. En el cuadro de diálogo Permisos para la empresa Read-Only controladores de dominio , desactive las casillas Permitir que se seleccionan automáticamente:

    • Lectura
    • Leer la contraseña del dominio & directivas de bloqueo
    • Leer otros parámetros de dominio

  7. Seleccione el cuadro Permitir situado junto a Replicar cambios de directorio y, a continuación, seleccione Aceptar.

Si estos pasos no resuelven el problema, consulte el resto de este artículo.

Síntomas

Cuando se produce este problema, experimenta uno o varios de los síntomas siguientes:

  • La prueba de replicación de DCDIAG (DCDIAG /TEST:NCSecDesc) informa de que el controlador de dominio probado produjo un error en las replicación de prueba y tiene un estado 8453: Se denegó el acceso a la replicación:

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • La prueba DCDIAG NCSecDesc (DCDIAG /TEST:NCSecDesc) informa de que el controlador de dominio que dcdiag probó no pudo probar NCSecDec y que faltan uno o más permisos en el encabezado NC de una o más particiones de directorio en el controlador de dominio probado que dcdiag ha probado:

    Starting test: NCSecDesc  
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSO\Domain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSO\Enterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • La prueba machineAccount de DCDIAG (DCDIAG /TEST:MachineAccount) informa de que el controlador de dominio probado por machineAccount de prueba errónea de DCDIAG porque el atributo UserAccountControl de la cuenta de equipo de controladores de dominio no tiene las marcas de SERVER_TRUST_ACCOUNT o TRUSTED_FOR_DELEGATION :

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • La prueba de registro de eventos DCDIAG KCC indica el equivalente hexadecimal del evento 2896 de Microsoft-Windows-ActiveDirectory_DomainService:

    B50 hexadecimal = 2896 decimal. Este error se puede registrar cada 60 segundos en el controlador de dominio maestro de infraestructura.

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE informa de que se produjo un error en un intento de replicación y devolvió un estado 8453.

    Los comandos REPADMIN que suelen indicar el estado 8453 incluyen, pero no se limitan a lo siguiente.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      La salida de ejemplo que REPADMIN /SHOWREPSmuestra la replicación entrante de CONTOSO-DC2 a CONTOSO-DC1 que produce un error y devuelve el error de acceso de replicación denegado es el siguiente:

      Default-First-Site-Name\CONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • El comando replica ahora en Sitios y servicios de Active Directory (DSSITE). MSC) devuelve un error de acceso de replicación denegado .

    Se produce un error al hacer clic con el botón derecho en el objeto de conexión de un controlador de dominio de origen y, a continuación, seleccionar Replicar . Y se denegó un error de acceso de replicación. Se muestra el siguiente mensaje de error:

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    Se denegó el error de acceso de replicación que se produce después de ejecutar el comando replica now.

  • Los eventos NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService que tienen el estado 8453 se registran en el registro de eventos de Active Directory Directive Services (AD DS).

Los eventos de Active Directory que suelen indicar el estado 8453 incluyen, entre otros, los siguientes eventos:

Origen del evento Id. de evento Cadena de evento
Microsoft-Windows-ActiveDirectory_DomainService 1699 Este servicio de directorio no pudo recuperar los cambios solicitados para la siguiente partición de directorio. Como resultado, no pudo enviar solicitudes de cambio al servicio de directorio en la siguiente dirección de red.
Microsoft-Windows-ActiveDirectory_DomainService 2896 Un cliente realizó una solicitud LDAP de DirSync para una partición de directorio. Se denegó el acceso debido al siguiente error.
NTDS General 1655 Active Directory intentó comunicarse con el siguiente catálogo global y los intentos no se realizaron correctamente.
NTDS KCC 1265 El intento de establecer un vínculo de replicación con parámetros
Partición: <ruta de acceso DN de partición>
DN de DSA de origen: <DN del objeto de configuración de DC NTDS de origen>
Dirección DSA de origen: <CNAME completo de controladores de dominio de origen>
Transporte entre sitios (si existe): <ruta de acceso dn>
error con el estado siguiente:
NTDS KCC 1925 Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.

