Resumen
En este artículo se describe cómo solucionar un problema en que Active Directory replicación falla y genera el error 8453: "se denegó el acceso de replicación".
Este error tiene las siguientes causas principales:
- El controlador de dominio de destino no tiene los permisos necesarios para replicar el contexto de nomenclatura o partición.
- El administrador que inicie manualmente la replicación no tiene permisos para hacerlo.
Nota: Esta condición no afecta a la replicación programada o periódica.
Causa superior:
Para el período o replicación programada, si el controlador de dominio de destino es un controlador de dominio de sólo lectura (RODC):
El grupo de seguridad controladores de dominio de sólo lectura empresariales no tiene permisos de "Replicar cambios de directorio" en la raíz del contexto de nomenclatura (NC) para la partición en la que no se duplica y devuelve el error 8453.
Solución superior:
En cada CN ese RODC no replicar y que devuelven error 8453: conceder permisos "Replicar cambios de directorio" al grupo de seguridad controladores de dominio de sólo lectura de empresa del dominio raíz del bosque.
Ejemplo:
Childdc2.child.contoso.com de un RODC no replicar la partición de contoso.com y devuelve el error 8453. Para solucionar esta situación, siga estos pasos:
- Abra ADSIEDIT.msc en un controlador de dominio de contoso.com.
- Abrir una conexión al dominio contoso.com CN (contexto de nomenclatura predeterminado).
- Abra las propiedades del dc = contoso, dc = com CN y seleccione la ficha seguridad .
- Haga clic en Agregary escriba lo siguiente en el cuadro de texto:
Controladores de dominio de sólo lectura de CONTOSO\Administradores
Nota: Este grupo sólo existe en el dominio raíz del bosque. - Seleccione Comprobar nombresy, a continuación, seleccione Aceptar.
- En el cuadro de diálogo permisos para controladores de dominio de sólo lectura empresariales , desactive las casillas de verificación Permitir que se seleccionan automáticamente:
- Lectura
- Leer las directivas de contraseña y bloqueo de dominio
- Leer otros parámetros de dominio
- Active la casilla Permitir junto a Replicar cambios de directorioy, a continuación, seleccione Aceptar.
Si estos pasos no resuelven el problema, consulte el resto de este artículo.
Síntomas
Cuando se produce este problema, experimenta uno o varios de los síntomas siguientes:
- La prueba de replicación DCDIAG (DCDIAG /TEST:NCSecDesc) informa de que el controlador de dominio probado "error replicaciones de prueba" y tiene un estado de "8453: se denegó el acceso de replicación":
Iniciando prueba: replicaciones
[Comprobación de replicaciones, < controlador de dominio de destino] Error en un intento de replicación recientes:
Desde < DC de origen > a < DC de destino
Contexto de nomenclatura: < ruta de acceso completa de la partición de directorio >
La replicación generó un error (8453):
Se denegó el acceso replicación.
El error ocurrió en tiempo > < fecha ><.
Se produjo el último éxito en tiempo > < fecha ><.
%#% errores han ocurrido desde la última operación correcta.
La cuenta de equipo para el destino de < destino DC >.
no está configurado correctamente.
Compruebe el campo userAccountControl.
Error de Kerberos.
La cuenta de equipo no está presente o no coincide en el.
destino, origen o servidores de KDC.
Comprobar la partición de dominio de KDC está sincronizado con el resto de la empresa.
La herramienta repadmin/syncall puede utilizarse para este propósito.
......................... prueba error < DC probado Dcdiag > replicaciones
- La prueba NCSecDesc DCDIAG (DCDIAG /TEST:NCSecDes) informa de que el controlador de dominio que ha sido sometido a "Error prueba DCDIAG NCSecDec" y que faltan uno o más permisos en el encabezado NC de una o más particiones de directorio en el controlador de dominio probado que ha sido probada por DCDIAG:
Iniciando prueba: NCSecDesc
No tiene controladores de dominio de error NT AUTHORITY\ENTERPRISE
Replicar cambios de directorio <-lista de acceso que faltan
Sincronización de replicación <-derechos necesarios para cada Administrar topología de réplica <-grupo de seguridad podría variar
Replicación de directorio cambia en filtrados establecido <: función que falta
derechos de acceso para el contexto de nomenclatura: < - derecho en su entorno
DC=contoso,DC=com
No tiene controladores de error CONTOSO\Domain
Replicando cambios de directorio todos
derechos de acceso para el contexto de nomenclatura:
DC=contoso,DC=com
No tiene controladores de dominio de sólo lectura de error CONTOSO\Administradores
Replicar cambios de directorio
derechos de acceso para el contexto de nomenclatura:
DC=contoso,DC=com
......................... Prueba fallida de CONTOSO DC2 NCSecDesc
- La prueba MachineAccount DCDIAG (DCDIAG /TEST:MachineAccount) informa de que el controlador de dominio que ha sido probado por DCDIAG "error test MachineAccount" porque el UserAccountControl atributo en la cuenta de equipo de DCs le falta el SERVER_TRUST_ACCOUNT"o"TRUSTED_FOR_DELEGATION"indicadores:
Iniciando prueba: MachineAccount
La cuenta de CONTOSO DC2 es no es de confianza para la delegación. No se puede
replicate.
