5 "erişim reddedildi" Windows Server Active Directory çoğaltma hatası sorunlarını giderme

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 3073945
Bu makalenin Belirtiler, neden ve hangi Active Directory çoğaltma witherror 5 başarısız durumda çözümleri açıklanmaktadır:
Erişim engellendi
Belirtiler
Active Directory çoğaltma 5 hatasıyla başarısız olduğunda, bir veya daha aşağıdaki belirtilerden biriyle karşılaşabilirsiniz.

Belirti 1

Dcdiag.exe komut satırı aracı, Active Directory çoğaltma test (5) hata durum koduyla başarısız olduğunu bildirir. Rapor aşağıdakine benzer:

Test sunucusu: Site_adı\Destination_DC_Name
Sınama başlatılıyor: çoğaltma
* Çoğaltmalar onay
[Çoğaltmalar onay,Destination_DC_Name] Son bir çoğaltma girişimi başarısız oldu:
Dan Source_DC için Destination_DC
Adlandırma bağlamı: Directory_Partition_DN_Path
Çoğaltma (5) bir hata oluştu:
Erişim engellendi.
Hata oluştu TarihSaat.
En son başarı oluştu TarihSaat.
Sayı bu yana son başarı hatalar oluştu.

Belirti 2

DsBindWithSpnExişlevi/test:CHECKSECURITYERROR DCDIAG komutunu çalıştırarak 5 hatasıyla başarısız Dcdiag.exe komut satırı aracı bildirir.

Belirti 3

REPADMIN.exe komut satırı aracı son çoğaltma girişimi 5 durumuyla başarısız olduğunu bildirir.

Sık sık 5 durumu alınıyor REPADMIN komutları dahil ancak bunlarla sınırlı değildir:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN/SHOWREPL
  • REPADMIN/SHOWREPS
  • REPADMIN/SYNCALL KOMUTUNU
REPADMIN/showreplkomut dosyasından örnek çıktı izler. Gelen çoğaltma dışında bu çıkış gösterirDC_2_Name için DC_1_Name"Erişim engellendi" hatası ile başarısız oluyor.

Site_adı\DC_1_Name
DSA seçenekleri: IS_GC
Site seçenekleri: (yok)
DSA nesnesinin GUID: GUID
DSA invocationID: invocationID

=== GELEN KOMŞULAR ===
DC =EtkiAlanıAdı, DC = com
Site_adı\DC_2_Name RPC üzerinden
DSA nesnesinin GUID: GUID
@ Son deneme TarihSaat başarısız, sonuç 5(0x5):
Erişim engellendi.
<#>Ardışık hata.
@ Son başarı </#>TarihSaat.

Belirti 4

5 durumundaki NTDS KCC, NTDS genel veya Microsoft-Windows-ActiveDirectory_DomainService olayları Olay Görüntüleyicisi'ndeki Dizin Hizmetleri günlüğüne kaydedilir.

Aşağıdaki tabloda sık 8524 durumu alınıyor Active Directory olayları özetlenmektedir.
Olay KimliğiKaynakOlay dizesi
1655NTDS genelActive Directory aşağıdaki genel katalog ile iletişim kurmak çalıştı ve girişimleri başarısız oldu.
1925NTDS KCCAşağıdaki yazılabilir dizin bölümünün çoğaltma bağlantısı kurma denemesi başarısız oldu.
1926NTDS KCCBaşarısız aşağıdaki parametrelerle salt okunur dizin bölümü için çoğaltma bağlantısı kurma denemesi.

Belirti 5

Connection nesnesinin bir kaynak etki alanı denetleyicisinden Active Directory Siteleri ve Hizmetleri'ni sağ tıklatın ve sonraŞimdi Çoğaltseçin, işlemi başarısız olur ve aşağıdaki hatayı alırsınız:

Şimdi Çoğalt

Adlandırma bağlamı % denemesi sırasında aşağıdaki hata oluştudizin bölümü adıetki alanı denetleyicisinden % DC kaynağı etki alanı denetleyicisine Hedef DC:
Erişim engellendi.

