Risoluzione dei problemi errore di replica di Active Directory 5 "accesso negato" in Windows Server

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3073945
In questo articolo vengono descritti i sintomi, causa e risoluzione di situazioni in cui Active Directory replica ha esito negativo witherror 5:
Accesso negato
Sintomi
Uno o più dei seguenti sintomi riscontrabili durante le repliche di Active Directory hanno esito negativo con errore 5.

Sintomo 1

Lo strumento della riga di comando Dcdiag.exe segnala che il test di replica di Active Directory non riesce con codice di stato di errore (5). Il report è simile al seguente:

Server di prova: Nome_sito\Destination_DC_Name
Avvio test: repliche
* Controllare le repliche
[Controllo repliche,Destination_DC_Name] Un recente tentativo di replica non riuscito:
Da Source_DC per Destination_DC
Contesto dei nomi: Directory_Partition_DN_Path
La replica ha generato un errore (5):
Accesso negato.
Si è verificato l'errore DataOra.
Si è verificato l'ultimo esito DataOra.
Numero gli errori si sono verificati dall'ultimo successo.

Sintomo 2

Lo strumento della riga di comando Dcdiag.exe segnala che la funzione DsBindWithSpnExha esito negativo con errore 5 eseguendo il comandoDCDIAG /test:CHECKSECURITYERROR .

Sintomo 3

Lo strumento della riga di comando REPADMIN.exe segnala che l'ultimo tentativo di replica non riuscita con stato 5.

I comandi REPADMIN che spesso cite lo stato 5 includono ma non sono limitati al seguente:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • COMANDO REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL.
Esempio di output del comando REPADMIN /SHOWREPLsegue. L'output seguente mostra la replica in ingresso daDC_2_Name per DC_1_Nameproblemi con l'errore "Accesso negato".

Nome_sito\DC_1_Name
Opzioni DSA: IS_GC
Opzioni sito: (nessuno)
GUID oggetto DSA: GUID
ID chiamata DSA: ID di chiamata

=== ROUTER ADIACENTE ===
DC =NomeDominio, DC = com
Nome_sito\DC_2_Name tramite RPC
GUID oggetto DSA: GUID
@ L'ultimo tentativo DataOra non riuscito 5(0x5):
Accesso negato.
<#>errori consecutivi.
Ultima operazione riuscita in data </#>DataOra.

Sintomo 4

Nel registro del servizio Directory nel Visualizzatore eventi vengono registrati eventi di NTDS KCC generale NTDS o Microsoft-Windows-ActiveDirectory_DomainService con lo stato di 5.

Nella tabella seguente sono riepilogati gli eventi di Active Directory che spesso cite lo stato di 8524.
ID eventoOrigineStringa evento
1655NTDS generaleActive Directory ha tentato di comunicare con il seguente catalogo globale e i tentativi hanno esito negativo.
1925NTDS KCCImpossibile stabilire un collegamento di replica per la seguente partizione di directory scrivibile.
1926NTDS KCCTentativo di stabilire un collegamento di replica di una partizione di directory di sola lettura con i seguenti parametri non riusciti.

Sintomo 5

Quando si fa l'oggetto di connessione da un controller di dominio di origine in Active Directory Sites and Services e quindi scegliereReplica, il processo non riesce e viene visualizzato il seguente errore:

Replica ora

Si è verificato il seguente errore durante il tentativo di sincronizzare % contesto dei nomiNome partizione di directory% dal Controller di dominio Controller di dominio di origine Controller di dominio Controller di dominio di destinazione:
Accesso negato.

Non continuare l'operazione.

Nell'immagine riportata di seguito rappresenta un campione dell'errore:


Workaround
Utilizzare il metodo genericoDCDIAG strumento della riga di comando per eseguire più test. Utilizzare lo strumento della riga di comando DCDIAG /TEST:CheckSecurityErrorsper eseguire test specifici. (Questi test includono un controllo di registrazione SPN). Eseguire i test per risolvere i problemi di replica di Active Directory operazioni esito negativo con errore 5 e l'errore 8453. Tuttavia è necessario ricordare che questo strumento non viene eseguito come parte dell'esecuzione predefinita diDCDIAG.

