Solucionar el error de replicación de Active Directory 8453: "se denegó el acceso de replicación".
Síntomas
Este artículo describe los síntomas, causa y los pasos de resolución para las situaciones donde las operaciones de Active Directory no 8453 de error: se denegó el acceso de replicación.
- La prueba DCDIAG replicación (DCDIAG /TEST:NCSecDesc) informa de que el controlador de dominio probado "replicaciones de prueba fallida" con el estado 8453: se denegó el acceso de replicación.
Iniciando prueba: replicaciones
[Comprobación de replicaciones, < DC de destino] Error en un intento de replicación recientes:
Desde < DC de origen > a < DC de destino
Contexto de nomenclatura: < ruta de acceso completa de la partición de directorio >
La replicación generó un error (8453):
Se denegó el acceso replicación.
El error ocurrió en tiempo > < fecha ><.
Se produjo el último éxito en tiempo > < fecha ><.
%#% errores han ocurrido desde la última operación correcta.
La cuenta de equipo para el destino de < destino DC >.
no está configurado correctamente.
Compruebe el campo userAccountControl.
Error de Kerberos.
La cuenta de equipo no está presente o no coincide en el.
destino, origen o servidores de KDC.
Comprobar la partición de dominio de KDC está sincronizado con el resto de la empresa.
La herramienta repadmin/syncall puede utilizarse para este propósito.
......................... prueba error < DC probado Dcdiag > replicaciones - La prueba NCSecDesc DCDIAG (DCDIAG /TEST:NCSecDes) indica que el controlador de dominio probado DCDIAG "error test NCSecDec" y que faltan uno o más permisos en el encabezado NC de una o más particiones de directorio en el DC probado probados por DCDIAG:
Iniciando prueba: NCSecDesc
No tiene controladores de dominio de error NT AUTHORITY\ENTERPRISE
Replicar cambios de directorio <-lista de acceso que faltan
Sincronización de replicación <-derechos necesarios para cada Administrar topología de réplica <-grupo de seguridad podría variar
Replicación de directorio cambia en filtrados establecido <: función que falta
derechos de acceso para el contexto de nomenclatura: < - derecho en su entorno
DC = contoso, DC = com
No tiene controladores de error CONTOSO\Domain
Replicando cambios de directorio todos
derechos de acceso para el contexto de nomenclatura:
DC = contoso, DC = com
No tiene controladores de dominio de sólo lectura CONTOSO\Administradores de error
Replicar cambios de directorio
derechos de acceso para el contexto de nomenclatura:
DC = contoso, DC = com
......................... Prueba fallida de CONTOSO DC2 NCSecDesc
- La prueba MachineAccount DCDIAG (DCDIAG /TEST:MachineAccount) informa de que el controlador de dominio probado DCDIAG "error test MachineAccount" porque falta el atributo UserAccountControl en la cuenta de equipo de controladores de dominio de la SERVER_TRUST_ACCOUNT"o"TRUSTED_FOR_DELEGATION"indicadores:
Iniciando prueba: MachineAccount
La cuenta de CONTOSO DC2 es no es de confianza para la delegación. No se puede
replicar.
La cuenta de CONTOSO DC2 no es una cuenta de controlador de dominio. , No podría duplicarse.
Advertencia: atributo userAccountControl de CONTOSO DC2 es:
0x288 = (HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT)
La configuración típica de un controlador de dominio es
0x82000 = (SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION)
¿ Esto puede afectar a la replicación?
......................... CONTOSO DC2 error prueba MachineAccount - La prueba de registro de eventos de KCC DCDIAG cita el equivalente hexadecimal de Microsoft-Windows-ActiveDirectory_DomainService eventos 2896
B50 hex = 2896 decimal. Este error puede anotarse cada 60 segundos en el controlador de dominio del maestro de infraestructura.
