Momentan sunteți offline, așteptați să vă reconectați la internet

Cum se depanează Active Directory reproducerea eroare 5 "acces refuzat" în Windows Server

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 3073945
Acest articol descrie simptomele, cauza și rezoluție de situații în care Active Directory reproducerea nu reușește witherror 5:
Acces refuzat
Simptome
Este posibil să întâmpinați una sau mai multe dintre următoarele simptome, atunci când nu Active Directory reproducerile efectuate cu eroare 5.

Simptom 1

Instrumentul de linia Către de comandă Dcdiag.exe raportează că testul de reproducere Active Directory nu reușește cu cod de eroare de stare (5). Raportul seamănă cu următorul:

Testing server: Site_Name\Destination_DC_Name
Starting test: replici
* Selectare replici
[Replici selectare,Destination_DC_Name] Nu a reușit o încercare de reproducere recente:
De la Source_DC pentru a Destination_DC
Nominalizare Context: Directory_Partition_DN_Path
Replicarea generează o eroare (5):
Acces refuzat.
Eroare a apărut la DataOra.
Succesul ultima a avut loc la DataOra.
Număr erori au avut loc ultima succesul.

Simptom 2

Instrumentul de linia Către de comandă Dcdiag.exe raportează că funcția DsBindWithSpnExnu reușește cu eroare 5 executând comandaDCDIAG /test:CHECKSECURITYERROR .

Simptom 3

Instrumentul de linia Către de comandă REPADMIN.exe raportează că ultima încercare de reproducere nu a reușit cu starea 5.

Comenzile REPADMIN frecvent afișează starea 5 includ, dar nu sunt limitate la următoarele:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL
Mostră de ieșire din comanda REPADMIN /SHOWREPLurmează. Aceste rezultate arată reproducerea primite de laDC_2_Name pentru a DC_1_Nameîn caz contrar cu mesaj de eroare "Acces refuzat".

Site_Name\DC_1_Name
Opțiuni de DSA: IS_GC
Opțiuni de site-ul: (none)
Obiect DSA GUID: GUID
DSA invocationID: invocationID

=== INTRARE VECINII ===
DC =NumeDomeniu, DC = com
Site_Name\DC_2_Name prin RPC
Obiect DSA GUID: GUID
Ultima încercare @ DataOra nu a reușit, ca rezultat 5(0x5):
Acces refuzat.
<#>erori consecutive.
Ultimul succes @ </#>DataOra.

Simptom 4

Evenimente NTDS KCC, NTDS General sau Microsoft-Windows-ActiveDirectory_DomainService cu starea 5 sunt înregistrate în jurnal în Vizualizator evenimente Directory Services.

Următorul tabel rezumă evenimente Active Directory care frecvent afișează starea 8524.
ID evenimentSursăȘir de evenimente
1655NTDS GeneralActive Directory încercat să comunice cu următoarele catalog global și încercările au eșuat.
1925NTDS KCCÎncercarea de a stabili o legătură de reproducere pentru următoarea partiție de Director writable nu a reușit.
1926NTDS KCCÎncercarea de a stabili o legătură de reproducere o partiție de Director doar în citire cu următorii parametri nu a reușit.

Simptom 5

Când faceți clic dreapta pe obiectul de conexiune la un controler de domeniu sursă din Active Directory Sites and Services și apoi selectațiReproduce acum, procesul nu reușește și primiți următorul mesaj de eroare:

Reproducerea acum

Eroare în timpul încercarea de a sincroniza denumire context %nume de sign-in de partiție Director% din controlerul de domeniu Sursă DC controler de domeniu Destinație DC:
Acces refuzat.

Operațiunea nu va continua.

Următoarea captură de ecran reprezintă un exemplu de eroare:


Remediere
Utilizați genericDCDIAG instrument de linia Către de comandă pentru a executa mai multe încercări. Utilizați instrumentul de linia Către de comandă DCDIAG /TEST:CheckSecurityErrorspentru a efectua teste specifice. (Aceste teste includ o verificare de înregistrare SPN). Executare teste pentru a depana Active Directory operațiunile de reproducere în caz contrar, cu eroare 5 și eroare 8453. Cu toate acestea, Rețineți că acest instrument nu se execută ca parte a executării implicitDCDIAG.