Per ovviare a questo problema, attenersi alla seguente procedura:
  1. Al prompt dei comandi, eseguire DCDIAG sul controller di dominio di destinazione.
  2. Eseguire DCDAIG /TEST:CheckSecurityError.
  3. Eseguire NETDIAG.
  4. Risolvere gli errori che sono stati identificati daDCDIAG e NETDIAG.
  5. Riprova la precedenza in mancanza di operazione di replica.
Se non si riesce repliche, vedere la "Cause e soluzioni" sezione.


Cause e soluzioni
Le seguenti cause possono provocare l'errore 5. Alcuni di essi dispongono di soluzioni.

Causa 1: Impostazione RestrictRemoteClients del Registro di sistema ha un valore pari a 2

Se l'impostazione del criterio restrizioni per client RPC non autenticatiè attivata e viene impostata suautenticato senza eccezioni, RestrictRemoteClients del Registro di sistema è impostato su un valore di 0x2 nella sottochiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC.

Questa procedura di impostazione di criterio consente solo l'autenticazione remota chiamare (RPC) ai client di connettersi ai server RPC in esecuzione sul computer su cui viene applicata l'impostazione del criterio. Esso non consentire eccezioni. Se si seleziona questa opzione, un sistema non può ricevere chiamate anonime remote tramite RPC. Questa impostazione non deve mai essere applicata a un controller di dominio.

Soluzione
  1. Disattivare l'impostazione del criterio restrizioni per client RPC non autenticatiche limita il valore del Registro di sistemaRestrictRemoteClients su 2.

    Nota L'impostazione di criterio si trova nel percorso seguente:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. L'impostazione RestrictRemoteClientsdel Registro di sistema e riavviare.
Vedere Restrizioni per client RPC non autenticati: criteri di gruppo che è possibile praticare la faccia del dominio.

Causa 2: L'impostazione CrashOnAuditFail nel Registro di sistema del controller di dominio di destinazione non ha un valore pari a 2

Il valore CrashOnAduitFail2 viene attivato se il controllo: arresto del sistema immediato se non è possibile registrare i controlli di protezioneè attivata l'impostazione criteri di gruppo e il registro eventi di protezione locale è pieno.

I controller di dominio di Active Directory sono particolarmente soggetti ai registri protezione capacità massima quando è attivato il controllo e la dimensione del registro eventi di protezione è vincolata danon sovrascrivere eventi (pulizia manuale del registro)e le opzioni di sovrascrittura in base alle esigenzenel Visualizzatore eventi o i rispettivi equivalenti di criteri di gruppo.

Soluzione

Importante Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarlo, eseguire il backup del Registro di sistema per il ripristino nel caso in cui si verifichino problemi.
  1. Cancellare il registro eventi di protezione e salvarlo in una posizione alternativa come richiesto.
  2. Rivalutare i vincoli di dimensione per il registro eventi di protezione. Quali impostazioni basate sui criteri.
  3. Eliminare e ricreare una voce del Registro di sistema CrashOnAuditFail come segue:
    Sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Nome valore: CrashOnAuditFail
    Tipo di valore: REG_DWORD
    Dati valore: 1
  4. Riavviare il controller di dominio di destinazione.
Per ulteriori informazioni, vedere i seguenti articoli della Microsoft Knowledge Base:

Causa 3: Trust non valida

Se ha esito negativo della replica di Active Directory tra controller di dominio diversidomini, è necessario verificare l'integrità delle relazioni di trust lungo il percorso di trust.

