Riešenie chyby replikácia služby Active Directory 5 "prístup odmietnutý" v systéme Windows Server

Poskytovanie technickej podpory pre Windows Server 2003 sa skončilo 14 júla 2015

Spoločnosť Microsoft ukončila 14 júla 2015 poskytovanie technickej podpory pre Windows Server 2003. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3073945
Tento článok popisuje príznaky, príčiny a riešenie situácií, v ktorých služba Active Directory replication zlyhá witherror 5:
Prístup bol odmietnutý
Príznaky
Pri replikácie služby Active Directory zlyhá s chybou 5 sa môžu vyskytnúť niektoré z nasledujúcich príznakov.

Príznak 1

Nástroj príkazového riadka Dcdiag.exe uvádza, že test replikácia služby Active Directory zlyhala s kódom chyby stav (5). Správy sa podobá nasledujúcemu hláseniu:

Testovanie servera: Site_Name\Destination_DC_Name
Spustenie testu: replikácie
* Kontrola replikácie
[Replikácie kontrolyDestination_DC_Name] Pokus o replikácie naposledy nepodarilo:
Z Source_DC Ak chcete Destination_DC
Kontext pomenovania: Directory_Partition_DN_Path
Replikácia vygeneruje chybu (5):
Prístup bol odmietnutý.
Došlo k zlyhaniu pri DátumČas.
Posledný úspech došlo DátumČas.
Číslo zlyhanie došlo od posledného úspechu.

Príznak 2

Nástroj príkazového riadka Dcdiag.exe správy, funkcia DsBindWithSpnExzlyhá s chybou 5 spustením príkazuDCDIAG /test:CHECKSECURITYERROR .

Príznak 3

Nástroj príkazového riadka REPADMIN.exe správy, že posledný pokus o replikáciu zlyhalo so stavom 5.

REPADMIN príkazy, ktoré sa často uvádzajú 5 stav zahŕňajú, ale nie sú nasledovné:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL
Nasleduje ukážka výstupu príkazu REPADMIN /SHOWREPL. Tento výstup zobrazuje prichádzajúce replikácie zDC_2_Name Ak chcete DC_1_NameAk sa chyba "Prístup odmietnutý".

Site_Name\DC_1_Name
UBÚ voľby: IS_GC
Možnosti stránky: (žiadne)
Objekt DSA GUID: GUID
DSA invocationID: invocationID

=== PRICHÁDZAJÚCE SUSEDOV ===
DC =Názov_domény, DC = com
Site_Name\DC_2_Name pomocou RPC
Objekt DSA GUID: GUID
Posledný pokus @ DátumČas neúspešné výsledok 5(0x5):
Prístup bol odmietnutý.
<#>postupnom zlyhaniami.
Posledný úspech @ </#>DátumČas.

Príznak 4

NTDS KCC NTDS všeobecné a Microsoft-Windows-ActiveDirectory_DomainService so stavom 5 sú denníka zapíšu udalosti adresárové služby zobrazovača udalostí.

Nasledujúca tabuľka obsahuje Active Directory udalosti, ktoré sa často uvádzajú 8524 stavu.
Identifikácia udalostiZdrojUdalosť reťazec
1655NTDS všeobecnéPokúsili komunikovať nasledujúce globálneho katalógu služby Active Directory a pokusy boli neúspešné.
1925NTDS KCCPokus o vytvoriť prepojenie replikácia adresára zapisovať nasledujúce oblasti zlyhal.
1926NTDS KCCPri pokuse vytvoriť replikácia prepojenie na čítanie adresárová oblasť s nasledujúcimi parametrami zlyhala.

Príznak 5

Pri kliknite pravým tlačidlom myši na objekt pripojenia zdroja doménovom radiči Active Directory Sites and Services a potom vyberteKopírovať terazproces zlyhá a zobrazí nasledujúca chyba:

Kopírovať teraz

Takto sa vyskytla počas pokusu o synchronizáciu Názvový kontext %oblasť adresára% z radiča domény Zdroj DC radič domény Cieľový radič domény:
Prístup bol odmietnutý.

Operácia nemôže pokračovať.

