Como solucionar problemas de erro de replicação do Active Directory 5 "acesso negado" no Windows Server

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3073945
Este artigo descreve os sintomas, a causa e a resolução das situações em que Active Directory replicação falha witherror 5:
O acesso é negado
Sintomas
Você pode encontrar um ou mais dos seguintes sintomas quando a replicação do Active Directory falha com erro 5.

Sintoma 1

A ferramenta de linha de comando Dcdiag.exe relata que o teste de replicação do Active Directory falhou com código de status de erro (5). O relatório é semelhante ao seguinte:

Servidor de teste: Nome_do_site\Destination_DC_Name
Iniciando teste: replicações
* Seleção de replicações
[Seleção de replicações,Destination_DC_Name] Falha na tentativa de replicação uma recente:
De Source_DC para Destination_DC
Contexto de nomeação: Directory_Partition_DN_Path
A replicação gerou um erro (5):
O acesso é negado.
A falha ocorreu em DataHora.
O último sucesso ocorreu em DataHora.
Número falhas tenham ocorrido desde o último sucesso.

Sintoma 2

A ferramenta de linha de comando Dcdiag.exe relata que a função DsBindWithSpnExfalhou com erro 5 executando o comandoDCDIAG /test:CHECKSECURITYERROR .

Sintoma 3

A ferramenta de linha de comando REPADMIN.exe relata que a última tentativa de replicação falhou com status 5.

Os comandos REPADMIN que citam com freqüência o status 5 incluem, mas não estão limitados ao seguinte:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL
Exemplo de saída do comando REPADMIN /SHOWREPLsegue. Esta saída mostra a replicação de entradaDC_2_Name para DC_1_NameFalha com o erro "Acesso negado".

Nome_do_site\DC_1_Name
Opções DSA: IS_GC
Opções do site: (nenhuma)
GUID de objeto DSA: GUID
InvocationID DSA: invocationID

=== VIZINHOS DE ENTRADA ===
DC =Nome_do_domínio, DC = com
Nome_do_site\DC_2_Name via RPC
GUID de objeto DSA: GUID
Última tentativa @ DataHora Falha, resultado 5(0x5):
O acesso é negado.
<#>Falha (s) consecutivos.
Último sucesso @ </#>DataHora.

Sintoma 4

NTDS KCC, NTDS geral ou Microsoft-Windows-ActiveDirectory_DomainService eventos com status 5 são registrados no log de serviços de diretório no Visualizador de eventos.

A tabela a seguir resume os eventos do Active Directory que citam com freqüência o status de 8524.
Identificação do eventoCódigo-fonteSeqüência de eventos
1655NTDS geralActive Directory tentou se comunicar com o seguinte catálogo global e as tentativas não tiveram sucesso.
1925NTDS KCCFalha ao tentar estabelecer um vínculo de duplicação para a partição de diretório gravável seguinte.
1926NTDS KCCA tentativa de estabelecer um link de replicação para uma partição de diretório somente leitura com os seguintes parâmetros falhou.

Sintoma 5

Quando com o botão direito no objeto de conexão de um controlador de domínio de origem em serviços e Sites do Active Directory e, em seguida, selecioneDuplicar agora, o processo falha e você recebe o seguinte erro:

Duplicar agora

Ocorreu o seguinte erro durante a tentativa de sincronizar % de contexto de nomeaçãonome da partição de diretório% de controlador de domínio Controlador de domínio de origem controlador de domínio Controlador de domínio de destino:
O acesso é negado.

A operação não será concluída.

A screen shot a seguir representa um exemplo do erro:


Como Contornar
Use o genéricoDCDIAG ferramenta de linha de comando para executar vários testes. Use a ferramenta de linha de comando DCDIAG /TEST:CheckSecurityErrorspara executar testes específicos. (Esses testes incluem uma verificação de registro do SPN). Execute os testes para solucionar problemas de replicação do Active Directory operações falha com o erro 5 e erro 8453. No entanto, lembre-se de que essa ferramenta não é executado como parte da execução do padrão deDCDIAG.

Para contornar esse problema, execute essas etapas:
  1. No prompt de comando, execute DCDIAG no controlador de domínio de destino.
  2. Execute DCDAIG /TEST:CheckSecurityError.
  3. Execute o NETDIAG.
  4. Resolva quaisquer falhas que foram identificadas pelouso de DCDIAG e NETDIAG.
  5. Repetir falhando anteriormente operação de replicação.
Se as replicações continuarem a falhar, consulte o "Causas e soluções"a seção.


Causas e soluções
As seguintes causas podem resultar em erro 5. Alguns deles têm soluções.