È possibile provare la relazione di Trust NetDiagtest per interrotto controllo trust. Netdiag.exe identifica i trust interrotto visualizzando il seguente testo:
Test delle relazioni di trust..... : Errore
Test per garantire DomainSid del dominio "NomeDominio' sia corretto.
[ERRORE FATALE] Canale protetto al dominio 'NomeDominio' viene interrotta.
[%codice di stato variabile%]

Ad esempio, se si dispone di un insieme di strutture multidominio contiene un dominio principale (Contoso.COM), un dominio figlio (B.Contoso.COM), un dominio nipote (C.B.Contoso.COM) e una struttura di dominio nella stessa foresta (Fabrikam.COM) e se la replica tra controller di dominio nel dominio grandchild (C.B.Contoso.COM) e il dominio della struttura (Fabrikam.COM) non riesce, è necessario verificare dello stato di attendibilità tra C.B.Contoso.COM e B.Contoso.COM , tra B.Contoso.COM e Contoso.COM, quindi infine tra Contoso.COM e Fabrikam.COM.

Se non esiste un trust di collegamento tra i domini di destinazione, non è necessario convalidare la catena di percorso di trust. Al contrario, è necessario convalidare il trust di collegamento tra il dominio di origine e destinazione.

Controllo recenti modifiche delle password per il trust eseguendo il comando seguente:
Repadmin /showobjmeta * <DN path for TDO in question>
Verificare che il controller di dominio di destinazione in modo transitivo in ingresso di replicare la partizione di directory di dominio scrivibile in modifica della password di trust potrebbe richiedere l'effetto.

Di seguito sono riportati i comandi per reimpostare i trust tra il dominio radice della PDC:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Comandi per reimpostare i trust del dominio figlio PDC sono i seguenti:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Causa 4: Inclinare un tempo di esecuzione

Impostazioni dei criteri Kerberos nel criterio dominio predefinito consentono una differenza di cinque minuti nell'ora di sistema (questo è il valore predefinito) tra i controller di dominio KDC e i server di destinazione Kerberos per impedire attacchi di tipo replay. Alcuni afferma che l'ora di sistema del client e quello di destinazione Kerberos deve essere entro 5 minuti una da altra. Altri afferma che, nel contesto dell'autenticazione Kerberos, il tempo che è importante è il delta tra il KDC utilizzato dal chiamante e l'ora sulla destinazione Kerberos. Inoltre, Kerberos non è rilevante se l'ora di sistema sui controller di dominio corrisponde ora corrente. Essa può interessare solo che il relativodifferenza temporale tra il controller di dominio KDC e di destinazione è entro il tempo massimo di inclinazione tale criterio consente di Kerberos. (Il tempo predefinito è 5 minuti o meno.)

Nel contesto delle operazioni di Active Directory, il server di destinazione è il controller di dominio di origine che viene contattato dal controller di dominio di destinazione. Ogni controller di dominio in un insieme di strutture di Active Directory attualmente in esecuzione il servizio KDC è un potenziale KDC. Pertanto, è necessario considerare precisione ora su tutti gli altri controller di dominio sul controller di dominio di origine. Ora sul controller di dominio di destinazione stessa.

Per verificare l'accuratezza di tempo, è possibile utilizzare i seguenti comandi:
  • /TEST:CheckSecurityError DCDIAG
  • W32TM/MONITOR
È possibile trovare l'output di esempio daDCDIAG /TEST:CheckSecurityErrornella "Ulteriori informazioni" sezione. In questo esempio viene ora eccessiva inclinazione sui controller di dominio basati su Windows Server 2008 R2 e Windows Server 2003.

Cercare LSASRV 40960 eventi sul controller di dominio di destinazione al momento dell'errore di richiesta di replica. Cercare gli eventi che citare un GUID nel record CNAME del controller di dominio di origine con errore esteso 0xc000133. Cercare eventi analoghi ai seguenti:
L'ora nel Controller di dominio primario è diverso rispetto al tempo di Controller di dominio di Backup o un server membro è eccessiva

Le tracce di rete in grado di registrare il computer di destinazione che si connette a una cartella condivisa sul controller di dominio di origine (e anche altre operazioni) possono visualizzare il "si è verificato un errore esteso" su schermo errore, mentre una traccia di rete viene visualizzato il seguente:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
La risposta TKE_NYVindica che l'intervallo di date nel ticket TGS è più recente rispetto al tempo sulla destinazione. Indica tempo eccessivo inclinazione.