Tieto obrazovky predstavuje príklad chyby:


Ako problém obísť
Použitie všeobecnejDCDIAG nástroj príkazového riadka na spustenie viacerých testov. Použite nástroj príkazového riadka DCDIAG /TEST:CheckSecurityErrorsvykonať špecifické testy. (Tieto testy patria kontrola registrácie SPN). Spustite testy riešenie Active Directory operácie replikácie inak chyba 5 a chyby 8453. Nezabúdajte, tento nástroj spustiť v rámci vykonávaniaDCDIAGpredvolené.

Ak chcete vyriešiť tento problém, postupujte nasledovne:
  1. Do príkazového riadka spustiť DCDIAG cieľový radič domény.
  2. Spustite DCDAIG /TEST:CheckSecurityError.
  3. Spustite NETDIAG.
  4. Odstránenie chýb, ktoré boli identifikovanéDCDIAG a NETDIAG.
  5. Znova už tým, že Operácia replikácie.
Ak replikácie naďalej nedarí, pozrite si "Príčiny a riešenia"sekcia.


Príčiny a riešenia
Nasledujúce príčiny môže mať za následok chyby 5. Niektoré z nich majú riešenia.

Príčina 1: RestrictRemoteClients nastavenie databázy registry má hodnotu 2

Ak politika obmedzenia pre klientov nevykonávalo RPCje povolená a nastavená naAuthenticated bez výnimkyRestrictRemoteClients hodnota v databáze registry je nastavená hodnota 0x2 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC podkľúč databázy registry.

Táto politika umožňuje len overené vzdialeného volania procedúry (RPC) klientov serverom RPC, ktoré sú spustené v počítači, v ktorom sa uplatňuje politika. Neumožňuje výnimky. Ak vyberiete túto možnosť, systém nemôže prijímať vzdialené anonymné volania pomocou služby RPC. Toto nastavenie by nikdy použiť na radiči domény.

Riešenie
  1. Vypnite nastavenie politiky obmedzenia nevykonávalo RPC klientov, ktorý obmedzujeRestrictRemoteClients databázy registry hodnotu 2.

    Poznámka: Politika sa nachádza na nasledujúcej ceste:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. Odstránenie RestrictRemoteClientsnastavenia databázy registry a potom reštartujte.
Pozrite si Obmedzenia nevykonávalo RPC klientov: skupinovej politiky, ktoré údery domény tváre.

Príčina 2: CrashOnAuditFail nastavenie v databáze registry cieľový radič domény má hodnotu 2

CrashOnAduitFail hodnota 2 sa spustí, ak Audit: vypnúť systém okamžite, ak nemôžete prihlásiť bezpečnostných auditovpolitiky nastavenie skupinovej politiky zapnuté a zaplneniu denníka udalostí lokálneho zabezpečenia.

Radiče domény služby Active Directory sú obzvlášť náchylné na maximálnej kapacite bezpečnostné protokoly, keď auditovania a veľkosť denníka udalostí zabezpečenia je obmedzenáprepísať udalosti (vymazať denník manuálne)a možnosti prepisovania podľa potrebyv Zobrazovači udalostí alebo ich ekvivalent skupinovej politiky.

Riešenie

Dôležité upozornenie: Postupujte presne podľa krokov v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred úpravou, zálohovanie databázy registry na obnovenie v prípade problémov.
  1. Vymazanie denníka udalostí zabezpečenia a uložte ho na iné miesto podľa potreby.
  2. Prehodnotiť všetky obmedzenia veľkosti denníka udalostí zabezpečenia. Toto zahŕňa nastavenia na základe politiky.
  3. Odstráňte a potom znovu vytvoriť položku databázy registry CrashOnAuditFail takto:
    Podkľúč databázy Registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Názov hodnoty: CrashOnAuditFail
    Typ hodnoty: REG_DWORD
    Údaj hodnoty: 1
  4. Reštartujte cieľový radič domény.
Ďalšie informácie nájdete v nasledujúcich článkoch databázy Microsoft Knowledge Base:

Príčina 3: Invalid dôveryhodnosti

Ak replikácia služby Active Directory nedokáže medzi radičmi domény v rôznychdomény, mali by ste skontrolovať stav doménovom ceste dôveryhodnosti.