Causa 1: Configuração RestrictRemoteClients no registro tem um valor de 2

Se a configuração da diretiva restrições a clientes RPC não autenticadosestá habilitada e definida comoautenticados sem exceções, o valor de registro RestrictRemoteClients é definido com o valor 0x2 na subchave do registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC.

Este procedimento remoto do configuração de diretiva permite apenas autenticados chamar clientes (RPC) para conectar-se aos servidores RPC executam no computador em que a configuração de diretiva é aplicada. Ela não permite exceções. Se você selecionar esta opção, um sistema não pode receber chamadas anônimas remotas usando RPC. Essa configuração nunca deve ser aplicada a um controlador de domínio.

Solução
  1. Desative a configuração de diretiva restrições a clientes RPC não autenticadosque restringe o valor de registroRestrictRemoteClients como 2.

    Observação: A configuração de diretiva está localizada no seguinte caminho:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. Excluir a configuração do registro RestrictRemoteClientse reinicie.
Consulte Restrições a clientes RPC não autenticados: A diretiva de grupo que punches seu domínio da face.

Causa 2: A configuração CrashOnAuditFail no registro do controlador de domínio de destino possui um valor de 2

O valor CrashOnAduitFail2 é acionado se o auditoria: desligar o sistema imediatamente se não for possível registrar auditorias de segurançana diretiva de grupo estiver habilitada e o log de eventos de segurança fica cheio.

Os controladores de domínio do Active Directory são especialmente propensos a logs de segurança e capacidade máxima quando a auditoria está habilitada e o tamanho do log de eventos de segurança é restrito anão substituir eventos (Limpar log manualmente)e opções de sobrescrever conforme necessáriono Visualizador de eventos ou seus equivalentes de diretiva de grupo.

Solução

Importante: Siga cuidadosamente as etapas nesta seção. Problemas sérios poderão ocorrer se você modificar o registro incorretamente. Antes de modificá-lo, Faça backup do registro para restauração no caso de ocorrerem problemas.
  1. Limpar o log de eventos de segurança e salve-o em um local alternativo, conforme necessário.
  2. Reavalie quaisquer restrições de tamanho no log de eventos de segurança. Isso inclui configurações de diretiva.
  3. Exclua e recrie uma entrada de registro CrashOnAuditFail da seguinte maneira:
    Subchave do registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Nome do valor: CrashOnAuditFail
    Tipo do valor: REG_DWORD
    Dados do valor: 1
  4. Reinicie o controlador de domínio de destino.
Para obter mais informações, consulte os seguintes artigos da Base de dados de Conhecimento da Microsoft:

Causa 3: Confiança inválida

Se a replicação do Active Directory falha entre controladores de domínio diferentesdomínios, você deve verificar a integridade das relações de confiança ao longo do caminho de confiança.

Você pode tentar a relação de confiança de NetDiagconfia no teste de verificação de quebrado. O utilitário Netdiag.exe identifica relações de confiança interrompidas, exibindo o seguinte texto:
Teste de relação de confiança.... : Falha
Teste para garantir DomainSid do domínio 'nome_do_domínio' está correto.
[FATAL] Canal seguro para domínio 'nome_do_domínio' for interrompida.
[%código de status variável%]

Por exemplo, se você tiver uma floresta com vários domínios que contém um domínio raiz (Contoso.COM), um domínio filho (B.Contoso.COM), um domínio neto (C.B.Contoso.COM) e um domínio de árvore na mesma floresta (Fabrikam.COM) e se falha de duplicação entre os controladores de domínio no domínio neto (C.B.Contoso.COM) e o domínio da árvore (Fabrikam.COM), você deve verificar a integridade de confiança entre C.B.Contoso.COM e B.Contoso.COM , entre B.Contoso.COM e Contoso.COM e, em seguida, finalmente entre Contoso.COM e Fabrikam.COM.

Se houver uma relação de confiança de atalho entre os domínios de destino, você não precisa validar a cadeia de caminho de confiança. Em vez disso, você deve validar a relação de confiança de atalho entre o domínio de origem e o destino.

Verificar se há alterações de senha recentes a relação de confiança, executando o seguinte comando:
Repadmin /showobjmeta * <DN path for TDO in question>
Verifique se o controlador de domínio de destino está temporariamente entrado duplicando a partição de diretório de domínio gravável onde as alterações de senha de confiança podem ter efeito.

