トラブルシューティングする方法 Active Directory レプリケーション エラー 5「アクセスが拒否されました」では、Windows Server

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3073945
この資料では、現象、原因、およびどの Active Directory のレプリケーションに各 5 が失敗した場合の解決方法について説明します。
アクセスが拒否されました
現象
エラー 5 で Active Directory のレプリケーションが失敗すると、次の現象のいずれかが発生する可能性があります。

現象 1

Dcdiag.exe コマンド ライン ツールは、エラー状態コード (5) で、Active Directory レプリケーションのテストが失敗したことを報告します。レポートは、次のようになります。

サーバーをテストします。 サイト名\Destination_DC_Name
テストの開始: レプリケーション
* レプリケーション チェック
[レプリケーション チェック、Destination_DC_Name最近使用したレプリケーションに失敗しました。
から Source_DCDestination_DC
名前付けコンテキスト。 Directory_Partition_DN_Path
レプリケーションには、(5) エラーが生成されます。
アクセスが拒否されました。
エラーが発生しました。 日付時刻.
最後の成功が発生しました。 日付時刻.
番号 エラーは、最後の成功後に発生しました。

現象 2

Dcdiag.exe コマンド ライン ツールでは、/test:CHECKSECURITYERROR の DCDIAGコマンドを実行して、エラー 5 でDsBindWithSpnEx関数が失敗するを報告します。

現象 3

REPADMIN.exe コマンド ライン ツールでは、ステータスが 5 の最後のレプリケーションの試行が失敗したことを報告します。

5 の状態を頻繁に引用されるREPADMINコマンドが含まれますが、次に。
  • REPADMIN/KCC
  • REPADMIN/REPLICATE
  • REPADMIN/REPLSUM
  • REPADMIN/SHOWREPL
  • REPADMIN/SHOWREPS
  • REPADMIN/SYNCALL
REPADMIN/SHOWREPLコマンドからの出力例に従います。この出力からの入力方向のレプリケーションを示しています。DC_2_NameDC_1_Name「アクセスが拒否されました」エラーで失敗しています。

サイト名\DC_1_Name
DSA オプション: IS_GC
サイト オプション: (なし)
DSA オブジェクトの GUID。 GUID
DSA invocationID。 invocationID

=== INBOUND NEIGHBORS ===
DC =ドメイン名、DC = com
サイト名\DC_2_Name RPC 経由で
DSA オブジェクトの GUID。 GUID
@ 最後の試行 日付時刻 結果の 5(0x5) が失敗しました。
アクセスが拒否されました。
<#>連続したエラー。
@ 最後の成功 </#>日付時刻.

現象 4

5 の状態で NTDS KCC、NTDS 一般的なまたはマイクロソフトの Windows-ActiveDirectory_DomainService のイベントは、イベント ビューアーでディレクトリ サービス ログに記録されます。

8524 状態を頻繁に引用される Active Directory のイベントを次の表にまとめます。
イベント IDソースイベント文字列
1655NTDS 一般的なActive Directory は次のグローバル カタログと通信しようとしていますし、試行が成功しなかった。
1925NTDS KCC次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立することができませんでした。
1926NTDS KCCできませんでした次のパラメーターを読み取り専用ディレクトリ パーティションへのレプリケーション リンクを確立するためにしようとします。

現象 5

Active Directory サイトとサービスのソース ドメイン コント ローラーから接続オブジェクトを右クリックし、[今すぐ複製すると、プロセス失敗し、次のエラーが表示されます。

今すぐレプリケートします。

名前付けコンテキストの % を同期するときに次のエラーが発生しました。ディレクトリ パーティション名ドメイン コント ローラーからの % ソース DC ドメイン コント ローラーに 宛先 DC:
アクセスが拒否されました。

操作は続行されません。

次のスクリーン ショットでは、エラーの例を示しています。


回避策
ジェネリックを使用します。DCDIAG 複数のテストを実行するコマンドライン ツールです。/TEST:CheckSecurityErrors の DCDIAGコマンド ライン ツールを使用すると、特定のテストを実行できます。(これらのテストに SPN の登録チェックが含まれます)。エラー 5、8453 のエラーで失敗している Active Directory 操作のレプリケーションのトラブルシューティング テストを実行します。ただし、DCDIAGの既定の実行の一部として、このツールが実行されないことに注意します。

