Active Directory 복제 오류 해결 5 "액세스가 거부 되었습니다" Windows Server에서 하는 방법

2015년 7월 14일 Windows Server 2003 지원 종료

Microsoft는 2015년 7월 14일 Windows Server 2003에 대한 지원을 종료했습니다. 이러한 변경에 따라 해당 소프트웨어 업데이트 및 보안 옵션이 영향을 받습니다. 사용자에게 미치는 영향 및 계속 보호를 받는 방법에 대해 알아보십시오.

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3073945
현상, 원인과 해결 방법을 경우에 Active Directory 복제가 실패 witherror 5에 설명 합니다.
액세스가 거부 되었습니다.
현상
Active Directory 복제 오류 5 실패 하는 경우 다음과 같은 현상이 하나 이상 발생할 수 있습니다.

현상 1

Dcdiag.exe 명령줄 도구 (5) 오류 상태 코드를 사용 하 여 Active Directory 복제 테스트에 실패를 보고 합니다. 보고서는 다음과 같습니다.

테스트 서버: Site_Name\Destination_DC_Name
테스트 시작: 복제
* 복제 확인
[복제 확인Destination_DC_Name]는 최근 복제 시도가 실패 했습니다.
에서 Source_DCDestination_DC
명명 컨텍스트: Directory_Partition_DN_Path
복제 (5) 오류가 발생 했습니다.
액세스가 거부 되었습니다.
오류가 발생 했습니다. 날짜시간.
마지막으로 성공한에서 발생 했습니다. 날짜시간.
번호 마지막으로 성공한 후 오류가 발생 했습니다.

현상 2

Dcdiag.exe 명령줄 도구/test:CHECKSECURITYERROR DCDIAG 명령을 실행 하 여 DsBindWithSpnEx함수 오류 5 실패를 보고 합니다.

증상 3

REPADMIN.exe 명령줄 도구 5 상태로 마지막 복제 시도 실패 했음을 보고 합니다.

5 상태를 자주 인용 하는 REPADMIN 명령을 포함 되지만 다음과 제한 되지 않습니다.
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN 가져오
REPADMIN /SHOWREPL명령을 출력 하는 예제는 다음과 같습니다. 이 출력에서 들어오는 복제를 표시합니다.DC_2_NameDC_1_Name"액세스가 거부 되었습니다." 오류와 함께 실패합니다.

Site_Name\DC_1_Name
DSA 옵션: IS_GC
사이트 옵션: (없음)
DSA 개체 GUID: GUID
DSA invocationID: invocationID

=== 인바운드 환경을 ===
DC =도메인 이름DC = com
Site_Name\DC_2_Name RPC를 통한
DSA 개체 GUID: GUID
마지막 시도 @ 날짜시간 실패, 결과 5(0x5).
액세스가 거부 되었습니다.
<#>연속 된 오류입니다.
마지막으로 성공한 @ </#>날짜시간.

증상 4

5 상태를 사용 하 여 NTDS KCC, NTDS 일반 또는 Microsoft-Windows-ActiveDirectory_DomainService 이벤트는 이벤트 뷰어의 디렉터리 서비스 로그에 기록 됩니다.

다음 표에서 8524 상태를 자주 인용 하는 Active Directory 이벤트를 요약 합니다.
이벤트 ID소스이벤트 문자열
1655NTDS 일반Active Directory는 다음과 같은 글로벌 카탈로그와 통신을 시도 하 고 시도 되지 않았습니다.
1925NTDS KCC다음 쓰기 가능한 디렉터리 파티션의 복제 링크를 설정 하지 못했습니다.
1926NTDS KCC실패 매개 변수가 읽기 전용 디렉터리 파티션으로 복제 링크 설정을 시도 합니다.

증상 5

Active Directory 사이트 및 서비스에서 원본 도메인 컨트롤러에서 연결 개체를 마우스 오른쪽 단추로 클릭 하 고지금 복제를 선택 하는 경우 프로세스가 실패 하 고 다음과 같은 오류가 나타납니다.