İşlemi devam etmez.

Aşağıdaki ekran resminde hatanın bir örnek gösterir:


Pratik Çözüm
Genel kullanımDCDIAG birden çok testleri çalıştırmak için komut satırı aracıdır. Belirli testleri gerçekleştirmek için DCDIAG /TEST:CheckSecurityErrorskomut satırı aracını kullanın. (Bu testleri bir SPN kaydı onay ekleyin.) 8453 hata 5 hata ile başarısız olan Active Directory işlem çoğaltma sorunlarını gidermek için testler. Ancak, bu aracıDCDIAGvarsayılan yürütülmesi bir parçası olarak çalıştırmak değil unutmayın.

Bu soruna geçici bir çözüm bulmak için şu adımları izleyin:
  1. Komut istemine DCDIAG hedef etki alanı denetleyicisinde çalıştırın.
  2. DCDAIG /TEST:CheckSecurityErrorçalıştırın.
  3. NETDIAGçalıştırın.
  4. DCDIAG ve NETDIAGtarafından tanımlanmış olan tüm hataları çözün.
  5. Yeniden deneme başarısız daha önce çoğaltma işlemi.
Çoğaltmaları başarısız olmaya devam ederse, bkz: "Nedenleri ve çözümleri"bölümüne bakın.


Nedenleri ve çözümleri
Aşağıdaki nedenler 5 hatasına neden olabilir. Bunlardan bazıları çözümü vardır.

Neden 1: RestrictRemoteClients kayıt defteri ayarında 2 değerine sahiptir.

Kimliği doğrulanmamış RPC istemcileri için kısıtlamalarıilke ayarı etkinleştirilmişse veözel durumlar olmaksızın kimliği doğrulananiçin ayarlanır, RestrictRemoteClients kayıt defteri değerini 0x2 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC kayıt defteri alt anahtarında bir değere ayarlanır.

Bu ilke ayarını etkinleştirir yalnızca kimliği doğrulanmış uzaktan yordam çağrısı (RPC) istemcilerinin, ilkenin uygulandığı bilgisayarda çalışan RPC sunucularına bağlanmasını. Özel durumlar için izin vermez. Bu seçeneği seçerseniz, sistem RPC kullanarak uzaktan anonim çağrılar alamaz. Bu ayar, bir etki alanı denetleyicisine hiçbir zaman uygulanmalıdır.

Çözüm
  1. RestrictRemoteClients kayıt defteri değeri 2olarak kısıtlar kimliği doğrulanmamış RPC istemcileri için kısıtlamalarıilke ayarını devre dışı bırakın.

    Not: İlke ayarı aşağıdaki yolda bulunur:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. RestrictRemoteClientskayıt defteri ayarını silin ve sonra yeniden başlatın.
Bkz. Kimliği doğrulanmamış RPC istemcileri için kısıtlamalar: Grup İlkesi, etki alanınızda yüzünü açar.

Neden 2: Hedef etki alanı denetleyicisinin kayıt defterindeki CrashOnAuditFail ayar 2 değerine sahiptir.

2CrashOnAduitFail değeri, harekete Denetim: hemen güvenlik denetimleri günlüğe alınamazsa sistemi KapatGrup İlkesi'nde ilke ayarı etkinleştirilmişse ve yerel güvenlik olay günlüğünün dolmasına neden olacak.

Active Directory etki alanı denetleyicileri(günlüğü kendin temizle) olayların üzerine yazmamave seçenekleri gerektiği gibi üzerineOlay Görüntüleyicisi'nde veya Grup İlkesi eşdeğerleri güvenlik olay günlüğünün boyutu sınırlıdır ve denetim etkin olduğunda maksimum kapasite güvenlik günlükleri için özellikle fazladır.