Note
  • W32TM MONITORcontrolla ora solo sui controller di dominio nel dominio di computer di test, è necessario eseguire questa operazione in ciascun dominio e confrontare ora tra i domini.
  • Quando la differenza di tempo è troppo elevata sui controller di dominio di destinazione basato su Windows Server 2008 R2, il comando di Replica ora in DSSITE. MSC ha esito negativo e il "C'è una differenza di tempo e / o data tra il client e il server" su schermo errore. Questa stringa di errore associato a decimale errore 1398 o 0x576 esadecimale con il nome simbolico di erroreERROR_TIME_SKEW .
Per ulteriori informazioni, vedere Tolleranza della sincronizzazione dell'orologio di impostazione per impedire gli attacchi di riproduzione.

Causa 5: È un canale o password mancata corrispondenza di protezione non valido nel controller di dominio di origine o destinazione

Convalidare il canale di protezione mediante l'esecuzione di uno dei seguenti comandi:
  • Nltest /sc:query
  • Verificare di Netdom

A condizione, reimpostare la password del controller di dominio di destinazione utilizzando NETDOM /RESETPWD.

Soluzione

  1. Disattivare il servizio Centro distribuzione chiavi (KDC) di Kerberos nel controller di dominio che viene riavviato.
  2. Dalla console del controller di dominio di destinazione, eseguire NETDOM RESETPWD per reimpostare la password per il controller di dominio di destinazione come segue:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Assicurarsi che probabilmente KDC e il controller di dominio di origine (se si tratta dello stesso dominio) in entrata replica conoscenza della nuova password del controller di dominio di destinazione.
  4. Riavviare il controller di dominio di destinazione per aggiornare i ticket Kerberos e ripetere l'operazione di replica.
Vedere Come utilizzare Netdom.exe per reimpostare la password di account computer del controller di dominio.

La causa 6: Il diritto utente "Accesso al computer dalla rete" non viene concessa a un utente che attiva la replica

In un'installazione predefinita di Windows, il criterio controller di dominio predefinito è collegato all'unità organizzativa del controller di dominio (OU). OUgrants il diritto all'utenteaccesso al computer dalla retei seguenti gruppi di protezione:
Criteri localiCriterio controller di dominio predefinito
AmministratoriAmministratori
Utenti autenticatiUtenti autenticati
Tutti gli utentiTutti gli utenti
Controller di dominio organizzazioneController di dominio organizzazione
[Accesso compatibile precedente a Windows 2000]Accesso compatibile precedente a Windows 2000
Se le operazioni di Active Directory ha esito negativo con errore 5, è necessario verificare i seguenti punti:
  • Gruppi di protezione nella tabella sono concesso il diritto utenteaccesso al computer dalla rete nei criteri del controller di dominio predefinito.
  • Gli account dei computer controller di dominio si trovano nell'unità Organizzativa del controller di dominio.
  • Criterio del controller di dominio predefinito è collegato all'unità Organizzativa del controller di dominio o alle unità organizzative alternative che ospitano gli account computer.
  • Criteri di gruppo applicati sul controller di dominio di destinazione che attualmente registra l'errore 5.
  • Il diritto utente Nega accesso al computer dalla rete è abilitato o non non diretti o transitivi gruppi di riferimento che il contesto di protezione utilizzato dal controller di dominio o che la replica di attivazione di account utente.
  • L'impostazione del criterio da applicare al computer di ruolo di controller di dominio non impedisca la precedenza dei criteri, ereditarietà bloccati, il filtro di Strumentazione gestione Windows (WMI) di Microsoft o simili.