지금 복제

명명 컨텍스트 %를 동기화 하는 동안 다음 오류가 발생 했습니다.디렉터리 파티션 이름도메인 컨트롤러에서 % DC 소스 도메인 컨트롤러에 대상 DC:
액세스가 거부 되었습니다.

계속 됩니다.

다음 스크린 샷에서 오류를 나타냅니다.


해결 과정
제네릭 사용DCDIAG 여러 테스트를 실행 하는 명령줄 도구입니다. /TEST:CheckSecurityErrors DCDIAG명령줄 도구를 사용 하 여 특정 테스트를 수행. (이 테스트는 SPN 등록 검사 포함) Active Directory 작업 복제 실패 오류 5 8453 오류와 문제를 해결 하려면 테스트를 실행 합니다. 그러나,이 도구 기본DCDIAG실행의 일부로 실행 되지 않습니다 주의.

이 문제를 해결 하려면 다음이 단계를 수행 합니다.
  1. 명령 프롬프트에서 대상 도메인 컨트롤러에서 DCDIAG 를 실행 합니다.
  2. DCDAIG /TEST:CheckSecurityError를 실행 합니다.
  3. NETDIAG를 실행 합니다.
  4. DCDIAGNETDIAG에 의해 파악 된 모든 오류를 해결 합니다.
  5. 이전에 실패 하면 다시 시도 복제 작업.
복제를 계속 참조는 "원인 및 해결 방법"섹션입니다.


원인 및 해결 방법
다음과 같은 원인을 5 오류가 발생할 수 있습니다. 그 중 일부 솔루션을가지고 있습니다.

원인 1: 레지스트리의 RestrictRemoteClients 설정에 값이 2

인증 되지 않은 RPC 클라이언트 제한정책 설정을 사용 하 고예외 없이 인증 됨로 설정 되어, RestrictRemoteClients 레지스트리 값 누릅니다 NT\RPC 레지스트리 하위 키에서 0x20x2 값으로 설정 됩니다.

이 정책 설정을 사용 하면 인증 된 원격 프로시저 호출 (RPC) 클라이언트 정책 설정이 적용 되는 컴퓨터에서 실행 중인 RPC 서버에 연결 합니다. 예외에 대 한 허용 하지 않습니다. 이 옵션을 선택 하면 시스템 RPC를 사용 하 여 원격 익명 호출을 받을 수 없습니다. 이 설정은 도메인 컨트롤러를 적용할 수 없습니다.

솔루션
  1. RestrictRemoteClients 레지스트리 값을 2로 제한 하는 인증 되지 않은 RPC 클라이언트 제한정책 설정을 사용 안 함

    참고: 정책 설정은 다음 경로에 있습니다.
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. RestrictRemoteClients레지스트리 설정을 삭제 한 다음 다시 시작 합니다.
참조 인증 되지 않은 RPC 클라이언트 제한: 펀치 표면에서 도메인 그룹 정책.

원인 2: 대상 도메인 컨트롤러의 레지스트리에 CrashOnAuditFail 설정이 2

CrashOnAduitFail 값이 2 경우 트리거되는 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료그룹 정책에서 정책 설정을 사용 하 고 로컬 보안 이벤트 로그가 가득 찰.

Active Directory 도메인 컨트롤러는 특히 최대 용량 보안 로그에 감사를 활성화 하 고(수동으로 로그 지우기) 이벤트 덮어쓰지 않음이벤트 뷰어에서 옵션을 필요에 따라 덮어쓰기및 그룹 정책 및 그에 해당 하 여 보안 이벤트 로그의 크기가 제한 됩니다.