Pentru a rezolva această problemă, urmați acești pași:
  1. La linia Către de comandă, executați DCDIAG pe controlerul de domeniu destinație.
  2. Executați DCDAIG /TEST:CheckSecurityError.
  3. Executați NETDIAG.
  4. Rezolvă orice defecte care au fost identificate deDCDIAG și NETDIAG.
  5. Reîncercare anterior eșuează operațiunea de reproducere.
Dacă replici Urmărire să eșueze, consultați "Cauze și soluții"secțiunea.


Cauze și soluții
Următoarele cauze pot apărea eroarea 5. Unele dintre ele au soluții.

Cauza 1: Setarea RestrictRemoteClients din registry are o valoare de 2

Dacă setarea de politică de restricții pentru clienții neautentificat RPCeste activat și este setată laAuthenticated fără excepții, valoarea de registry RestrictRemoteClients este setat la valoarea 0x2 în subcheia de registry HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC.

Această setare de politică permite autentificate numai procedură la distanță call (RPC) clienții să se conecteze la serverele RPC care se execută pe computerul pe care se aplică setarea de politică. Se permit excepții. Dacă selectați această opțiune, un sistem nu poate primi apeluri anonime la distanță utilizând RPC. Această setare nu se aplică la un controler de domeniu.

Soluție
  1. Dezactivaţi setarea de politică de restricții pentru RPC neautentificat cliențiicare restricționează valoarea de registryRestrictRemoteClients2.

    Notă Setarea politicii se află în următoarea cale:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. Ștergeți RestrictRemoteClientssetarea de registry și apoi reporniți.
Consultați Restricții pentru clienții RPC neautentificat: politică de grup care pumni domeniului în fața.

Cauza 2: Setarea CrashOnAuditFail în registry de controlerul de domeniu destinație are valoarea 2

Valoarea CrashOnAduitFail2 se declanșează dacă Audit: Shut down sistem imediat dacă nu reușiți să faceți log Auditurile de securitateeste activată setarea de politică în Politică de grup și jurnal de evenimente de securitate locală devine complet.

Controlerele de domeniu Active Directory sunt în special predispuse la capacitate maximă securitate jurnalele atunci când este activată auditarea și dimensiunea de jurnal de evenimente de securitate este limitată denu suprascrie evenimente (debifați jurnal manual)și Opțiuni suprascrie după cum este necesarîn Vizualizator evenimente sau echivalente lor de politică de grup.

Soluție

Important Urmați pașii din această secțiune cu atenție. Dacă modificați registry-ul incorect, pot apărea probleme grave. Înainte de a modifica copierea de rezervă a registry pentru restaurare în cazul în care apar probleme.
  1. Goliți jurnal de evenimente de securitate și salvați-l la o amplasare alternativă, după cum este necesar.
  2. Reevalueze orice constrângeri de dimensiune în jurnal de evenimente de securitate. Aceasta include setările de politică.
  3. Ștergeți și apoi re-creați o intrare de registry CrashOnAuditFail după cum urmează:
    Subcheie de registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Nume valoare: CrashOnAuditFail
    Tip valoare: REG_DWORD
    Value Data: 1
  4. Reporniți controlerul de domeniu destinație.
Pentru mai multe informații, consultați următoarele articole din baza de cunoștințe Microsoft:

Cauza 3: Autorizare Invalid

Dacă Active Directory reproducerea nu reușește între controlere de domeniu în diferitedomenii, ar trebui să verificați stare de bună funcționare a relațiilor de încredere de-a lungul calea de încredere.