Iniciando prueba: KccEvent
* Prueba de registro de los eventos de KCC
Se ha producido un evento de error. EventID: 0xC0000B50
Tiempo generado: 25/06/2010 07:45:07
Cadena de suceso:
Un cliente realiza una solicitud LDAP de DirSync de una partición de directorio. Se denegó el acceso debido al siguiente error.Partición de directorio:
< ruta de acceso completa de la partición de directorio >
Error value:
8453 de replicación de acceso denegado.User Action
El cliente no tenga acceso a esta solicitud. Si el cliente lo requiere, se debe asignar el control de acceso de derecho "replicar
Cambios de directorio"en el directorio de la partición en cuestión. - REPADMIN. EXE informa de que dicho error de duplicación con el estado 8453.
Los comandos REPADMIN que suele citar el estado 8453 incluyen pero no se limitan a:· REPADMIN /KCC
· REPADMIN /REHOST
· REPADMIN /REPLICATE
· /Replsum REPADMIN· REPADMIN /SHOWREPL
· REPADMIN /SHOWREPS
· REPADMIN /SHOWUTDVEC
· REPADMIN/SyncAll
A continuación se muestra el resultado de ejemplo de "REPADMIN /SHOWREPS" que representan la replicación entrante de CONTOSO DC2 para CONTOSO-DC1 error con el error "se denegó el acceso de replicación":Predeterminado-primer-sitio-Name\CONTOSO-DC1
Opciones de DSA: IS_GC
Opciones de sitio: (ninguno)
GUID del objeto DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01
Id. de invocación DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01=== VECINOS DE ENTRADA ===
DC = contoso, DC = com
Predeterminado-primer-sitio-Name\CONTOSO-DC2 a través de RPC
GUID del objeto DSA: 74fbe06c-932c-46b5-831b-af9e31f496b2
En el último intento @ < fecha >< hora > error, resultado 8453 (0x2105):
Se denegó el acceso replicación.
<> # consecutivos errores.
Éxito @ < fecha >< hora > pasado. - El comando "Replicar ahora" en servicios y sitios de Active Directory devuelve "se denegó el acceso de replicación".
Haciendo doble clic en el objeto de conexión desde un controlador de dominio de origen y eligiendo "replican ahora" produce "se denegó el acceso de replicación. La pantalla el mensaje de error se muestra a continuación:Texto de título de diálogo: replicar ahora
Texto del mensaje de diálogo: se ha producido el siguiente error durante el intento de sincronizar el contexto de nomenclatura < nombre de partición de directorio % % > de < DC de origen > del controlador de dominio a controlador de dominio de < destino DC >:
Se denegó el acceso de replicación
La operación no continuará.
Botones en el cuadro de diálogo: Aceptar
- NTDS KCC, NTDS General o eventos de Microsoft-Windows-ActiveDirectory_DomainService con el estado 8453 se registran en el registro de sucesos del servicio de directorio.
Eventos de Active Directory que normalmente aparecen con el estado 8453 incluyen pero no se limitan a:
Origen de eventos
Id. de suceso
Cadena de evento
Microsoft-Windows-ActiveDirectory_DomainService
1699 Este servicio de directorio no pudo recuperar los cambios solicitados para la siguiente partición de directorio. Como resultado, no pudo enviar las solicitudes de cambio al servicio de directorio en la siguiente dirección de red. Microsoft-Windows-ActiveDirectory_DomainService 2896 Un cliente realiza una solicitud LDAP de DirSync de una partición de directorio. Se denegó el acceso debido al siguiente error. NTDS General
1655
Active Directory intentó comunicarse con el siguiente catálogo global y los intentos fracasaron.
KCC DE NTDS 1265 El intento para establecer un vínculo de replicación con los parámetros
Partición: < ruta de acceso de partición DN >
DN de DSA de origen: < DN del objeto de configuración NTDS de DC de origen >
Dirección de DSA de origen: < CNAME completo DC de origen >
Transporte entre sitios (si existe): < ruta de acceso completa >
error con el estado siguiente:KCC DE NTDS
1925 Error al intentar establecer un vínculo de replicación para la partición de directorio grabable siguiente.
Causa
El estado 8453: "Se denegó el acceso de replicación" tiene varias causas incluyendo:
- Indicadores de la SERVER_TRUST_ACCOUNT o la TRUSTED_FOR_DELEGATION falta el atributo UserAccountControl en la cuenta de equipo del controlador de dominio de destino.
