Ошибка репликации Active Directory 8453: отказано в доступе к репликации

  • Статья

В этой статье описывается, как устранить проблему, из-за которой репликация Active Directory завершается сбоем и возникает ошибка 8453: репликация была отказано в доступе.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2022387

Примечание.

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь по проблеме, обратитесь в сообщество Майкрософт.

Сводка

Эта ошибка 8453 имеет следующие основные причины:

  • Контроллер домена назначения не имеет необходимых разрешений для репликации контекста или секции именования.

  • Администратор, который вручную запустил репликацию, не имеет на это разрешений.

    Примечание.

    Это условие не влияет на периодическую или запланированную репликацию.

Первопричина

Для репликации на период или по расписанию, если конечный контроллер домена является контроллером домена только для чтения (RODC):

Группа безопасности Контроллеры домена Enterprise Read-Only не имеет разрешений на репликацию изменений каталога в корне контекста именования (NC) для секции, которая не реплицируется и возвращает ошибку 8453.

Первое решение

Для каждого контроллера домена, который не реплицируется и возвращает ошибку 8453, предоставьте разрешения на репликацию изменений каталога группе безопасности корпоративных контроллеров домена только для чтения корневого домена леса.

Пример:

RODC childdc2.child.contoso.com не реплицирует секцию и возвращает ошибку contoso.com 8453. Чтобы устранить эту проблему, выполните следующие действия.

  1. Откройте ADSIEDIT.msc на контроллере contoso.com домена.

  2. Откройте подключение к домену contoso.com NC (контекст именования по умолчанию).

  3. Откройте свойства dc=contoso,dc=com NC и выберите вкладку Безопасность .

  4. Выберите Добавить и введите следующую запись в текстовое поле:
    Контроллеры домена Contoso\Enterprise Read-Only

    Примечание.

    Эта группа существует только в корневом домене леса.

  5. Выберите Проверить имена, а затем нажмите кнопку ОК.

  6. В диалоговом окне Разрешения для корпоративных Read-Only контроллеров домена снимите флажки Разрешить проверка, которые выбраны автоматически:

    • Чтение
    • Чтение паролей домена & политик блокировки
    • Чтение других параметров домена

  7. Установите флажок Разрешить рядом с пунктом Репликация изменений каталога, а затем нажмите кнопку ОК.

Если эти действия не помогли устранить проблему, ознакомьтесь с остальной частью этой статьи.

Симптомы

При возникновении этой проблемы возникает один или несколько из следующих симптомов:

  • Тест репликации DCDIAG (DCDIAG /TEST:NCSecDesc) сообщает, что протестированный контроллер домена не выполнил тестовую репликацию и имеет состояние 8453: репликация была отказано в доступе:

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • Тест DCDIAG NCSecDesc (DCDIAG /TEST:NCSecDesc) сообщает о том, что контроллер домена, протестированный DCDIAG, не выполнил тест NCSecDec и что одно или несколько разрешений отсутствуют в головной части NC одной или нескольких секций каталога на протестированном контроллере домена, протестированном DCDIAG:

    Starting test: NCSecDesc  
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSO\Domain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSO\Enterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • Тест DCDIAG MachineAccount (DCDIAG /TEST:MachineAccount) сообщает, что контроллер домена, протестированный DCDIAG, не прошел проверку MachineAccount , так как атрибут UserAccountControl в учетной записи компьютера контроллеров домена не имеет флагов SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION :

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • Тест журнала событий DCDIAG KCC указывает шестнадцатеричный эквивалент события Microsoft-Windows-ActiveDirectory_DomainService 2896:

    B50 шестнадцатеричный = 2896 десятичное число. Эта ошибка может регистрироваться каждые 60 секунд в инфраструктуре master контроллере домена.

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE сообщает о сбое попытки репликации и возвращает состояние 8453.

    Команды REPADMIN, которые обычно указывают на состояние 8453, включают, но не ограничиваются следующими.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      Пример выходных данных, REPADMIN /SHOWREPSпоказывающих входящую репликацию из CONTOSO-DC2 в CONTOSO-DC1, которая завершается сбоем и возвращает ошибку " Отказано в репликации" , выглядит следующим образом:

      Default-First-Site-Name\CONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • Команда реплицировать сейчас в Active Directory Sites and Services (DSSITE). MSC) возвращает ошибку репликации в доступе было отказано .

