Cara memecahkan masalah galat replikasi direktori aktif 5 "Akses ditolak" pada Windows Server

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3073945
Artikel ini menjelaskan gejala, penyebabnya, dan resolusi dari situasi di mana Active Directory replikasi gagal witherror 5:
Akses ditolak
Gejala
Anda mungkin mengalami satu atau lebih gejala berikut ini saat replikasi direktori aktif gagal dengan galat 5.

Gejala 1

Alat baris perintah Dcdiag.exe melaporkan bahwa uji replikasi direktori aktif gagal dengan galat kode status (5). Laporan menyerupai berikut ini:

Pengujian server: Site_Name\Destination_DC_Name
Mulai uji: replikasi
* Periksa replikasi
[Replikasi Periksa,Destination_DC_Name] Upaya replikasi terkini gagal:
Dari Source_DC untuk Destination_DC
Penamaan konteks: Directory_Partition_DN_Path
Replikasi menghasilkan galat (5):
Akses ditolak.
Kegagalan terjadi TanggalWaktu.
Keberhasilan terakhir terjadi pada TanggalWaktu.
Nomor kegagalan terjadi sejak terakhir sukses.

Gejala 2

Alat baris perintah Dcdiag.exe melaporkan bahwa fungsi DsBindWithSpnExgagal dengan galat 5 dengan menjalankan perintahDCDIAG /test:CHECKSECURITYERROR .

Gejala 3

Alat baris perintah REPADMIN.exe melaporkan bahwa upaya replikasi terakhir gagal dengan status 5.

Perintah REPADMIN yang sering mencantumkan 5 status termasuk namun tidak terbatas berikut ini:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL
Contoh output dari perintah REPADMIN /SHOWREPLberikut. Output ini menunjukkan masuk replikasi dariDC_2_Name untuk DC_1_Namegagal dengan galat "Akses ditolak".

Site_Name\DC_1_Name
Opsi DSA: IS_GC
Situs pilihan: (tidak ada)
DSA objek GUID: pengenal unik global
DSA invocationID: invocationID

=== MASUK TETANGGA ===
DC =Namadomain, DC = com
Site_Name\DC_2_Name melalui RPC
DSA objek GUID: pengenal unik global
Upaya terakhir @ TanggalWaktu gagal, maka 5(0x5):
Akses ditolak.
<#>failure(s) berturut-turut.
Terakhir keberhasilan @ </#>TanggalWaktu.

Gejala 4

Kejadian NTDS KCC, NTDS umum, atau Microsoft-Windows-ActiveDirectory_DomainService dengan 5 status dicatat di log layanan direktori di Pemantau Peristiwa.

Daftar Tabel berikut ini meringkaskan peristiwa direktori aktif yang sering mencantumkan 8524 status.
ID KejadianSumberPeristiwa string
1655NTDS UmumDirektori aktif mencoba untuk berkomunikasi dengan katalog global berikut dan upaya yang gagal.
1925NTDS KCCUpaya untuk menetapkan replikasi link untuk partisi ditulisi direktori berikut ini gagal.
1926NTDS KCCUpaya untuk membangun replikasi link ke partisi direktori baca-saja dengan parameter berikut ini gagal.

Gejala 5

Ketika Anda klik kanan-atas objek sambungan dari pengendali domain sumber di situs direktori aktif dan layanan dan kemudian pilihMereplikasi sekarang, proses gagal, dan Anda menerima pesan galat berikut ini:

Replikasi sekarang

Terjadi galat berikut selama upaya untuk menyinkronkan penamaan % konteksnama partisi direktori% dari pengendali domain DC sumber untuk pengontrol Domain Tujuan DC:
Akses ditolak.

Operasi tidak akan melanjutkan.

Tangkapan layar berikut menunjukkan contoh galat:


Teknik pemecahan masalah
Menggunakan generikDCDIAG Alat baris perintah untuk menjalankan beberapa tes. Gunakan alat baris perintah DCDIAG /TEST:CheckSecurityErrorsuntuk menjalankan tes tertentu. (Tes ini meliputi pemeriksaan pendaftaran SPN.) Menjalankan tes untuk menyelesaikan operasi Active Directory replikasi gagal dengan galat 5 dan galat 8453. Namun, perhatikan bahwa alat ini tidak dijalankan sebagai bagian dari standar pelaksanaanDCDIAG.

Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
  1. Pada prompt perintah, jalankan DCDIAG pada pengendali domain tujuan.
  2. Jalankan DCDAIG /TEST:CheckSecurityError.
  3. Jalankan NETDIAG.
  4. Mengatasi kesalahan yang dikenali olehDCDIAG dan NETDIAG.
  5. Coba lagi sebelumnya gagal replikasi operasi.
Apabila replikasi masih gagal, lihat "Penyebab dan solusi"bagian.


Penyebab dan solusi
Penyebab berikut ini dapat mengakibatkan galat 5. Beberapa dari mereka memiliki solusi.

Penyebab 1: Pengaturan RestrictRemoteClients di registri memiliki nilai 2

Jika pengaturan kebijakan pembatasan untuk klien tidak terauthentikasi RPCdiaktifkan dan ditetapkan keAuthenticated tanpa pengecualian, nilai registri RestrictRemoteClients diatur ke nilai 0x2 di subkunci registri HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC.

Setelan kebijakan ini memungkinkan hanya diotentikasi prosedur jauh panggilan klien (RPC) untuk menyambung ke server RPC yang berjalan di komputer di mana setelan kebijakan ini diterapkan. Ini tidak mengizinkan pengecualian. Jika Anda memilih opsi ini, sistem tidak dapat menerima panggilan anonim jarak jauh dengan menggunakan RPC. Pengaturan ini tidak dapat diterapkan ke pengendali domain.

Solusi
  1. Nonaktifkan pengaturan kebijakan pembatasan untuk RPC tidak terauthentikasi klienyang membatasi nilai registriRestrictRemoteClients2.

    Catatan Setelan kebijakan terletak di garis jatuh berseri berikut ini:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. Hapus tataan registri RestrictRemoteClients, dan kemudian restart.
Lihat Pembatasan tidak terauthentikasi klien RPC: Kebijakan Grup yang meninju domain di muka.

Penyebab 2: Pengaturan CrashOnAuditFail di registri pengendali domain tujuan memiliki nilai 2

Nilai CrashOnAduitFail2 dipicu jika Audit: mematikan sistem segera jika tidak dapat log audit keamanansetelan Kebijakan Grup kebijakan diaktifkan dan log peristiwa keamanan lokal menjadi penuh.

pengendali domain direktori aktif sangat rentan terhadap log keamanan kapasitas maksimum ketika audit diaktifkan dan ukuran log peristiwa keamanan dibatasi olehtidak menimpa peristiwa (menghapus log secara manual)dan opsi menimpa yang diperlukanpada Pemantau Peristiwa atau setara Kebijakan Grup.

Solusi

Penting Ikuti langkah-langkah di bagian ini dengan seksama. Masalah serius dapat terjadi apabila Anda salah mengubah registri. Sebelum Anda mengubahnya, membuat cadangan registri untuk pemulihan apabila terjadi masalah.
  1. Menghapus log peristiwa keamanan, dan menyimpan ke lokasi lain yang diperlukan.
  2. Mengevaluasi kembali kendala ukuran log peristiwa keamanan. Ini meliputi tataan kebijakan berbasis.
  3. Hapus dan kemudian membuat ulang entri registri CrashOnAuditFail sebagai berikut:
    Subkunci registri: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Nama nilai: CrashOnAuditFail
    Jenis nilai: REG_DWORD
    Nilai Data: 1
  4. Me-restart pengendali domain tujuan.
Untuk informasi selengkapnya, lihat artikel berikut di Pangkalan Pengetahuan Microsoft:

Penyebab 3: Kepercayaan tidak valid

Apabila replikasi direktori aktif gagal antara pengendali domain di berbedadomain, Anda harus memastikan kesehatan hubungan kepercayaan jalan kepercayaan.