Çözüm

Önemli: Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı bir şeklide değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce geri yükleme kayıt defterini yedekleme durumda sorunlar oluşur.
  1. Güvenlik olay günlüğünü temizlemek ve gerektiği gibi farklı bir konuma kaydedin.
  2. Güvenlik olay günlüğünde herhangi boyut kısıtlamaları yeniden. Bu, ilke tabanlı ayarlarını içerir.
  3. Silin ve sonra CrashOnAuditFail kayıt defteri girdisini aşağıdaki gibi yeniden oluşturun:
    Kayıt defteri alt anahtarını: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    Değer adı: CrashOnAuditFail
    Değer türü: REG_DWORD
    Veri değeri: 1
  4. Hedef etki alanı denetleyicisini yeniden başlatın.
Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki aşağıdaki makalelere bakın:

Neden 3: Geçersiz güven

Farklı etki alanı denetleyicileri arasında Active Directory çoğaltmasının başarısız olursa, etki alanı güven ilişkileri güven yolu boyunca sağlıklı doğrulamanız gerekir.

NetDiag güven ilişkisi deneyebilirsinizkırık denetlemek için test güvenir. Netdiag.exe yardımcı programını aşağıdaki metni görüntüleyerek kopuk güvenleri tanımlar:
Güven ilişkisi sınaması...... : Başarısız oldu
Etki alanı DomainSid emin olmak için test 'EtkiAlanıAdı' doğrudur.
[ÖNEMLİ] Etki alanı için güvenli kanal 'EtkiAlanıAdı' bozulur.
[%değişken durum kodu%]

Örneğin, bir kök etki alanı (Contoso.COM), bir alt etki alanı (B.Contoso.COM), iki alt düzey etki alanı (C.B.Contoso.COM) ve bir ağaç etki alanında aynı orman (Fabrikam.COM) ve ağaç etki alanı (Fabrikam.COM) (C.B.Contoso.COM) en alt etki alanındaki etki alanı denetleyicileri arasında çoğaltma başarısız olup olmadığını içeren birden çok etki alanı orman varsa, C.B.Contoso.COM ve B.Contoso.COM arasında güven sağlık doğrulamanız gerekir , B.Contoso.COM, Contoso.COM arasındaki ve ardından son olarak Contoso.COM ve Fabrikam.COM arasında.

Hedef etki alanları arasında bir kısayol güven ilişkisi varsa, güven yolu zincir doğrulama gerekmez. Bunun yerine, hedef ve kaynak etki alanı ile arasında kısayol güveni doğrulamak.

Güven, aşağıdaki komutu çalıştırarak yeni parola değişikliklerini denetleme:
Repadmin /showobjmeta * <DN path for TDO in question>
Burada güven parola değişikliklerini etkili hedef etki alanı denetleyicisinin yazılabilir etki alanı dizin bölümü çoğaltılıyor geçişli olarak gelen olduğundan emin olun.

Kök etki alanında PDC güvenleri sıfırlamak için komut aşağıdaki gibidir:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Alt etki alanı PDC güvenleri sıfırlamak için komut aşağıdaki gibidir:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Neden 4: Aşırı zaman eğriltme

Kerberos İlkesi ayarları varsayılan etki alanı İlkesi'nde beş dakikalık fark (Bu varsayılan değerdir) Sistem saati için hedef sunucuları Kerberos KDC etki alanı denetleyicileri arasında yeniden gönderme saldırılarını engellemek için izin. İstemcinin sistem saatini belirten bazı belgeleri ve beş dakika içinde birbirleriyle, Kerberos hedef olmalıdır. Diğer belgelere Kerberos kimlik doğrulaması bağlamında önemlidir zaman delta Arayanın kullandığı KDC zaman Kerberos hedef arasında olduğu bildirilir. Ayrıca, Kerberos ilgili etki alanı denetleyicilerindeki sistem saatini geçerli saati eşleşip eşleşmediğini ilgilenmez. Yalnızca, göreli caresKDC ve hedef etki alanı denetleyicisi arasındaki saat farkı olan eğriltme en uzun süre içinde o Kerberos İlkesi sağlar. (Varsayılan süresi olan beş dakika veya daha az.)

