Виправлення неполадок у Windows Server служба Active Directory, реплікацію помилки 5 "немає доступу"

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3073945
У цій статті описано, що ознаки, причина а також рішення для ситуації, в яких служба Active Directory не вдається виконати реплікацію witherror 5:
Немає доступу
Ознаки
Коли реплікаціями з служба Active Directory не, помилка 5 може виникати одна або кілька з наведених нижче проблем.

Ознака 1

Dcdiag.exe засіб командний рядок повідомляє, що не вдається виконати перевірку реплікація служби служба Active Directory помилка з кодом стану (5). Звіт приблизно такого вигляду:

приймальні випробування на сервері: Site_Name\Destination_DC_Name
Запуск тесту: Реплікаціями
* Реплікаціями перевірки
[Реплікаціями перевіркиDestination_DC_Name] Не вдалося виконати останні реплікації спроба:
З Source_DC щоб Destination_DC
Дерево простору імен: Directory_Partition_DN_Path
Реплікації створено, помилка (5).
Немає доступу.
Помилка в ДатаВільний час.
Останній успіх, що відбулися на ДатаВільний час.
Номер помилки, сталися з моменту останнього успішного.

Ознака 2

Засіб командний рядок Dcdiag.exe повідомляє, що функція DsBindWithSpnExвиникає помилка 5, виконавши командутакож DCDIAG /test:CHECKSECURITYERROR .

Проблема 3

Засіб командний рядок REPADMIN.exe повідомляє, що остання реплікація спроба не вдалося зі статусом 5.

REPADMIN команд, які часто посилаються на 5 статус включають, але не неповний список таких:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL
Приклад формату REPADMIN /SHOWREPLкоманду, що відповідає. Результат показує, вхідної реплікації зDC_2_Name щоб DC_1_Nameпротокол IMAP про помилку "Немає доступу" не вдалося.

Site_Name\DC_1_Name
DSA варіанти: IS_GC
Сайт варіанти: (немає)
Об'єкт DSA GUID: GUID
DSA invocationID: invocationID

= = = ВХІДНОГО СУСІДИ = = =
DC =Ім'я домену, DC = com
Site_Name\DC_2_Name за допомогою віддаленого виклику процедур
Об'єкт DSA GUID: GUID
Остання спроба @ ДатаВільний час не вдалося, результати, 5(0x5):
Немає доступу.
<#>послідовні помилками.
Останній успіх @ </#>ДатаВільний час.

Ознака 4

NTDS KCC, NTDS загальні або Microsoft-Windows-ActiveDirectory_DomainService події, з 5 статус помилками реєструються в журналі служби каталогів, у засобі перегляду подій.

У нижченаведеній таблиці подано в служба Active Directory події, які часто посилаються на 8524 стан.
Подія з КодомДжерелоПодія рядок.
1655NTDS загальніСлужби служба Active Directory намагався спілкуватися з наступних глобального каталогу, і спроби було відхилено.
1925NTDS KCCНе вдалося виконати спроба створити посилання нижче для записування каталог розділу реплікації.
1926NTDS KCCСпроба встановити реплікації посилання лише для читання каталогу розділ із такими параметрами, які не вдалося.

Проблема 5

Об'єкт підключення з вихідного контролеру домену Active Directory-сайты та служби, клацніть правою кнопкою миші та виберітьРеплікації зараз, не вдається виконати процес, і з'являється таке протокол IMAP про помилку.:

Тепер для реплікації

Сталася така помилка, під Вільний час спроби синхронізації присвоєння імен % в контекстіім'я каталогу-розділ% від контролера домену Джерело DC. на контролері домену Призначення DC:
Немає доступу.

Операцію буде скасовано.