Anda dapat mencoba hubungan kepercayaan NetDiagkepercayaan uji untuk memeriksa untuk rusak. Utilitas Netdiag.exe mengidentifikasi rusak Trust dengan menampilkan teks berikut ini:
Kepercayaan hubungan uji...... : Gagal
Uji untuk memastikan DomainSid domain 'namadomain' sudah benar.
[FATAL] Saluran aman untuk domain 'namadomain' rusak.
[%kode status variabel%]

Sebagai contoh, jika Anda memiliki hutan multi domain yang berisi domain akar (Contoso.COM), anak domain (B.Contoso.COM), cucu domain (C.B.Contoso.COM), dan pohon domain di hutan yang sama (Fabrikam.COM) dan jika replikasi gagal antara pengendali domain di domain cucu (C.B.Contoso.COM) dan domain pohon (Fabrikam.COM), Anda harus memverifikasi kepercayaan kesehatan antara C.B.Contoso.COM dan B.Contoso.COM , antara B.Contoso.COM dan Contoso.COM, dan kemudian akhirnya antara Contoso.COM dan Fabrikam.COM.

Jika kepercayaan pintasan ada antara tujuan domain, Anda tidak harus memvalidasi kepercayaan garis jatuh berseri jaringan. Namun, Anda harus memvalidasi kepercayaan pintasan antara tujuan dan sumber domain.

Periksa perubahan sandi baru untuk kepercayaan dengan menjalankan perintah berikut ini:
Repadmin /showobjmeta * <DN path for TDO in question>
Verifikasikan bahwa pengendali domain tujuan secara transitif ke masuk replikasi partisi direktori ditulisi domain mana perubahan sandi kepercayaan dapat berpengaruh.

Perintah untuk me-reset kepercayaan dari domain akar PDC adalah sebagai berikut:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Perintah untuk me-reset kepercayaan dari domain anak PDC adalah sebagai berikut:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Penyebab 4: Saat berlebihan garis jatuh miring

Pengaturan kebijakan Kerberos dalam kebijakan domain bawaan memungkinkan untuk lima menit selisih waktu sistem (ini adalah nilai default) antara KDC pengontrol domain dan server target Kerberos untuk mencegah menyulitkan serangan. Beberapa dokumentasi menyatakan bahwa waktu sistem klien dan yang Kerberos target harus dalam lima menit satu sama lain. Dokumentasi lainnya menyatakan bahwa, dalam konteks otentikasi Kerberos, waktu yang penting delta antara KDC yang digunakan dengan pemanggil dan waktu di Kerberos target. Selain itu, Kerberos tidak peduli apakah waktu sistem pada pengendali domain yang relevan sesuai dengan waktu saat ini. Peduli hanya yang relatifperbedaan waktu antara KDC dan target pengendali domain adalah dalam waktu maksimum condong Kerberos yang memungkinkan kebijakan. (Waktu default adalah lima menit atau kurang.)

Dalam konteks operasi direktori aktif, target server adalah sumber pengendali domain yang dihubungi oleh pengendali domain tujuan. Setiap pengendali domain di hutan direktori aktif yang sedang menjalankan layanan KDC adalah KDC potensial. Oleh karena itu, Anda harus mempertimbangkan waktu akurasi pada semua pengontrol domain lainnya terhadap pengontrol domain sumber. Ini termasuk waktu pada pengendali domain tujuan itu sendiri.

Anda dapat menggunakan dua perintah berikut ini untuk memeriksa akurasi waktu:
  • DCDIAG /TEST:CheckSecurityError
  • W32TM/MONITOR
Anda dapat menemukan contoh output dariDCDIAG /TEST:CheckSecurityErrordalam "Informasi lebih lanjut"bagian. Sampel ini menunjukkan waktu berlebihan condong pada pengendali domain berbasis Windows Server 2003 dan Windows Server 2008 R2 berbasis.

Cari LSASRV 40960 peristiwa pada pengendali domain tujuan saat gagal replikasi permintaan. Carilah peristiwa yang mencantumkan pengenal unik global dalam data CNAME pengendali domain sumber dengan galat yang diperpanjang 0xc000133. Carilah peristiwa yang menyerupai berikut ini:
Waktu pada pengendali domain utama berbeda Dari Waktu pada pengendali domain Backup atau server anggota dengan jumlah terlalu besar

Jejak jaringan yang menangkap komputer tujuan yang tersambung ke folder berbagi pada pengendali domain sumber (dan juga operasi lainnya) mungkin menampilkan "diperpanjang telah terjadi galat" layar galat, sedangkan jejak jaringan menampilkan berikut ini:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
Respons TKE_NYVmenunjukkan bahwa tanggal kisaran di tiket TGS lebih baru daripada waktu target. Ini menunjukkan banyak waktu condong.