Active Directory işlem bağlamında hedef sunucu, hedef etki alanı denetleyicisi tarafından Görüşülen kaynak etki alanı denetleyicisidir. KDC hizmeti şu anda çalışan bir Active Directory ormanındaki her etki alanı denetleyicisi olası bir KDC ' dir. Bu nedenle, kaynak etki alanı denetleyicisine karşı tüm diğer etki alanı denetleyicilerinde zaman hassasiyeti dikkate almanız gerekir. Bu kez hedef etki alanı denetleyicisi kendisini içerir.

Zaman doğruluğunu denetlemek için aşağıdaki iki komutu kullanabilirsiniz:
  • DCDIAG /TEST:CheckSecurityError
  • W32TM/İZLEMEK
Örnek Çıktı'deDCDIAG /TEST:CheckSecurityErrordan bulabilirsiniz "Daha fazla bilgi"bölümüne bakın. Bu örnek çok fazla zaman Windows Server 2003 ve Windows Server 2008 R2 tabanlı etki alanı denetleyicilerinde ÇARPIKLIK göstermektedir.

LSASRV için 40960 olayları hedef etki alanı denetleyicisinde başarısız olan anda bak çoğaltma isteği. CNAME kaydı ile genişletilmiş hata 0xc000133 kaynak etki alanı denetleyicisinin GUID alınıyor olaylarını arayın. Aşağıdakine benzer olaylar için arayın:
Zaman birincil etki alanı denetleyicisini yedek etki alanı denetleyicisi veya üye sunucu olarak çok büyük miktarda zaman farklıdır

Yakalamak için kaynak etki alanı denetleyicisi (ve ayrıca diğer işlemleri) üzerindeki bir paylaşılan klasöre bağlanan hedef bilgisayar ağ izlemeleri gösterebilir "genişletilmiş bir hata oluştu" ekran hatası, oysa bir ağ izlemesi aşağıdakileri görüntüler:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
TKE_NYVyanıt TGS bileti üzerinde tarih aralığını saat hedef daha yeni olduğunu gösterir. Bu aşırı zaman eğriltme gösterir.

Notlar
  • Böylece her etki alanında çalıştırın ve etki alanları arasında zaman karşılaştırmak zorunda W32TM MONITORzaman test bilgisayarlar etki alanında etki alanı denetleyicilerinde yalnızca denetler.
  • Zaman zaman farkı hedef Windows Server 2008 R2 tabanlı etki alanı denetleyicilerinde DSSITE Şimdi Çoğalt komutu çok fazla olabilir. MSC başarısız olan "istemci ve sunucu arasında bir zaman ve / veya tarih farkı yok" Ekran hata. Bu hata dizesi hata 1398 ondalık veya onaltılıkERROR_TIME_SKEW simgesel hata adıyla 0x576 eşleştirir.
Daha fazla bilgi için bkz. Yeniden gönderme saldırılarını engellemek için ayar saat eşitleme hata payı.

Neden 5: Kaynak veya hedef etki alanı denetleyicisinde geçersiz güvenlik kanalı ya da parola uyuşmazlığı var.

Aşağıdaki komutları çalıştırarak güvenlik kanalını doğrula:
  • NLTEST /sc:query
  • Netdom doğrulayın

Bir koşula, NETDOM /RESETPWDkullanarak hedef etki alanı denetleyicisinin parolasını sıfırlayın.

Çözüm

  1. Yeniden başlatıldığında etki alanı denetleyicisi üzerindeki Kerberos Anahtar Dağıtım Merkezi (KDC) hizmeti devre dışı bırakın.
  2. Hedef etki alanı denetleyicisinin konsolundan aşağıdaki gibi hedef etki alanı denetleyicisinin parolasını sıfırlamak için NETDOM RESETPWD çalıştırın:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Büyük olasılıkla KDC ve kaynak etki alanı denetleyicisi (bunlar aynı etki alanı içinde değilse) hedef etki alanı denetleyicisinin yeni parola çoğaltma bilgisini gelen emin olun.
  4. Kerberos biletleri güncelleştirmek ve çoğaltma işlemi yeniden denemek için hedef etki alanı denetleyicisini yeniden başlatın.
Bkz. Bir etki alanı denetleyicisinin makine hesap parolalarını Netdom.exe nasıl kullanılır.