Знімок екрана нижче, являє собою приклад протокол IMAP про помилку:


Обхідний шлях
сценарій виконання на загальнийТАКОЖ DCDIAG інструмент командний рядок для запуску кількох перевірки. Використовуйте засіб командний рядок також DCDIAG /TEST:CheckSecurityErrorsдію певного. (Наведених вище дій включають до реєстрації-перевірка SPN). Запустіть неполадок, пов'язаних із операції реплікації служба Active Directory, не вдається, помилка 5 і помилки 8453 тести. Однак Зауважте, що цей засіб не працює в рамках виконання за промовчаннямтакож DCDIAG.

Щоб вирішити цю проблему, виконайте такі інтерактивні елементи.
  1. У командному рядку запустіть також DCDIAG на контролері домену призначення.
  2. Запустіть DCDAIG /TEST:CheckSecurityError.
  3. Запустіть NETDIAG.
  4. Усунення несправностей, які були визначенітакож DCDIAG і NETDIAG.
  5. Повторити, раніше вдається реплікацію.
Якщо реплікаціями надалі не вдається, див. на "Причин і рішень"розділу.


Причин і рішень
Нижче, може призвести до помилки 5. Деякі з них, є рішення.

Причина 1: RestrictRemoteClients параметр реєстру, має значення 2

Якщо настройки політики обмеження на неперевірені RPC-клієнтамувімкнуто і має значенняавторизовані, без винятків, RestrictRemoteClients значення реєстру встановлено значення 0x2 в підрозділі реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC.

Ця процедура параметр політики дає можливість, що лише автентифікацію віддалених викликів, клієнти (RPC), щоб підключитися до сервера віддаленого виклику процедур, запущені на комп'ютері, на якому використовується параметр політики. Це не дозволяє для винятків. Якщо вибрати цей параметр, системі не вдається отримати віддалений анонімних дзвінків за допомогою віддаленого виклику процедур. Цей параметр не слід застосовувати до контролера домену.

Рішення
  1. Вимкнути обмеження на неперевірені RPC-клієнтампараметр політики, яке обмежує значення реєструRestrictRemoteClients2.

    Примітка Параметр політики, розташований за наведеним нижче шляхом:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. Видалення розділу реєстру з RestrictRemoteClientsа потім перезавантажте.
Див. Обмеження щодо неперевіреним RPC-клієнтам: групової політики, які удари домену в обличчя.

Причина 2: CrashOnAuditFail параметр реєстру призначення контролера домену, має значення 2

CrashOnAduitFail значення 2 запускається, якщо в Категорія: завершення роботи системи відразу ж, якщо не вдалося увійти в систему безпеки перевірокактивовано параметр групової політики та локальної безпеки в журналі стає повний.

Контролери доменів служба Active Directory схильні особливо максимально пропускною здатністю безпеки журнали, якщо ввімкнуто відстеження, і розмір запис А подій безпеки обмежуєтьсяперезаписати події, які (очищення журналу вручну)і параметри перезаписування, за потреби, у засобі перегляду подій або їх еквівалент у груповій політиці.

Рішення

Увага! Виконуйте інтерактивні елементи, описані в цьому розділі, обережно. Неправильне внесення змін до реєстру може викликати серйозні проблеми. Перш ніж змінювати його, резервної копії реєстру для відновлення на випадок виникнення проблем.
  1. Очистити запис А подій безпеки та збережіть його до альтернативного розташування на вимогу.
  2. Переглянути все обмеження розміру запис А подій безпеки. пакет оновлень містить параметри на основі політики.
  3. Видалити а потім повторно створити запис А реєстру CrashOnAuditFail наступним чином:
    Підрозділ реєстру: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Ім'я параметра: CrashOnAuditFail
    Тип значення: REG_DWORD
    Значення: 1
  4. Перезавантажте контролер домену призначення.
Щоб отримати додаткові відомості див. у наступних статтях бази знань Microsoft Knowledge Base:

Причина 3: Неприпустимий безпеки та конфіденційності

Якщо не вдається реплікації служба Active Directory між контролери домену в іншомудоменів, перевірте, чи здоров'я довірчих відносин на шляху, безпеки та конфіденційності.

