Omitir al contenido principal
Microsoft
Soporte técnico de Microsoft
  • Office
  • Windows
  • Surface
  • Xbox
  • Soporte
      • OneDrive
      • Outlook
      • Skype
      • OneNote
      • PCs & tablets
      • Xbox y juegos
      • Juegos para Windows
      • Microsoft Azure
      • Microsoft Dynamics 365
      • Microsoft 365
      • Plataforma en la nube
      • Soluciones para Grandes Organizaciones
      • .NET
      • Visual Studio
      • Desarrollo de aplicaciones para Windows
      • Documentos
      • Seguridad y descargas gratuitas
      • Educación
    • Ver todo
    Iniciar sesión
    Soporte técnico de Microsoft

    Solucionar el error de replicación de AD 8453: "se denegó el acceso de replicación"

    Contenido proporcionado por Microsoft

    Contenido proporcionado por Microsoft


    IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente. Si ve errores y desea ayudar con este esfuerzo, rellene la encuesta en la parte inferior de este artículo.

    Ver el artículo original en inglés: 2022387

    Resumen


    En este artículo se describe cómo solucionar un problema en que Active Directory replicación falla y genera el error 8453: "se denegó el acceso de replicación".

    Este error tiene las siguientes causas principales:

    • El controlador de dominio de destino no tiene los permisos necesarios para replicar el contexto de nomenclatura o partición.
    • El administrador que inicie manualmente la replicación no tiene permisos para hacerlo.

      Nota: Esta condición no afecta a la replicación programada o periódica.

    Causa superior:
    Para el período o replicación programada, si el controlador de dominio de destino es un controlador de dominio de sólo lectura (RODC):
    El grupo de seguridad controladores de dominio de sólo lectura empresariales no tiene permisos de "Replicar cambios de directorio" en la raíz del contexto de nomenclatura (NC) para la partición en la que no se duplica y devuelve el error 8453.

    Solución superior:
    En cada CN ese RODC no replicar y que devuelven error 8453: conceder permisos "Replicar cambios de directorio" al grupo de seguridad controladores de dominio de sólo lectura de empresa del dominio raíz del bosque.

    Ejemplo:
    Childdc2.child.contoso.com de un RODC no replicar la partición de contoso.com y devuelve el error 8453. Para solucionar esta situación, siga estos pasos:

    1. Abra ADSIEDIT.msc en un controlador de dominio de contoso.com.
    2. Abrir una conexión al dominio contoso.com CN (contexto de nomenclatura predeterminado).
    3. Abra las propiedades del dc = contoso, dc = com CN y seleccione la ficha seguridad .
    4. Haga clic en Agregary escriba lo siguiente en el cuadro de texto:

      Controladores de dominio de sólo lectura de CONTOSO\Administradores

      Nota: Este grupo sólo existe en el dominio raíz del bosque.
    5. Seleccione Comprobar nombresy, a continuación, seleccione Aceptar.
    6. En el cuadro de diálogo permisos para controladores de dominio de sólo lectura empresariales , desactive las casillas de verificación Permitir que se seleccionan automáticamente:
       
      • Lectura
      • Leer las directivas de contraseña y bloqueo de dominio
      • Leer otros parámetros de dominio
    7. Active la casilla Permitir junto a Replicar cambios de directorioy, a continuación, seleccione Aceptar.

    Si estos pasos no resuelven el problema, consulte el resto de este artículo.

    Síntomas


    Cuando se produce este problema, experimenta uno o varios de los síntomas siguientes:

    • La prueba de replicación DCDIAG (DCDIAG /TEST:NCSecDesc) informa de que el controlador de dominio probado "error replicaciones de prueba" y tiene un estado de "8453: se denegó el acceso de replicación":
        

      Iniciando prueba: replicaciones
      [Comprobación de replicaciones, < controlador de dominio de destino] Error en un intento de replicación recientes:
      Desde < DC de origen > a < DC de destino
      Contexto de nomenclatura: < ruta de acceso completa de la partición de directorio >
      La replicación generó un error (8453):
      Se denegó el acceso replicación.
      El error ocurrió en tiempo > < fecha ><.
      Se produjo el último éxito en tiempo > < fecha ><.
      %#% errores han ocurrido desde la última operación correcta.
      La cuenta de equipo para el destino de < destino DC >.
      no está configurado correctamente.
      Compruebe el campo userAccountControl.
      Error de Kerberos.
      La cuenta de equipo no está presente o no coincide en el.
      destino, origen o servidores de KDC.
      Comprobar la partición de dominio de KDC está sincronizado con el resto de la empresa.
      La herramienta repadmin/syncall puede utilizarse para este propósito.
      ......................... prueba error < DC probado Dcdiag > replicaciones