Neden 6: Çoğaltma tetikleyen bir kullanıcı için "Bu bilgisayara ağ üzerinden erişme" kullanıcı hakkı verilmediği

Windows varsayılan yüklemesinde varsayılan etki alanı denetleyicisi ilkesi etki alanı denetleyicisinin kuruluş biriminde (OU) bağlanır. Bu bilgisayara ağ üzerinden erişmekullanıcı aşağıdaki güvenlik gruplarına doğrudan OUgrants:
Yerel ilkeVarsayılan etki alanı denetleyicisi ilkesi
YöneticilerYöneticiler
Kimliği doğrulanmış kullanıcılarKimliği doğrulanmış kullanıcılar
HerkesHerkes
Kuruluş etki alanı denetleyicileriKuruluş etki alanı denetleyicileri
[Windows 2000 öncesi uyumlu erişim]Windows 2000 öncesi uyumlu erişim
Active Directory işlemler 5 hata ile başarısız olursa, aşağıdaki hususları doğrulamanız gerekir:
  • Bu bilgisayara ağ üzerinden eriş kullanıcı hakkı Varsayılan etki alanı denetleyicisinin ilke tablosunda güvenlik grupları verilir.
  • Etki alanı denetleyicisinin bilgisayar hesabı etki alanı denetleyicisinin kuruluş birimi içinde yer alır.
  • Varsayılan etki alanı denetleyicisinin İlkesi bilgisayar hesaplarını barındıran diğer kuruluş birimlerini veya etki alanı denetleyicisinin OU'suna bağlıdır.
  • Şu anda 5 hata günlükleri hedef etki alanı denetleyicisinde Grup İlkesi uygulanır.
  • Bu bilgisayara ağ üzerinden erişimi reddet kullanıcı hakkı etkinleştirilmişse veya etki alanı denetleyicisi tarafından kullanılan güvenlik bağlamını yapan başvuru doğrudan ya da geçişli gruplar değil veya kullanıcı hesabı tetikleyici çoğaltma.
  • İlke önceliği, engellenen devralma, Microsoft Windows Yönetim Araçları (WMI) filtrelemesi veya benzeri etki alanı denetleyicisi rolü bilgisayarlara uygulama alanından ilke ayarı engel değil.

Notlar
  • RSOP ile ilke ayarlarını doğrulanabilir. MSC aracı. Ancak, GPRESULT /Z daha doğru olduğu için tercih edilen araçtır.
  • Yerel ilke siteler, etki alanları ve kuruluş içinde tanımlanan ilkeyi daha önceliklidir.
  • Aynı anda "Enterprise domain controllers" kaldırmak, Yöneticiler için ortak ve "Herkes" "Bu bilgisayara ağ üzerinden eriş" ilke ayarını varsayılan etki alanı denetleyicisinin ilke grupların. Ancak, her iki grubu kaldırma önemli değildir. Bu ilke ayarından, yalnızca etki alanı denetleyicileri, bu grubun üyesi olduğundan "Enterprise domain controllers" kaldırmak için bir neden yoktur.

Neden 7: Etki alanı denetleyicileri bir SMB imzalama kaynak ve hedef arasında uyuşmazlık var.

SMB imzalama için en iyi uyumluluk matrisi Knowledge Base makalesinin grafik ve metin "birlikte çalışabilirlik matrix" bölümlerinde belgelenmiştir.916846. Matris dört ilke ayarları ve kayıt defteri tabanlı eşdeğerleri tarafından aşağıdaki gibi tanımlanır.
İlke ayarı Kayıt defteri yolu
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (sunucu kabul ederse)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
SMB imzalama hedef ve kaynak etki alanı denetleyicileri arasında uyuşmazlıklar odaklanmak. Klasik çalışmaları etkin veya bir tarafında gerekli olmakla birlikte diğer devre dışı bir ayar içerir.