この問題を回避するには、次の手順を実行します。
  1. コマンド プロンプトには、宛先ドメイン コント ローラーでDCDIAGを実行します。
  2. DCDAIG/TEST:CheckSecurityErrorを実行します。
  3. NETDIAGを実行します。
  4. DCDIAGおよびNETDIAGによって識別されたすべての障害を解決します。
  5. 以前失敗の再試行レプリケーション操作します。
レプリケーションが失敗する場合を参照してください、」原因と解決策セクションに進んでください。


原因と解決策
エラー 5 は、次の原因のことがあります。それらのいくつかは、ソリューションをしています。

原因 1: RestrictRemoteClients レジストリ設定は、2 の値を持つ

認証されていない RPC クライアントの制限] ポリシー設定が有効になっているし、例外なしの認証済み] に設定されて、RestrictRemoteClients レジストリ値は値にされますレジストリ サブキーに0x2に設定します。

このポリシー設定の認証のみを有効にリモート プロシージャの呼び出し (RPC) クライアントが、ポリシー設定が適用されているコンピューターで実行されている RPC サーバーに接続します。例外のことはできません。このオプションを選択した場合、システムは RPC を使用してリモートの匿名呼び出しを受信できません。ドメイン コント ローラーに、この設定を適用しない必要があります。

ソリューション
  1. RestrictRemoteClientsレジストリ値を2に制限する [認証されていない RPC クライアントの制限] ポリシー設定を無効にします。

    ポリシー設定は、次のパスにあります。
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. RestrictRemoteClientsレジストリ設定を削除し、再起動します。
参照してください。 認証されていない RPC クライアントの制限: パンチの面で、ドメイン グループ ポリシー.

原因 2: CrashOnAuditFail レジストリ設定の宛先ドメイン コント ローラーが 2 の値

2CrashOnAduitFail値がトリガーされる場合、監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャット ダウングループ ポリシーのポリシー設定を有効にし、ローカルのセキュリティ イベント ログがいっぱいになった。

Active Directory ドメイン コント ローラーは、監査を有効にし、セキュリティ イベント ログのサイズは、(手動でログを消去) イベントを上書きしないし、イベント ビューアーのオプションを必要に応じて上書きまたはそれに対応するグループ ポリシーによって制限すると処理能力の最大のセキュリティ ログに特に発生しやすい。

ソリューション

重要: 以下の手順は慎重に実行してください。レジストリを誤って変更すると、深刻な問題が発生することがあります。変更する前に 復元レジストリのバックアップを作成します。
  1. セキュリティ イベント ログを消去し、必要に応じて別の場所に保存します。
  2. セキュリティ イベント ログのサイズ制約を再評価します。これには、ポリシー ベースの設定が含まれます。
  3. 削除し、再作成、CrashOnAuditFail のレジストリ エントリ次のようにします。
    レジストリ サブキー: します
    値の名前: CrashOnAuditFail
    値の種類: REG_DWORD
    値のデータ: 1
  4. 宛先ドメイン コント ローラーを再起動します。
詳細については、以下のマイクロソフト サポート技術情報資料を参照してください。

原因 3: 無効な信頼

別のドメイン コント ローラー間で Active Directory のレプリケーションが失敗したかどうかはのドメインの信頼のパスに沿って、信頼関係の状態を確認する必要があります。

NetDiag の信頼関係を試すことができます信頼を確認するテストです。Netdiag.exe ユーティリティは、次のテキストを表示することで信頼関係の破損を識別します。
信頼関係のテストします.。: 失敗しました
DomainSid ドメインのことを確認するテスト 'ドメイン名' は正しい。
[致命的]ドメインをセキュリティで保護されたチャネル 'ドメイン名' は破損しています。
[%変数の状態コード%]