Skúste NetDiag dôveryhodný vzťahtest skontrolujte zlomkovej dôveryhodné entity. Pomôcku Netdiag.exe identifikuje nefunkčné fondy zobrazuje nasledujúci text:
Dôveryhodný vzťah testov...... : Zlyhala
Testu DomainSid domény "názov_domény"správne.
[ZÁVAŽNEJ] Zabezpečený kanál domény "názov_domény"nefunguje.
[%kód stavu premennej%]

Napríklad ak máte multi-domény lesa hlavnú doménu (Contoso.COM), dcérsku doménu (B.Contoso.COM), vnuk domény (C.B.Contoso.COM) a stromu domén v rovnakom lese (Fabrikam.COM) a ak replikácia zlyhanie radiče domén v doméne vnúča (C.B.Contoso.COM) a stromovú štruktúru domén (Fabrikam.COM), by ste mali overiť stav dôveryhodnosti medzi C.B.Contoso.COM a B.Contoso.COM , medzi B.Contoso.COM a Contoso.COM a nakoniec Contoso.COM a Fabrikam.COM.

Ak odkaz dôveryhodnosti medzi doménami určenia, nemáte overiť cestu reťaz. Namiesto toho by mal overiť zjednodušená dôvera medzi umiestnenie zdroja domény.

Kontrola zmeny hesla dôvery spustením nasledujúceho príkazu:
Repadmin /showobjmeta * <DN path for TDO in question>
Skontrolujte, či cieľový radič domény prechodnú prichádzajúce replikácie oblasti adresára zapisovať domény kde môže dôveryhodnosti heslo zmeny prejavia.

Príkazy obnoviť fondov z koreňovej domény PDC sú nasledovné:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Príkazy obnoviť fondov z dcérsku doménu PDC sú nasledovné:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Príčinu 4: Skosenie príliš dlho

Nastavenie politiky modulu Kerberos v predvolenej politiky domény umožňujú päť minút rozdielne systému (Toto je predvolená hodnota) medzi radičmi domény KDC Kerberos serverom zabrániť sťažia útoky. Uvádza, že niektoré dokumentácie systému klienta a to Kerberos cieľa do piatich minút od seba. Inej dokumentácii uvádza, že v kontexte overovanie Kerberos, čo je dôležité je rozdielové KDC, ktorý používa volajúceho a v cieli Kerberos. Kerberos, jedno, či systémový čas na príslušné radiče zodpovedá aktuálny čas. To zaujíma len relatívnačasový rozdiel medzi KDC a cieľový radič domény je maximálny čas zošikmenie tohto modulu Kerberos politika umožňuje. (Predvolený je päť minút alebo menej.)

V rámci operácie služby Active Directory, cieľový server je radičom domény zdroja je kontaktovať cieľový radič domény. Každý radič domény v doménovej štruktúre služby Active Directory, že je spustená služba KDC je možné KDC. Z tohto dôvodu musíte zvážiť presnosť času na všetky ostatné radiče domény proti zdrojového radiča domény. Toto zahŕňa čas na samotný radič domény umiestnenie.

Skontrolujte správnosť času môžete použiť nasledujúce dva príkazy:
  • DCDIAG /TEST:CheckSecurityError
  • W32TM/MONITOR
Môžete nájsť vzorový výstup zDCDIAG /TEST:CheckSecurityErrorv "Ďalšie informácie"sekcia. Táto ukážka zobrazuje príliš dlho zošikmenie radičov domény so systémom Windows Server 2003 a Windows Server 2008 R2 s procesorom.

Vyhľadajte LSASRV 40960 udalostí na doménovom radiči cieľového v čase nedarí požiadavky na replikáciu. Pozrite sa na udalosti, ktoré sa uvádzajú GUID záznamu CNAME zdroj radiča domény sa rozšírená chyba 0xc000133. Pozrite sa na udalosti, ktoré sa podobajú takto:
Čas primárneho radiča domény sa líši od času na záložnom radiči domény alebo na členskom serveri príliš veľké množstvo

Siete stopy, ktoré zachytiť cieľový počítač pripojený k zdieľanému priečinku zdroja radiča domény (a aj iné operácie) môže Zobraziť "Rozšírená chyba" obrazovke chyba, keďže sledovanie siete sa zobrazí nasledovné:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
Odpoveď TKE_NYVoznačuje rozsah dátumov na lístok TGS novšie ako k cieľu. Znamená to zošikmenie príliš dlho.