    Сбой при щелчке правой кнопкой мыши объекта подключения из исходного контроллера домена и последующем выборе репликации. При этом возвращается ошибка запрета на доступ к репликации . Отображается следующее сообщение об ошибке:

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    Ошибка репликации доступа была отклонена после выполнения команды реплицировать сейчас.

  • СОБЫТИЯ NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с состоянием 8453 регистрируются в журнале событий служб директив Active Directory (AD DS).

События Active Directory, которые обычно указывают на состояние 8453, включают, но не ограничиваются следующими событиями:

Источник события Идентификатор события Строка события
Microsoft-Windows-ActiveDirectory_DomainService 1699 Этой службе каталогов не удалось получить изменения, запрошенные для следующей секции каталога. В результате не удалось отправить запросы на изменение в службу каталогов по следующему сетевому адресу.
Microsoft-Windows-ActiveDirectory_DomainService 2896 Клиент сделал запрос LDAP DirSync для секции каталога. Доступ был запрещен из-за следующей ошибки.
ОБЩИЕ NTDS 1655 Служба Active Directory попыталась связаться со следующим глобальным каталогом, но попытки не увенчались успехом.
NTDS KCC 1265 Попытка установить связь репликации с параметрами
Partition: <путь DN секции>
Source DSA DN: <DN объекта параметров NTDS исходного контроллера домена>
Исходный адрес DSA: <полный CNAME для исходных контроллеров домена>
Транспорт между сайтами (при наличии): <путь dn>
сбой со следующим состоянием:
NTDS KCC 1925 Попытка установить ссылку репликации для следующей секции каталога, допускаемой для записи, завершилась ошибкой.

Причина

Ошибка 8453 (доступ к репликации был запрещен) имеет несколько первопричин, в том числе:

  • Атрибут UserAccountControl в учетной записи компьютера конечного контроллера домена отсутствует один из следующих флагов:
    SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION

  • Разрешения по умолчанию не существуют для одной или нескольких секций каталога, чтобы разрешить запланированную репликацию в контексте безопасности операционной системы.

  • Разрешения по умолчанию или настраиваемые разрешения не существуют в одной или нескольких разделах каталога, чтобы пользователи могли активировать нерегламентированную или немедленную репликацию с помощью DSSITE. MSC реплицирует команды now, repadmin /replicate, repadmin /syncallили аналогичные команды.

  • Разрешения, необходимые для запуска нерегламентированной репликации, правильно определены в соответствующих разделах каталога. Однако пользователь не является членом групп безопасности, которым было предоставлено разрешение на изменение каталога репликации.

  • Пользователь, который активирует нерегламентированную репликацию, является членом необходимых групп безопасности, и этим группам безопасности предоставлено разрешение Репликация изменений каталога . Однако членство в группе, которая предоставляет разрешение на репликацию изменений каталога, удаляется из маркера безопасности пользователя с помощью функции разделенного маркера доступа пользователей контроля учетных записей . Эта функция появилась в Windows Vista и Windows Server 2008.

    Примечание.

    Не путайте функцию безопасности разделенных маркеров контроля учетных записей пользователей, которая была представлена в Vista и Windows Server 2008, с атрибутом UserAccountControl , определенным в учетных записях компьютеров роли контроллера домена, хранящихся в службе Active Directory.

  • Если конечным контроллером домена является RODC, RODCPREP не был запущен в доменах, в которых в настоящее время размещены контроллеры домена только для чтения, или группа Контроллеры домена enterprise Read-Only не имеет разрешений репликация изменений каталога для секции, которая не реплицируется.

  • Контроллеры домена под управлением новых версий операционной системы были добавлены в существующий лес, где установлен Office Communication Server.

  • У вас есть экземпляры служб упрощенных каталогов (LDS). А объект NTDS Settings для затронутых экземпляров отсутствует в контейнере конфигурации LDS. Например, вы увидите следующую запись:

    CN=NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Также могут возникать ошибки и события Active Directory, например те, которые упоминаются в разделе "Симптомы" , что приводит к возникновению сообщения об ошибке 5 (доступ запрещен).

Шаги для ошибки 5 или ошибки 8453, упомянутые в разделе Разрешение , не устраняют ошибки репликации на компьютерах, которые в настоящее время завершаются сбоем репликации и создают другое сообщение об ошибке.