Causa

El error 8453 (se denegó el acceso de replicación) tiene varias causas raíz, entre las que se incluyen:

  • Falta el atributo UserAccountControl en la cuenta de equipo del controlador de dominio de destino:
    SERVER_TRUST_ACCOUNT o TRUSTED_FOR_DELEGATION

  • Los permisos predeterminados no existen en una o varias particiones de directorio para permitir que se produzca la replicación programada en el contexto de seguridad del sistema operativo.

  • Los permisos predeterminados o personalizados no existen en una o varias particiones de directorio para permitir que los usuarios desencadenen la replicación ad hoc o inmediata mediante DSSITE. MSC replica ahora, repadmin /replicate, repadmin /syncallo comandos similares.

  • Los permisos necesarios para desencadenar la replicación ad hoc se definen correctamente en las particiones de directorio pertinentes. Sin embargo, el usuario no es miembro de ningún grupo de seguridad al que se le haya concedido el permiso de cambios en el directorio de replicación.

  • El usuario que desencadena la replicación ad hoc es miembro de los grupos de seguridad necesarios y a esos grupos de seguridad se les ha concedido el permiso Replicar cambios de directorio . Sin embargo, la característica de token de acceso de usuario dividido control de cuentas de usuario quita la pertenencia al grupo que concede el permiso de cambios de directorio de replicación del token de seguridad del usuario. Esta característica se introdujo en Windows Vista y Windows Server 2008.

    Nota:

    No confunda la característica de seguridad de token dividido control de cuentas de usuario que se introdujo en Vista y Windows Server 2008 con el atributo UserAccountControl que se define en las cuentas de equipo de rol de controlador de dominio almacenadas por el servicio Active Directory.

  • Si el controlador de dominio de destino es un RODC, RODCPREP no se ha ejecutado en dominios que hospedan actualmente controladores de dominio de solo lectura o el grupo Controladores de dominio de enterprise Read-Only no tiene permisos replicar cambios de directorio para la partición que no se está replicando.

  • Los controladores de dominio que ejecutan nuevas versiones del sistema operativo se agregaron a un bosque existente donde se ha instalado Office Communication Server.

  • Tiene instancias de Lightweight Directory Services (LDS). Y falta el objeto NTDS Settings para las instancias afectadas en el contenedor de configuración LDS. Por ejemplo, verá la siguiente entrada:

    CN=NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Los errores y eventos de Active Directory, como los que se mencionan en la sección Síntomas , también pueden producirse y generar un mensaje de error 5 (Se deniega el acceso).

Los pasos para el error 5 o el error 8453 mencionados en la sección Resolución no resolverán los errores de replicación en los equipos que actualmente producen errores de replicación y generan el otro mensaje de error.

Entre las causas principales comunes de errores en las operaciones de Active Directory que generan el error 5 se incluyen:

  • Asimetría de tiempo excesiva
  • Fragmentación de paquetes Kerberos con formato UDP por dispositivos intermedios en la red
  • Falta acceso a este equipo desde los derechos de red .
  • Canales seguros rotos o confianzas dentro del dominio
  • CrashOnAuditFail = 2 entrada en el registro

Solución

Para resolver este problema, use los métodos siguientes.

Ejecutar una comprobación de estado mediante DCDIAG + DCDIAG /test:CheckSecurityError

  1. Ejecute DCDIAG en el controlador de dominio de destino que notifica el error o evento 8453.
  2. Ejecute DCDIAG en el controlador de dominio de origen en el que el controlador de dominio de destino notifica el error o evento 8453.
  3. Ejecute DCDIAG /test:CheckSecurityError en el controlador de dominio de destino.
  4. Ejecute DCDIAG /test:CheckSecurityError en el controlador de dominio de origen.

Corrección de UserAccountControl no válido

El atributo UserAccountControl incluye una máscara de bits que define las funcionalidades y el estado de una cuenta de usuario o equipo. Para obtener más información sobre las marcas UserAccountControl , vea Atributo User-Account-Control.

El valor típico del atributo UserAccountControl para una cuenta de equipo dc que se puede escribir (completa) es 532480 decimal o 82000 hexadecimal. Los valores de UserAccountControl para una cuenta de equipo de controlador de dominio pueden variar, pero deben contener las marcas de SERVER_TRUST_ACCOUNT y TRUSTED_FOR_DELEGATION , como se muestra en la tabla siguiente.