Poznámky
  • W32TM MONITORskontroluje čas len pre radiče domén v oblasti počítačov testovať tak, že budete musieť spustiť tento v každej doméne a porovnanie medzi domény.
  • Ak časový rozdiel je príliš veľký na radičoch domény so systémom Windows Server 2008 R2 cieľový príkaz Kopírovať teraz DSSITE. MSC zlyhá s "Nie je čas alebo dátum rozdiel medzi klientom a serverom" obrazovke chyba. Tento reťazec chyby mapy chyba 1398 desatinné alebo 0x576 šestnástková s názvomERROR_TIME_SKEW symbolické chyby.
Ďalšie informácie nájdete v téme Nastavenie hodín synchronizácia tolerancie zabrániť sťažia útoky.

Príčina 5: Je neplatné zabezpečenie kanál alebo heslo nesúlad v radiči domény, zdroj alebo cieľový

Overenie zabezpečenia kanál použitím jedného z nasledujúcich príkazov:
  • nltest /sc:query
  • Skontrolujte Netdom

Podmienky, hesla cieľový radič domény pomocou NETDOM /RESETPWD.

Riešenie

  1. Zakázať protokol Kerberos Key Distribution Center (KDC) v radiči domény, ktorý nereštartuje.
  2. Z konzoly cieľový radič domény, spustite NETDOM RESETPWD na vytvorenie nového hesla pre cieľový doménový radič takto:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Uistite sa, že pravdepodobne KDCs a zdrojového radiča domény (ak sú v rovnakej doméne) prichádzajúce opakované znalosti cieľový radič domény nové heslo.
  4. Reštartujte cieľový radič domény a aktualizovať Kerberos lístkov operáciu replikácie.
Pozrite si Používanie Netdom.exe obnoviť heslo konta počítača radiča domény.

Príčina 6: "Prístup k tomuto počítaču zo siete" používateľské právo nie je poskytovaná používateľ spustí replikácie

V predvolenej inštalácii systému Windows, predvolená politika domény radič súvisí s radičom domény organizačná jednotka (OU). OUgrantsprístup k tomuto počítaču zo sietepoužívateľ priamo do nasledujúcich skupín zabezpečenia:
Lokálna politikaPredvolená politika domény radič
SprávcoviaSprávcovia
Overení používateliaOverení používatelia
KaždýKaždý
Radiče domény v podnikuRadiče domény v podniku
[Ktorí 2000 kompatibilné prístup]Ktorí 2000 kompatibilné prístup
Ak Active Directory operácia zlyhá s chybou 5, mali by ste skontrolovať nasledovné:
  • Skupín zabezpečenia v tabuľke poskytujeprístup k tomuto počítaču zo siete používateľské právo politiky pre predvolený radič domény.
  • Kontá radiča domény sa nachádzajú v OU radiča domény.
  • Politiky pre predvolený radič domény je prepojený OU radič domény alebo alternatívne organizačné jednotky, ktoré sú hostiteľmi kontá.
  • Skupinová politika sa aplikuje na cieľový radič domény, ktorý momentálne zapíše chyba 5.
  • Používateľské právo zakázať prístup k tomuto počítaču zo siete zapnuté alebo to odkaz priamo alebo prenosná skupiny kontext zabezpečenia používa radič domény alebo používateľské konto tohto spustenie replikácie.
  • Priorita politiky blokované dedičnosť, Microsoft Windows Management Instrumentation (WMI) filtrovanie a podobne je nezabraňujú politika uplatňovať domény radič úlohu počítače.