Ниже приведены распространенные первопричины сбоя операций Active Directory, которые создают сообщения об ошибке 5:

  • Чрезмерное отклонение времени
  • Фрагментация пакетов Kerberos в формате UDP промежуточными устройствами в сети
  • Отсутствует доступ к этому компьютеру из сетевых прав.
  • Неработающие защищенные каналы или отношения доверия внутри домена
  • CrashOnAuditFail = 2 записи в реестре

Разрешение

Чтобы устранить эту проблему, используйте следующие методы.

Выполнение проверка работоспособности с помощью DCDIAG + DCDIAG /test:CheckSecurityError

  1. Запустите DCDIAG на целевом контроллере домена, который сообщает об ошибке или событии 8453.
  2. Запустите DCDIAG на исходном контроллере домена, на котором контроллер домена назначения сообщает об ошибке или событии 8453.
  3. Запустите DCDIAG /test:CheckSecurityError на целевом контроллере домена.
  4. Выполните на DCDIAG /test:CheckSecurityError исходном контроллере домена.

Исправление недопустимого элемента управления UserAccountControl

Атрибут UserAccountControl содержит битовую маску, которая определяет возможности и состояние учетной записи пользователя или компьютера. Дополнительные сведения о флагах UserAccountControl см. в разделе Атрибут User-Account-Control.

Типичное значение атрибута UserAccountControl для записываемой (полной) учетной записи компьютера контроллера домена равно 532480 десятичной или 82000 шестнадцатеричной. Значения UserAccountControl для учетной записи компьютера контроллера домена могут отличаться, но должны содержать флаги SERVER_TRUST_ACCOUNT и TRUSTED_FOR_DELEGATION, как показано в следующей таблице.

Флаг свойства Шестнадцатеричное значение Десятичная величина
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
Значение UserAccountControl 0x82000 532480

Типичное значение атрибута UserAccountControl для учетной записи компьютера контроллера домена, доступной только для чтения, равно 83890176 десятичной или 5001000 шестнадцатеричной.

Флаг свойства Шестнадцатеричное значение Десятичная величина
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Типичное значение UserAccountControl для RODC 0x5001000 83890176

  • В атрибуте UserAccountControl на целевом контроллере домена отсутствует флаг SERVER_TRUST_ACCOUNT

    Если тест DCDIAG MachineAccount завершается сбоем и возвращает сообщение об ошибке MachineAcccount , а атрибут UserAccountControl на протестированном контроллере домена отсутствует флаг SERVER_TRUST_ACCOUNT , добавьте флаг отсутствующий в копию Active Directory протестированного контроллера домена.

    1. Запустите ADSIEDIT. MSC на консоли контроллера домена, где отсутствует SERVER_TRUST_ACCOUNT , как сообщает DCDIAG.
    2. Щелкните правой кнопкой мыши ADSIEDIT в левой верхней области ADSIEDIT. MSC, а затем выберите подключиться к.
    3. В диалоговом окне Параметры подключения щелкните Выбрать известный контекст именования, а затем выберите Контекст именования по умолчанию (раздел домена учетной записи компьютера).
    4. Щелкните Выбрать или введите домен или сервер. И выберите имя контроллера домена, который завершается сбоем в DCDIAG.
    5. Нажмите ОК.
    6. В контексте именования домена найдите и щелкните правой кнопкой мыши учетную запись компьютера контроллера домена, а затем выберите Свойства.
    7. Дважды щелкните атрибут UserAccountControl и запишите его десятичное значение.
    8. Запустите Калькулятор Windows в режиме программирования (Windows Server 2008 и более поздних версий).
    9. Введите десятичное значение для параметра UserAccountControl. Преобразуйте десятичное значение в его шестнадцатеричный эквивалент, добавьте 0x80000 к существующему значению, а затем нажмите знак равенства (=).
    10. Преобразуйте вычисляемое значение UserAccountContorl в его десятичный эквивалент.
    11. Введите новое десятичное значение из калькулятора Windows в атрибут UserAccountControl в ADSIEDIT. MSC.
    12. Дважды нажмите кнопку ОК , чтобы сохранить.

  • В атрибуте UserAccountControl на целевом контроллере домена отсутствует флаг TRUSTED_FOR_DELEGATION

    Если тест DCDIAG MachineAccount возвращает сообщение об ошибке MachineAcccount с ошибкой теста , а атрибут UserAccountControl на протестированном контроллере домена отсутствует флаг TRUSTED _FOR_DELEGATION , добавьте флаг отсутствующий в копию Active Directory протестированного контроллера домена.