- No existen los permisos predeterminados en una o más particiones de directorio para permitir la replicación programada que se produzca en el contexto de seguridad del sistema operativo.
- El valor predeterminado o permisos personalizados no existen en una o más particiones de directorio para permitir a los usuarios activar ad-hoc o con DSSITE una replicación inmediata. MSC -> "Replicar ahora", "repadmin /replicate", "repadmin/SyncAll" o como comandos.
- Se ha definido correctamente los permisos necesarios para desencadenar la replicación de ad-hoc en las particiones de directorio correspondientes, pero el usuario es * no * un miembro de los grupos de seguridad que se ha concedido el directorio duplicación cambia de permisos.
- El usuario desencadenar la replicación de ad-hoc * * es un miembro de los grupos de seguridad necesarios y los grupos de seguridad han concedido el permiso "replicar cambios de directorio" pero se quitó la pertenencia al grupo que conceder el permiso "replicar cambios de directorio" desde el token de seguridad de los usuarios por la característica de "User Account Control" (split token de acceso de usuario) introducido en Windows Vista o Windows Server 2008.
Nota: No confunda la característica de token de seguridad de split "User Account Control" introducida en Vista / Windows Server 2008 con el atributo UserAccountControl definida en cuentas de equipo de DC función almacenadas en Active Directory. - Si el controlador de dominio de destino es un RODC, RODCPREP no ha sido ejecutada en dominios que aloje controladores de dominio de sólo lectura o el grupo controladores de dominio de sólo lectura de empresa no tenga permisos de replicar cambios de directorio en la partición que no se puede replicar.
- Se han agregado controladores de dominio que ejecutan versiones del sistema operativo nuevo a un bosque existente donde se ha instalado Office Communication Server.
- Tiene instancias LDS y el objeto de configuración NTDS para las instancias afectados no están en el contenedor de configuración LDS, por ejemplo:
CN = NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}
Activa eventos como los citados en la sección Síntomas de este artículo de KB y errores de directorio también pueden fallar con error 5: "Acceso denegado".
Aplicación de la resolución de los pasos para error 5: "acceso denegado" enumerados a continuación no solucionará los problemas de replicación en los equipos actualmente están fallando replicación con estado de error 8453: y viceversa. Causas comunes para las operaciones de Active Directory con el error 5: "acceso denegado" incluyen:
- Sesgo de tiempo excesivo
- La fragmentación de paquetes con formato UDP Kerberos por dispositivos intermedios en la red
- Faltan los derechos "tener acceso a este equipo desde la red".
- Canales seguros rotos o confianzas dentro del dominio
- CrashOnAuditFail = 2 en el registro.
Solución
Realizar una comprobación de estado con DCDIAG + DCDIAG checksecurityerror
- Ejecute DCDIAG en el "destino DC" informar el error 8453 o evento
- Ejecute DCDIAG en el "DC de origen" es el controlador de dominio informa del error 8453 o evento es "tirar de"
- Ejecute DCDIAG checksecurityerror en el "destino DC" informar el error 8453 o evento
- Ejecute DCDIAG checksecurityerror en el "DC de origen" que el DC informar el error 8453 o evento "extrae desde".
Corregir UserAccountControl no válido
El atributo UserAccountControl consta de una máscara de bits que define las capacidades y el estado de una cuenta de usuario o equipo. Encontrará más información sobre los indicadores UserAccountControl en MSKB 305144 y MSDN.