たとえば、マルチ ドメインのフォレスト ルート ドメイン (Contoso.COM)、子ドメイン (B.Contoso.COM)、孫ドメイン (C.B.Contoso.COM)、およびツリーのドメインが同じフォレスト (Fabrikam.COM) と孫ドメイン (C.B.Contoso.COM) のドメイン コント ローラーと (Fabrikam.COM) ツリーのドメイン間でレプリケーションが失敗したかどうかに含まれているがある場合は、C.B.Contoso.COM と B.Contoso.COM の間の信頼関係の状態を確認する必要があります。、B.Contoso.COM、Contoso.COM とし、最後に Contoso.COM と Fabrikam.COM の。

対象のドメイン間にショートカットの信頼が存在する場合、信頼のパスのチェーンを検証する必要はありません。代わりに、ソース ドメインと宛先の間のショートカットの信頼を検証する必要があります。

次のコマンドを実行することによって、信頼する最近使用したパスワードの変更を確認します。
Repadmin /showobjmeta * <DN path for TDO in question>
宛先ドメイン コント ローラーではないこと、書き込み可能なドメイン ディレクトリ パーティションをレプリケートする推移的にバインドされている信頼のパスワードの変更が効果をかかる場合があることを確認します。

ルート ドメインの PDC からの信頼関係をリセットするコマンドは次のとおりです。
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
子ドメイン PDC からの信頼関係をリセットするコマンドは次のとおりです。
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

原因 4: 過剰な時刻のずれ

既定のドメイン ポリシーで Kerberos ポリシーの設定を許可する (これが既定値です)、システム時刻の 5 分間違いを KDC のドメイン コント ローラーとターゲット サーバーの Kerberos のリプレイ攻撃を防ぐために。いくつかのドキュメントというクライアントのシステム時刻と 1 つ別の 5 分以内の Kerberos のターゲットにする必要があります。その他の資料では、Kerberos 認証では、重要な時間である呼び出し元で使用されている KDC と Kerberos のターゲットの時刻の差を示しています。また、Kerberos はありません対象のドメイン コント ローラーのシステム時刻が現在の時刻と一致するかどうか。相対を考慮するだけ傾斜の最大の時間内により、ポリシー、Kerberos は、KDC とターゲットのドメイン コント ローラー間の時間差。(デフォルトは 5 分以内です)。

Active Directory 操作のコンテキストでは、先のサーバーは、宛先ドメイン コント ローラーがソース ドメイン コント ローラーが。KDC サービスが実行されている Active Directory フォレスト内のすべてのドメイン コント ローラーは、潜在的な KDC です。したがって、ソース ドメイン コント ローラーに対して他のすべてのドメイン コント ローラー上の時間の正確さを考慮する必要があります。これには、宛先ドメイン コント ローラー自体の時間が含まれます。

次の 2 つのコマンドを使用して、時間の正確性を確認できます。
  • DCDIAG/TEST:CheckSecurityError
  • W32TM/モニター
DCDIAG/TEST:CheckSecurityErrorからのサンプル出力を表示します」詳細セクションに進んでください。このサンプルでは、Windows Server 2003 ベースおよび Windows Server 2008 R2 ベースのドメイン コント ローラーのスキュー過剰な時間を示します。

探して LSASRV 40960 のイベント宛先ドメイン コント ローラーに障害のある時にレプリケーションを要求します。拡張エラー 0xc000133 のためのソース ドメイン コント ローラーの CNAME レコードの GUID を引用するイベントを検索します。以下のようなイベントを探します。
プライマリ ドメイン コント ローラーの時刻がバックアップ ドメイン コント ローラーまたは大きすぎますが、メンバー サーバーの時刻とは異なる

ソース ドメイン コント ローラー (およびその他の操作) 上の共有フォルダーに接続しているセットアップ先のコンピューターをキャプチャするネットワークのトレースを表示することがあります、「拡張エラーが発生しました」画面に表示されるエラー、ネットワーク トレースに次が表示されます。
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
TKE_NYVの応答は、TGS チケットの日付の範囲がターゲットの時刻よりも新しいことを示します。過剰な時刻のずれを示します。

注:
  • W32TM/MONITORは、ドメインごとにこれを実行し、ドメイン間での時間を比較する必要があるために、テスト コンピューターのドメインにドメイン コント ローラー上のみの時間をチェックします。
  • 時間の差が Windows Server 2008 R2 ベースのレプリケーション先のドメイン コント ローラー、DSSITE の [今すぐ複製] コマンドでは大きすぎる場合。MSC が失敗して、「は、クライアントとサーバー間の時刻や日付の違い」画面に表示されるエラーです。このエラー文字列は、エラー 1398年の 10 進数またはERROR_TIME_SKEWエラーのシンボル名の 16 進数の 0x576 にマップされます。
詳細については、 リプレイ攻撃を防ぐためにクロックの同期のトレランスを設定.