Вільний час зв'язок "один-до-одного" довіряєте NetDiagтест, щоб перевірити, пошкоджений, довіри. Засіб для Netdiag.exe визначає пошкоджені довіри, відображення такий текст:
Довіра відносини тест..... : Помилка
Тест, щоб забезпечити DomainSid, домену "ім'я домену' правильно.
[КРИТИЧНА] Безпечний канал домену "ім'я домену' розривається.
[%код змінних стану.%]

Наприклад, за наявності кількох домену лісу, у кореневому домені (Contoso.COM), дочірнього домену (B.Contoso.COM), онук домену (C.B.Contoso.COM) і дерево домену в одному лісі (Fabrikam.COM) і якщо реплікація не вдається контролери домену в домені онука (C.B.Contoso.COM), так і в домені (Fabrikam.COM), перевірте, чи безпеки здоров'я між C.B.Contoso.COM і B.Contoso.COM , між B.Contoso.COM і Contoso.COM а потім остаточно між Contoso.COM і Fabrikam.COM.

Якщо скорочені довірчі відношення між призначення доменів, не потрібно перевірити ланцюжок довіри шлях. Замість того, слід перевірити автентичність скорочені довірчі відношення між вихідного домену та призначення.

Перевірте останні зміни пароля безпеки, запустіть таку команду:
Repadmin /showobjmeta * <DN path for TDO in question>
Переконайтеся, що контролер домену призначення імпортованих вхідний, реплікації каталогу розділ для запису домену де безпеки пароль зміни може бути застосовано.

Команди для скидання довіри, з PDC кореневий домен є такими:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Команди для скидання довіри, від дочірнього домену PDC наведено нижче.
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Причина 4: Надмірне косою часу

Параметри політики Kerberos, у політика домену за промовчанням дозволяють п'ять хвилин зміни системного часу, (це значення за промовчанням), в KDC-контролери доменів і серверів Kerberos для запобігання повторних атак. Документацією те, що системного часу клієнта, і, що Kerberos цільової повинно бути протягом п'яти хвилин один від одного. Іншу документацію зазначається, що, в контексті автентифікації Kerberos, Вільний час, що є важливим Дельта KDC, який використовується абонента і Вільний час на цільовому Kerberos. Крім того, Kerberos одно чи часу на контролерів доменів, відповідні відповідає в поточний Вільний час. Це хвилює лише, що відноснорізницю в часі між KDC та цільового контролера домену міститься максимальний Вільний час нахилу Kerberos, що політика дає. (За промовчанням, є п'ять хвилин або менше.)

У зв'язок "один-до-одного" з служба Active Directory дій цільовий сервер, є вихідного контролеру домену, який є зв'язатися з контролером домену призначення. Кожен контролер домену в лісі служба Active Directory, запущено службу KDC-це потенційні KDC. Таким чином, слід враховувати Вільний час точність на всі інші контролери домену з вихідного контролеру домену. Це стосується, Вільний час, на контролері домену призначення, себе.

Перевірити Вільний час точність, можна використовувати два такі команди:
  • Також DCDIAG /TEST:CheckSecurityError
  • W32TM/МОНІТОР
Ви можете знайти приклад зтакож DCDIAG /TEST:CheckSecurityError, у полі "Додаткові відомості"розділу. Цей приклад показує надмірне Вільний час косою на контролерах домену на під керуванням Windows Server 2003 і Windows Server 2008 R2 на базі процесорів.

Знайдіть LSASRV 40960 подій на контролері домену місця призначення в той Вільний час, за відсутності реплікації запит. Подивіться на події, які згадуються у записі CNAME з вихідного контролеру домену з розширеного помилка 0xc000133 GUID. Знайдіть події, які подібні до наведених нижче.
Не відрізняється від часу резервного копіювання-контролер домену або рядовому сервері занадто великий на величину часу на основному контролері домену

Трасування мережі, що захоплення кінцевий комп’ютер-зразок, який підключається до спільної папки з вихідного контролеру домену (а також інші операції) може відображатися на "розширений помилка" на екрані відображається протокол IMAP в той Вільний час як трасування мережі, відображає такі:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
Відповідь TKE_NYVозначає, що проміжок часу, на TGS квиток пізніше ніж на цілі. Це означає, що надмірне Вільний час нахилу.