       

    • La prueba NCSecDesc DCDIAG (DCDIAG /TEST:NCSecDes) informa de que el controlador de dominio que ha sido sometido a "Error prueba DCDIAG NCSecDec" y que faltan uno o más permisos en el encabezado NC de una o más particiones de directorio en el controlador de dominio probado que ha sido probada por DCDIAG:

      Iniciando prueba: NCSecDesc

      No tiene controladores de dominio de error NT AUTHORITY\ENTERPRISE
      Replicar cambios de directorio <-lista de acceso que faltan
      Sincronización de replicación <-derechos necesarios para cada Administrar topología de réplica <-grupo de seguridad podría variar
      Replicación de directorio cambia en filtrados establecido <: función que falta
      derechos de acceso para el contexto de nomenclatura: < - derecho en su entorno
         DC=contoso,DC=com                                              
      No tiene controladores de error CONTOSO\Domain
      Replicando cambios de directorio todos
      derechos de acceso para el contexto de nomenclatura:
         DC=contoso,DC=com
      No tiene controladores de dominio de sólo lectura de error CONTOSO\Administradores
      Replicar cambios de directorio
      derechos de acceso para el contexto de nomenclatura:
         DC=contoso,DC=com
      ......................... Prueba fallida de CONTOSO DC2 NCSecDesc
       

    • La prueba MachineAccount DCDIAG (DCDIAG /TEST:MachineAccount) informa de que el controlador de dominio que ha sido probado por DCDIAG "error test MachineAccount" porque el UserAccountControl atributo en la cuenta de equipo de DCs le falta el SERVER_TRUST_ACCOUNT"o"TRUSTED_FOR_DELEGATION"indicadores:
       

      Iniciando prueba: MachineAccount
      La cuenta de CONTOSO DC2 es no es de confianza para la delegación. No se puede
               replicate.
      La cuenta de CONTOSO DC2 no es una cuenta de controlador de dominio. , No podría duplicarse.
      Advertencia: atributo userAccountControl de CONTOSO DC2 es:
               0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )
      La configuración típica de un controlador de dominio es
               0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
      ¿ Esto puede afectar a la replicación?
               ......................... CONTOSO DC2 error prueba MachineAccount

       

    • La prueba del registro de sucesos de DCDIAG KCC indica el equivalente hexadecimal de Microsoft-Windows-ActiveDirectory_DomainService eventos 2896:

      B50 hex = 2896 decimal. Este error puede anotarse cada 60 segundos en el controlador de dominio del maestro de infraestructura.
       

      Iniciando prueba: KccEvent
      * Prueba de registro de los eventos de KCC
      Se ha producido un evento de error. EventID: 0xC0000B50
      Tiempo generado: 25/06/2010 07:45:07
      Cadena de suceso:
      Un cliente realiza una solicitud LDAP de DirSync de una partición de directorio. Se denegó el acceso debido al siguiente error.           

      Partición de directorio:

      < ruta de acceso completa de la partición de directorio >
                  Error value: 
      8453 de replicación de acceso denegado.           

                  User Action 
      El cliente no tenga acceso a esta solicitud. Si el cliente lo requiere, se debe asignar el control de acceso de derecho "replicar
      Cambios de directorio"en el directorio de la partición en cuestión.

    • REPADMIN. EXE se informa que un intento de replicación error y devolvió un estado 8453.

      Los comandos REPADMIN que normalmente indican el estado de 8453 incluyen pero no se limitan a los siguientes.
       

      ·         REPADMIN /KCC
      ·         REPADMIN /REHOST
      ·         REPADMIN /REPLICATE
      ·         REPADMIN /REPLSUM

      ·         REPADMIN /SHOWREPL
      ·         REPADMIN /SHOWREPS
      ·         REPADMIN /SHOWUTDVEC
      ·         REPADMIN /SYNCALL


      Ejemplo de salida de "REPADMIN /SHOWREPS" mostrando la replicación entrante de CONTOSO DC2 para CONTOSO-DC1 que fallará y devolverá que el error "se denegó el acceso de replicación" es como sigue:
       

      Default-First-Site-Name\CONTOSO-DC1
      Opciones de DSA: IS_GC
      Opciones de sitio: (ninguno)
      GUID del objeto DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01
      Id. de invocación DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01

      === VECINOS DE ENTRADA ===

      DC=contoso,DC=com
      Predeterminado-primer-sitio-Name\CONTOSO-DC2 a través de RPC
      GUID del objeto DSA: 74fbe06c-932c-46b5-831b-af9e31f496b2
      En el último intento @ < fecha >< hora > error, resultado 8453 (0x2105):
      Se denegó el acceso replicación.
      <> # consecutivos errores.
      Éxito @ < fecha >< hora > pasado.
       