Catatan
  • W32TM MONITORmemeriksa waktu hanya pada pengendali domain di domain komputer pengujian, sehingga Anda harus menjalankan di setiap domainnya dan membandingkan waktu antara domain.
  • Saat perbedaan waktu terlalu besar pada pengontrol domain berbasis Windows Server 2008 R2 tujuan, perintah mereplikasi sekarang di DSSITE. MSC gagal dengan "Ada perbedaan waktu dan atau tanggal antara klien dan server" layar galat. String galat ini peta galat 1398 desimal atau 0x576 heksadesimal dengan nama simbolik galatERROR_TIME_SKEW .
Untuk informasi selengkapnya, lihat Pengaturan jam sinkronisasi toleransi untuk mencegah menyulitkan serangan.

Penyebab 5: Ada ketidakcocokan saluran atau sandi tidak valid keamanan pada pengendali domain sumber atau tujuan

Memvalidasi keamanan saluran dengan menjalankan salah satu dari perintah berikut ini:
  • nltest /sc:query
  • verifikasi netdom

Kondisi, reset sandi pengendali domain tujuan menggunakan NETDOM /RESETPWD.

Solusi

  1. Menonaktifkan layanan Kerberos pusat distribusi bukti kunci (KDC) pada pengendali domain yang dimulai ulang.
  2. Dari konsol pengendali domain tujuan, jalankan NETDOM RESETPWD untuk mereset sandi untuk tujuan pengontrol domain sebagai berikut:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Pastikan bahwa mungkin KDCs dan pengendali domain sumber (jika ini adalah di domain yang sama) masuk mereplikasi pengetahuan pengendali domain tujuan sandi baru.
  4. Me-restart pengendali domain tujuan untuk memperbarui tiket Kerberos dan coba lagi operasi replikasi.
Lihat Cara menggunakan Netdom.exe untuk me-reset sandi akun mesin pengontrol domain.

Penyebab 6: Hak pengguna "Akses komputer ini dari jaringan" tidak diberikan bagi penguna yang memicu replikasi

Di penginstalan asali Windows, kebijakan pengontrol domain bawaan terhubung ke pengendali domain unit organisasi (OU). OUgrants penggunaakses komputer ini dari jaringanbukan ke kelompok keamanan berikut ini:
Kebijakan lokalKebijakan pengontrol domain bawaan
AdministratorAdministrator
Pengguna yang diotentikasiPengguna yang diotentikasi
Siapa sajaSiapa saja
pengendali domain perusahaanpengendali domain perusahaan
[Pra-Windows 2000 kompatibel akses]Akses kompatibel pra-Windows 2000
Jika Active Directory operasi gagal dengan galat 5, Anda harus memverifikasi hal-hal berikut:
  • kelompok keamanan di dalam Daftar Tabel yang diberikan hak penggunaakses komputer ini dari jaringan di pengontrol domain bawaan kebijakan.
  • Account komputer pengendali domain yang terletak di OU pengendali domain.
  • pengendali domain bawaan kebijakan yang terhubung ke pengendali domain OU atau alternatif ou tuan rumah akun komputer.
  • Kebijakan Grup diterapkan pada pengendali domain tujuan yang saat ini log galat 5.
  • Tolak akses komputer ini dari jaringan hak pengguna diaktifkan atau apakah tidak referensi langsung atau transitif grup yang konteks keamanan yang sedang digunakan oleh pengendali domain atau akun pengguna yang memicu replikasi.
  • Kebijakan didahulukan, warisan diblokir, Microsoft Windows Management Instrumentation (WMI) penyaringan atau seperti tidak mencegah setelan kebijakan dari menerapkan ke komputer peran pengendali domain.