La cuenta de CONTOSO DC2 no es una cuenta de controlador de dominio. , No podría duplicarse.
Advertencia: atributo userAccountControl de CONTOSO DC2 es:
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )
La configuración típica de un controlador de dominio es
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
¿ Esto puede afectar a la replicación?
......................... CONTOSO DC2 error prueba MachineAccount
- La prueba del registro de sucesos de DCDIAG KCC indica el equivalente hexadecimal de Microsoft-Windows-ActiveDirectory_DomainService eventos 2896:
B50 hex = 2896 decimal. Este error puede anotarse cada 60 segundos en el controlador de dominio del maestro de infraestructura.
Iniciando prueba: KccEvent
* Prueba de registro de los eventos de KCC
Se ha producido un evento de error. EventID: 0xC0000B50
Tiempo generado: 25/06/2010 07:45:07
Cadena de suceso:
Un cliente realiza una solicitud LDAP de DirSync de una partición de directorio. Se denegó el acceso debido al siguiente error.Partición de directorio:
< ruta de acceso completa de la partición de directorio >
Error value:
8453 de replicación de acceso denegado.User Action
El cliente no tenga acceso a esta solicitud. Si el cliente lo requiere, se debe asignar el control de acceso de derecho "replicar
Cambios de directorio"en el directorio de la partición en cuestión. - REPADMIN. EXE se informa que un intento de replicación error y devolvió un estado 8453.
Los comandos REPADMIN que normalmente indican el estado de 8453 incluyen pero no se limitan a los siguientes.
· REPADMIN /KCC
· REPADMIN /REHOST
· REPADMIN /REPLICATE
· REPADMIN /REPLSUM· REPADMIN /SHOWREPL
· REPADMIN /SHOWREPS
· REPADMIN /SHOWUTDVEC
· REPADMIN /SYNCALL
Ejemplo de salida de "REPADMIN /SHOWREPS" mostrando la replicación entrante de CONTOSO DC2 para CONTOSO-DC1 que fallará y devolverá que el error "se denegó el acceso de replicación" es como sigue:
Default-First-Site-Name\CONTOSO-DC1
Opciones de DSA: IS_GC
Opciones de sitio: (ninguno)
GUID del objeto DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01
Id. de invocación DSA: b6dc8589-7e00-4a5d-b688-045aef63ec01=== VECINOS DE ENTRADA ===
DC=contoso,DC=com
Predeterminado-primer-sitio-Name\CONTOSO-DC2 a través de RPC
GUID del objeto DSA: 74fbe06c-932c-46b5-831b-af9e31f496b2
En el último intento @ < fecha >< hora > error, resultado 8453 (0x2105):
Se denegó el acceso replicación.
<> # consecutivos errores.
Éxito @ < fecha >< hora > pasado.
- El comando "Replicar ahora" en servicios y sitios de Active Directory devuelve un error "se denegó el acceso de replicación".
Clic en el objeto de conexión desde un controlador de dominio de origen y, a continuación, seleccionando "Replicar ahora" se produce un error y devuelve un error "se denegó el acceso de replicación". Se muestra el siguiente mensaje de error:
Texto de título de diálogo: replicar ahora
Texto del mensaje de diálogo: se ha producido el siguiente error durante el intento de sincronizar el contexto de nomenclatura < nombre de partición de directorio % % > de < DC de origen > del controlador de dominio a controlador de dominio de < destino DC >:
Se denegó el acceso de replicación
La operación no continuará.