原因 5: 送信元または送信先のドメイン コント ローラーで、無効なセキュリティ チャネルまたはパスワードが一致しませんがあります。

セキュリティ チャネルを検証するには、次のコマンドのいずれかの操作を実行しています。
  • nltest/sc:query
  • netdom を確認します。

条件には、 NETDOM/RESETPWDを使用して宛先ドメイン コント ローラーのパスワードをリセットします。

ソリューション

  1. 再起動したドメイン コント ローラー上の Kerberos キー配布センター (KDC) サービスを無効にします。
  2. 宛先ドメイン コント ローラーのコンソールで、次のように、宛先ドメイン コント ローラーのパスワードをリセットするのには、 NETDOM の RESETPWDを実行します。
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Kdc の可能性が高いと、ソース ドメイン コント ローラー (同じドメインの場合) が、宛先ドメイン コント ローラーの新しいパスワードの知識を複製を受信することを確認します。
  4. Kerberos チケットを更新し、レプリケーション ・ オペレーションを再試行するのには、宛先ドメイン コント ローラーを再起動します。
参照してください。 Netdom.exe を使用してドメイン コント ローラーのコンピューター アカウントのパスワードをリセットする方法.

原因 6: レプリケーションをトリガーするユーザーに「ネットワークからコンピューターへアクセス」ユーザー権利が与えられていません。

Windows の既定のインストールでは、既定のドメイン コント ローラー ポリシーがドメイン コント ローラーの組織単位 (OU) にリンクされます。次のセキュリティ グループの権利をネットワークからこのコンピューターへアクセスユーザーの OUgrants。
ローカル ポリシー既定のドメイン コント ローラー ポリシー
AdministratorsAdministrators
Authenticated UsersAuthenticated Users
EveryoneEveryone
エンタープライズ ドメイン コント ローラーエンタープライズ ドメイン コント ローラー
[Windows 2000 以前の互換性のあるアクセス]Windows 2000 以前の互換性のあるアクセス
Active Directory の操作は、エラー 5 が失敗した場合、次の点を確認する必要があります。
  • テーブル内のセキュリティ グループには、既定のドメイン コント ローラーのポリシーで、ネットワークからこのコンピューターへアクセスユーザーの権利が与えられます。
  • ドメイン コント ローラー コンピューター アカウントは、ドメイン コント ローラーの OU に配置されます。
  • 既定のドメイン コント ローラーのポリシーは、または、ドメイン コント ローラーの OU にコンピューター アカウントをホストしている別の Ou にリンクされます。
  • エラー 5 が現在ログオン先のドメイン コント ローラーでは、グループ ポリシーが適用されます。
  • ネットワークからコンピューターへアクセス拒否のユーザー権利を有効には参照直接的または推移的なグループではなく、ドメイン コント ローラーによって使用されているセキュリティ コンテキストまたはユーザー アカウントのレプリケーションをトリガーします。
  • ポリシーの優先順位、継承がブロックされている、Microsoft Windows 管理インストルメンテーション (WMI) フィルター、またはのようなが阻止されていないドメイン コント ローラーの役割を持つコンピューターに適用されないポリシーの設定。

注:
  • Rsop は、ポリシーの設定を検証できます。MSC のツールです。ただし、 GPRESULT/Zより正確であるために、推奨されるツールです。
  • ローカル ポリシーは、サイト、ドメイン、および OU で定義されているポリシーよりも優先されます。
  • 同時に、管理者は、エンタープライズ ドメイン コント ローラー」を削除するが一般的でしたし、「ネットワークからコンピューターへアクセス] ポリシーの設定で既定のドメイン コント ローラーのポリシーから"Everyone"グループ化します。ただし、両方のグループを削除することは致命的です。ドメイン コント ローラーだけがこのグループのメンバーであるために、このポリシー設定のエンタープライズ ドメイン コント ローラー」を削除する理由はありません。