Comandos para redefinir as relações de confiança do PDC do domínio raiz são os seguintes:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Comandos para redefinir as relações de confiança do domínio filho PDC são os seguintes:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Causa 4: Diferença de horário excessiva

Configurações de diretiva Kerberos na diretiva de domínio padrão permitem uma diferença de cinco minutos da hora do sistema (que é o valor padrão) entre controladores de domínio KDC e os servidores de destino do Kerberos para impedir ataques de repetição. Alguma documentação declara que a hora do sistema do cliente e que o destino Kerberos deve ser dentro de cinco minutos entre si. A documentação declara que, no contexto de autenticação Kerberos, o tempo que é importante é o delta entre o KDC é usado pelo chamador e o tempo de destino Kerberos. Além disso, o Kerberos não importa se a hora do sistema nos controladores de domínio relevante coincide com a hora atual. Importantes apenas que a relativadiferença de horário entre o controlador de domínio KDC e destino é dentro do tempo máximo de inclinação que Kerberos permite a diretiva. (O tempo padrão é de cinco minutos ou menos.)

No contexto de operações do Active Directory, o servidor de destino é o controlador de domínio de origem é contatado pelo controlador de domínio de destino. Cada controlador de domínio em uma floresta do Active Directory que está sendo executado o serviço KDC é um KDC possível. Portanto, você deve considerar a precisão da hora em todos os outros controladores de domínio no controlador de domínio de origem. Isso inclui a hora no controlador de domínio de destino em si.

Você pode usar os dois comandos a seguintes para verificar a precisão de tempo:
  • /TEST:CheckSecurityError DCDIAG
  • W32TM/MONITOR
Você pode encontrar o exemplo de saída doDCDIAG /TEST:CheckSecurityErrorna "Mais informações"a seção. Este exemplo mostra o tempo excessivo inclinação em controladores de domínio baseados no Windows Server 2008 R2 e Windows Server 2003.

Procure LSASRV 40960 eventos no controlador de domínio de destino no momento da falha do solicitação de duplicação. Procure por eventos que citam uma GUID no registro CNAME do controlador de domínio de origem com erro estendido 0xc000133. Procure por eventos semelhantes aos seguintes:
A hora no controlador de domínio primário é diferente da hora no controlador de domínio de Backup ou no servidor membro em um valor muito grande

Os rastreamentos de rede que o computador de destino se conecta a uma pasta compartilhada no controlador de domínio de origem (e também outras operações) de captura podem mostrar o "Ocorreu um erro estendido" na tela erro, enquanto um rastreamento de rede exibe o seguinte:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
A resposta TKE_NYVindica que o intervalo de datas na permissão TGS é mais recente do que o tempo de destino. Isso indica a diferença de horário excessiva.

Observações:
  • W32TM MONITORverifica tempo somente em controladores de domínio no domínio de computadores de teste, portanto, você precisa executar isso em cada domínio e comparar o tempo entre os domínios.
  • Quando a diferença for muito grande em controladores de domínio de destino com base em Windows Server 2008 R2, o comando Duplicar agora no DSSITE. MSC falha com a "Há uma diferença de tempo e / ou data entre o cliente e o servidor" na tela erro. Essa seqüência de caracteres de erro mapeada para erro 1398 decimal ou hexadecimal com o nome simbólico de erroERROR_TIME_SKEW de 0x576.
Para obter mais informações, consulte Tolerância de sincronização de relógio de configuração para evitar ataques de repetição.

Causa 5: Há uma incompatibilidade de canal ou a senha de segurança inválida no controlador de domínio de origem ou de destino

Valide o canal de segurança usando um dos seguintes comandos:
  • nltest /sc:query
  • Verifique se o Netdom

Em condição, redefina senha do controlador de domínio de destino usando NETDOM /RESETPWD.

Solução

  1. Desabilite o serviço Centro de distribuição de chaves Kerberos (KDC) no controlador de domínio for reiniciado.
  2. No console do controlador de domínio de destino, execute o NETDOM RESETPWD para redefinir a senha para o controlador de domínio de destino da seguinte maneira:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Certifique-se de que provavelmente KDCs e o controlador de domínio de origem (se eles estão no mesmo domínio) entrada replicar Conhecimento da nova senha do controlador de domínio de destino.
  4. Reinicie o controlador de domínio de destino para atualizar os tíquetes Kerberos e repita a operação de replicação.
Consulte Como usar o Netdom.exe para redefinir as senhas de conta de computador de um controlador de domínio.