Note
  • Le impostazioni dei criteri possono essere convalidate con il gruppo di criteri risultante. Strumento MSC. GPRESULT /Z invece lo strumento preferito perché è più accurata.
  • Locale ha la precedenza sul criterio definito in siti, domini e unità Organizzativa.
  • Contemporaneamente, era prassi comune per gli amministratori di rimuovere il "controller di dominio organizzazione" e "Everyone" gruppi dall'impostazione del criterio "Accedi al computer dalla rete" in criteri del controller di dominio predefinito. Tuttavia, la rimozione di entrambi i gruppi è irreversibile. Non vi è alcun motivo per rimuovere "Controller di dominio organizzazione" questa impostazione di criterio, in quanto solo i controller di dominio sono membri di questo gruppo.

La causa 7: C'è una mancata corrispondenza di firma SMB tra origine e destinazione i controller di dominio

La matrice di compatibilità migliore per la firma SMB è documentata nelle sezioni "matrice di interoperabilità" immagine e testo dell'articolo della Knowledge Base916846. La matrice viene definita da quattro impostazioni di criteri e gli equivalenti basate sul Registro di sistema come segue.
Impostazione di criterio Percorso del Registro di sistema
Client di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal server)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Client di rete Microsoft: firma digitale alle comunicazioni (sempre)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Server di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal server)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Server di rete Microsoft: firma digitale alle comunicazioni (sempre)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
È necessario considerare le mancate corrispondenze tra i controller di dominio di origine e di destinazione di firma SMB. I classici casi comportano un'impostazione che è abilitata o richiesto da un lato, ma disattivata da altro.

Causa 8: La frammentazione del pacchetto di Kerberos in formato UDP

Switch e router di rete possono frammentare o completamente scartare i pacchetti di rete di grandi dimensioni in formato di datagramma UDP che vengono utilizzati da Kerberos e meccanismi di estensione per DNS (EDNS0). Computer che eseguono Windows 2000 Server o famiglie di sistemi operativi Windows Server 2003 sono particolarmente vulnerabili alla frammentazione UDP su computer che eseguono Windows Server 2008 o Windows Server 2008 R2.

Soluzione
  1. Dalla console del controller di dominio di destinazione, eseguire il ping del controller di dominio di origine in base al nome completo di computer per identificare il pacchetto non è supportato per la route di rete. A tale scopo, eseguire il comando seguente:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Se il pacchetto non frammentato è inferiore a 1.472 byte, provare uno dei metodi seguenti (in ordine di preferenza):
    • Modificare l'infrastruttura di rete per supportare in modo appropriato i frame di grandi dimensioni UDP. Ciò può richiedere una modifica di configurazione o l'aggiornamento del firmware sul router, switch e firewall.
    • Impostare il pacchetto non identificato tramite il comando PING -f-lmeno di 8 byte per l'intestazione TCP maxpacketsize (sul controller di dominio di destinazione) e quindi riavviare il controller di dominio modificato.
    • Impostare maxpacketsize (sul controller di dominio di destinazione) per il valore 1attiva l'autenticazione Kerberos per l'utilizzo di un TCP. Riavviare il controller di dominio modificato per rendere effettiva la modifica.
  3. Ripetere l'operazione di Active Directory danneggiata.

Causa 9: Schede di rete sono attivata la funzione di grandi dimensioni LSO

Soluzione
  1. Sul controller di dominio di destinazione, aprire proprietà della scheda di rete.
  2. Fare clic suil pulsante Configura .
  3. Selezionare la scheda Avanzate .
  4. Disattivare la proprietà IPv4 grandi LSO .
  5. Riavviare il controller di dominio.

Causa 10: Area di autenticazione Kerberos non valida

Area di autenticazione Kerberos non è valido se uno o più delle seguenti condizioni sono vere:
  • La voce del Registro di sistema KDCNames contiene in modo errato il nome di dominio di Active Directory locale.
  • La chiave del Registro di sistema PolAcDmN e la chiave del Registro di sistema PolPrDmN non corrispondono.

Soluzioni

Importante Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarlo, eseguire il backup del Registro di sistema per il ripristino nel caso in cui si verifichino problemi.