Marca de propiedad Valor hexadecimal Valor decimal
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
Valor de UserAccountControl 0x82000 532480

El valor típico del atributo UserAccountControl para una cuenta de equipo de controlador de dominio de solo lectura es 83890176 decimal o hexadecimal 5001000.

Marca de propiedad Valor hexadecimal Valor decimal
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Valor típico de UserAccountControl para RODC 0x5001000 83890176

  • Al atributo UserAccountControl en el controlador de dominio de destino le falta la marca SERVER_TRUST_ACCOUNT

    Si se produce un error en la prueba de DCDIAG MachineAccount y devuelve un mensaje de error MachineAcccount de prueba errónea y el atributo UserAccountControl en el controlador de dominio probado falta la marca de SERVER_TRUST_ACCOUNT , agregue la marca que falta en la copia de Active Directory del controlador de dominio probado.

    1. Inicie ADSIEDIT. MSC en la consola del controlador de dominio al que le falta la SERVER_TRUST_ACCOUNT , tal como informa DCDIAG.
    2. Haga clic con el botón derecho en ADSIEDIT en el panel superior izquierdo de ADSIEDIT. MSC y, a continuación, seleccione Conectarse a.
    3. En el cuadro de diálogo Configuración de conexión , haga clic en Seleccionar un contexto de nomenclatura conocido y, a continuación, seleccione Contexto de nomenclatura predeterminado (la partición de dominio de la cuenta de equipo).
    4. Haga clic en Seleccionar o escriba un dominio o servidor. Y seleccione el nombre del controlador de dominio que produce un error en DCDIAG.
    5. Seleccione Aceptar.
    6. En el contexto de nomenclatura de dominio, busque y haga clic con el botón derecho en la cuenta de equipo del controlador de dominio y seleccione Propiedades.
    7. Haga doble clic en el atributo UserAccountControl y, a continuación, registre su valor decimal.
    8. Inicie la Calculadora de Windows en modo de programador (Windows Server 2008 y versiones posteriores).
    9. Escriba el valor decimal de UserAccountControl. Convierta el valor decimal en su equivalente hexadecimal, agregue 0x80000 al valor existente y, a continuación, presione el signo igual (=).
    10. Convierta el valor de UserAccountContorl recién calculado en su equivalente decimal.
    11. Escriba el nuevo valor decimal de la Calculadora de Windows al atributo UserAccountControl en ADSIEDIT. MSC.
    12. Seleccione Aceptar dos veces para guardar.

  • Al atributo UserAccountControl en el controlador de dominio de destino le falta la marca de TRUSTED_FOR_DELEGATION

    Si la prueba DCDIAG MachineAccount devuelve un mensaje de error MachineAcccount de prueba errónea y el atributo UserAccountControl en el controlador de dominio probado falta la marca de _FOR_DELEGATION DE CONFIANZA , agregue la marca que falta en la copia de Active Directory del controlador de dominio probado.

    1. Iniciar Usuarios y equipos de Active Directory (DSA). MSC) en la consola del controlador de dominio probado por DCDIAG.

    2. Haga clic con el botón derecho en la cuenta de equipo del controlador de dominio.

    3. Seleccione la pestaña Delegación .

    4. En la cuenta de equipo del controlador de dominio, seleccione la opción Confiar en este equipo para la delegación a cualquier servicio (solo Kerberos ).

      La opción Confiar en este equipo para la delegación a cualquier servicio en la pestaña Delegación del cuadro de diálogo Propiedades de D C.

Corrección de descriptores de seguridad predeterminados no válidos

Las operaciones de Active Directory tienen lugar en el contexto de seguridad de la cuenta que inició la operación. Los permisos predeterminados en las particiones de Active Directory permiten las siguientes operaciones:

  • Los miembros del grupo Administradores de empresa pueden iniciar la replicación ad hoc entre cualquier controlador de dominio de cualquier dominio del mismo bosque.
  • Los miembros del grupo Administradores integrados pueden iniciar la replicación ad hoc entre controladores de dominio en el mismo dominio.
  • Los controladores de dominio del mismo bosque pueden iniciar la replicación mediante la notificación de cambios o la programación de replicación.