Causa 6: O direito de usuário "Acesso a este computador pela rede" não é concedido a um usuário que dispara a replicação

Em uma instalação padrão do Windows, a diretiva de controlador de domínio padrão está vinculada à unidade de organização do controlador de domínio (OU). O OUgrants o usuárioacesso a este computador pela rededireito aos seguintes grupos de segurança:
Diretiva localDiretiva de controlador de domínio padrão
AdministradoresAdministradores
Usuários autenticadosUsuários autenticados
Todas as pessoasTodas as pessoas
Controladores de domínio da empresaControladores de domínio da empresa
[Acesso compatível anterior ao Windows 2000]Acesso compatível com versões anteriores ao Windows 2000
Se as operações do Active Directory falham com erro 5, você deve verificar os seguintes pontos:
  • Grupos de segurança na tabela são concedidos o direito de usuárioacesso a este computador pela rede na diretiva do controlador de domínio padrão.
  • Contas de computador do controlador de domínio são localizadas no UO do controlador de domínio.
  • Diretiva do controlador de domínio padrão está vinculada à unidade Organizacional do controlador de domínio ou para UOs alternativos que hospedam contas de computador.
  • Diretiva de grupo é aplicada no controlador de domínio de destino que atualmente registra o erro 5.
  • O direito de usuário Negar acesso a este computador pela rede é ativado ou não não direta ou transitiva grupos de referência que o contexto de segurança que está sendo usado pelo controlador de domínio ou conta de usuário que a replicação de disparo.
  • Precedência da diretiva, herança bloqueada, filtragem de Microsoft Windows Management Instrumentation (WMI) ou similares não está impedindo a configuração de diretiva sejam aplicadas a computadores de função de controlador de domínio.

Observações:
  • As configurações de diretiva podem ser validadas com o RSOP. Ferramenta MSC. No entanto, GPRESULT /Z é a ferramenta preferencial, pois ele é mais preciso.
  • Diretiva local tem precedência sobre a diretiva definida em sites, domínios e a unidade Organizacional.
  • Ao mesmo tempo, era comum os administradores remover os controladores de domínio"empresa" e "Todos" grupos da configuração de diretiva "Acesso a este computador pela rede" na diretiva do controlador de domínio padrão. No entanto, a remoção de ambos os grupos é fatal. Não há nenhum motivo para remover "Controladores de domínio da empresa" Esta configuração de diretiva, porque somente controladores de domínio serão membro deste grupo.

Causa 7: Há uma incompatibilidade de assinatura SMB entre a origem e o destino controladores de domínio

A matriz de compatibilidade recomendada para a assinatura SMB está documentada nas seções "interoperability matrix" gráficos e de texto do artigo da Base de Conhecimento916846. A matriz é definida por quatro configurações de diretiva e seus equivalentes baseadas no registro.
Configuração de diretiva Caminho do registro
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
Você deve se concentrar em incompatibilidades entre os controladores de domínio de origem e destino de assinatura SMB. Os casos clássicos envolvem uma configuração que é habilitada ou necessário em um lado, mas desabilitada no outro.

Causa 8: Fragmentação de pacotes formatados UDP Kerberos

Switches e roteadores de rede podem fragmentar nem completamente Ignorar pacotes de rede grande formatada o User Datagram Protocol UDP usadas pelo Kerberos e mecanismos de extensão para DNS (EDNS0). Computadores que executam o Windows 2000 Server ou famílias de sistemas operacionais Windows Server 2003 são especialmente vulneráveis a fragmentação UDP em computadores que executam o Windows Server 2008 ou Windows Server 2008 R2.

Solução
  1. No console do controlador de domínio de destino, faça o ping no controlador de domínio de origem pelo seu nome de computador totalmente qualificado para identificar o maior pacote que oferece suportado a rota de rede. Para fazer isso, execute o seguinte comando:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Se o maior pacote fragmentado não é menor do que 1,472 bytes, tente um dos métodos a seguir (em ordem de preferência):
    • Altere a infra-estrutura de rede para dar suporte a grandes quadros UDP apropriadamente. Isso pode exigir uma alteração de configuração ou atualização do firmware em firewalls, switches ou roteadores.
    • Definir maxpacketsize (no controlador de domínio de destino) para o maior pacote identificado pelo comando PING -f-lmenos 8 bytes para o cabeçalho TCP e, em seguida, reinicie o controlador de domínio alterado.
    • Definir maxpacketsize (no controlador de domínio de destino) com um valor de 1isso aciona a autenticação Kerberos para usar um protocolo de TCP. Reinicie o controlador de domínio alterado para que a alteração tenha efeito.
  3. Repita a operação do Active Directory com falha.