原因 7: は、SMB 署名が一致しない送信元と宛先の間でのドメイン コント ローラーです。

SMB 署名のための最適な互換性マトリックスは、サポート技術情報のグラフィックとテキストの「相互運用性マトリックス」セクションに記載されて916846.マトリックスは、次のようの 4 つのポリシーの設定とそれに対応するレジストリ ・ ベースによって定義されます。
ポリシーの設定 レジストリ パス
Microsoft ネットワーク クライアント: (サーバーが同意すれば、通信にデジタル署名を行うHKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft ネットワーク クライアント: 常に) の通信にデジタル署名HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft ネットワーク サーバー: (サーバーが同意すれば、通信にデジタル署名を行うHKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft ネットワーク サーバー: 常に) の通信にデジタル署名HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
SMB 署名の宛先とソース ドメイン コント ローラーとの間に不一致がある場合に集中する必要があります。クラシックの場合に、有効になっているまたは 1 つの側で必要なが、一方を無効にする設定が含まれています。

原因 8: Kerberos の UDP でフォーマットされたパケットの断片化

ネットワーク ルーターおよびスイッチはフラグメント化、大規模なユーザー データグラム プロトコル UDP 形式のネットワーク パケットが使用する Kerberos および拡張機能機構 (EDNS0) を dns を完全に削除します。Windows 2000 Server または Windows Server 2003 オペレーティング システム ファミリを実行しているコンピューターは、Windows Server 2008 または Windows Server 2008 R2 を実行しているコンピューター上の UDP フラグメント化に対して特に脆弱になります。

ソリューション
  1. 宛先ドメイン コント ローラーのコンソールで、ネットワークの経路でサポートされている最大のパケットを識別する完全修飾コンピューター名でソース ドメイン コント ローラーに対して ping を実行します。これを行うには、次のコマンドを実行します。
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. 断片化されていない最大のパケットが 1,472 バイト未満の場合は、(優先順) に次のいずれかを試してください。
    • 大きな UDP フレームを適切にサポートするためにネットワーク インフラストラクチャを変更します。これにより、ルーター、スイッチまたはファイアウォール上のファームウェアのアップグレードまたは構成変更が必要があります。
    • TCP ヘッダーに以下の 8 バイトのPING-f-lコマンドで識別される最大のパケットを (上、宛先ドメイン コント ローラー) このを設定し、変更されたドメイン コント ローラーを再起動します。
    • 値の1(宛先ドメイン コント ローラー) でこの設定、TCP を使用する Kerberos 認証を実行します。変更を有効にする変更されたドメイン コント ローラーを再起動します。
  3. 障害が発生したアクティブ ディレクトリの操作を再試行してください。

原因 9: ネットワーク アダプターのある大きな送信のオフロード機能を有効に

ソリューション
  1. 宛先ドメイン コント ローラーで、ネットワーク アダプターのプロパティを開きます。
  2. クリックして構成] をクリックします。
  3. [詳細設定] タブを選択します。
  4. プロパティのIPv4 大量送信オフロードを無効にします。
  5. ドメイン コント ローラーを再起動します。

原因 10: 無効な Kerberos レルム

Kerberos 領域がある場合に有効ではありませんまたは複数の次の条件に該当します。
  • KDCNames レジストリ エントリには、ローカルの Active Directory ドメイン名が正しく含まれます。
  • PolAcDmN レジストリ キーと PolPrDmN のレジストリ キーが一致しません。

ソリューション

重要: 以下の手順は慎重に実行してください。レジストリを誤って変更すると、深刻な問題が発生することがあります。変更する前に 復元レジストリのバックアップを作成します。