    • El comando "Replicar ahora" en servicios y sitios de Active Directory devuelve un error "se denegó el acceso de replicación".

      Clic en el objeto de conexión desde un controlador de dominio de origen y, a continuación, seleccionando "Replicar ahora" se produce un error y devuelve un error "se denegó el acceso de replicación". Se muestra el siguiente mensaje de error:
        

      Texto de título de diálogo: replicar ahora
      Texto del mensaje de diálogo: se ha producido el siguiente error durante el intento de sincronizar el contexto de nomenclatura < nombre de partición de directorio % % > de < DC de origen > del controlador de dominio a controlador de dominio de < destino DC >:
      Se denegó el acceso de replicación

      La operación no continuará.
      Botones en el cuadro de diálogo: Aceptar


      The "replicate now" command in Active Directory Services Sites and Services snap-in reporting "replication access was denied"
       

    • NTDS KCC, NTDS General o eventos de Microsoft-Windows-ActiveDirectory_DomainService que tienen el estado 8453 se registran en el registro de sucesos de servicios de directiva de Active Directory (AD DS).

      Eventos de Active Directory que normalmente indican el estado de 8453 incluyen pero no se limitan a los siguientes:
       

      Origen de eventos

      Id. de suceso

      Cadena de evento

      Microsoft-Windows-ActiveDirectory_DomainService

      1699 Este servicio de directorio no pudo recuperar los cambios solicitados para la siguiente partición de directorio. Como resultado, no pudo enviar las solicitudes de cambio al servicio de directorio en la siguiente dirección de red.
       
      Microsoft-Windows-ActiveDirectory_DomainService 2896 Un cliente realiza una solicitud LDAP de DirSync de una partición de directorio. Se denegó el acceso debido al siguiente error.
       

      NTDS General

      1655

      Active Directory intentó comunicarse con el siguiente catálogo global y los intentos fracasaron.
       

      KCC DE NTDS 1265 El intento para establecer un vínculo de replicación con los parámetros
      Partición: < ruta de acceso de partición DN >
      DN de DSA de origen: < DN del objeto de configuración NTDS de DC de origen >
      Dirección de DSA de origen: < CNAME completo DC de origen >
      Transporte entre sitios (si existe): < ruta de acceso completa >
      error con el estado siguiente:
       

      KCC DE NTDS

      1925

      Error al intentar establecer un vínculo de replicación para la partición de directorio grabable siguiente.
       

    Causa


    8453 de error: "Acceso de replicación se ha denegado" tiene varias causas, incluyendo lo siguiente:

    • Indicador SERVER_TRUST_ACCOUNT o la TRUSTED_FOR_DELEGATION falta el atributo UserAccountControl en la cuenta de equipo del controlador de dominio de destino.
    • No existen los permisos predeterminados en una o más particiones de directorio para permitir la replicación programada que se produzca en el contexto de seguridad del sistema operativo.
    • El valor predeterminado o permisos personalizados no existen en una o más particiones de directorio para permitir a los usuarios desencadenar la replicación inmediata o ad-hoc utilizando DSSITE. MSC -> "Replicar ahora" "repadmin /replicate", "repadmin/SyncAll," o comandos similares.
    • Los permisos que se requieren para desencadenar la replicación de ad hoc se definen correctamente en las particiones de directorio correspondientes. Sin embargo, el usuario no es miembro de algún grupo de seguridad que se ha concedido el permiso de cambios de directorio de replicación.
    • El usuario que desencadene la replicación de ad hoc es un miembro de los grupos de seguridad necesarios y los grupos de seguridad han concedido el permiso "replicar cambios de directorio". Sin embargo, pertenencia al grupo que concede el permiso "replicar cambios de directorio" se quita del token de seguridad del usuario por la característica de "User Account Control" (split token de acceso de usuario) que se introdujo en Windows Vista y Windows Server 2008.