8. neden: Kerberos UDP biçimli paket parçalanma

Ağ yönlendiricileri ve anahtarları parçalara veya DNS (EDNS0) için Kerberos ve uzantı mekanizmaları tarafından kullanılan Kullanıcı Datagram Protokolü UDP biçimli büyük ağ paketleri tamamen bırak. Windows 2000 Server veya Windows Server 2003 işletim sistemi ailesi çalıştıran bilgisayarlar, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran bilgisayarlarda UDP parçalanma özellikle savunmasızdır.

Çözüm
  1. Hedef etki alanı denetleyicisinin konsolundan kaynak etki alanı denetleyicisinin ağ yolu tarafından desteklenen en büyük paket tanımlamak için tam bilgisayar adını kullanarak ping işlemi. Bunu yapmak için aşağıdaki komutu çalıştırın:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. En büyük paket parçalanmamış 1,472 bayttan küçük ise, (tercih sırasına göre) aşağıdaki yöntemlerden birini deneyin:
    • Uygun şekilde büyük UDP çerçeveleri destekleyen ağ altyapı değiştirin. Bu yönlendiriciler, anahtarlar veya güvenlik duvarları bir bellenim yükseltme veya yapılandırma değişikliği gerektirebilir.
    • MaxPacketSize PING -f-lkomutunu daha az 8 bayt TCP üstbilgisi için hesap için tanımlanan en büyük paket (hedef etki alanı denetleyicisinde) ayarlayın ve sonra değiştirilen etki alanı denetleyicisini yeniden başlatın.
    • (Hedef etki alanı denetleyicisinde) MaxPacketSize değerini 1olarak bu set bir TCP kullanmak için Kerberos kimlik doğrulamasını tetikler. Etkili değişiklik yapmak için değiştirilen etki alanı denetleyicisini yeniden başlatın.
  3. Başarısız olan Active Directory işlemi yeniden deneyin.

Neden 9: Büyük gönderme boşaltması özelliği etkinleştirilmiş ağ bağdaştırıcısı bulunur.

Çözüm
  1. Hedef etki alanı denetleyicisinde ağ bağdaştırıcısının özelliklerini açın.
  2. ' IYapılandır düğmesi.
  3. Gelişmiş sekmesini seçin.
  4. IPv4 büyük gönderme boşaltması özelliğini devre dışı bırakın.
  5. Etki alanı denetleyicisini yeniden başlatın.

Neden 10: Geçersiz Kerberos bölgesi

Kerberos alanı geçersiz bir veya daha aşağıdaki koşullardan biri doğru olduğunda:
  • KDCNames kayıt defteri girdisi hatalı yerel Active Directory etki alanı adını içerir.
  • PolAcDmN kayıt defteri anahtarı ile PolPrDmN kayıt defteri anahtarı eşleşmiyor.

Çözümleri

Önemli: Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı bir şeklide değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce geri yükleme kayıt defterini yedekleme durumda sorunlar oluşur.

Yanlış KDCNames kayıt defteri girdisi için çözüm
  1. Hedef etki alanı denetleyicisinde REGEDİT'i çalıştırın.
  2. Kayıt defterinde aşağıdaki alt anahtarı bulun:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Her biri içinFully_Qualified_Domain> alt anahtarının altında KdcNames kayıt defteri girdisinin değeri geçerli bir dış başvurduğunu doğrulayınKerberos bölgesi ve yerel etki alanı veya başka bir etki alanında aynı Active Directory ormanı için değil.
Eşleşmeyebilir PolAcDmN ve PolPrDmN kayıt defteri anahtarları için çözüm
Not: Bu yöntem yalnızca Windows 2000 Server çalıştıran etki alanı denetleyicileri için geçerlidir.
  1. Kayıt Defteri Düzenleyicisi'ni başlatın.
  2. Gezinti Bölmesi'nde, Güvenlik' i genişletin.
  3. Güvenlik menüsünden SECURITY kovanının ve alt kapsayıcıların ve nesnelerin yöneticiler yerel grubuna Tam Denetim izni vermek için izinler' i tıklatın.
  4. Kayıt defterinde aşağıdaki alt anahtarı bulun:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. Kayıt Defteri Düzenleyicisi'nin sağdaki bölmesinde tıklatınAdı yok: Bir kez kayıt defteri girdisi REG_NONE.
  6. Görünüm menüsünde, İkili verileri görüntüle'ıtıklatın.
  7. İletişim kutusu Biçim bölümündeByte' ı tıklatın.