Poznámky
  • Nastavenie politiky môžete overiť pomocou VÝSLEDNÁ. Nástroj Mgr. Však GPRESULT /Z je preferovaný nástroj, pretože je presnejšie.
  • Lokálna politika má prednosť pred politiky, ktorý je definovaný v lokality, domény a organizačné.
  • Naraz bolo bežné pre správcov odstrániť "Enterprise domain controllers" a "Všetci" politika "Prístup k počítaču zo siete" predvolený radič domény politiky skupiny. Odstránenie skupiny však kritická. Nie je dôvod odstrániť "Enterprise domain controllers" z tohto nastavenia politiky, pretože len pre radiče domény je členom skupiny.

Príčina 7: Je SMB podpisu nesúlad medzi zdrojom a cieľom radiče domén

Najlepšie tabuľka poskytovanej podpisovanie blokov SMB je popísané v časti "interoperabilita matica" grafiku a text článku databázy Knowledge Base916846. Tabuľka je definovaný štyri nastavenia politiky a ich ekvivalent databázy Registry.
Politika Cesty databázy Registry
Klient siete Microsoft: digitálne podpísať komunikáciu (ak server súhlasí)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Klient siete Microsoft: digitálny podpis komunikácie (vždy)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft network server: digitálne podpísať komunikáciu (ak server súhlasí)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft network server: digitálny podpis komunikácie (vždy)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
Ste mali zamerať na nesúlad medzi umiestnenie a zdroj radičov domén na podpisovania blokov SMB. Klasický prípadoch zahŕňajú nastavenie, ktoré je povolené alebo vyžaduje na jednej strane, ale na iné zakázané.

Príčiny 8: Vo formáte protokolu UDP Kerberos paket fragmentácia

Sieťové smerovače a prepínače môže fragmentovať alebo úplne drop veľký vo formáte User Datagram Protocol UDP sieťových paketov, ktoré používajú Kerberos a mechanizmy prípony DNS (EDNS0). Počítače so systémom Windows 2000 Server alebo Windows Server 2003 operačný systém rodiny sú obzvlášť k fragmentácii UDP na počítačoch so systémom Windows Server 2008 alebo Windows Server 2008 R2.

Riešenie
  1. Z konzoly cieľový radič domény, ping zdrojového radiča domény pomocou jeho úplný názov identifikovať najväčšiu paket podporované sieťové cesty. Na nasledujúci príkaz:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Ak najväčšiu bez fragmentovaného paket nepresahuje 1,472 bajtov, skúste niektorý z nasledujúcich postupov (v poradí):
    • Zmena sieťovej infraštruktúry zabezpečiť veľké UDP rámov. To môže vyžadovať inováciu alebo konfiguráciu zmenu firmvéru smerovače, prepínače alebo brány firewall.
    • Nastavenie maxpacketsize (cieľový radič domény) najväčší paketu pomocou príkazu PING -f-lmenej 8 bajtov ktoré predstavujú hlavičke TCP a reštartujte radič domény zmenil.
    • Nastavenie maxpacketsize (v cieľovom radiči domény) na hodnotu 1to spúšťa overovanie Kerberos používania protokolu TCP. Reštartujte radič domény zmenil zmena prejaví.
  3. Operáciu Active Directory inak.

Príčiny 9: Sieťové adaptéry máte zapnutú funkciu Odoslať veľké zaťaženie

Riešenie
  1. V cieľovom radiči domény, otvorte vlastnosti sieťového adaptéra.
  2. Kliknite na tlačidlotlačidlo Konfigurovať .
  3. Vyberte kartu Spresnenie .
  4. Vypnúť vlastnosť Odoslať zaťaženie veľké IPv4 .
  5. Reštartujte radič domény.

Príčina 10: Invalid Kerberos oblasť

Oblasť protokolu Kerberos je neplatný, ak splnenia niektorých z nasledovných podmienok:
  • Položka KDCNames databázy registry obsahuje nesprávne lokálnej domény služby Active Directory.
  • Kľúč databázy registry PolAcDmN a PolPrDmN databázy Registry sa nezhodujú.

Riešenia

Dôležité upozornenie: Postupujte presne podľa krokov v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred úpravou, zálohovanie databázy registry na obnovenie v prípade problémov.