      Nota: No confunda el "User Account Control" dividir la característica de token de seguridad que se introdujo en Vista y Windows Server 2008 con el atributo UserAccountControl definido en cuentas de equipo de función de controlador de dominio almacenada por el servicio de Active Directory.
    • Si el controlador de dominio de destino es un RODC, RODCPREP no se ha ejecutado en dominios que actualmente albergan los controladores de dominio de sólo lectura o el grupo de controladores de dominio de sólo lectura empresariales no tiene permisos de Replicar cambios de directorio para la partición en la que no se replican.
    • Controladores de dominio que ejecutan versiones de sistema operativo nuevo se ha agregado a un bosque existente donde se ha instalado Office Communication Server.
    • Tiene instancias LDS y el objeto de Configuración NTDS para las instancias afectados no están en el contenedor de configuración de LDS. Por ejemplo, verá la entrada siguiente:

      CN = NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

    Eventos tales como los que se mencionan en la sección "Síntomas" y errores de directorio de Active también pueden ocurrir y generar un error 5: mensaje "Acceso denegado".

    Aplicar los pasos para el error 5 o 8453 de error que se mencionan en la sección "Resolución" no resuelve los errores de replicación en los equipos que actualmente se producen errores en la replicación y que está generando el mensaje.

    Causas comunes para la falla de operaciones de Active Directory que generan mensajes de error 5 incluyen los siguientes:

    • Sesgo de tiempo excesivo
    • La fragmentación de paquetes con formato UDP Kerberos por dispositivos intermedios en la red
    • Faltan los derechos "tener acceso a este equipo desde la red"
    • Canales seguros rotos o confianzas dentro del dominio
    • CrashOnAuditFail = 2 entrada del registro

    Solución


    Para resolver este problema, utilice los métodos siguientes.

    Ejecutar una comprobación de estado utilizando DCDIAG + DCDIAG checksecurityerror

    1. Ejecute DCDIAG en el controlador de dominio que está informando del error 8453 o evento de destino.
    2. Ejecute DCDIAG en el controlador de dominio de origen en el que el controlador de dominio de destino está informando de que el error 8453 o se está produciendo el evento.
    3. Ejecute DCDIAG checksecurityerror en el controlador de dominio de destino.
    4. Ejecute DCDIAG checksecurityerror en el DC de origen.

    Corregir UserAccountControl no válido

    El atributo UserAccountControl incluye una máscara de bits que define las capacidades y el estado de una cuenta de usuario o equipo. Para obtener más información acerca de los indicadores UserAccountControl , consulte el siguiente artículo de Knowledge Base y el tema MSDN:

    305144 cómo utilizar los indicadores UserAccountControl para manipular las propiedades de la cuenta de usuario

    Atributo de Control de cuentas de usuario

    El valor del atributo UserAccountControl típica para una cuenta de equipo de DC ("completa") puede escribir es 532480 hexadecimal decimal o 82000. Valores de UserAccountControl para una cuenta de equipo del controlador de dominio pueden variar, pero deben contener los indicadores SERVER_TRUST_ACCOUNT y TRUSTED_FOR_DELEGATION, como se muestra en la siguiente tabla.

    Indicador de la propiedad

    Valor hexadecimal

    Valor decimal

    SERVER_TRUST_ACCOUNT

    0x2000

    8192

    TRUSTED_FOR_DELEGATION

    0x80000

    524288

    Valor de UserAccountControl

    0x82000

    532480


    El valor del atributo UserAccountControl típica para una cuenta de equipo del controlador de dominio de sólo lectura es 83890176 hexadecimal decimal o 5001000.

    Indicador de la propiedad

    Valor hexadecimal

    Valor decimal

    WORKSTATION_TRUST_ACCOUNT

    0x1000

    4096

    TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION

    0x1000000

    16777216

    PARTIAL_SECRETS_ACCOUNT

    0X4000000

    67108864

    Típica Valor de UserAccountControl de RODC

    0x5001000

    83890176

     
    • Falta el atributo UserAccountControl en el controlador de dominio de destino el indicador SERVER_TRUST_ACCOUNT

      Si la prueba MachineAccount DCDIAG produce un error y devuelve un mensaje de error "error test MachineAcccount" y el atributo UserAccountControl en el controlador de dominio probado falta el indicador SERVER_TRUST_ACCOUNT, agregue el indicador que falta en la copia de controladores de dominio probados de directorio de Active Directory.
       