El valor del atributo UserAccountControl típica para una cuenta de equipo de controlador de dominio grabable ("completa") es 532480 hexadecimal decimal o 82000. Valores de UserAccountControl para una cuenta de equipo del controlador de dominio pueden variar pero debe contener los indicadores SERVER_TRUST_ACCOUNT y TRUSTED_FOR_DELEGATION que se muestra en la siguiente tabla:
Indicador de la propiedad
Valor hexadecimal
Valor decimal
SERVER_TRUST_ACCOUNT
0x2000
8192
TRUSTED_FOR_DELEGATION
0x80000
524288
Valor de UserAccountControl
0x82000
532480
El valor del atributo UserAccountControl típico para un sólo lectura cuenta de equipo del controlador de dominio es 83890176 hexadecimal decimal o 5001000
Indicador de la propiedad | Valor hexadecimal | Valor decimal |
WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION | 0x1000000 | 16777216 |
PARTIAL_SECRETS_ACCOUNT | 0X4000000 | 67108864 |
Típica Valor de UserAccountControl de RODC | 0x5001000 | 83890176 |
- Falta el atributo UserAccountControl en el DC de destino el indicador SERVER_TRUST_ACCOUNT
Si se produce un error en la prueba MachineAccount DCDIAG con "error test MachineAcccount" y el atributo UserAccountControl en el DC probado falta el indicador SERVER_TRUST_ACCOUNT, agregue el indicador que falta en la probada copia de controladores de dominio de Active Directory
Inicie ADSIEDIT. MSC en la consola de controlador de dominio falta el SERVER_TRUST_ACCOUNT registrados por DCDIAG
Haga clic derecho "ADSIEDIT" en el panel superior izquierdo de ADSIEDIT. MSC y elige "conectan a..."
En el cuadro de diálogo Configuración de la conexión
Haga clic en "Seleccionar un contexto de nomenclatura conocido" y elija "contexto de nomenclatura predeterminado" (es decir, las cuentas de equipo partición de dominio)
Haga clic en "Seleccionar o escribir un dominio o servidor..." y elija el nombre de los errores de DC en DCDIAG
Haga clic en "Aceptar"
En el contexto de nomenclatura de dominio, localice y haga clic con el botón secundario en la cuenta de equipo del controlador de dominio y elija "Propiedades"
Haga doble clic en el "UserAccountControl atributo y registrar su valor decimal
Iniciar la calculadora de Windows en científico (Windows 2000 o Windows Server 2003) o en modo de programador (Windows Server 2008 y versiones posteriores) y escriba el valor decimal de UserAccountControl
Convertir el valor decimal a su equivalente hexadecimal.
Agregue 0 x 80000 al valor existente y presione "="
Convertir el nuevo valor calculado de UserAccountContorl a su equivalente decimal
Escriba el nuevo valor decimal de la calculadora de Windows para el atributo UserAccountControl en ADSIEDIT. MSC. Haga clic en Aceptar dos veces para guardar. - Falta el atributo UserAccountControl en el DC de destino el indicador TRUSTED_FOR_DELEGATION
Si se produce un error en la prueba MachineAccount DCDIAG con "error test MachineAcccount" y el atributo UserAccountControl en el DC probado falta el indicador _FOR_DELEGATION de confianza, agregue el indicador que falta en la probada copia de controladores de dominio de Active Directory
Inicie Active Directory Users y equipos (DSA. MSC) en la consola del controlador de dominio probado por DCDIAG.
Haga clic con el botón secundario en la cuenta de equipo del DC
Haga clic en la ficha delegación
Habilitar la "de confianza para delegación correcta" en la cuenta de equipo del DC.
Corregir los descriptores de seguridad predeterminados no válido
Operaciones de Active Directory tienen lugar en el contexto de seguridad de la cuenta que inició la operación. Permitir que los permisos predeterminados en las particiones de Active Directory
- Miembros del grupo Administradores de empresa para iniciar ad-hoc la replicación entre cualquier controlador de dominio en cualquier dominio en el mismo bosque
- Miembros del grupo de administradores integrados para ad-hoc iniciar la replicación entre controladores de dominio en el mismo dominio
- Controladores de dominio en el mismo bosque para iniciar la replicación mediante cualquier notificación de cambio para el horario de replicación.
Los permisos predeterminados en las particiones de Active Directory no permiten lo siguiente de forma predeterminada y por diseño, no se realizarán hasta permisos predeterminados o se modifican las pertenencias a grupos:
- Miembros del grupo Administradores integrado en un dominio no pueden iniciar la replicación de ad-hoc a controladores de dominio en ese dominio desde controladores de dominio en dominios diferentes.