    Etki alanı adı bir dizeİkili veriiletişim kutusunun sağ tarafında görüntülenir. Etki alanı adı Kerberos bölgesi ile aynıdır.
  8. Kayıt defterinde aşağıdaki alt anahtarı bulun:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. Kayıt Defteri Düzenleyicisi'nin sağdaki bölmesinde çift tıklatınAdı yok: REG_NONE girdi.
  10. İkili Sistem Düzenleyicisiiletişim kutusunda, PolPrDmNregistry alt değeri yapıştırın. (PolPrDmN kayıt defteri alt anahtarı NetBIOS etki alanı adı değerdir).
  11. Etki alanı denetleyicisini yeniden başlatın.
Etki alanı denetleyicisinin düzgün çalışmıyorsa, lütfen bakındiğer yöntemler.

Neden 11: Etki alanı denetleyicileri LAN Manager uyumluluğu (LM Uyumluluk) kaynak ve hedef arasındaki uyuşmazlık var.

12. neden: Hizmet asıl adları Basit çoğaltma gecikmesi veya çoğaltma hatası nedeniyle kayıtlı değil veya yok

Neden 13: Mini güvenlik duvarı ağ bağdaştırıcısı filtre sürücüsü virüsten koruma yazılımı, kaynak veya hedef etki alanı denetleyicisinde kullanır.

Durum
Microsoft bu sorunun "Aşağıdakilere Uygulanır" bölümünde listelenen Microsoft ürünlerinde bulunduğunu onaylamıştır.
Daha fazla bilgi
Active Directory hataları ve olayları olanlar "Belirtiler" bölümü aşağıdaki, benzer hata dizesiyle 8453 da hatasıyla başarısız açıklandığı gibi:
Çoğaltma erişimi reddedildi.

Aşağıdaki durumlarda Active Directory işlemlerinin 8453 hatasıyla başarısız olmasına neden olabilir. Ancak, bu gibi durumlarda hata 5 ile hataları neden olmaz.
  • Adlandırma bağlamının (NC) başına dizin değişikliklerini çoğaltma izni ile permissioned değil.
  • Güvenlik asıl başlangıç çoğaltma dizin değişikliklerini çoğaltma izni verilmiş bir grubun bir üyesi değil.
  • UserAccountControlözniteliğinde bayrakları eksik. Bunlar,SERVER_TRUST_ACCOUNTbayrak veTRUSTED_FOR_DELEGATIONbayrağı vardır.
  • Salt okunur etki alanı denetleyicisi (RODC) etki alanındaADPREP/rodcprepkomutu olmadan ilk çalışan katılır.

DCDIAG /TEST:CheckSecurityError dosyasından örnek çıktı


Aşağıdaki örnek bir Windows Server 2008 R2 etki alanı denetleyicisinden DCDIAG /test:CHECKSECURITYERRORçıktı. Bu çıktıyı aşırı zaman eğriltme neden olur.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Aşağıdaki örnek bir Windows Server 2003 tabanlı etki alanı denetleyicisinden DCDIAG /CHECKSECURITYERROR çıktı. Bu aşırı zaman eğriltme kaynaklanır.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Aşağıdaki örnek DCDIAG /CHECKSECURITYERRORçıktı. Eksik gösterir SPN adları. (Çıktı ortamında ortam farklı.)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 3073945 - Son İnceleme: 08/23/2015 23:44:00 - Düzeltme: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMttr
Geri bildirim