      1. Inicie ADSIEDIT. MSC en la consola del controlador de dominio que le falta la SERVER_TRUST_ACCOUNT notifica DCDIAG.
      2. Haga clic en "ADSIEDIT" en el panel superior izquierdo de ADSIEDIT. MSC y, a continuación, seleccione Conectar con.
      3. En el cuadro de diálogo Configuración de la conexión , haga clic en Seleccionar un contexto de nomenclatura conocidoy, a continuación, seleccione un contexto de nomenclatura predeterminado (la partición de dominio de la cuenta de equipo).
      4. Haga clic en "Seleccionar o escribir un servidor o dominio" y seleccione el nombre del controlador de dominio que está fallando en DCDIAG.
      5. Haga clic en Aceptar.
      6. En el contexto de nomenclatura de dominio, busque y haga clic en la cuenta de equipo del controlador de dominio y seleccione Propiedades.
      7. Haga doble clic en el atributo UserAccountControl y, a continuación, anote su valor decimal.
      8. Iniciar la calculadora de Windows en el modo científico (Windows 2000 o Windows Server 2003) o en modo de programador (Windows Server 2008 y versiones posteriores).
      9. Escriba el valor decimal de UserAccountControl.  Convertir el valor decimal a su equivalente hexadecimal, undd 0 x 80000 a la existente de valor y, a continuación, presione el signo igual (=).
      10. Convertir el valor de UserAccountContorl recién calculado en su equivalente decimal.
      11. Escriba el nuevo valor decimal de la calculadora de Windows para el atributo UserAccountControl en ADSIEDIT. MSC.
      12. Haga clic en Aceptar dos veces para guardar.
       
      • Falta el atributo UserAccountControl en el controlador de dominio de destino el indicador TRUSTED_FOR_DELEGATION

        Si la prueba de DCDIAG MachineAccount devuelve un mensaje de error "error test MachineAcccount" y el atributo UserAccountControl en el controlador de dominio probado falta el indicador _FOR_DELEGATION de confianza, agregue el indicador que falta en la copia del controlador de dominio probado de directorio de Active Directory.
         
        1. Inicie Active Directory Users y equipos (DSA. MSC) en la consola del controlador de dominio que ha sido probada por DCDIAG.
        2. Haga clic en la cuenta de equipo del controlador de dominio.
        3. Haga clic en la ficha delegación .
        4. En la cuenta de equipo del controlador de dominio, seleccione la opción "Este equipo para la delegación a cualquier servicio (sólo Kerberos) de confianza".

    Corregir predeterminado no válido de descriptores de seguridad

    Operaciones de Active Directory tienen lugar en el contexto de seguridad de la cuenta que inició la operación. Los permisos predeterminados en las particiones de Active Directory permiten las siguientes operaciones:

    • Los miembros del grupo Administradores de empresa pueden iniciar la replicación de ad-hoc entre cualquier controlador de dominio en cualquier dominio en el mismo bosque.
    • Los miembros del grupo Administradores integrado pueden iniciar la replicación de ad-hoc entre controladores de dominio del mismo dominio.
    • Controladores de dominio del mismo bosque pueden iniciar la replicación mediante el uso de cualquier notificación de cambio para el horario de replicación.

    Los permisos predeterminados en las particiones de Active Directory no permite las siguientes operaciones por defecto:

    • Miembros del grupo Administradores integrado en un dominio no pueden iniciar la replicación de ad-hoc en controladores de dominio en ese dominio desde controladores de dominio en dominios diferentes.
    • Los usuarios que no son miembros del grupo Administradores integrado no pueden iniciar la replicación de ad hoc desde otro controlador de dominio en el mismo dominio o bosque.

    Por diseño, estas operaciones no hasta los permisos predeterminados o se modifican las pertenencias a grupos.

    Los permisos se definen en la parte superior de cada partición de directorio ("encabezado NC") y se heredan en todo el árbol de la partición. Compruebe que explícita (grupos que directamente, el usuario es miembro) y grupos implícitos (grupos anidadas pertenencia de grupos explícitos) tienen los permisos necesarios. También compruebe que los permisos de "Denegar" que se asignan a grupos implícitos o explícitos no tienen prioridad sobre los necesarios permisos.

    Para obtener más información acerca de particiones de directorio predeterminadas, consulte el tema siguiente de TechNet:

    Seguridad predeterminada de la partición de directorio de configuración
     

    • Compruebe que existen permisos predeterminados en el "top" de cada partición de directorio en el que está fallando y devolver "replicación denegó el acceso"

      Si falla la replicación de ad-hoc entre controladores de dominio en dominios diferentes, o entre controladores de dominio en el mismo dominio para los administradores de dominio no, consulte la "otorgar permisos no domain admins" sección.

      Si está fallando replicación ad hoc para los miembros del grupo Administradores de empresa, se centran en permisos de cabeza CN que se conceden al grupo Administradores de empresa.

      Si falla la replicación de ad hoc para los miembros de un grupo de administradores de dominio, se centran en los permisos que se conceden al grupo de seguridad Administradores integrado.