    1. Запуск Пользователи и компьютеры Active Directory (DSA. MSC) на консоли контроллера домена, протестированного DCDIAG.

    2. Щелкните правой кнопкой мыши учетную запись компьютера контроллера домена.

    3. Перейдите на вкладку Делегирование .

    4. В учетной записи компьютера контроллера домена выберите параметр Доверенный этот компьютер для делегирования любой службе (только Kerberos).

      Параметр Доверенный этот компьютер для делегирования любой службе на вкладке Делегирование в диалоговом окне Свойства D C.

Исправление недопустимых дескрипторов безопасности по умолчанию

Операции Active Directory выполняются в контексте безопасности учетной записи, которая запустила операцию. Разрешения по умолчанию для секций Active Directory позволяют выполнять следующие операции:

  • Члены группы администраторов предприятия могут запускать нерегламентную репликацию между любым контроллером домена в любом домене в том же лесу.
  • Члены группы Встроенные администраторы могут запускать нерегламентированное репликацию между контроллерами домена в том же домене.
  • Контроллеры домена в одном лесу могут запускать репликацию с помощью уведомления об изменениях или расписания репликации.

Разрешения по умолчанию для секций Active Directory по умолчанию не разрешают следующие операции:

  • Члены группы встроенных администраторов в одном домене не могут запускать нерегламентированное репликацию на контроллеры домена в этом домене с контроллеров домена в разных доменах.
  • Пользователи, которые не являются членами группы встроенных администраторов, не могут запускать нерегламентированное репликацию с любого другого контроллера домена в том же домене или лесу.

По умолчанию эти операции завершаются сбоем, пока не будут изменены разрешения по умолчанию или членство в группах.

Разрешения определяются в верхней части каждой секции каталога (головка NC) и наследуются в дереве секций. Убедитесь, что явные группы (группы, в которых пользователь является непосредственным членом) и неявные группы (группы, в которых явные группы имеют вложенное членство) имеют необходимые разрешения. Также убедитесь, что запрет разрешений, назначенных неявным или явным группам, не имеет приоритета над необходимыми разрешениями. Дополнительные сведения о разделах каталога по умолчанию см. в разделе Безопасность по умолчанию секции каталога конфигурации.

  • Убедитесь, что разрешения по умолчанию существуют в верхней части каждой секции каталога, которая завершается сбоем, и возврат доступа к репликации запрещен.

    Если нерегламентированной репликации между контроллерами домена в разных доменах или между контроллерами домена в одном домене для администраторов, не относящихся к домену, см. раздел Предоставление разрешений администраторам домена, не относящихся к домену.

    Если нерегламентированная репликация для членов группы "Администраторы предприятия" завершается сбоем, сосредоточьтесь на разрешениях головы NC, предоставляемых группе "Администраторы предприятия".

    Если нерегламентированная репликация для членов группы администраторов домена завершается сбоем, сосредоточьтесь на разрешениях, предоставляемых встроенной группе безопасности администраторов.

    Если запланированная репликация, запущенная контроллерами домена в лесу, завершается сбоем и возвращает ошибку 8453, сосредоточьтесь на разрешениях для следующих групп безопасности:

    • Контроллеры домена предприятия

    • Контроллеры домена корпоративного Read-Only

      Если запланированная репликация запущена контроллерами домена на контроллере домена только для чтения (RODC) завершается сбоем и возвращается ошибка 8453, убедитесь, что группе безопасности Контроллеры домена Enterprise Read-Only предоставлен необходимый доступ к головному контроллеру сетевого контроллера каждого раздела каталога.

      В следующей таблице показано разрешение по умолчанию, определенное для схемы, конфигурации, домена и DNS-приложений в различных версиях Windows.

      DACL требуется для каждой секции каталога Windows Server 2008 и более поздних версий
      Управление топологией репликации X
      Репликация изменений каталога X
      Синхронизация репликации X
      Репликация каталогов изменяет все X
      Репликация изменений в наборе фильтров X

      Примечание.

      Тест DCDIAG NcSecDesc может сообщать о ложноположительных ошибках при выполнении в средах со смешанными системными версиями.

      Команду DSACLS можно использовать для дампа разрешений для заданной секции каталога с помощью следующего синтаксиса:
      Путь DN DSACLS <к разделу каталога>

      Например, используйте следующую команду:

      C:\>dsacls dc=contoso,dc=com

      Команда может быть направлена на удаленный контроллер домена с помощью синтаксиса:

      c:\>dsacls \\contoso-dc2\dc=contoso,dc=com

      Будьте осторожны с разрешением DENY на головы NC, удаляя разрешения для групп, в которые неудающийся пользователь является прямым или вложенным участником.