- Los usuarios que no son miembros del grupo Administradores integrado no pueden iniciar la replicación de ad-hoc desde cualquier otro DC en el mismo dominio o bosque.
Los permisos se definen en la parte superior de cada partición de directorio (llamado un contexto de nomenclatura o cabeza de "CN") y heredados en el árbol de la partición. Compruebe que explícita (grupos que el usuario es miembro de directorio) y grupos implícitos (los grupos explícitos tienen pertenencia anidada de) tienen los permisos necesarios y que denegar permisos asignados a grupos implícitos o explícitos no son vencer los necesarios permisos.
Para obtener más información acerca de las particiones de directorio predeterminada está disponible @ "De la partición de directorio de configuración de seguridad predeterminada"
- Compruebe que existen permisos predeterminados en el "top" de cada partición de directorio que no funciona con el error "se denegó el acceso de replicación".
Si falla la replicación de ad-hoc entre controladores de dominio en dominios diferentes, o entre controladores de dominio en el mismo dominio para los administradores de dominio no, consulte la "conceder permisos de administrador de dominio no..." sección siguiente.
Si la replicación de ad-hoc para el miembro del grupo Administradores de empresa, foco en permisos de cabeza CN concede al grupo Administradores de empresa.
Si está fallando replicación ad hoc para los miembros de un grupo de administradores de dominio de dominios, se centran en los permisos concedidos al grupo de seguridad Administradores integrado.
Si se producen errores iniciada por los controladores de dominio en un bosque de replicación programada con 8453, centrarse en permisos para los grupos de seguridad de controladores de dominio empresariales y controladores de dominio empresariales Red-Only.
Si la replicación programada iniciada por controladores de dominio en un controlador de dominio de sólo lectura (RODC) presenta el error 8453, compruebe que sólo el grupo de seguridad del controladores de dominio se ha concedido el acceso requerido en el encabezado NC de cada partición de directorio de lectura de la empresa.
La siguiente tabla muestra el permiso predeterminado definido en el esquema, configuración, dominio y aplicaciones de DNS por versión del sistema operativo:
DACL necesario en cada partición de directorio
Windows 2000
Windows Server 2003 y 2003 R2
Windows Server 2008 y versiones posterior Administrar topología de replicación
X
X
X
Replicar cambios de directorio
X
X
X
Sincronización de replicación
X
X
X
Replicando cambios de directorio todos
X
X
Replicar los cambios en el conjunto de filtros X
Nota: La prueba NcSecDesc DCDIAG puede informar de errores positivos falso cuando se ejecutan en entornos con versiones de sistema operativo mixtos tal como se documenta en MSKB 829306
Puede utilizarse el comando DSACLS para volcar los permisos en una partición de directorio determinada utilizando la sintaxis "DSACLS < ruta de acceso completa de la partición de directorio.
C:\ > dsacls dc = contoso, dc = com
El comando puede destinarse a un controlador de dominio remoto utilizando la sintaxis
c:\ > dsacls \\contoso-dc2\dc=contoso,dc=com
Tenga cuidado con permiso de "Denegar" en encabezados NC quitando los permisos para que el usuario de errores es un miembro directo o anidado de. - Agrega los permisos necesarios que faltan
En ADSIEDIT, utilice el editor de ACL de Active Directory. MSC para agregar las DACL que faltan
Conceder permisos para replicar entre controladores de dominio en los mismos administradores de dominio o no sean de empresa para replicar entre controladores de dominio en dominios distintos de administradores de dominio no
Permisos predeterminados en las particiones de Active Directory no permite los siguientes y se producirá un error hasta que se modifican los permisos en las particiones de directorio:
- Miembros del grupo Administradores integrado en un dominio no pueden iniciar la replicación de ad hoc desde controladores de dominio en dominios diferentes.
- Usuarios que no son miembros del grupo de administradores de dominio integrada para iniciar ad-hoc de replicación entre controladores de dominio en el mismo dominio o dominio diferente.