솔루션

중요: 이 섹션의 단계를 주의 깊게 따라야 합니다. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 레지스트리를 수정하기 전에 레지스트리 복원에 대 한 백업 .
  1. 보안 이벤트 로그를 지우고 필요에 따라 다른 위치에 저장 합니다.
  2. 보안 이벤트 로그의 크기 제약 조건을 다시 평가 합니다. 정책 기반의 설정이 포함 됩니다.
  3. 삭제 한 후 다시 만드는 CrashOnAuditFail 레지스트리 항목은 다음과 같습니다.
    레지스트리 하위 키: 찾아
    값 이름: CrashOnAuditFail
    값 종류: REG_DWORD
    값 데이터: 1
  4. 대상 도메인 컨트롤러를 다시 시작 합니다.
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.

원인 3: 잘못 된 신뢰

다른 도메인 컨트롤러 간의 Active Directory 복제가 실패도메인 트러스트 경로 따라 트러스트 관계의 상태를 확인 해야 합니다.

NetDiag 신뢰 관계를 시도할 수 있습니다분할 하는 테스트를 신뢰 합니다. Netdiag.exe 유틸리티는 다음과 같은 텍스트를 표시 하 여 끊어진된 트러스트를 식별 합니다.
트러스트 관계를 테스트 합니다. : 실패
DomainSid 도메인의 확인 하기 위한 테스트 '도메인 이름' 올바른.
[치명적인] 도메인 보안 채널 '도메인 이름' 손상 되었습니다.
[%가변 상태 코드%]

예를 들어, 다중 도메인 포리스트의 루트 도메인 (Contoso.COM), 하위 도메인 (B.Contoso.COM), 손자 도메인 (C.B.Contoso.COM) 및 트리 도메인이 같은 포리스트에 (Fabrikam.COM) 및 트리 도메인 (Fabrikam.COM) 손자 도메인 (C.B.Contoso.COM)에 있는 도메인 컨트롤러 간에 복제가 실패 하는 경우에 포함 된 경우 C.B.Contoso.COM와 B.Contoso.COM 사이 신뢰 상태 확인 해야 Contoso.COM과 B.Contoso.COM 사이의 다음 마지막으로 Contoso.COM과 Fabrikam.COM입니다.

바로 가기 트러스트 대상 도메인 사이 있으면 경로 신뢰 체인의 유효성을 검사할 필요가 없습니다. 대신, 대상 및 원본 도메인 간에 바로 가기 트러스트를 확인 해야 합니다.

다음 명령을 실행 하 여 트러스트에 최근 변경 된 암호를 확인 합니다.
Repadmin /showobjmeta * <DN path for TDO in question>
대상 도메인 컨트롤러가 아닌지 확인 바운드 쓰기 가능한 도메인 디렉터리 파티션을 복제 전이적 트러스트 암호 변경 효과 걸릴 수 있습니다.

PDC 루트 도메인에서 트러스트를 다시 설정 하는 명령은 아래와 같습니다.
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
자식 도메인의 PDC에서 트러스트를 다시 설정 하는 명령이 아래와 같습니다.
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

원인 4: 과도 한 시간 차

Kerberos 정책 설정은 기본 도메인 정책에서 허용 (기본값은) 시스템 시간이 5 분 차이 대 한 대상 서버가 Kerberos KDC 도메인 컨트롤러 간에 재생 공격을 방지 하기 위해. Kerberos 대상의 5 분 이내 여야 하 고 일부 설명서에 따르면 클라이언트의 시스템 시간입니다. 다른 설명서에 따르면, Kerberos 인증 환경에서 중요 한 시간 사이의 델타는 호출자에 의해 사용 되는 KDC와 Kerberos 대상에 시간. 또한 Kerberos 영향을 받지 않으며 해당 도메인 컨트롤러의 시스템 시간이 현재 시간과 일치 하는지 여부. 그 더 관심이 있는 것만 상대KDC와 대상 도메인 컨트롤러 간의 시간 차이 최대 시간차 내 해당 Kerberos 정책에서 허용 합니다. (기본 시간은 5 분 이내입니다.)