Aveți posibilitatea să încercați relație de încredere NetDiagtest pentru a căuta rupt relații de încredere. Utilitarul Netdiag.exe identifică întrerupte trusts afișând următorul text:
Test de relație de încredere...... : Nu a reușit
Test pentru a se asigura DomainSid de domeniu "NumeDomeniu' este corectă.
[FATAL] Canal securizat domeniu "NumeDomeniu' se întrerupe.
[%cod de stare variabila%]

De exemplu, dacă aveți o pădure de mai multe domenii, care conține un domeniu rădăcină (Contoso.COM), un domeniu fiu (B.Contoso.COM), un domeniu nepot (C.B.Contoso.COM) și un domeniu de arbore în aceeași pădure (Fabrikam.COM) și dacă reproducerea eșuează între controlerele de domeniu în domeniul nepot (C.B.Contoso.COM) și domeniul arbore (Fabrikam.COM), ar trebui să verificați sănătate de încredere între C.B.Contoso.COM și B.Contoso.COM , între B.Contoso.COM și Contoso.COM, apoi în cele din urmă între Contoso.COM și Fabrikam.COM.

Dacă o comandă rapidă de încredere există între domenii de destinație, nu trebuie să validați lanțul de cale de încredere. În schimb, ce ar trebui să validați acreditare legătură directă între domeniu sursă și destinație.

Selectare pentru modificările recente parola încredere executând următoarea comandă:
Repadmin /showobjmeta * <DN path for TDO in question>
Verificați că controlerul de domeniu destinație este reproduc intrare replicarea partiție de Director writable domeniu în cazul în care modificările de parolă încredere poate avea efect.

Pentru a reinițializa trusts dintr-un domeniu rădăcină PDC sunt după cum urmează:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Pentru a reinițializa trusts dintr-un domeniu fiu PDC sunt după cum urmează:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Cauza 4: Oblic excesiv de marcă de timp

Setările de politică Kerberos în politica de domeniu permite o diferență de cinci minute, în marcă de timp de sistem (aceasta este valoarea implicită) între KDC controlerele de domeniu și serverele de țintă Kerberos la prevenirea atacurilor de reluare. Unele documentația afirmă că ora sistemului de client și care Kerberos ţintă trebuie să fie în cinci minute de un altul. Alte documentații afirmă că, în contextul autentificarea Kerberos, în momentul în care este important este delta între KDC care este utilizat de apelantului și ora pe Kerberos țintă. De asemenea, Kerberos grijă dacă ora sistemului pe controlerele de domeniu relevante coincide cu ora curentă. Acesta îi pasă numai care relativămarcă de timp diferența între controlerul de domeniu KDC și țintă se află în timpul maxim oblic Kerberos care permite politica. (Ora implicită este de cinci minute sau mai puțin.)

În contextul de operațiuni Active Directory, serverul țintă este controlerul de domeniu sursă care este contactat de controlerul de domeniu destinație. Fiecare controler de domeniu într-o pădure Active Directory care se execută în prezent serviciul KDC este o KDC potențiale. De aceea, trebuie să luați în considerare acuratețea marcă de timp pe toate alte controlere de domeniu pentru controlerul de domeniu sursă. Aceasta include ora pe controlerul de domeniu destinație în sine.

Utilizați următoarele două comenzi pentru a verifica acuratețea de timp:
  • DCDIAG /TEST:CheckSecurityError
  • W32TM/MONITOR
Puteți găsi mostră de ieșire dinDCDIAG /TEST:CheckSecurityErrorîn "Mai multe informații"secțiunea. Acest exemplu Arată excesiv de marcă de timp oblic pe controlerele de domeniu Windows Server 2003 și Windows Server 2008 R2.

Căutați LSASRV 40960 evenimente pe controlerul de domeniu destinație în momentul defecțiune solicitare de reproducere. Căutați evenimentele care afișează un GUID în înregistrare CNAME din controlerul de domeniu sursă cu eroarea 0xc000133. Căutați evenimente asemănătoare cu următorul:
În marcă de timp la controlerul de domeniu principal este diferită de ora la controlerul de domeniu copiere de rezervă sau server membru o valoare prea mare

Urme de rețea care captura computerul de destinație care se conectează la un folder partajat de pe controlerul de domeniu sursă (și alte operațiuni) poate afișa "a apărut o eroare extinsă" pe ecran eroare, întrucât o urmărire în rețea afișează următoarele:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
Răspunsul TKE_NYVindică faptul că intervalul acoperire de date pe permisul gt mai noi decât ora de pe țintă. Acest lucru indică oblic excesiv de marcă de timp.