      Si una replicación programada iniciada por controladores de dominio de un bosque está fallando y devuelve el error 8453, centrarse en permisos para los grupos de seguridad de controladores de dominio empresariales y controladores de dominio de sólo lectura de empresa.

      Si se inicia una replicación programada por controladores de dominio en un controlador de dominio de sólo lectura (RODC) está fallando y devuelve el error 8453, compruebe que el grupo de seguridad controladores de dominio de sólo lectura de empresa se concede el acceso necesario en el encabezado NC de cada partición de directorio.

      La tabla siguiente muestra los permisos predeterminados que se definen en el esquema, configuración, dominio y aplicaciones de DNS por varias versiones de Windows.
       

      DACL necesario en cada partición de directorio

      Windows 2000

      Windows Server 2003 y 2003 R2

      Windows Server 2008 y versiones posterior

      Administrar topología de replicación

      X

      X

      X

      Replicar cambios de directorio

      X

      X

      X

      Sincronización de replicación

      X

      X

      X

      Replicando cambios de directorio todos

       

      X

      X

      Replicar los cambios en el conjunto de filtros    

      X


      Nota: La prueba NcSecDesc DCDIAG puede informar de errores positivos falsos cuando se ejecuta en entornos en los que se han mezclado versiones del sistema, tal como se documenta en el siguiente artículo de Knowledge Base:
       

      829306 "Replicación de directorio cambios todo" mensaje de error cuando ejecuta la utilidad Dcdiag.exe

      Puede utilizarse el comando DSACLS para volcar los permisos en una partición de directorio determinada utilizando la sintaxis siguiente:

      DSACLS <ruta de acceso completa de la partición de directorio>

      Por ejemplo, utilice el comando siguiente:

      C:\>dsacls dc=contoso,dc=com

      El comando puede tener como destino un controlador de dominio remoto mediante la sintaxis

      c:\ > dsacls \\contoso-dc2\dc=contoso,dc=com

      Tenga cuidado con permiso de "Denegar" en encabezados NC quitando los permisos para que el usuario de errores es un miembro directo o anidado de.

    Agrega los permisos necesarios que faltan

    En ADSIEDIT, utilice el editor de ACL de Active Directory. MSC para agregar las DACL que faltan.
     

    Conceder permisos para replicar entre controladores de dominio de los mismos administradores de dominio o no sean de empresa para replicar entre controladores de dominio en dominios diferentes de administradores de dominio no

    Los permisos predeterminados en las particiones de Active Directory no permite las siguientes operaciones:

    • Miembros del grupo Administradores integrado en un dominio no pueden iniciar la replicación de ad hoc desde controladores de dominio en dominios diferentes.
    • Usuarios que no son miembros del grupo de administradores de dominio integrada para iniciar ad-hoc de replicación entre controladores de dominio en el mismo dominio o dominio diferente.

    Operaciones de Thesew un error hasta que se modifican los permisos en las particiones de directorio.

    Para resolver este problema, utilice uno de los métodos siguientes:

    • Agregar usuarios a grupos existentes que ya han sido los concedidos los permisos necesarios para replicar las particiones de directorio. (Agregar los administradores de dominio para la replicación en el mismo dominio o del grupo Administradores de empresa para desencadenar la replicación de ad-hoc entre dominios diferentes).
    • Crear tu propio grupo, conceder los permisos necesarios en las particiones de directorio en todo el bosque a ese grupo y, a continuación, agregar usuarios a esos grupos.

    Artículo de Knowledge Base 303972 describe cómo crear un grupo de seguridad, agregar los miembros necesarios a esos grupos y conceder al grupo las DACL necesarias en las particiones de Active Directory. Conceda al grupo de seguridad en cuestión los mismos permisos que se enumeran en la tabla en la sección "Solucionar válido predeterminado descriptores de seguridad" de este artículo.

    Para obtener más información, consulte el siguiente artículo de Knowledge Base y notas de TechNet:

    303305: aparece el mensaje de error "acceso denegado" cuando utiliza la herramienta de los servicios y sitios de Active Directory

    Mejores prácticas para la delegación de Active Directory

    Comprobar la pertenencia de los grupos de seguridad necesarios

    Después de que los grupos de seguridad correcta se han concedido los permisos necesarios en las particiones de directorio, la última tarea restante es comprobar que los usuarios que inician la replicación tienen efectiva pertenencia directa o anidados grupos de seguridad que se conceden permisos de replicación. Para ello, siga estos pasos:

    1. Iniciar sesión con la cuenta de usuario en qué ad-hoc replicación está fallando y devolver "se denegó el acceso de replicación".
    2. En el símbolo del sistema, ejecute el siguiente comando:

      WHOAMI /ALL
    3. Comprobar la pertenencia a los grupos de seguridad que se han concedido los permisos "replicar cambios de directorio" en las particiones de directorio correspondientes.