Active Directory 작업 환경에서 대상 서버가 원본 도메인 컨트롤러에서 대상 도메인 컨트롤러에 연결 하는 경우 KDC 서비스가 현재 실행 중인 Active Directory 포리스트에 있는 모든 도메인 컨트롤러는 KDC 잠재적인. 따라서 원본 도메인 컨트롤러에 대 한 모든 도메인 컨트롤러에서 시간 정확도 고려해 야 합니다. 대상 도메인 컨트롤러 자체에 시간이 포함 됩니다.

시간 정확도 검사 하려면 다음 두 가지 명령을 사용할 수 있습니다.
  • DCDIAG /TEST:CheckSecurityError
  • W32TM 모니터링 /
예제 출력에서DCDIAG /TEST:CheckSecurityError찾을 수 있는 "자세한 내용"섹션입니다. 이 샘플에서는 과도 한 번 기울이기 Windows Server 2003 및 Windows Server 2008 R2 기반 도메인 컨트롤러에서

검색할 LSASRV 40960 이벤트 대상 도메인 컨트롤러에서 실패 한 시에 복제 요청. 확장된 오류 0xc000133 사용 하 여 원본 도메인 컨트롤러 CNAME 레코드에 대 한 GUID를 인용 하는 이벤트를 찾습니다. 다음과 유사한 이벤트를 찾습니다.
주 도메인 컨트롤러에 대 한 시간은 백업 도메인 컨트롤러 또는 구성원 서버의 시간과 너무 많이 다릅니다.

원본 도메인 컨트롤러 (와 또한 다른 작업)의 공유 폴더에 연결 된 대상 컴퓨터를 캡처하는 네트워크 추적에서 표시 될 수 있습니다 있는 "확장된 오류가 발생 했습니다." 화면 오류, 네트워크 추적 다음 표시:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
TKE_NYV응답 TGS 티켓에서 날짜 범위 대상 시간 보다 최신 있음을 나타냅니다. 이것은 과도 한 시간차를 나타냅니다.

메모
  • W32TM /MONITOR를 각 도메인에 실행 하 고 도메인 간에 시간과 비교 하 여 테스트 컴퓨터가 도메인에 있는 도메인 컨트롤러에만 시간을 확인 합니다.
  • 시간 차이 Windows Server 2008 R2 기반 대상 도메인 컨트롤러 DSSITE에서 지금 복제 명령에 너무 큰 경우. MSC 실패 하 고 "클라이언트와 서버 간의 시간 및/또는 날짜 차이" 화면 오류. 이 오류 문자열이 오류 1398 숫자나 0x576ERROR_TIME_SKEW 오류 기호 이름의 16 진수 매핑됩니다.
자세한 내용은 참조 하십시오. 재생 공격을 방지 하기 위해 설정 시계 동기화 허용.

원인 5: 원본 또는 대상 도메인 컨트롤러에서 잘못 된 보안 채널 또는 암호가 일치 하지가 않습니다.

다음 명령 중 하나를 실행 하 여 보안 채널을 확인:
  • nltest /sc:query
  • netdom 확인

조건에 /RESETPWD NETDOM을사용 하 여 대상 도메인 컨트롤러의 암호를 다시 설정 합니다.

솔루션

  1. 다시 시작 하는 도메인 컨트롤러에 Kerberos 키 배포 센터 (KDC) 서비스를 비활성화 합니다.
  2. 대상 도메인 컨트롤러의 콘솔에서 다음과 같이 대상 도메인 컨트롤러에 대 한 암호를 다시 설정 하려면 NETDOM RESETPWD 실행 합니다.
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. 가능성이 Kdc와 (이들은 동일한 도메인에 있는) 경우 원본 도메인 컨트롤러 인바운드 복제 지식의 대상 도메인 컨트롤러에 새 암호를 확인 합니다.
  4. Kerberos 티켓을 업데이트 하 고 복제 작업을 다시 시도 하려면 대상 도메인 컨트롤러를 다시 시작 합니다.
참조 Netdom.exe를 사용 하 여 도메인 컨트롤러의 컴퓨터 계정 암호를 다시 설정 하는 방법.