Note
  • W32TM MONITORverifică marcă de timp numai pe controlerele de domeniu în domeniul de computere test, astfel încât să o executați în fiecare domeniu și comparați marcă de timp între domenii.
  • Atunci când diferenţa de marcă de timp este prea mare pe controlerele de domeniu bazat pe Windows Server 2008 R2 destinație, comanda reproduce acum în DSSITE. MSC nu reușește cu "Nu există o diferență de marcă de timp și / sau data între client și server" pe ecran eroare. Acest șir de eroare mapează eroare 1398 zecimal sau hexazecimal cu nume simbolic eroareERROR_TIME_SKEW 0x576.
Pentru mai multe informații, consultați Setare ceas sincronizare toleranță la prevenirea atacurilor de reluare.

Cauza 5: Există o nepotrivire securitate invalid canal sau parola pe controlerul de domeniu sursă sau destinație

Validați canal de securitate prin executarea una dintre comenzile următoare:
  • nltest /sc:query
  • Verificați Netdom

Starea, reinițializați parola controler de domeniu destinație utilizând NETDOM /RESETPWD.

Soluție

  1. Dezactivați serviciul Kerberos cheie de distribuire Center (KDC) pe controlerul de domeniu care este repornit.
  2. Din consola de destinație controlerului de domeniu, executați NETDOM RESETPWD pentru a reinițializa parola pentru controlerul de domeniu destinație după cum urmează:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Asigurați-vă că probabil KDCs și controlerul de domeniu sursă (dacă acestea sunt în același domeniu) de intrare replicate cunoștințe de controler de domeniu destinație noua parolă.
  4. Reporniți controlerul de domeniu de destinație pentru a actualiza Kerberos bilete și încercați din nou operațiunea de reproducere.
Consultați Cum se utilizează Netdom.exe pentru a reinițializa machine parole de cont al unui controler de domeniu.

Cauza 6: "Acces la acest computer din rețea" utilizator nu este acordat pentru un utilizator care declanșează replicare

Într-o instalare implicită Windows, politica de controler de domeniu este legat la controlerul de domeniu organizație unitate (OU). OUgrantsacces la acest computer din rețeautilizatorului dreptul de a următoarele grupuri de securitate:
Politica localăPolitica de controler de domeniu
AdministratoriiAdministratorii
Utilizatorii autentificațiUtilizatorii autentificați
Toată lumeaToată lumea
Controlerele de domeniu EnterpriseControlerele de domeniu Enterprise
[Pre-Windows 2000 compatibil acces]Acces compatibil pre-Windows 2000
Dacă Active Directory operațiuni nu reușesc cu eroare 5, ar trebui să verificați următoarele:
  • Grupurile de securitate în tabelul se acordă dreptul de utilizator deacces la acest computer din rețea în controlerul de domeniu implicit politică.
  • controler de domeniu conturile de computer se află în OU controlerul de domeniu.
  • controler de domeniu implicit politică este legat la controlerul de domeniu OU sau la ou alternative care găzduiesc conturile de computer.
  • Politică de grup se aplică pe controlerul de domeniu destinație care în prezent jurnalele de eroare 5.
  • Utilizatorul refuză acorda acces la acest computer din rețea dreapta este activat sau nu nu referință directă sau tranzitiv grupuri care context de securitate utilizat de controlerul de domeniu sau că reproducerea declanșare contul de utilizator.
  • Politica de prioritate, moștenirea blocat, Microsoft Windows Management Instrumentation (WMI) filtrare sau ca nu împiedică setarea de politică de la aplicarea la computere cu rol controler de domeniu.