Добавление необходимых разрешений, отсутствующих

Используйте редактор ACL Active Directory в ADSIEDIT. MSC для добавления отсутствующих DACLS.

Предоставление разрешений администраторам, не относящихся к домену

Предоставьте администраторам, не являющихся доменами, следующие разрешения:

  • Репликация между контроллерами домена в одном домене для администраторов, не являющихся корпоративными
  • Репликация между контроллерами домена в разных доменах

Разрешения по умолчанию для секций Active Directory не позволяют выполнять следующие операции:

  • Члены группы встроенных администраторов в одном домене не могут инициировать нерегламентированное репликацию с контроллеров домена в разных доменах.
  • Пользователи, которые не являются членами встроенной группы администраторов домена для запуска нерегламентированной репликации между контроллерами домена в том же или другом домене.

Эти операции завершаются ошибкой до тех пор, пока не будут изменены разрешения для секций каталога.

Чтобы устранить эту проблему, используйте один из следующих методов:

  • Добавьте пользователей в существующие группы, которым уже предоставлены необходимые разрешения для репликации секций каталогов. (Добавьте администраторов домена для репликации в том же домене или группу Администраторы предприятия, чтобы активировать нерегламентированную репликацию между разными доменами.)

  • Создайте собственную группу, предоставьте этой группе необходимые разрешения на секции каталогов по всему лесу, а затем добавьте пользователей в эти группы.

Дополнительные сведения см. в разделе KB303972. Предоставьте группе безопасности те же разрешения, которые перечислены в таблице в разделе Исправление недопустимых дескрипторов безопасности по умолчанию .

Проверка членства в необходимых группах безопасности

После предоставления правильным группам безопасности необходимых разрешений на секции каталогов убедитесь, что пользователи, запускающие репликацию, имеют действительное членство в прямых или вложенных группах безопасности, которым предоставлены разрешения на репликацию. Для этого выполните следующие действия:

  1. Войдите в систему с помощью учетной записи пользователя, в которой нерегламентированной репликации происходит сбой, и возврат доступа к репликации был запрещен.

  2. В командной строке выполните следующую команду:

    WHOAMI /ALL

  3. Проверьте членство в группах безопасности, которым были предоставлены разрешения на изменение реплицируемых каталогов для соответствующих секций каталога.

    Если пользователь был добавлен в разрешенную группу, которая была изменена после последнего входа пользователя, войдите в систему второй раз, а затем выполните WHOAMI /ALL команду еще раз.

    Если эта команда по-прежнему не отображает членство в ожидаемых группах безопасности, откройте окно командной строки с повышенными привилегиями на локальном компьютере и запустите WHOAMI /ALL в командной строке.

    Если членство в группе отличается от WHOAMI /ALL выходных данных, создаваемых командными строками с повышенными и не повышенными привилегиями, см. статью При выполнении запроса LDAP к контроллеру домена под управлением Windows Server 2008 вы получаете неполный список атрибутов.

  4. Убедитесь, что ожидаемые членства в вложенных группах существуют.

    Если пользователь получает разрешения на выполнение нерегламентированной репликации в качестве члена вложенной группы, которая является членом группы, которой были предоставлены разрешения репликации напрямую, проверьте цепочку членства вложенной группе. Мы видели сбои нерегламентированной репликации Active Directory, так как группы администраторов домена и администраторов предприятия были удалены из встроенных групп администраторов.

Репликация RODC

Если инициированная компьютером репликация на контроллерах домена завершается сбоем, убедитесь, что вы выполнили ADPREP /RODCPREP и что группе Контроллер домена Enterprise Read-Only предоставлена правая репликация изменений каталога на каждой головке NC.

Отсутствует объект параметров NTDS для сервера LDS

В службах Active Directory упрощенных каталогов (LDS) можно удалить объект без очистки метаданных в DBDSUTIL. Это может вызвать эту проблему. Чтобы восстановить экземпляр в наборе конфигураций, необходимо удалить экземпляр LDS на затронутых серверах, а затем запустить мастер настройки ADAM.

Примечание.

Если для экземпляра добавлена поддержка LDAPS, необходимо снова настроить сертификат в хранилище служб, так как при удалении экземпляра также удаляется экземпляр службы.