원인 6: 사용자에 게 복제 트리거 "네트워크에서이 컴퓨터 액세스" 사용자 권한이 부여 되지 않은

Windows의 기본 설치에서 기본 도메인 컨트롤러 정책은 도메인 컨트롤러 조직 구성 단위 (OU)에 연결 됩니다. OUgrants네트워크에서이 컴퓨터 액세스사용자 권한을 다음 보안 그룹:
로컬 정책기본 도메인 컨트롤러 정책
관리자관리자
인증 된 사용자인증 된 사용자
모든 사용자모든 사용자
엔터프라이즈 도메인 컨트롤러엔터프라이즈 도메인 컨트롤러
[Windows 2000 이전 버전 호환 액세스]Windows 2000 이전 버전 호환 액세스
Active Directory 작업 오류 5 실패 하는 경우 다음 사항을 확인 해야.
  • 테이블에 대 한 보안 그룹에네트워크에서이 컴퓨터 액세스 사용자 권한은 기본 도메인 컨트롤러 정책에서 부여 됩니다.
  • 도메인 컨트롤러 컴퓨터 계정은 도메인 컨트롤러 OU에 있습니다.
  • 정책은 기본 도메인 컨트롤러의 컴퓨터 계정을 호스트 하는 다른 Ou 또는 도메인 컨트롤러의 OU에 연결 되어 있습니다.
  • 현재 5 오류를 기록 하는 대상 도메인 컨트롤러에서 그룹 정책이 적용 됩니다.
  • 거부 네트워크에서이 컴퓨터 액세스 사용자 권한이 설정 되어 있거나 않습니다 없습니다 참조 직접 또는 전이적 그룹에 도메인 컨트롤러에 의해 사용 되는 보안 컨텍스트 또는 사용자 계정 복제 트리거.
  • 정책 우선 순위, 차단 된 상속, Windows 관리 계측 (WMI) 필터링 또는 같은 정책 설정이 도메인 컨트롤러 역할 컴퓨터에 적용을 방해 하지 않습니다.

메모
  • Rsop는 정책 설정은 확인할 수 있습니다. MSC 도구입니다. 그러나 GPRESULT /Z 는 정확 하 게 있기 때문에 기본 설정된 도구입니다.
  • 로컬 정책, 사이트, 도메인 및 OU에 정의 된 정책 보다 우선 합니다.
  • 한 번에 것이 일반적 "엔터프라이즈 도메인 컨트롤러"를 제거 하는 관리자 및 기본 도메인 컨트롤러 정책에서 "네트워크에서이 컴퓨터 액세스" 정책 설정에서 그룹 "Everyone". 그러나 그룹을 모두 제거 하는 치명적입니다. 이 그룹의 구성원 이므로 도메인 컨트롤러만이 정책 설정에서 "엔터프라이즈 도메인 컨트롤러"를 제거 하는 없습니다.

원인 7: 있는 SMB 서명 불일치가 있기 원본 및 대상 도메인 컨트롤러

그래픽 및 텍스트 "상호 운용성 매트릭스" 섹션 기술 자료 문서에서 설명 하는 SMB 서명이 최상의 호환성 매트릭스916846. 매트릭스 4 정책 설정과 해당 레지스트리를 기반으로 하 여 다음과 같이 정의 됩니다.
정책 설정 레지스트리 경로
Microsoft 네트워크 클라이언트: 디지털 서명 통신 (서버에서 동의한 경우)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft 네트워크 클라이언트: 디지털 서명 통신 (항상)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft 네트워크 서버: 디지털 서명 통신 (서버에서 동의한 경우)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft 네트워크 서버: 디지털 서명 통신 (항상)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
SMB 서명 대상 및 원본 도메인 컨트롤러 간의 불일치에 초점을 맞춰야 합니다. 클래식의 경우 사용 하거나 한쪽 면에 필요 하지만 다른 비활성화 하는 설정을 포함 합니다.