Botones en el cuadro de diálogo: Aceptar
- NTDS KCC, NTDS General o eventos de Microsoft-Windows-ActiveDirectory_DomainService que tienen el estado 8453 se registran en el registro de sucesos de servicios de directiva de Active Directory (AD DS).
Eventos de Active Directory que normalmente indican el estado de 8453 incluyen pero no se limitan a los siguientes:
Origen de eventos
Id. de suceso
Cadena de evento
Microsoft-Windows-ActiveDirectory_DomainService
1699 Este servicio de directorio no pudo recuperar los cambios solicitados para la siguiente partición de directorio. Como resultado, no pudo enviar las solicitudes de cambio al servicio de directorio en la siguiente dirección de red.
Microsoft-Windows-ActiveDirectory_DomainService 2896 Un cliente realiza una solicitud LDAP de DirSync de una partición de directorio. Se denegó el acceso debido al siguiente error.
NTDS General
1655
Active Directory intentó comunicarse con el siguiente catálogo global y los intentos fracasaron.
KCC DE NTDS 1265 El intento para establecer un vínculo de replicación con los parámetros
Partición: < ruta de acceso de partición DN >
DN de DSA de origen: < DN del objeto de configuración NTDS de DC de origen >
Dirección de DSA de origen: < CNAME completo DC de origen >
Transporte entre sitios (si existe): < ruta de acceso completa >
error con el estado siguiente:
KCC DE NTDS
1925 Error al intentar establecer un vínculo de replicación para la partición de directorio grabable siguiente.
Causa
8453 de error: "Acceso de replicación se ha denegado" tiene varias causas, incluyendo lo siguiente:
- Indicador SERVER_TRUST_ACCOUNT o la TRUSTED_FOR_DELEGATION falta el atributo UserAccountControl en la cuenta de equipo del controlador de dominio de destino.
- No existen los permisos predeterminados en una o más particiones de directorio para permitir la replicación programada que se produzca en el contexto de seguridad del sistema operativo.
- El valor predeterminado o permisos personalizados no existen en una o más particiones de directorio para permitir a los usuarios desencadenar la replicación inmediata o ad-hoc utilizando DSSITE. MSC -> "Replicar ahora" "repadmin /replicate", "repadmin/SyncAll," o comandos similares.
- Los permisos que se requieren para desencadenar la replicación de ad hoc se definen correctamente en las particiones de directorio correspondientes. Sin embargo, el usuario no es miembro de algún grupo de seguridad que se ha concedido el permiso de cambios de directorio de replicación.
- El usuario que desencadene la replicación de ad hoc es un miembro de los grupos de seguridad necesarios y los grupos de seguridad han concedido el permiso "replicar cambios de directorio". Sin embargo, pertenencia al grupo que concede el permiso "replicar cambios de directorio" se quita del token de seguridad del usuario por la característica de "User Account Control" (split token de acceso de usuario) que se introdujo en Windows Vista y Windows Server 2008.
Nota: No confunda el "User Account Control" dividir la característica de token de seguridad que se introdujo en Vista y Windows Server 2008 con el atributo UserAccountControl definido en cuentas de equipo de función de controlador de dominio almacenada por el servicio de Active Directory. - Si el controlador de dominio de destino es un RODC, RODCPREP no se ha ejecutado en dominios que actualmente albergan los controladores de dominio de sólo lectura o el grupo de controladores de dominio de sólo lectura empresariales no tiene permisos de Replicar cambios de directorio para la partición en la que no se replican.
- Controladores de dominio que ejecutan versiones de sistema operativo nuevo se ha agregado a un bosque existente donde se ha instalado Office Communication Server.
- Tiene instancias LDS y el objeto de Configuración NTDS para las instancias afectados no están en el contenedor de configuración de LDS. Por ejemplo, verá la entrada siguiente:
CN = NtDs Settings,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}
Eventos tales como los que se mencionan en la sección "Síntomas" y errores de directorio de Active también pueden ocurrir y generar un error 5: mensaje "Acceso denegado".
Aplicar los pasos para el error 5 o 8453 de error que se mencionan en la sección "Resolución" no resuelve los errores de replicación en los equipos que actualmente se producen errores en la replicación y que está generando el mensaje.