Hay dos soluciones a este problema:
- Agregar usuarios a grupos existentes que ya han sido los concedidos los permisos necesarios para replicar las particiones de directorio (administradores de dominio para la replicación en el mismo dominio o del grupo Administradores de empresa para desencadenar la replicación de ad-hoc entre diferentes dominios)
- o - - Crear tu propio grupo, conceder los permisos necesarios en las particiones de directorio en todo el bosque a ese grupo y agregar usuarios a esos grupos.
MSKB 303972 describe el proceso de creación de un grupo de seguridad, agregar a los miembros necesarios a esos grupos, a continuación, conceder al grupo de las DACL necesarias en las particiones de Active Directory. Conceda al grupo de seguridad en cuestión que los mismos permisos enumeran en la tabla de la sección "Solucionar válido predeterminado descriptores de seguridad" de este artículo.
Contenido relacionado:
Artículo MSKB 303305: aparece el mensaje de Error "acceso denegado" cuando utiliza la herramienta de los servicios y sitios de Active Directory
Artículo de Technet: Mejores prácticas para la delegación de Active Directory
Comprobar la pertenencia de los grupos de seguridad necesarios
Una vez que los grupos de seguridad derecho concedidos los permisos necesarios en las particiones de directorio, la última tarea restante es comprobar que los usuarios iniciar la replicación tienen efectiva pertenencia directa o anidados grupos de seguridad que se conceden permisos de replicación.
- Inicie sesión con la cuenta de usuario donde se están produciendo errores replicación ad-hoc con "replicación denegó el acceso"
- Desde un símbolo del sistema, escriba "WHOAMI ALL" y compruebe la pertenencia a los grupos de seguridad que se han concedido los permisos "replicar cambios de directorio" en las particiones de directorio correspondientes.
Si el usuario se agregó al grupo tiene permiso modificado tras el último inicio de sesión de usuario, inicie sesión una 2da vez y vuelva a intentarlo "whoami /all:
Si "WHOAMI ALL" sigue sin mostrar pertenencia en los grupos de seguridad esperado, iniciar una petición CMD con privilegios de administración en el equipo local y ejecutar el "WHOAMI /ALL" desde dentro del símbolo del sistema con privilegios .
Si la pertenencia al grupo es diferente entre la salida WHOAMI /ALL generada por con privilegios y sin privilegios le pide CMD, consulte MSKB 976063 - Compruebe que existe la pertenencia a grupos anidados esperado.
Si un usuario obtiene los permisos para realizar la replicación de ad hoc por ser miembro de un grupo anidado que es miembro del grupo que se ha concedido directamente permisos de replicación, compruebe la cadena de pertenencia a grupos anidados. Por ejemplo, CSS de Microsoft ha visto ad hoc se producirá un error en la replicación de Active Directory porque se quitaron "administradores de dominio y los grupos de administradores de empresa" de los grupos de administradores integrados.
Replicación de RODC
- Si la replicación del equipo inicia falla en los RODC, compruebe que ha ejecutado ADPREP /RODCPREP tal como se especifica en MSKB 967482 y que el grupo de controladores de dominio de sólo lectura de empresa se ha concedido el derecho "replicar cambios de directorio" en cada encabezado NC.
Office Communication Server
Si el aviso de operaciones de AD con el 8453 "replicación denegó el acceso" en un bosque existente ejecutando OCS 2005 o OCS 2007 inmediatamente después de la promoción de, o actualizar a los controladores de dominio de Windows Server 2008 o Windows Server 2008 R2, consulte los artículos MSKB:
982020: office Communications Server 2007 R2, OCS 2007 o LCS 2005 no funciona correctamente después de actualizar a Windows Server 2008 R2
982021: capacidad de soporte está disponible para la función de servidor de Office Communications Server 2007 R2 miembros en un sistema operativo de Windows Server 2008 R2
Falta objeto de configuración NTDS para el servidor LDS
En LDS es posible borrar el objeto (ninguna limpieza de metadatos en DBDSUTIL), por lo que probablemente es lo que ha sucedido. Para volver a agregar la instancia para el conjunto de configuración, deberá desinstalar la instancia LDS en los servidores afectados.