Riešenie nesprávne položky databázy registry KDCNames
  1. V radiči domény, umiestnenie, spustiť REGEDIT.
  2. Vyhľadajte nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Pre každýFully_Qualified_Domain> pod podkľúčom Skontrolujte, či KdcNames položky databázy registry predstavuje platný externáoblasť protokolu Kerberos a lokálnej domény alebo inej doméne v rovnakom lese Active Directory.
Riešenie pre ne PolAcDmN a PolPrDmN kľúče databázy registry
Poznámka: Tento postup platí len pre radiče domény, so systémom Windows 2000 Server.
  1. Spustite Editor databázy Registry.
  2. Na navigačnej table rozbaľte zabezpečenia.
  3. V ponuke zabezpečenia kliknite na položku povoleniaudeliť správcom lokálnej skupiny úplný zabezpečenia podregister a podradených kontajnerov a objektov.
  4. Vyhľadajte nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. V pravej časti okna editora databázy Registry, kliknite na tlačidloBez názvu: Položka databázy registry REG_NONE raz.
  6. V ponuke Zobraziť kliknite na Zobrazenie binárnych údajov.
  7. Formát časti dialógového okna kliknitebajtov.

    Názov domény sa zobrazí reťazec na pravej strane dialógového oknaBinárne údaje. Názov domény je rovnaká ako oblasť protokolu Kerberos.
  8. Vyhľadajte nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. V pravej časti okna editora databázy Registry dvakrát kliknite naBez názvu: Položka REG_NONE.
  10. V dialógovom okne Binárne Editorprilepte hodnotu z podkľúča PolPrDmNregistry. (Hodnota z podkľúča databázy registry PolPrDmN je názov NetBIOS domény).
  11. Reštartujte radič domény.
Ak radič domény nepracuje správne, prečítajte siOstatné spôsoby.

Príčina 11: Existuje nesúlad medzi zdrojom a cieľom kompatibilitu programu LAN Manager (LM kompatibilita) radiče domény

Príčinou 12: Hlavných názvov služieb sú nie je zaregistrovaný alebo neexistuje jednoduchá replikácia oneskorenie alebo zlyhanie replikácie

Príčina 13: Antivírusový softvér používa ovládač filtra mini firewall sieťového adaptéra v radiči domény, zdroj alebo cieľový

Stav
Spoločnosť Microsoft potvrdila, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v časti Vzťahuje sa na.
Ďalšie informácie
Active Directory chyby a udalosti opísané v časti tiež môže zlyhať s chybou 8453 s nasledujúce, podobná chyba reťazec "príznaky":
Replikácia prístup bol odmietnutý.

Týchto situáciách môžu spôsobovať operácie služby Active Directory s chybou 8453. Týchto situáciách však nespôsobí zlyhanie chyba 5.
  • Pomenovanie kontexte (NS) hlava nie je permissioned s povolenie na zmeny replikácie adresárov.
  • Hlavné začína replikácie zabezpečenia nie je členom skupiny, ktorá je povolenie zmeny replikácie adresárov.
  • Príznaky chýbajú v atribútekontrola kont používateľa. Patria semSERVER_TRUST_ACCOUNTpríznak aTRUSTED_FOR_DELEGATIONpríznak.
  • Radič domény iba na čítanie (RODC) je pripojený do domény bez príkazuADPREP /RODCPREPpoužíva prvý.

Vzorový výstup z DCDIAG /TEST:CheckSecurityError


Nasleduje ukážka výstupu DCDIAG /test:CHECKSECURITYERRORz radiča domény systému Windows Server 2008 R2. Tento výstup je spôsobená zošikmenie príliš dlho.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Nasleduje ukážka výstupu DCDIAG /CHECKSECURITYERROR z radiča domény so systémom Windows Server 2003. Príčinou je príliš dlho skosenia.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Nasleduje ukážka DCDIAG /CHECKSECURITYERRORvýstupu. Vyplýva, že chýbajú názvy SPN. (Výstup sa môže líšiť prostredia prostredia.)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 3073945 – Posledná kontrola: 08/21/2015 18:37:00 – Revízia: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtsk
Pripomienky