Causas comunes para la falla de operaciones de Active Directory que generan mensajes de error 5 incluyen los siguientes:
- Sesgo de tiempo excesivo
- La fragmentación de paquetes con formato UDP Kerberos por dispositivos intermedios en la red
- Faltan los derechos "tener acceso a este equipo desde la red"
- Canales seguros rotos o confianzas dentro del dominio
- CrashOnAuditFail = 2 entrada del registro
Solución
Para resolver este problema, utilice los métodos siguientes.
Ejecutar una comprobación de estado utilizando DCDIAG + DCDIAG checksecurityerror
- Ejecute DCDIAG en el controlador de dominio que está informando del error 8453 o evento de destino.
- Ejecute DCDIAG en el controlador de dominio de origen en el que el controlador de dominio de destino está informando de que el error 8453 o se está produciendo el evento.
- Ejecute DCDIAG checksecurityerror en el controlador de dominio de destino.
- Ejecute DCDIAG checksecurityerror en el DC de origen.
Corregir UserAccountControl no válido
El atributo UserAccountControl incluye una máscara de bits que define las capacidades y el estado de una cuenta de usuario o equipo. Para obtener más información acerca de los indicadores UserAccountControl , consulte el siguiente artículo de Knowledge Base y el tema MSDN:
305144 cómo utilizar los indicadores UserAccountControl para manipular las propiedades de la cuenta de usuario
Atributo de Control de cuentas de usuario
El valor del atributo UserAccountControl típica para una cuenta de equipo de DC ("completa") puede escribir es 532480 hexadecimal decimal o 82000. Valores de UserAccountControl para una cuenta de equipo del controlador de dominio pueden variar, pero deben contener los indicadores SERVER_TRUST_ACCOUNT y TRUSTED_FOR_DELEGATION, como se muestra en la siguiente tabla.
| Indicador de la propiedad | Valor hexadecimal | Valor decimal |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| Valor de UserAccountControl | 0x82000 | 532480 |
El valor del atributo UserAccountControl típica para una cuenta de equipo del controlador de dominio de sólo lectura es 83890176 hexadecimal decimal o 5001000.
| Indicador de la propiedad | Valor hexadecimal | Valor decimal |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0X4000000 | 67108864 |
| Típica Valor de UserAccountControl de RODC | 0x5001000 | 83890176 |
- Falta el atributo UserAccountControl en el controlador de dominio de destino el indicador SERVER_TRUST_ACCOUNT
Si la prueba MachineAccount DCDIAG produce un error y devuelve un mensaje de error "error test MachineAcccount" y el atributo UserAccountControl en el controlador de dominio probado falta el indicador SERVER_TRUST_ACCOUNT, agregue el indicador que falta en la copia de controladores de dominio probados de directorio de Active Directory.- Inicie ADSIEDIT. MSC en la consola del controlador de dominio que le falta la SERVER_TRUST_ACCOUNT notifica DCDIAG.
- Haga clic en "ADSIEDIT" en el panel superior izquierdo de ADSIEDIT. MSC y, a continuación, seleccione Conectar con.
- En el cuadro de diálogo Configuración de la conexión , haga clic en Seleccionar un contexto de nomenclatura conocidoy, a continuación, seleccione un contexto de nomenclatura predeterminado (la partición de dominio de la cuenta de equipo).
- Haga clic en "Seleccionar o escribir un servidor o dominio" y seleccione el nombre del controlador de dominio que está fallando en DCDIAG.
- Haga clic en Aceptar.
- En el contexto de nomenclatura de dominio, busque y haga clic en la cuenta de equipo del controlador de dominio y seleccione Propiedades.
- Haga doble clic en el atributo UserAccountControl y, a continuación, anote su valor decimal.
- Iniciar la calculadora de Windows en el modo científico (Windows 2000 o Windows Server 2003) o en modo de programador (Windows Server 2008 y versiones posteriores).
- Escriba el valor decimal de UserAccountControl. Convertir el valor decimal a su equivalente hexadecimal, undd 0 x 80000 a la existente de valor y, a continuación, presione el signo igual (=).
- Convertir el valor de UserAccountContorl recién calculado en su equivalente decimal.
- Escriba el nuevo valor decimal de la calculadora de Windows para el atributo UserAccountControl en ADSIEDIT. MSC.
- Haga clic en Aceptar dos veces para guardar.
- Falta el atributo UserAccountControl en el controlador de dominio de destino el indicador TRUSTED_FOR_DELEGATION
Si la prueba de DCDIAG MachineAccount devuelve un mensaje de error "error test MachineAcccount" y el atributo UserAccountControl en el controlador de dominio probado falta el indicador _FOR_DELEGATION de confianza, agregue el indicador que falta en la copia del controlador de dominio probado de directorio de Active Directory.