Note
  • Setările de politică poate să fie validate cu RSOP. Instrumentul MSC. Cu toate acestea, GPRESULT /Z este instrumentul preferat, deoarece este mai precis.
  • Politica locală are prioritate asupra politicii care este definit în site-uri, domenii și OU.
  • La un moment dat, a fost comune pentru administratori pentru a elimina "Enterprise domain controllers" și "Oricine" grupuri de la setarea de politică "Acces la acest computer din rețea" în politica de controler de domeniu implicit. Cu toate acestea, eliminarea grupurilor de ambele este fatal. Nu există nici un motiv pentru a elimina "Enterprise domain controllers" din această setare de politică, deoarece controlerii de domeniu numai sunt membru al acestui grup.

Cauza 7: Există o nepotrivire de semnare SMB între sursă și destinație controlerele de domeniu

Cele mai bune matricea de compatibilitate pentru semnarea SMB este documentată în grafice și text "interoperabilitate matrice" secțiuni din articol din baza de cunoștințe916846. Matricea este definit de patru setările de politică și echivalente lor din registry după cum urmează.
Setarea de politică Cale de registry
Microsoft network client: Digitally sign communications (dacă serverul este de acord)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft network client: Digitally sign communications (always)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft network server: Digitally sign communications (dacă serverul este de acord)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft network server: Digitally sign communications (always)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
Ar trebui să focalizează neconcordanţe între controlerele de domeniu sursă și destinație de semnare SMB. Cazuri clasic implica o setare care este activat sau necesar pe o singură față dar dezactivat pe de altă parte.

Cauza 8: UDP-formatat Kerberos pachet fragmentare

Rețea routere și argumente poate fragmenta sau complet renunțe la pachete de mare formatat User Datagram Protocol UDP de rețea care sunt utilizate de Kerberos și mecanismele de extensie pentru DNS (EDNS0). Computerele care execută Windows 2000 Server sau familii de sistem de operare Windows Server 2003 sunt în special vulnerabile la UDP fragmentare pe computere care execută Windows Server 2008 sau Windows Server 2008 R2.

Soluție
  1. Din consola de destinație controlerului de domeniu, ping controlerul de domeniu sursă nume de sign-in complet computerul pentru a identifica pachet mai mare de calea de rețea. Pentru aceasta, executaţi următoarea comandă:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Dacă mai mare non-fragmentat pachet este mai mică decât 1,472 octeți, încercați una dintre următoarele metode (în ordine de preferință):
    • Modificați infrastructura de rețea pentru a accepta corespunzător mare UDP cadre. Acest lucru poate necesita o modificare firmware upgrade sau configurare rutere, switch-uri sau Paravane de protecție.
    • Setați maxpacketsize (pe controlerul de domeniu destinație) la cea mai mare pachet identificate prin comanda PING -f-lmai puțin 8 octeţi pentru cont pentru antetul TCP și reporniți controlerul de domeniu modificate.
    • Configurați maxpacketsize (pe controlerul de domeniu destinație) la valoarea 1această declanșează autentificarea Kerberos pentru a utiliza un TCP. Reporniți controlerul de domeniu modificate pentru ca modificarea să aibă efect.
  3. Încercați din nou operațiunea de Active Directory în caz contrar.

Cauza 9: Adaptoarele de rețea au activată caracteristica mare trimite Descărcare

Soluție
  1. Pe controlerul de domeniu destinație, deschideți proprietățile de adaptor de rețea.
  2. Faceți clic pebutonul configurare .
  3. Selectați fila complex .
  4. Dezactivați proprietatea IPv4 mare trimite Descărcare .
  5. Reporniți controlerul de domeniu.

Cauza 10: Domeniul de Invalid Kerberos

Domeniul Kerberos nu este validă dacă una sau mai multe dintre următoarele condiții sunt adevărate:
  • Intrarea de registry KDCNames conține incorect nume de sign-in de domeniu Active Directory local.
  • cheie de registry PolAcDmN și cheie de registry PolPrDmN nu corespund.

Soluții

Important Urmați pașii din această secțiune cu atenție. Dacă modificați registry-ul incorect, pot apărea probleme grave. Înainte de a modifica copierea de rezervă a registry pentru restaurare în cazul în care apar probleme.