원인 8: Kerberos UDP 형식 패킷 조각화

네트워크 라우터 및 스위치 조각 수도 완전히 EDNS0 (DNS)에 대 한 Kerberos 및 확장 메커니즘으로 사용 되는 큰 UDP 사용자 데이터 그램 프로토콜 형식의 네트워크 패킷이 삭제 됩니다. Windows 2000 Server 또는 Windows Server 2003 운영 체제 제품군을 실행 하는 컴퓨터는 Windows Server 2008 또는 Windows Server 2008 r 2를 실행 하는 컴퓨터에서 UDP 조각화에 특히 취약 합니다.

솔루션
  1. 대상 도메인 컨트롤러의 콘솔에서 네트워크 경로에서 지 원하는 최대 패킷입니다 식별 하려면 정규화 된 컴퓨터 이름을 사용 하 여 원본 도메인 컨트롤러를 ping 합니다. 이렇게 하려면 다음 명령을 실행 합니다.
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. 가장 큰 비 조각난 패킷 1472 바이트 보다 작은 경우 (우선 순위)에서 다음 방법 중 하나를 시도해 보십시오.
    • 적절 하 게 큰 UDP 프레임을 지원 하기 위해 네트워크 인프라를 변경 합니다. 라우터, 스위치 또는 방화벽에 펌웨어 업그레이드 또는 구성을 변경을 해야 합니다.
    • TCP 헤더에 맞도록 작은 8 바이트 PING-f-l명령을 사용 하 여 식별 된 큰 패킷에 maxpacketsize (대상 도메인 컨트롤러)에 놓고 변경 된 도메인 컨트롤러를 다시 시작 합니다.
    • (대상 도메인 컨트롤러)에서 maxpacketsize 값이 1로 설정 TCP를 사용 하 여 Kerberos 인증을 트리거합니다. 변경 내용을 적용 하려면 변경 된 도메인 컨트롤러를 다시 시작 합니다.
  3. 실패 한 Active Directory 작업을 다시 시도 합니다.

원인 9: 큰 보내기 오프 로드 기능을 사용할 수 있는 네트워크 어댑터

솔루션
  1. 대상 도메인 컨트롤러의 네트워크 어댑터 속성을 엽니다.
  2. 클릭구성 단추.
  3. 고급 탭을 선택 합니다.
  4. IPv4 큰 보내기 오프 로드 속성을 해제 합니다.
  5. 도메인 컨트롤러를 다시 시작 합니다.

10 원인: 잘못 된 Kerberos 영역

Kerberos 영역의 경우 잘못 되었거나 다음 상황에 해당할:
  • KDCNames 레지스트리 항목에서 로컬 Active Directory 도메인 이름을 잘못 포함 됩니다.
  • PolAcDmN 레지스트리 키 및 PolPrDmN 레지스트리 키가 일치 하지 않습니다.

솔루션

중요: 이 섹션의 단계를 주의 깊게 따라야 합니다. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 레지스트리를 수정하기 전에 레지스트리 복원에 대 한 백업 .