- Inicie Active Directory Users y equipos (DSA. MSC) en la consola del controlador de dominio que ha sido probada por DCDIAG.
- Haga clic en la cuenta de equipo del controlador de dominio.
- Haga clic en la ficha delegación .
- En la cuenta de equipo del controlador de dominio, seleccione la opción "Este equipo para la delegación a cualquier servicio (sólo Kerberos) de confianza".
Corregir predeterminado no válido de descriptores de seguridad
Operaciones de Active Directory tienen lugar en el contexto de seguridad de la cuenta que inició la operación. Los permisos predeterminados en las particiones de Active Directory permiten las siguientes operaciones:
- Los miembros del grupo Administradores de empresa pueden iniciar la replicación de ad-hoc entre cualquier controlador de dominio en cualquier dominio en el mismo bosque.
- Los miembros del grupo Administradores integrado pueden iniciar la replicación de ad-hoc entre controladores de dominio del mismo dominio.
- Controladores de dominio del mismo bosque pueden iniciar la replicación mediante el uso de cualquier notificación de cambio para el horario de replicación.
Los permisos predeterminados en las particiones de Active Directory no permite las siguientes operaciones por defecto:
- Miembros del grupo Administradores integrado en un dominio no pueden iniciar la replicación de ad-hoc en controladores de dominio en ese dominio desde controladores de dominio en dominios diferentes.
- Los usuarios que no son miembros del grupo Administradores integrado no pueden iniciar la replicación de ad hoc desde otro controlador de dominio en el mismo dominio o bosque.
Por diseño, estas operaciones no hasta los permisos predeterminados o se modifican las pertenencias a grupos.
Los permisos se definen en la parte superior de cada partición de directorio ("encabezado NC") y se heredan en todo el árbol de la partición. Compruebe que explícita (grupos que directamente, el usuario es miembro) y grupos implícitos (grupos anidadas pertenencia de grupos explícitos) tienen los permisos necesarios. También compruebe que los permisos de "Denegar" que se asignan a grupos implícitos o explícitos no tienen prioridad sobre los necesarios permisos.
Para obtener más información acerca de particiones de directorio predeterminadas, consulte el tema siguiente de TechNet:
Seguridad predeterminada de la partición de directorio de configuración
- Compruebe que existen permisos predeterminados en el "top" de cada partición de directorio en el que está fallando y devolver "replicación denegó el acceso"
Si falla la replicación de ad-hoc entre controladores de dominio en dominios diferentes, o entre controladores de dominio en el mismo dominio para los administradores de dominio no, consulte la "otorgar permisos no domain admins" sección.
Si está fallando replicación ad hoc para los miembros del grupo Administradores de empresa, se centran en permisos de cabeza CN que se conceden al grupo Administradores de empresa.
Si falla la replicación de ad hoc para los miembros de un grupo de administradores de dominio, se centran en los permisos que se conceden al grupo de seguridad Administradores integrado.
Si una replicación programada iniciada por controladores de dominio de un bosque está fallando y devuelve el error 8453, centrarse en permisos para los grupos de seguridad de controladores de dominio empresariales y controladores de dominio de sólo lectura de empresa.
Si se inicia una replicación programada por controladores de dominio en un controlador de dominio de sólo lectura (RODC) está fallando y devuelve el error 8453, compruebe que el grupo de seguridad controladores de dominio de sólo lectura de empresa se concede el acceso necesario en el encabezado NC de cada partición de directorio.
La tabla siguiente muestra los permisos predeterminados que se definen en el esquema, configuración, dominio y aplicaciones de DNS por varias versiones de Windows.