Примітки
  • W32TM MONITOR, перевірка часу лише на контролерах домену, в області перевірки комп'ютерів, таким чином, необхідно виконати у кожному домені порівняння часу між доменів.
  • Коли ця різниця в часі є занадто великий на контролерах домену під керуванням Windows Server 2008 R2, призначення, за команди Повторити тепер у DSSITE. MSC у роботі з "Немає часу та / або дати різниця між клієнтом і сервером" на екрані помилки. Цей рядок, помилка карти, помилка 1398 десяткове або 0x576 шістнадцяткове з іменемERROR_TIME_SKEW символічне помилки.
Щоб отримати додаткові відомості див. Налаштування годинника синхронізації допуск, для запобігання повторних атак..

Причина 5: Немає неправильний безпеки канал або пароль невідповідність на контролері домену джерело або призначення

Перевірки автентичності канал безпеки, виконавши одну з таких команд:
  • nltest /sc:query
  • Переконайтеся, netdom

За умови скиньте пароль для призначення контролера домену, за допомогою NETDOM /RESETPWD.

Рішення

  1. Вимкніть службу Kerberos ключа центру розповсюдження (KDC), на контролері домену, перезавантаження.
  2. З консолі призначення контролера домену, виконайте NETDOM RESETPWD для скидання пароля для призначення контролера домену, наступним чином:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Переконайтеся, що KDCs, скоріш за все і вихідного контролеру домену (якщо це у межах одного домену) вхідної реплікації знання призначення контролера домену для нового пароля.
  4. Перезавантажте контролер домену призначення для оновлення Kerberos квитків і повторіть операцію реплікації.
Див. Як скинути паролі машини контролера домену за допомогою Netdom.exe.

Причина 6: "Доступ до цього комп'ютера з мережі" право користувача не надається для користувача, який запускає реплікації

За промовчанням інсталяції ОС Windows політика домену посиланням на контролері домену з організації підрозділу (ОП). OUgrants користувачадоступ цей комп’ютер-зразок від мережі, права на такі групи безпеки:
Локальна політикаПолітика домену за промовчанням
АдміністраториАдміністратори
Користувачі з перевіреною автентичністюКористувачі з перевіреною автентичністю
Для всіхДля всіх
Контролери домену підприємстваКонтролери домену підприємства
[Старіших версій Windows 2000 сумісний доступу]Старіших версій Windows 2000 сумісний доступу.
Якщо операції з служба Active Directory не, помилка 5, потрібно перевірити такі моменти:
  • група безпеки, у таблиці отримують право користувачадоступ цей комп’ютер-зразок від мережі , контролера домену за промовчанням політики.
  • Облікових записів комп’ютер-зразок контролером домену, містяться в підрозділу на контролері домену.
  • контролер домену за промовчанням політики пов'язані статтю на контролері домену або альтернативні підрозділи, на яких зберігаються на комп'ютері, облікові запис А бізнес-партнера.
  • Групової політики, застосовані на контролері домену призначення, наразі журналів, помилка 5.
  • Заборонити отримати доступ до цього комп'ютера з мережі користувачеві право увімкнуто, або чи не посилання прямих або перехідних груп, контекст безпеки, який використовується контролером домену, або обліковий запис А комп'ютера користувача, запуску реплікації.
  • Політика пріоритет, заблокованих успадкування, корпорація Майкрософт інструментарій керування Windows (WMI), фільтрація та як не заважає застосування на комп'ютерах під роль контролера домену, настройки політики.