      Si el usuario se agregó al grupo tiene permiso que se cambió tras el último inicio de sesión de usuario, inicie sesión una segunda vez y, a continuación, ejecutarWHOAMI /ALLotra vez.

      IfWHOAMI /ALLtodavía no mostrar pertenencia en los grupos de seguridad esperado, abra una ventana de símbolo del sistema con privilegios elevados, en el equipo local y ejecuteWHOAMI /ALLen el símbolo del sistema.

      Si la pertenencia al grupo es diferente entre elWHOAMI /ALLresultados generados por los mensajes de comandos con privilegios elevados y no elevados, consulte artículo de Knowkledge Base 976063.
    4. Compruebe que existe la pertenencia a grupos anidados esperado.

      Si un usuario tiene permisos para ejecutar la replicación de ad hoc como miembro de un grupo anidado que es miembro del grupo que se ha concedido directamente permisos de replicación, compruebe la cadena de pertenencia a grupos anidados. Por ejemplo, CSS de Microsoft ha visto la replicación de Active Directory ad-hoc producirá un error porque se quitaron los grupos Administradores de dominio y administradores de empresa de los grupos de administradores integrados.


    Replicación de RODC

    Si falla la replicación iniciada por el equipo en el RODC, compruebe que ha ejecutadoADPREP /RODCPREPcomo se especifica en el artículo de Knowledge Base 967482 y el grupo controlador de dominio de sólo lectura de empresa tiene el derecho "replicar cambios de directorio" en cada encabezado NC.
     

    Office Communication Server

    Si observa que las operaciones de AD un error y devolvían el error 8453 "replicación se denegó el acceso" en un bosque existente que está ejecutando Microsoft Office Communications Server 2005 o en Microsoft Office Communications Server 2007, y esto se produce inmediatamente después de la promoción de o actualice a los controladores de dominio de Windows Server 2008 o Windows Server 2008 R2, consulte los siguientes artículos de Knowledge Base :

    982020: office Communications Server 2007 R2, OCS 2007 o LCS 2005 no funciona correctamente después de actualizar a Windows Server 2008 R2

    982021: capacidad de soporte está disponible para la función de servidor de Office Communications Server 2007 R2 miembros en un sistema operativo de Windows Server 2008 R2
     

    Falta el objeto de configuración NTDS para el servidor LDS

    De Lightweight Directory Services (LDS de Active Directory), es posible eliminar simplemente el objeto (sin una limpieza de metadatos en DBDSUTIL). Por lo tanto, es probable que la causa de este problema. Para restaurar la instancia del conjunto de configuración, tiene que desinstalar la instancia LDS en los servidores afectados y tgallina, ejecute el Asistente de configuración de ADAM.

    Nota: Si ha agregado que soporte LDAPS para la instancia, deberá configurar el certificado en el almacén del servicio de nuevo porque la desinstalación de la instancia también quita la instancia de servicio.

    Más información


    Las siguientes notas y recursos se aplican a este error.

    • La sección "Síntomas" del artículo de Knowledge Base 982020 no menciona los errores de replicación de AD.

    • Agrega los permisos necesarios que faltan
       
      • En ADSIEDIT, utilice el editor de ACL de Active Directory. MSC para agregar las DACL que faltan que se enumeran en la sección "Solución".  Observe que los permisos necesarios para un RODC.
      • Para corregir los permisos en los casos en que los RODC no se replican, agregar la "replicar cambios de directorio" grupo permiso de seguridad de controlador de dominio de sólo lectura de empresa del dominio raíz del bosque en cada CN que los RODC no pueda replicar y el informe de error 8453.
      • Las ACL pueden restaurarse a su condición predeterminada mediante el comando siguiente:

        DSACLS <DN path of directory partition> /S /T

    Si las operaciones AD fallan y devolvían error 8453 "replicación se denegó el acceso" en entornos en los que está instalado OCS 2007, consulte los siguientes artículos de Knowledge Base:

    2330876 después de la actualización de Server 2003 controladores de dominio Server 2008 OCS puede presentar errores - 2896 ID 8453 acceso de replicación se ha denegado

    2208888: declaración de Win2008 compatibilidad de AD para OCS 2007

    Experiencias de los clientes de ejemplo en el cual promoción GC, se produce un error y devuelve el error 8453:

    • Promoción de GC en dos RODC nuevo correctamente entrantes replicados conseguían algunos pero fueron las particiones de directorio de dominio de origen un contoso.com de partición de directorio de sólo lectura con estado de error 8453: se denegó el acceso de replicación.
    • DSACLS demostró que el grupo controladores de dominio de sólo lectura empresariales faltaba permisos necesarios en las particiones de errores
       

    Los siguientes comandos se ejecutaron en las particiones del error:

    C:\ > dsacls dc = contoso, dc = com/g "S-1-5-21-1075080465-1338441772-1012356993-498:CA; Replicar cambios de directorio"

    Esto agrega el siguiente permiso de entrada a la cabeza de CN:

    Permitir que los controladores de dominio de sólo lectura de CI\Enterprise
    Replicar cambios de directorio

    c:\ > dsacls dc = contoso, dc = com/g "S-1-5-21-1075080465-1338441772-1012356993-498:LCRPLO;"

    Esto agrega el siguiente permiso de entrada a la cabeza de CN:

    Permitir que los controladores de dominio de sólo lectura de CI\Enterprise
    ACCESO ESPECIAL
    MOSTRAR EL CONTENIDO
    PROPIEDAD DE LECTURA
    OBJETO DE LISTA

     


    Última actualización: 16 jul. 2017
    • Correo electrónico
    • Imprimir
    ¡Gracias! Tus comentarios nos ayudarán a mejorar la experiencia de soporte técnico.

    Soporte técnico

    Soporte técnico

    • Buscar descargas
    • Soporte de cuenta
    • Lista de productos admitidos
    • Ciclo de vida del soporte técnico del producto

    Seguridad

    Seguridad

    • Centro de seguridad y protección de Microsoft
    • Descargar Security Essentials
    • Herramienta de eliminación de software malintencionado

    Ponerse en contacto con nosotros

    Ponerse en contacto con nosotros

    • Informar sobre una estafa de soporte técnico
    • Ponerse en contacto con Soporte técnico de Microsoft
    • Preguntas de privacidad
    • Buscar direcciones de Microsoft en todo el mundo
    Este sitio en otros países o regiones
    Algérie - Français
    Argentina - Español
    Australia - English
    Belgique - Français
    België - Nederlands
    Bolivia - Español
    Bosna i Hercegovina - Hrvatski
    Brasil - Português
    Canada - English
    Canada - Français
    Chile - Español
    Colombia - Español
    Costa Rica - Español
    Crna Gora - Srpski
    Danmark - Dansk
    Deutschland - Deutsch
    Dominican Republic - Español
    Ecuador - Español
    Eesti - Eesti
    El Salvador - Español
    España - Español
    Estados Unidos - Español
    France - Français
    Guatemala - Español
    Hong Kong SAR - English
    Hrvatska - Hrvatski
    India - English
    Indonesia (Bahasa) - Bahasa
    Ireland - English
    Italia - Italiano
    Latvija - Latviešu
    Lietuva - Lietuvių
    Luxembourg - Français
    Magyarország - Magyar
    Malaysia - English
    Maroc - Français
    México - Español
    Nederland - Nederlands
    New Zealand - English
    Norge - Bokmål
    Panamá - Español
    Paraguay - Español
    Perú - Español
    Philippines - English
    Polska - Polski
    Portugal - Português
    Puerto Rico - Español
    România - Română
    Schweiz - Deutsch
    Singapore - English
    Slovenija - Slovenščina
    Slovensko - Slovenčina
    South Africa - English
    Srbija - Srpski
    Suisse - Français
    Suomi - Suomi
    Sverige - Svenska
    Tunisie - Français
    Türkiye - Türkçe
    United Kingdom - English
    United States - English
    Uruguay - Español
    Venezuela - Español
    Việt Nam - Tiếng việt
    Ísland - Íslenska
    Österreich - Deutsch
    Česká Republika - Čeština
    Ελλάδα - Ελληνικά
    България - Български
    Казахстан - Русский
    Россия - Русский
    Україна - Українська
    ישראל - עברית
    الإمارات العربية المتحدة - العربية
    المملكة العربية السعودية - العربية
    مصر - العربية
    भारत - हिंदी
    ไทย - ไทย
    中国 - 简体中文
    台灣 - 繁體中文
    日本 - 日本語
    香港特別行政區 - 繁體中文
    대한민국 - 한국어
    Español (Venezuela)
    • Términos de uso
    • Privacidad y cookies
    • Marcas comerciales
    • © Microsoft 2018