Catatan
  • Pengaturan kebijakan dapat divalidasi dengan RSOP. Alat MSC. Namun, GPRESULT /Z adalah alat yang dipilih karena lebih akurat.
  • Kebijakan lokal lebih diutamakan daripada kebijakan yang ditetapkan di situs, domain, dan OU.
  • Pada satu waktu, itu umum untuk administrator untuk menghapus "Enterprise pengontrol domain" dan "Orang" kelompok dari setelan kebijakan "Mengakses komputer ini dari jaringan" dalam kebijakan pengontrol domain bawaan. Namun, menghapus kedua kelompok fatal. Tidak ada alasan untuk menghapus "Enterprise pengontrol domain" dari setelan kebijakan ini, karena pengontrol domain hanya kelompok anggota ini.

Penyebab 7: Ada ketidakcocokan penandatangan SMB antara sumber dan tujuan pengontrol domain

Matriks kompatibilitas mundur terbaik untuk penandatangan SMB didokumentasikan di bagian "matriks interoperability" grafis dan teks dari artikel Pangkalan Pengetahuan916846. Matriks ditetapkan dengan empat tataan kebijakan berbasis registri setara sebagai berikut.
Setelan kebijakan garis jatuh berseri registri
Klien jaringan Microsoft: komunikasi menandatangani secara digital (apabila server setuju)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Klien jaringan Microsoft: menandatangani komunikasi (selalu)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Server jaringan Microsoft: komunikasi menandatangani secara digital (apabila server setuju)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Server jaringan Microsoft: menandatangani komunikasi (selalu)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
Anda harus fokus pada mismatches antara tujuan dan sumber pengontrol domain penandatangan SMB. Kasus klasik melibatkan pengaturan yang diaktifkan atau diperlukan satu sisi tetapi dinonaktifkan di sisi lain.

Penyebab 8: Fragmentasi paket UDP yang diformat Kerberos

Jaringan router dan switch pecah atau benar-benar jatuh paket besar diformat User Datagram Protocol UDP jaringan yang digunakan oleh Kerberos dan ekstensi mekanisme untuk DNS (EDNS0). Komputer yang menjalankan Windows 2000 Server atau Windows Server 2003 sistem operasi keluarga sangat rentan terhadap fragmentasi UDP pada komputer yang menjalankan Windows Server 2008 atau Windows Server 2008 R2.

Solusi
  1. Dari konsol pengendali domain tujuan, ping pengendali domain sumber dengan nama komputer memenuhi syarat untuk mengidentifikasi paket terbesar yang didukung oleh garis jatuh berseri jaringan. Untuk melakukannya, jalankan perintah berikut ini:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Apabila paket tidak terpecah terbesar kurang dari 1472 byte, cobalah salah satu dari metode berikut ini (dalam preferensi sesuai urutan):
    • Mengubah infrastruktur jaringan dengan benar mendukung frame UDP besar. Ini mungkin memerlukan firmware peningkatan atau konfigurasi perubahan pada router, switch atau firewall.
    • Set maxpacketsize (pada pengendali domain tujuan) paket terbesar yang diidentifikasi oleh perintah PING -f-lkurang byte 8 untuk memperhitungkan TCP header, dan kemudian restart pengendali domain diubah.
    • Set maxpacketsize (pada pengendali domain tujuan) ke nilai 1ini memicu otentikasi Kerberos untuk menggunakan TCP. Me-restart pengendali domain diubah agar perubahan diterapkan.
  3. Coba lagi Active Directory operasi gagal.

Penyebab 9: Adaptor jaringan yang memiliki fitur besar mengirim Offload diaktifkan

Solusi
  1. Tujuan pengendali domain, buka properti adaptor jaringan.
  2. Kliktombol tekan konfigurasi .
  3. Pilih tab lanjut .
  4. Nonaktifkan IPv4 besar mengirim Offload properti.
  5. Me-restart pengendali domain.

Penyebab 10: Bidang Kerberos valid

Bidang Kerberos tidak valid apabila satu atau lebih kondisi berikut ini benar:
  • Entri registri KDCNames salah berisi nama domain Active Directory lokal.
  • bukti kunci registri PolAcDmN dan bukti kunci registri PolPrDmN tidak cocok.