Примітки
  • Можна перевірити параметри політики з RSOP. MSC. exe. Однак GPRESULT /Z , потрібний засіб, тому що точніше.
  • Локальна політика має вищий пріоритет, щодо політики, визначеного у веб-сайтів, доменів і підрозділу.
  • За один раз, протягом адміністратори можуть видалити "контролери домену підприємства" і "Усі" груп, з "Доступ до цього комп'ютера з мережі" політика настройки політики для контролера домену за промовчанням. Однак, видалення груп, як це критична. Існує немає причин, щоб заборонити "Контролери домену підприємства" Установка цю політику, тому, що лише на контролерах домену є членом групи.

Причина 7: Немає SMB цифрового підпису через невідповідність між і кінцевого контролерів домену

Кращий матриця сумісності для підписування SMB, описані в розділах "сумісності матриця" зображення й текст статті бази знань916846. Матриця визначається таким чином чотири параметри, політики та їх еквівалент з системного реєстру.
Параметр політики розділ реєстру
Клієнт мережі Microsoft: із цифровим підписом (за згоди сервера)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Клієнт мережі Microsoft: використовувати із цифровим підписом (завжди)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Сервер мережі Microsoft: із цифровим підписом (за згоди сервера)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Сервер мережі Microsoft: використовувати із цифровим підписом (завжди)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
Ви повинні зосередитися на підписування невідповідності між призначення і джерелом-контролери домену SMB. Класичний випадках пов'язані з ввімкнуто або потрібно з одного боку, але вимкнуто на інший параметр.

Причина 8: Kerberos у форматі UDP-пакет фрагментації

Мережні маршрутизатори й комутатори можуть фрагмент або повністю вхідних повідомлень велику мережу, форматі протоколу користувацьких дейтаграм UDP, пакети, які використовуються автентифікації Kerberos і розширення механізмів для DNS (EDNS0). Комп'ютери під керуванням Windows 2000 Server або Windows Server 2003, операційна система (ОС) родини є особливо вразливі до фрагментації UDP, на комп'ютерах під керуванням Windows Server 2008 або Windows Server 2008 R2.

Рішення
  1. З консолі контролера домену призначення зв'язок з вихідного контролеру домену, за іменем повним іменем комп'ютера для визначення найбільший пакетів, які підтримуються мережний шлях. Для цього, виконайте таку команду:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Якщо максимальний-фрагментацію пакет менше за 1,472 байт, спробуйте один із наведених нижче способів (в порядку):
    • Змініть відповідним чином, підтримку великих UDP-кадрів, інфраструктури мережі. Це може знадобитися, щоб мікропрограми оновлення або настроювання змінити маршрутизатори, комутатори або брандмауерів.
    • Значення maxpacketsize (на контролері домену призначення) величиною пакетів, визначені на команду PING -f-lменше 8 байтів для заголовку TCP і перезавантажте контролер домену, змінено.
    • Вибір maxpacketsize, (на контролері домену призначення) значення 1, це викликає автентифікації Kerberos, для сценарій виконання в TCP. Перезапустіть змінені контролера, щоб зміни набувати чинності.
  3. Повторіть операцію в іншому випадку служба Active Directory.

Причина 9: Мережних адаптерів, мають ввімкнуто функцію розвантаження великих надсилання

Рішення
  1. На контролері домену призначення, відкрийте властивості з мережного адаптера.
  2. Натисніть кнопкукнопку корегувати .
  3. Виберіть вкладку Додатково .
  4. Вимкніть властивість IPv4 великих Offload надсилання .
  5. Перезавантажте контролер домену.

Причина 10: Неприпустимий Kerberos область

Область Kerberos неприпустимий, за однієї або кількох таких умов:
  • запис А реєстру KDCNames неправильно, містить локальне ім'я домену служба Active Directory.
  • розділ реєстру PolAcDmN і PolPrDmN розділ реєстру не відповідає.

Рішення

Увага! Виконуйте інтерактивні елементи, описані в цьому розділі, обережно. Неправильне внесення змін до реєстру може викликати серйозні проблеми. Перш ніж змінювати його, резервної копії реєстру для відновлення на випадок виникнення проблем.