Causa 9: Adaptadores de rede possuem o recurso de descarregamento de envio grande ativado

Solução
  1. No controlador de domínio de destino, abra as propriedades do adaptador de rede.
  2. Clique emo botão Configurar .
  3. Selecione a guia Avançado .
  4. Desative a propriedade IPv4 grande descarregamento de envio .
  5. Reinicie o controlador de domínio.

Causa 10: Território do Kerberos inválidos

O território Kerberos é inválido, caso uma ou mais das seguintes condições forem verdadeiras:
  • A entrada do registro KDCNames contém incorretamente o nome de domínio do Active Directory local.
  • A chave de Registro PolAcDmN e a chave de Registro PolPrDmN não coincidem.

Soluções

Importante: Siga cuidadosamente as etapas nesta seção. Problemas sérios poderão ocorrer se você modificar o registro incorretamente. Antes de modificá-lo, Faça backup do registro para restauração no caso de ocorrerem problemas.

Solução para a entrada de registro de KDCNames incorreta
  1. No controlador de domínio de destino, execute o REGEDIT.
  2. Localize a seguinte subchave no registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Para cada umFully_Qualified_Domain> sob a subchave, verifique se que o valor da entrada do registro KdcNames se refere a um externo válidoterritório Kerberos e não para o domínio local ou de outro domínio na mesma floresta do Active Directory.
Solução para chaves de Registro PolAcDmN e PolPrDmN de incompatibilidade
Observação: Este método é válido somente para controladores de domínio que estão executando o Windows 2000 Server.
  1. Inicie o Editor do Registro.
  2. No painel de navegação, expanda segurança.
  3. No menu segurança , clique em permissõespara conceder o controle total do grupo local de administradores da seção segurança e seus recipientes filho e objetos.
  4. Localize a seguinte subchave no registro:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. No painel do lado direito do Editor do registro, clique noSem nome: Entrada do registro REG_NONE uma vez.
  6. No menu Exibir , clique em Exibir dados binários.
  7. Na seção formato da caixa de diálogo, clique embytes.

    O nome do domínio é exibido como uma seqüência no lado direito da caixa de diálogoDados binários. O nome de domínio é o mesmo dos territórios Kerberos.
  8. Localize a seguinte subchave no registro:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. No painel do lado direito do Editor do registro, clique duas vezes oSem nome: Entrada REG_NONE.
  10. Na caixa de diálogo Editor binário, cole o valor da subchave de PolPrDmNregistry. (O valor da subchave de Registro PolPrDmN será o nome de domínio NetBIOS).
  11. Reinicie o controlador de domínio.
Se o controlador de domínio não estiver funcionando corretamente, consulteoutros métodos.

Causa 11: Há uma incompatibilidade entre a origem e o destino de compatibilidade do LAN Manager (LM compatibilidade) controladores de domínio

Causa 12: Nomes principais de serviço estão não está registrado ou não está presente devido à latência de replicação simples ou uma falha de replicação

Causa 13: Software antivírus usa um driver de filtro do adaptador de rede mini firewall no controlador de domínio de origem ou de destino

Situação
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais Informações
Erros de diretório ativo e eventos, tais como os descritos em "Sintomas" seção também pode falhar com o erro 8453 juntamente com a seqüência de erro seguinte, semelhante:
Acesso à duplicação negado.

As seguintes situações podem causar operações do Active Directory falha com o erro 8453. No entanto, essas situações não causam falhas com erro 5.
  • Nomeação de cabeçalho de contexto (NC) não está recebendo a permissão replicar alterações de diretório.
  • A replicação inicial principal de segurança não é um membro de um grupo que recebeu a permissão replicar alterações de diretório.
  • Sinalizadores estão faltando no atributoUserAccountControl. Isso inclui o sinalizadorSERVER_TRUST_ACCOUNTe o sinalizadorTRUSTED_FOR_DELEGATION.
  • O controlador de domínio somente leitura (RODC) tenha ingressado no domínio sem o comandoADPREP /RODCPREPexecutando primeiro.

Exemplo de saída do DCDIAG /TEST:CheckSecurityError


Segue a saída DCDIAG /test:CHECKSECURITYERRORde amostra de um controlador de domínio do Windows Server 2008 R2. Essa saída é causada pela diferença de horário excessiva.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Exemplo de saída /CHECKSECURITYERROR de DCDIAG em um controlador de domínio baseado no Windows Server 2003 segue. Isso é causado por excesso diferença de horário.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Exemplo de saída DCDIAG /CHECKSECURITYERRORsegue. Ele mostra faltando nomes SPN. (A saída pode variar de ambiente).
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3073945 - Última Revisão: 08/21/2015 18:34:00 - Revisão: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtpt
Comentários