DACL necesario en cada partición de directorio
Windows 2000
Windows Server 2003 y 2003 R2
Windows Server 2008 y versiones posterior Administrar topología de replicación
X
X
X
Replicar cambios de directorio
X
X
X
Sincronización de replicación
X
X
X
Replicando cambios de directorio todos
X
X
Replicar los cambios en el conjunto de filtros X
Nota: La prueba NcSecDesc DCDIAG puede informar de errores positivos falsos cuando se ejecuta en entornos en los que se han mezclado versiones del sistema, tal como se documenta en el siguiente artículo de Knowledge Base:
829306 "Replicación de directorio cambios todo" mensaje de error cuando ejecuta la utilidad Dcdiag.exe
Puede utilizarse el comando DSACLS para volcar los permisos en una partición de directorio determinada utilizando la sintaxis siguiente:
DSACLS <ruta de acceso completa de la partición de directorio>
Por ejemplo, utilice el comando siguiente:
C:\>dsacls dc=contoso,dc=comEl comando puede tener como destino un controlador de dominio remoto mediante la sintaxis
c:\ > dsacls \\contoso-dc2\dc=contoso,dc=com
Tenga cuidado con permiso de "Denegar" en encabezados NC quitando los permisos para que el usuario de errores es un miembro directo o anidado de.
En ADSIEDIT, utilice el editor de ACL de Active Directory. MSC para agregar las DACL que faltan.
Conceder permisos para replicar entre controladores de dominio de los mismos administradores de dominio o no sean de empresa para replicar entre controladores de dominio en dominios diferentes de administradores de dominio no
Los permisos predeterminados en las particiones de Active Directory no permite las siguientes operaciones:
- Miembros del grupo Administradores integrado en un dominio no pueden iniciar la replicación de ad hoc desde controladores de dominio en dominios diferentes.
- Usuarios que no son miembros del grupo de administradores de dominio integrada para iniciar ad-hoc de replicación entre controladores de dominio en el mismo dominio o dominio diferente.
Operaciones de Thesew un error hasta que se modifican los permisos en las particiones de directorio.
Para resolver este problema, utilice uno de los métodos siguientes:
- Agregar usuarios a grupos existentes que ya han sido los concedidos los permisos necesarios para replicar las particiones de directorio. (Agregar los administradores de dominio para la replicación en el mismo dominio o del grupo Administradores de empresa para desencadenar la replicación de ad-hoc entre dominios diferentes).
- Crear tu propio grupo, conceder los permisos necesarios en las particiones de directorio en todo el bosque a ese grupo y, a continuación, agregar usuarios a esos grupos.
Artículo de Knowledge Base 303972 describe cómo crear un grupo de seguridad, agregar los miembros necesarios a esos grupos y conceder al grupo las DACL necesarias en las particiones de Active Directory. Conceda al grupo de seguridad en cuestión los mismos permisos que se enumeran en la tabla en la sección "Solucionar válido predeterminado descriptores de seguridad" de este artículo.
Para obtener más información, consulte el siguiente artículo de Knowledge Base y notas de TechNet:
303305: aparece el mensaje de error "acceso denegado" cuando utiliza la herramienta de los servicios y sitios de Active Directory
Mejores prácticas para la delegación de Active Directory
Comprobar la pertenencia de los grupos de seguridad necesarios
Después de que los grupos de seguridad correcta se han concedido los permisos necesarios en las particiones de directorio, la última tarea restante es comprobar que los usuarios que inician la replicación tienen efectiva pertenencia directa o anidados grupos de seguridad que se conceden permisos de replicación. Para ello, siga estos pasos:
- Iniciar sesión con la cuenta de usuario en qué ad-hoc replicación está fallando y devolver "se denegó el acceso de replicación".
- En el símbolo del sistema, ejecute el siguiente comando:
WHOAMI /ALL - Comprobar la pertenencia a los grupos de seguridad que se han concedido los permisos "replicar cambios de directorio" en las particiones de directorio correspondientes.
Si el usuario se agregó al grupo tiene permiso que se cambió tras el último inicio de sesión de usuario, inicie sesión una segunda vez y, a continuación, ejecutarWHOAMI /ALLotra vez.
IfWHOAMI /ALLtodavía no mostrar pertenencia en los grupos de seguridad esperado, abra una ventana de símbolo del sistema con privilegios elevados, en el equipo local y ejecuteWHOAMI /ALLen el símbolo del sistema.
Si la pertenencia al grupo es diferente entre elWHOAMI /ALLresultados generados por los mensajes de comandos con privilegios elevados y no elevados, consulte artículo de Knowkledge Base 976063. - Compruebe que existe la pertenencia a grupos anidados esperado.
Si un usuario tiene permisos para ejecutar la replicación de ad hoc como miembro de un grupo anidado que es miembro del grupo que se ha concedido directamente permisos de replicación, compruebe la cadena de pertenencia a grupos anidados. Por ejemplo, CSS de Microsoft ha visto la replicación de Active Directory ad-hoc producirá un error porque se quitaron los grupos Administradores de dominio y administradores de empresa de los grupos de administradores integrados.