Soluție pentru intrarea de registry incorecte KDCNames
  1. Pe controlerul de domeniu destinație, executați REGEDIT.
  2. Identificați următoarea subcheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Pentru fiecareFully_Qualified_Domain> sub subcheia, Verificați că valoarea pentru intrarea de registry KdcNames se referă la un extern validKerberos domeniul, nu pentru domeniul local sau un alt domeniu în aceeași pădure Active Directory.
Soluție pentru având PolAcDmN PolPrDmN chei de registry
Notă Această metodă este valabilă numai pentru controlerele de domeniu care execută Windows 2000 Server.
  1. Porniți Registry Editor.
  2. În panou de navigare, extindeți securitate.
  3. În meniul de securitate , faceți clic pe permisiunipentru a acorda grup local de administratori control complet secțiunii de securitate și containere copilului și obiecte.
  4. Identificați următoarea subcheie din registry:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. În panoul din partea dreaptă a Registry Editor, faceți clic peNici un nume: Intrarea de registry REG_NONE o singură dată.
  6. În meniul vizualizare Proiect , faceți clic pe Afișare date binare.
  7. În secțiunea Format din casetă de dialog, faceți clic peocteți.

    nume de sign-in de domeniu este afișat ca un șir în partea dreaptă a casetei de dialogDate binare. nume de sign-in de domeniu este același ca domeniul Kerberos.
  8. Identificați următoarea subcheie din registry:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. În panoul din partea dreaptă a Registry Editor, faceți dublu clic peNici un nume: Intrare REG_NONE.
  10. În casetă de dialog Binary Editor, lipiți valoarea din subcheia PolPrDmNregistry. (Valoarea din subcheia de registry PolPrDmN este nume de sign-in de domeniu NetBIOS).
  11. Reporniți controlerul de domeniu.
În cazul în care controlerul de domeniu nu funcționează corect, consultațialte metode.

Cauza 11: Există o nepotrivire de compatibilitate LAN Manager (LM compatibilitate) între sursă și destinație controlerele de domeniu

Cauza 12: Nume principale de consolidare servicii sunt nu înregistrat sau nu este prezent latență la reproducere simplă sau o eroare de replicare

Cauza 13: software antivirus utilizează un driver de adaptor de rețea de paravan de mini-protecție de filtrare pe controlerul de domeniu sursă sau destinație

Stare
Microsoft a confirmat că aceasta este o problemă cu produsele Microsoft enumerate în secţiunea „Se aplică la".
Informaţii suplimentare
Active Directory erori și cele descrise în secțiunea "simptome" secțiune pot, de asemenea, nu cu eroarea 8453 cu șirul de eroare similare, următoarele evenimente:
Reproducere accesul a fost refuzat.

Următoarele situaţii pot provoca Active Directory operațiuni nereușita cu eroare 8453. Cu toate acestea, aceste situații provoca erori cu eroare 5.
  • Denumirea cap context (NC) nu este permissioned cu permisiunea replicarea Directory modificările.
  • Replicarea pornire Cordonator de replicări de securitate nu este membru al unui grup care este acordat permisiunea replicarea Directory modificările.
  • Semnalizările lipsesc în atributulUserAccountControl. Acestea includ semnalizatorulSERVER_TRUST_ACCOUNTși semnalizarea deTRUSTED_FOR_DELEGATION.
  • Controlerul de domeniu doar în citire (RODC) este asociat în domeniul fără comandaADPREP /RODCPREPexecută primul.

Mostră de ieșire din DCDIAG /TEST:CheckSecurityError


Urmează exemple DCDIAG /test:CHECKSECURITYERRORieșire dintr-un controler de domeniu Windows Server 2008 R2. Această ieşire este provocată de oblic excesiv de marcă de timp.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Urmează exemple DCDIAG /CHECKSECURITYERROR ieșire dintr-un controler de domeniu bazat pe Windows Server 2003. Acest lucru este cauzat de oblic excesiv de marcă de timp.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Urmează exemple DCDIAG /CHECKSECURITYERRORieșire. Prezintă missing SPN nume. (Ieșire poate varia de mediu pentru mediu.)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 3073945 - Ultima examinare: 08/21/2015 18:36:00 - Revizie: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtro
Feedback