잘못 된 KDCNames 레지스트리 항목에 대 한 솔루션
  1. 대상 도메인 컨트롤러에서 REGEDIT을 실행 합니다.
  2. 레지스트리에서 다음 하위 키를 찾습니다.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. 각각에 대 한Fully_Qualified_Domain&gt; 해당 하위 키에서 KdcNames 레지스트리 항목의 값이 유효한 외부 가리키는 확인Kerberos 영역 및 동일한 Active Directory 포리스트에 있는 다른 도메인 또는 로컬 도메인에 없습니다.
PolAcDmN 및 PolPrDmN 레지스트리 키에 일치 하는 것에 대 한 솔루션
참고: 이 방법은 Windows 2000 Server를 실행 하는 도메인 컨트롤러에 대해서만 유효 합니다.
  1. 레지스트리 편집기를 시작 합니다.
  2. 탐색 창에서 보안을 확장 합니다.
  3. 보안 메뉴에서 사용 권한보안 하이브 및 자식 컨테이너 및 개체의 관리자 로컬 그룹 모든 권한 부여를 클릭 합니다.
  4. 레지스트리에서 다음 하위 키를 찾습니다.
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. 레지스트리 편집기의 오른쪽 창에서 클릭 하 여이름 없음: 한 번 레지스트리 항목 해결책입니다.
  6. 보기 메뉴에서 이진 데이터 표시를클릭 합니다.
  7. 대화 상자의 서식 구역에서바이트를 누릅니다.

    도메인 이름은 문자열로이진 데이터대화 상자의 오른쪽에 표시 됩니다. 도메인 이름이 Kerberos 영역 같습니다.
  8. 레지스트리에서 다음 하위 키를 찾습니다.
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. 레지스트리 편집기의 오른쪽 창에서 두 번 클릭 하면이름 없음: 해결책 항목입니다.
  10. 바이너리 편집기대화 상자에서 PolPrDmNregistry 하위 키에서 값을 붙여 넣습니다. (PolPrDmN 레지스트리 하위 키의 값은 NetBIOS 도메인 이름)입니다.
  11. 도메인 컨트롤러를 다시 시작 합니다.
도메인 컨트롤러가 제대로 작동 하지 않으면, 참조 하십시오다른 방법.

11 원인: LAN Manager 호환성 (LM) 불일치가 있기 원본 및 대상 도메인 컨트롤러

원인 12: 서비스 계정 이름은 등록 되지 않거나 존재 하지 않으면 복제 오류 또는 간단한 복제 대기 시간 때문에

13 원인: 바이러스 백신 소프트웨어를 사용 하 여 네트워크 어댑터 미니 방화벽 필터 드라이버 원본 또는 대상 도메인 컨트롤러에서

현재 상태
Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.
추가 정보
Active Directory 오류 및 이벤트 섹션도 실패할 수 있습니다 오류와 함께 다음의 비슷한 오류 문자열이 함께 8453 "현상"에서 설명한 것 처럼:
복제 액세스가 거부 되었습니다.

다음과 같은 경우 Active Directory 작업 8453 오류와 함께 실패할 수 발생할 수 있습니다. 그러나이 경우 오류 5 오류 발생 하지 않습니다.
  • 명명 컨텍스트 (NC) 헤드 디렉터리 변경 복제 권한이 권한이 아닙니다.
  • 보안 주체 시작 복제 디렉터리 변경 복제 권한이 부여 된 그룹의 구성원이 아닙니다.
  • 플래그는UserAccountControl특성에서 누락 된 경우입니다. 여기에SERVER_TRUST_ACCOUNT플래그TRUSTED_FOR_DELEGATION플래그가 포함 됩니다.
  • 읽기 전용 도메인 컨트롤러 (RODC)ADPREP /RODCPREP명령을 먼저 실행 하지 않고 도메인에 가입 되어 있습니다.

출력의 DCDIAG /TEST:CheckSecurityError


Windows Server 2008 R2 도메인 컨트롤러에서 DCDIAG /test:CHECKSECURITYERROR출력 예제는 다음과 같습니다. 이 출력은 과도 한 시간차 때문입니다.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Windows Server 2003 기반 도메인 컨트롤러에서 DCDIAG /CHECKSECURITYERROR 출력 예제는 다음과 같습니다. 이 과도 한 시간 차가 있습니다.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
DCDIAG /CHECKSECURITYERROR출력 예제는 다음과 같습니다. 누락 된 표시 이름 SPN입니다. (출력 환경에 다 수 있습니다.)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3073945 - 마지막 검토: 08/21/2015 18:33:00 - 수정: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtko
피드백