間違った KDCNames レジストリ エントリのためのソリューション
  1. 宛先ドメイン コント ローラーで、レジストリ エディターを実行します。
  2. レジストリで次のサブキーを見つけます。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. ごとFully_Qualified_Domain>、サブキーの下には、KdcNames レジストリ エントリの値は、有効な外部を指すことを確認Kerberos 領域と、ローカル ドメインまたは同じ Active Directory フォレスト内の別のドメインにありません。
PolAcDmN と PolPrDmN のレジストリ キーの不一致のためのソリューション
注: <b>このメソッドは、Windows 2000 Server を実行しているドメイン コント ローラーに対してのみ有効です。
  1. レジストリ エディターを起動します。
  2. ナビゲーション ウィンドウで [セキュリティ] を展開します。
  3. [セキュリティ] メニューには、セキュリティ ハイブとその子コンテナーおよびオブジェクトの管理者ローカル グループのフル コントロールを付与するアクセス許可をクリックします。
  4. レジストリで次のサブキーを見つけます。
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. レジストリ エディターの右側のウィンドウでをクリックします名がありません。: REG_NONE レジストリ エントリを 1 回。
  6. [表示] メニューには、バイナリ データの表示をクリックします。
  7. ダイアログ ボックスの [フォーマット] セクションで [バイト] をクリックします。

    ドメイン名は、[バイナリ データ] ダイアログ ボックスの右側にある文字列として表示されます。ドメイン名は、Kerberos 領域と同じです。
  8. レジストリで次のサブキーを見つけます。
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. レジストリ エディターの右側のウィンドウでをダブルクリックします名がありません。: REG_NONE エントリです。
  10. [バイナリ エディター] ダイアログ ボックスで、PolPrDmNregistry のサブキーの値を貼り付けます。(PolPrDmN のレジストリ サブキーの値は、NetBIOS ドメイン名) です。
  11. ドメイン コント ローラーを再起動します。
ドメイン コント ローラーが正常に動作しない場合を参照してください。その他の方法.

原因 11: は、ソースと宛先の間で LAN Manager (LM 互換性) の互換性が一致していないドメイン コント ローラーです。

原因 12: サービス プリンシパル名が登録されていない、または存在しない単純なレプリケーションの待ち時間またはレプリケーション エラーが発生したため

原因 13: ソースまたは転送先のドメイン コント ローラーを使用してミニ ファイアウォール ネットワーク アダプターのフィルター ドライバー、ウイルス対策ソフトウェア

状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
アクティブなディレクトリ エラーとイベントなどでも失敗することがエラーのため、8453 と同様、次のエラー文字列と「現象」に記載されています。
レプリケーション アクセスが拒否されました。

次の場合に、8453 のエラーで失敗する Active Directory の操作を可能性があります。ただし、このような場合はエラー 5 のエラーを発生しません。
  • 名前付けコンテキスト (NC) の一番は、ディレクトリの変更をレプリケートするためのアクセス許可と権限はありません。
  • セキュリティ プリンシパルの開始のレプリケーションは、レプリケートするディレクトリの変更アクセス許可を付与されているグループのメンバーではありません。
  • フラグは、UserAccountControl属性に存在しません。SERVER_TRUST_ACCOUNTのフラグは、TRUSTED_FOR_DELEGATIONフラグが含まれます。
  • 読み取り専用ドメイン コント ローラー (RODC) は、ADPREP/RODCPREPコマンドが最初に実行することがなくドメインに参加しています。

DCDIAG/TEST:CheckSecurityError からの出力例


Windows Server 2008 R2 のドメイン コント ローラーから/test:CHECKSECURITYERROR の DCDIAGの出力の例に従います。この出力は、過剰な時刻のずれが原因で発生します。

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Windows Server 2003 ベースのドメイン コント ローラーから/CHECKSECURITYERROR の DCDIAGの出力の例に従います。これは過剰な時刻のずれが原因です。
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
/CHECKSECURITYERROR の DCDIAGの出力の例に従います。表示欠落している SPN の名前です。(出力は、環境からを異なる可能性があります)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



警告: この記事は自動翻訳されています

プロパティ

文書番号:3073945 - 最終更新日: 08/21/2015 18:33:00 - リビジョン: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtja
フィードバック