Los permisos predeterminados en las particiones de Active Directory no permiten las siguientes operaciones de forma predeterminada:

  • Los miembros del grupo Administradores integrados de un dominio no pueden iniciar la replicación ad hoc a los controladores de dominio de ese dominio desde controladores de dominio en dominios diferentes.
  • Los usuarios que no son miembros del grupo Administradores integrados no pueden iniciar la replicación ad hoc desde ningún otro controlador de dominio en el mismo dominio o bosque.

Por diseño, estas operaciones producen un error hasta que se modifican los permisos predeterminados o las pertenencias a grupos.

Los permisos se definen en la parte superior de cada partición de directorio (encabezado NC) y se heredan en todo el árbol de particiones. Compruebe que los grupos explícitos (grupos de los que el usuario es directamente miembro) y los grupos implícitos (grupos de los que los grupos explícitos tienen pertenencia anidada) tienen los permisos necesarios. Compruebe también que los permisos denegar asignados a grupos implícitos o explícitos no tienen prioridad sobre los permisos necesarios. Para obtener más información sobre las particiones de directorio predeterminadas, vea Seguridad predeterminada de la partición de directorio de configuración.

  • Compruebe que existen permisos predeterminados en la parte superior de cada partición de directorio que produce un error y que se deniega el acceso a la replicación.

    Si se produce un error en la replicación ad hoc entre controladores de dominio de dominios diferentes o entre controladores de dominio del mismo dominio para administradores que no son de dominio, consulte la sección Concesión de permisos de administradores que no son de dominio .

    Si se produce un error en la replicación ad hoc para los miembros del grupo Administradores de empresa, céntrese en los permisos principales de NC que se conceden al grupo Administradores de empresa.

    Si se produce un error en la replicación ad hoc para los miembros de un grupo de administradores de dominio, céntrese en los permisos que se conceden al grupo de seguridad de administradores integrado.

    Si se produce un error en una replicación programada iniciada por controladores de dominio en un bosque y devuelve el error 8453, céntrese en los permisos para los siguientes grupos de seguridad:

    • Controladores de dominio empresariales

    • Controladores de dominio de enterprise Read-Only

      Si los controladores de dominio inician una replicación programada en un controlador de dominio de solo lectura (RODC) produce un error 8453 y devuelve el error 8453, compruebe que se concede al grupo de seguridad Controladores de dominio de enterprise Read-Only el acceso necesario en el encabezado NC de cada partición de directorio.

      En la tabla siguiente se muestra el permiso predeterminado definido en el esquema, la configuración, el dominio y las aplicaciones DNS por varias versiones de Windows.

      DACL necesario en cada partición de directorio Windows Server 2008 y versiones posteriores
      Administración de la topología de replicación X
      Replicación de cambios en el directorio X
      Sincronización de replicación X
      Replicar todos los cambios de directorio X
      Replicación de cambios en el conjunto de filtros X

      Nota:

      La prueba DCDIAG NcSecDesc puede notificar errores falsos positivos cuando se ejecuta en entornos que tienen versiones mixtas del sistema.

      El comando DSACLS se puede usar para volcar los permisos en una partición de directorio determinada mediante la sintaxis siguiente:
      Ruta de DN de DN de DSACLS <de partición de directorio>

      Por ejemplo, use el siguiente comando:

      C:\>dsacls dc=contoso,dc=com

      El comando se puede dirigir a un controlador de dominio remoto mediante la sintaxis :

      c:\>dsacls \\contoso-dc2\dc=contoso,dc=com

      Tenga cuidado con el permiso DENY en los encabezados NC quitando los permisos para los grupos de los que el usuario con errores es un miembro directo o anidado.

Adición de permisos necesarios que faltan

Use el editor de ACL de Active Directory en ADSIEDIT. MSC para agregar el DACLS que falta.