Solusi

Penting Ikuti langkah-langkah di bagian ini dengan seksama. Masalah serius dapat terjadi apabila Anda salah mengubah registri. Sebelum Anda mengubahnya, membuat cadangan registri untuk pemulihan apabila terjadi masalah.

Solusi untuk entri registri KDCNames salah
  1. Pada pengendali domain tujuan, jalankan REGEDIT.
  2. Temukan subkunci berikut dalam registri:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Untuk masing-masingFully_Qualified_Domain> di bawah subkunci, verifikasi bahwa nilai untuk entri registri KdcNames merujuk ke eksternal validKerberos bidang dan bukan ke domain lokal atau domain lain dalam hutan direktori aktif yang sama.
Solusi untuk ketidakcocokan PolAcDmN dan PolPrDmN bukti kunci registri
Catatan Metode ini hanya berlaku untuk pengendali domain yang menjalankan Windows 2000 Server.
  1. Mulai Editor Registri.
  2. Di panel navigasi, luaskan keamanan.
  3. Pada menu keamanan , klik izinuntuk memberikan kontrol penuh grup lokal administrator kumpulan keamanan dan wadah anak dan objek.
  4. Temukan subkunci berikut dalam registri:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. Di panel sebelah kanan-atas Penyunting registri, klikTidak ada nama: Entri registri REG_NONE satu kali.
  6. Pada menu tampilan , klik Tampilan Data biner.
  7. Di bagian Format kotak dialog, klikByte.

    Nama domain akan ditampilkan sebagai string di sebelah kanan-atas kotak dialogData biner. Nama domain yang sama dengan bidang Kerberos.
  8. Temukan subkunci berikut dalam registri:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. Di panel sebelah kanan-atas Penyunting registri, klik gandaTidak ada nama: Catatan REG_NONE.
  10. Di kotak dialog Penyunting biner, sisipkan nilai dari subkunci PolPrDmNregistry. (Nilai dari subkunci registri PolPrDmN adalah nama domain NetBIOS).
  11. Me-restart pengendali domain.
Jika pengontrol domain tidak berfungsi dengan benar, bacametode lainnya.

Penyebab 11: Ada ketidakcocokan kompatibilitas mundur LAN Manager (LM kompatibilitas) antara sumber dan tujuan pengontrol domain

Penyebab 12: Nama prinsip Layanan tidak terdaftar atau tidak ada karena latensi replikasi sederhana atau kegagalan replikasi

Penyebab 13: peranti penangkap lunak Antivirus menggunakan pengandar filter adapter jaringan firewall Mini pengontrol domain sumber atau tujuan

Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Galat direktori aktif dan peristiwa seperti yang dijelaskan di bagian "gejala" bagian dapat juga gagal dengan galat 8453 bersama-sama dengan string galat berikut ini, serupa:
Replikasi Akses ditolak.

Situasi berikut ini dapat menyebabkan Active Directory operasi gagal dengan galat 8453. Namun, situasi ini tidak menyebabkan kegagalan dengan galat 5.
  • Penamaan kepala konteks (NC) bukan permissioned dengan izin mereplikasi perubahan direktori.
  • Memulai replikasi prinsip keamanan bukan anggota dari grup yang diizinkan mereplikasi perubahan direktori.
  • Bendera hilang di atributUserAccountControl. Ini termasukSERVER_TRUST_ACCOUNTbendera dan benderaTRUSTED_FOR_DELEGATION.
  • pengendali domain baca-saja (RODC) bergabung dengan domain tanpa perintahADPREP /RODCPREPPembukaan Pertama.

Contoh output dari DCDIAG /TEST:CheckSecurityError


Contoh output DCDIAG /test:CHECKSECURITYERRORdari pengontrol domain Windows Server 2008 R2 berikut. Output ini disebabkan oleh banyak waktu condong.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Contoh output DCDIAG /CHECKSECURITYERROR dari pengendali domain berbasis Windows Server 2003 berikut. Hal ini disebabkan oleh banyak waktu condong.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Contoh DCDIAG /CHECKSECURITYERRORoutput berikut. Ini menunjukkan hilang SPN nama. (Output dapat berbeda-beda dari lingkungan lingkungan.)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3073945 - Tinjauan Terakhir: 08/20/2015 23:20:00 - Revisi: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtid
Tanggapan