A continuación, puede agregar nuevo ejecutando el Asistente de configuración de ADAM. Nota que si ha agregado que soporte LDAPS para la instancia, se debe configurar el certificado en el almacén de servicio nuevo como la desinstalación de la instancia también quita la instancia de servicio.
Más información
- 2003\Access de windows 2191544 es denied\Delegation el derecho de exigir la replicación de Active Directory que no son de administrador
La sección de síntoma de MSKB artículo 982020 es silenciosa sobre los errores de replicación de AD.
Agrega los permisos necesarios que faltan
En ADSIEDIT, utilice el editor de ACL de Active Directory. MSC para agregar las DACL que faltan
Las ACL se pueden "restaurar" en su valor predeterminado mediante el comando "DSACLS < ruta de acceso completa de la partición de directorio >/s/t".
Para el caso donde las operaciones de AD no con 8453 "replicación se denegó el acceso" en entornos donde está instalado OCS 2007, consulte:
2330876 después de la actualización de Server 2003 controladores de dominio Server 2008 OCS puede presentar errores - 2896 ID 8453 acceso de replicación se ha denegado
2208888: declaración de Win2008 compatibilidad de AD para OCS 2007
Experiencia del cliente de ejemplo de Justin Turner donde está fallando promoción GC con 8453
- Promotin de GC en RODC nuevo dos replicted entrante correctamente algunos partitins de directorio de dominio pero fueron conseguían 8453 de dos ei.ci.org de la partición de directorio de sólo lectura y ikpc.ce.org con estado de error de origen: se denegó el acceso de replicación.
- DSACLS demostró que el grupo controladores de dominio de sólo lectura empresariales faltaba permisos necesarios en las particiones de errores
- Se ejecutaron los comandos siguientes en las particiones de errores
C:\ > dsacls dc = ei, dc = ci, dc = org/g "S-1-5-21-2075080465-1328441772-1012356993-498:CA; Replicar cambios de directorio"
Esto agrega el siguiente permiso de entrada a la cabeza de CN:
Permitir que los controladores de dominio de sólo lectura de CI\Enterprise
Replicar cambios de directorioc:\ > dsacls dc = ei, dc = ci, dc = org/g "S-1-5-21-2075080465-1328441772-1012356993-498:LCRPLO;"
Esto agrega el siguiente permiso de entrada a la cabeza de CN:
Permitir que los controladores de dominio de sólo lectura de CI\Enterprise
ACCESO ESPECIAL
MOSTRAR EL CONTENIDO
PROPIEDAD DE LECTURA
OBJETO DE LISTA - La copia local de la partición de dominio de sólo lectura EI se quitó porque los permisos son incorrectos:
c:\ > repadmin / unhost hn0002 dc = ei, dc = ci, dc = org
Eliminación de la partición dc = ei, dc = ci, dc = org está en curso...
Elimina el vínculo de replicación entre source:(null) y dest:hn0002. REPAMDIN /ADD se utilizaba para agregar conexiones para particiones que debían alimentarse y DC para extraer de la fuente
repadmin /add cn=configuration,dc=ci,dc=org hn0002.ci.org eiserver2.ei.ci.org /readonly /selsecrets
Replicación unidireccional del source:eiserver2.ei.ci.org al dest:hn0002.ci.org establecido.Seguido de una conexión de replicación para el servidor de la partición de dominio que necesitamos como origen (/ selsecrets debe especificarse si el controlador de dominio de destino es un RODC)
repadmin /add dc=ei,dc=ci,dc=org hn0002.ci.org eiserver2.ei.ci.org /readonly /selsecrets
Replicación unidireccional del source:eiserver2.ei.ci.org al dest:hn0002.ci.org establecido.A continuación, nos obligados una sincronización completa de dicha partición utilizando la nueva conexión de replicación:
repadmin /replicate hn0002.ci.org eiserver2.ei.ci.org dc=ei,dc=ci,dc=org /readonly /selsecrets /full
Sincronización de eiserver2.ei.ci.org a hn0002.ci.org finalizada correctamente.
Propiedades
Id. de artículo: 2022387 - Última revisión: 1 feb. 2017 - Revisión: 1