Concesión de permisos a administradores que no sean de dominio

Conceda a los administradores que no sean de dominio los permisos siguientes:

  • Para replicar entre controladores de dominio en el mismo dominio para administradores no empresariales
  • Para replicar entre controladores de dominio en dominios diferentes

Los permisos predeterminados en las particiones de Active Directory no permiten las siguientes operaciones:

  • Los miembros del grupo Administradores integrados de un dominio no pueden iniciar la replicación ad hoc desde controladores de dominio en dominios diferentes.
  • Los usuarios que no son miembros del grupo integrado de administradores de dominio para iniciar la replicación ad hoc entre controladores de dominio en el mismo dominio o dominio diferente.

Estas operaciones producen un error hasta que se modifican los permisos en las particiones de directorio.

Para resolver este problema, use cualquiera de los métodos siguientes:

  • Agregue usuarios a grupos existentes a los que ya se les hayan concedido los permisos necesarios para replicar particiones de directorio. (Agregue los administradores de dominio para la replicación en el mismo dominio o el grupo Administradores de empresa para desencadenar la replicación ad hoc entre dominios diferentes).

  • Cree su propio grupo, conceda a ese grupo los permisos necesarios en las particiones de directorio en todo el bosque y, a continuación, agregue usuarios a esos grupos.

Para obtener más información, consulte KB303972. Conceda al grupo de seguridad en cuestión los mismos permisos enumerados en la tabla de la sección Corrección de descriptores de seguridad predeterminados no válidos .

Comprobación de la pertenencia a grupos en los grupos de seguridad necesarios

Una vez que se hayan concedido los permisos necesarios a los grupos de seguridad correctos en las particiones de directorio, compruebe que los usuarios que inician la replicación tienen pertenencia efectiva a grupos de seguridad directos o anidados a los que se conceden permisos de replicación. Para ello, siga estos pasos:

  1. Inicie sesión con la cuenta de usuario en la que se produce un error en la replicación ad hoc y se deniegue el acceso a la replicación.

  2. En un símbolo del sistema, ejecute el siguiente comando:

    WHOAMI /ALL

  3. Compruebe la pertenencia a los grupos de seguridad a los que se han concedido los permisos de cambios de directorio de replicación en las particiones de directorio pertinentes.

    Si el usuario se agregó al grupo permitido que se cambió después del último inicio de sesión del usuario, inicie sesión una segunda vez y vuelva a ejecutar el WHOAMI /ALL comando.

    Si este comando sigue sin mostrar la pertenencia a los grupos de seguridad esperados, abra una ventana del símbolo del sistema con privilegios elevados en el equipo local y ejecútelo WHOAMI /ALL en el símbolo del sistema.

    Si la pertenencia a grupos difiere entre la WHOAMI /ALL salida generada por los símbolo del sistema con privilegios elevados y sin privilegios elevados, consulta Cuando ejecutas una consulta LDAP en un controlador de dominio basado en Windows Server 2008, obtienes una lista de atributos parcial.

  4. Compruebe que existen las pertenencias a grupos anidadas esperadas.

    Si un usuario obtiene permisos para ejecutar la replicación ad hoc como miembro del grupo anidado, que es miembro del grupo al que se le han concedido permisos de replicación directamente, compruebe la cadena de pertenencia a grupos anidados. Hemos visto errores de replicación ad hoc de Active Directory porque los grupos Administradores de dominio y Administradores de empresa se han quitado de los grupos de administradores integrados.

Replicación de RODC

Si se produce un error en la replicación iniciada por el equipo en los RODC, compruebe que se ha ejecutado ADPREP /RODCPREP y que al grupo Controlador de dominio de Enterprise Read-Only se le concede el derecho Replicar cambios de directorio en cada encabezado NC.

Falta el objeto de configuración de NTDS para el servidor LDS

En Active Directory Lightweight Directory Services (LDS), es posible eliminar el objeto sin una limpieza de metadatos en DBDSUTIL. Puede causar este problema. Para restaurar la instancia al conjunto de configuración, debe desinstalar la instancia DE LDS en los servidores afectados y, a continuación, ejecutar el Asistente para configuración de ADAM.

Nota:

Si ha agregado compatibilidad con LDAPS para la instancia, debe volver a configurar el certificado en el almacén de servicios, ya que al desinstalar la instancia también se quita la instancia de servicio.