Рішення для запису реєстру неправильні KDCNames
  1. На контролері домену призначення, запустіть REGEDIT.
  2. Знайдіть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Для кожногоFully_Qualified_Domain> підрозділі, переконайтеся, що значення для запису реєстру KdcNames посилається на правильний зовнішньогоKerberos області а не з локальної або іншого домену в одному лісі служба Active Directory.
Рішення для Невідповідні розділи реєстру PolAcDmN і PolPrDmN
Примітка. Цей спосіб є діє лише на контролерах домену під керуванням Windows 2000 Server.
  1. Запустіть редактор реєстру.
  2. В області переходів розгорніть до безпеки.
  3. У меню безпеки , клацніть дозволина надання локальна група домену адміністраторів повний доступ кущ безпеки і її дочірніх контейнерів і об'єктів.
  4. Знайдіть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. У правій області вікна редактора реєстру клацніть наБез імені: запис А реєстру REG_NONE один раз.
  6. У меню " вигляд " натисніть кнопку " Дисплей двійкові дані.".
  7. У розділі Формат у діалоговому вікні натисніть кнопку "байт".

    Ім'я домену відображається як рядок у правій частині Запускач діалогових віконДвійкові дані. Ім'я домену – це так само, як область Kerberos.
  8. Знайдіть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. У правій області вікна редактора реєстру двічі клацніть наБез імені: REG_NONE запис А.
  10. У діалоговому вікні Двійковому редакторі, вставте значення з PolPrDmNregistry підрозділу. (Це значення із PolPrDmN підрозділу реєстру є NetBIOS-имя домена).
  11. Перезавантажте контролер домену.
Якщо контролер домену не функціонує належним чином, див.Інші способи.

Причина 11: Немає сумісності з LAN Manager (LM сумісності) через невідповідність між і кінцевого контролерів домену

Причина 12: Імен учасників служби, або не зареєстровані, або відсутній через затримка простий реплікації або відмова реплікації

Причина 13: Антивірусне Підтримка програмного забезпечення міні-брандмауера, драйвер мережного адаптера фільтр використовує на контролері домену джерело або призначення

Стан
корпорація Майкрософт підтвердила існування цієї неполадки у продуктах Майкрософт, перелічених у розділі "Застосовується до".
Додаткові відомості
Активний каталог помилки та події, як описано в розділі можна також не з помилкою 8453, разом із таких, подібні помилки додаток "ознаки":
Реплікація було доступу.

За таких умов може призвести до операцій служба Active Directory, не з помилкою 8453. Проте такі ситуації не викликає неполадки з помилкою 5.
  • Іменування голова в контексті (NC) не є permissioned з дозволу реплікації змін каталогу.
  • Принципал безпеки початкового реплікації не є членом групи, який надається дозвіл реплікації змін каталогу.
  • Позначки, відсутні в атрибутіUserAccountControl. До них відносяться,SERVER_TRUST_ACCOUNTпозначку таTRUSTED_FOR_DELEGATIONпозначки.
  • контролер домену для читання (RODC) входить в домені, без командиADPREP /RODCPREP, який працює перший.

Приклад формату також DCDIAG /TEST:CheckSecurityError


Приклад з контролера домену Windows Server 2008 R2 також DCDIAG /test:CHECKSECURITYERRORвідповідає. Результат викликано надмірне Вільний час нахилу.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Приклад також DCDIAG /CHECKSECURITYERROR з контролера домену під керуванням Windows Server 2003, слід. Це спричинено надмірне Вільний час нахилу.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Приклад- також DCDIAG /CHECKSECURITYERRORвідповідає. Це показує, що відсутність SPN імен. (Вихід може відрізнятися середовище в середовищі).
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Попередження. Цю статтю переведено автоматично

Thuộc tính

ID Bài viết: 3073945 - Xem lại Lần cuối: 08/23/2015 23:46:00 - Bản sửa đổi: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtuk
Phản hồi