Replicación de RODC
Si falla la replicación iniciada por el equipo en el RODC, compruebe que ha ejecutadoADPREP /RODCPREPcomo se especifica en el artículo de Knowledge Base 967482 y el grupo controlador de dominio de sólo lectura de empresa tiene el derecho "replicar cambios de directorio" en cada encabezado NC.
Office Communication Server
Si observa que las operaciones de AD un error y devolvían el error 8453 "replicación se denegó el acceso" en un bosque existente que está ejecutando Microsoft Office Communications Server 2005 o en Microsoft Office Communications Server 2007, y esto se produce inmediatamente después de la promoción de o actualice a los controladores de dominio de Windows Server 2008 o Windows Server 2008 R2, consulte los siguientes artículos de Knowledge Base :
982020: office Communications Server 2007 R2, OCS 2007 o LCS 2005 no funciona correctamente después de actualizar a Windows Server 2008 R2
982021: capacidad de soporte está disponible para la función de servidor de Office Communications Server 2007 R2 miembros en un sistema operativo de Windows Server 2008 R2
Falta el objeto de configuración NTDS para el servidor LDS
De Lightweight Directory Services (LDS de Active Directory), es posible eliminar simplemente el objeto (sin una limpieza de metadatos en DBDSUTIL). Por lo tanto, es probable que la causa de este problema. Para restaurar la instancia del conjunto de configuración, tiene que desinstalar la instancia LDS en los servidores afectados y tgallina, ejecute el Asistente de configuración de ADAM.
Nota: Si ha agregado que soporte LDAPS para la instancia, deberá configurar el certificado en el almacén del servicio de nuevo porque la desinstalación de la instancia también quita la instancia de servicio.
Más información
Las siguientes notas y recursos se aplican a este error.
-
La sección "Síntomas" del artículo de Knowledge Base 982020 no menciona los errores de replicación de AD.
- Agrega los permisos necesarios que faltan
- En ADSIEDIT, utilice el editor de ACL de Active Directory. MSC para agregar las DACL que faltan que se enumeran en la sección "Solución". Observe que los permisos necesarios para un RODC.
- Para corregir los permisos en los casos en que los RODC no se replican, agregar la "replicar cambios de directorio" grupo permiso de seguridad de controlador de dominio de sólo lectura de empresa del dominio raíz del bosque en cada CN que los RODC no pueda replicar y el informe de error 8453.
- Las ACL pueden restaurarse a su condición predeterminada mediante el comando siguiente:
DSACLS <DN path of directory partition> /S /T
Si las operaciones AD fallan y devolvían error 8453 "replicación se denegó el acceso" en entornos en los que está instalado OCS 2007, consulte los siguientes artículos de Knowledge Base:
2330876 después de la actualización de Server 2003 controladores de dominio Server 2008 OCS puede presentar errores - 2896 ID 8453 acceso de replicación se ha denegado
2208888: declaración de Win2008 compatibilidad de AD para OCS 2007
Experiencias de los clientes de ejemplo en el cual promoción GC, se produce un error y devuelve el error 8453:
- Promoción de GC en dos RODC nuevo correctamente entrantes replicados conseguían algunos pero fueron las particiones de directorio de dominio de origen un contoso.com de partición de directorio de sólo lectura con estado de error 8453: se denegó el acceso de replicación.
- DSACLS demostró que el grupo controladores de dominio de sólo lectura empresariales faltaba permisos necesarios en las particiones de errores
Los siguientes comandos se ejecutaron en las particiones del error:
C:\ > dsacls dc = contoso, dc = com/g "S-1-5-21-1075080465-1338441772-1012356993-498:CA; Replicar cambios de directorio"
Esto agrega el siguiente permiso de entrada a la cabeza de CN:
Permitir que los controladores de dominio de sólo lectura de CI\Enterprise
Replicar cambios de directorio
c:\ > dsacls dc = contoso, dc = com/g "S-1-5-21-1075080465-1338441772-1012356993-498:LCRPLO;"
Esto agrega el siguiente permiso de entrada a la cabeza de CN:
Permitir que los controladores de dominio de sólo lectura de CI\Enterprise
ACCESO ESPECIAL
MOSTRAR EL CONTENIDO
PROPIEDAD DE LECTURA
OBJETO DE LISTA