Soluzione per la voce di registro KDCNames non corretta
  1. Sul controller di dominio di destinazione, eseguire REGEDIT.
  2. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Per ogniFully_Qualified_Domain> Nella sottochiave, verificare che il valore della voce del Registro di sistema KdcNames fa riferimento a un valido esternoarea di autenticazione Kerberos e non al dominio locale o a un altro dominio nella stessa foresta di Active Directory.
Soluzione per non corrispondenti chiavi del Registro di sistema PolAcDmN e PolPrDmN
Nota Questo metodo è valido solo per i controller di dominio che eseguono Windows 2000 Server.
  1. Avviare l'Editor del Registro di sistema.
  2. Nel riquadro di spostamento, espandere protezione.
  3. Nel menu protezione , fare clic su autorizzazioniper concedere il controllo completo del gruppo locale Administrators di hive di protezione e relativi contenitori figlio e gli oggetti.
  4. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. Nel riquadro di destra dell'Editor del Registro di sistema, fare clic su diNessun nome: Voce del Registro di sistema REG_NONE una sola volta.
  6. Dal menu Visualizza , fare clic su Visualizza dati binari.
  7. Nella sezione formato nella finestra di dialogo, fare clic suByte.

    Il nome di dominio viene visualizzato come stringa sul lato destro della finestra di dialogoDati binari. Il nome di dominio è la stessa area di autenticazione Kerberos.
  8. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. Nel riquadro di destra dell'Editor del Registro di sistema, fare doppio clic su diNessun nome: Voce REG_NONE.
  10. Nella finestra di dialogo Editor binario, incollare il valore dalla sottochiave PolPrDmNregistry. Il valore della sottochiave del Registro di sistema PolPrDmN è il nome di dominio NetBIOS.
  11. Riavviare il controller di dominio.
Se il controller di dominio non funziona correttamente, vederealtri metodi.

Causa 11: C'è corrispondenza tra l'origine e destinazione la compatibilità con LAN Manager (LM compatibilità) controller di dominio

Causa 12: Nomi principali di servizio sono non presente o non registrati a causa della latenza di replica semplice o un errore di replica

Causa 13: Software Antivirus utilizza un driver di filtro firewall mini scheda di rete sul controller di dominio di origine o destinazione

Status
Microsoft ha confermato che questo è un problema per i prodotti Microsoft elencati nella sezione "Si applica a".
Informazioni
Attiva gli errori di Directory ed eventi come quelli descritti nella sezione può anche avere esito negativo con errore 8453 con la stringa di errore seguente, simile "Sintomi":
Accesso di replica negato.

Le situazioni seguenti possono causare l'esito negativo con errore 8453 operazioni di Active Directory. Queste situazioni, tuttavia, non causano errori con errore 5.
  • Denominazione di testina di contesto (NC) non è permissioned con l'autorizzazione Replica modifiche Directory.
  • La replica iniziale dell'entità di protezione non è un membro di un gruppo che disponga dell'autorizzazione Replica modifiche Directory.
  • I flag sono mancanti nell'attributoUserAccountControl. Questi includono il flagSERVER_TRUST_ACCOUNTe il flagTRUSTED_FOR_DELEGATION.
  • Il controller di dominio di sola lettura (RODC) fa parte del dominio senza il comandoADPREP /RODCPREPeseguendo per primi.

Esempio di output di DCDIAG /TEST:CheckSecurityError


Segue l'esempio di output DCDIAG /test:CHECKSECURITYERRORda un controller di dominio di Windows Server 2008 R2. Questo output è causato dall'eccessiva orario.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Segue l'esempio di output DCDIAG /CHECKSECURITYERROR da un controller di dominio basato su Windows Server 2003. Ciò è dovuto eccessivo orario.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Esempio di output DCDIAG /CHECKSECURITYERRORsegue. Viene illustrato manca nomi SPN. (L'output potrebbe variare da un ambiente a).
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3073945 - Ultima revisione: 08/20/2015 23:20:00 - Revisione: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtit
Feedback