Làm thế nào để khắc phục sự cố Thư mục Họat động nhân lỗi 5 "truy cập bị từ chối" trong Windows Server

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3073945
Bài viết này mô tả hiện tượng này, nguyên nhân và giải quyết tình huống trong đó Thư mục Họat động nhân không witherror 5:
Truy cập bị từ chối
Triệu chứng
Bạn có thể gặp một hoặc nhiều hiện tượng sau khi nhân bản Thư mục Họat động thất bại với lỗi 5.

Hiện tượng 1

Công cụ dòng lệnh Dcdiag.exe báo cáo thử nghiệm nhân bản Thư mục Họat động không thành công với mã trạm đậu lỗi (5). Báo cáo giống như sau:

Kiểm tra máy chủ: Site_Name\Destination_DC_Name
Bắt đầu kiểm tra: nhân bản
* Nhân bản kiểm tra
[Nhân bản kiểm tra,Destination_DC_NameMột đồng gửi tại nỗ lực không thành công:
Từ Source_DC để Destination_DC
Đặt tên bối cảnh: Directory_Partition_DN_Path
Các đồng gửi tạo ra lỗi (5):
Truy cập bị từ chối.
Lỗi xảy ra NgàyGiờ.
Thành công cuối cùng diễn ra NgàyGiờ.
Số lỗi đã xảy ra từ sự thành công cuối cùng.

Hiện tượng 2

Công cụ dòng lệnh Dcdiag.exe báo cáo rằng DsBindWithSpnExthất bại với lỗi 5 bằng cách chạy lệnhDCDIAG /test:CHECKSECURITYERROR .

Hiện tượng 3

Công cụ dòng lệnh REPADMIN.exe báo cáo sao chép lần cuối thất bại với trạm đậu 5.

Lệnh REPADMIN thường trích dẫn trạm đậu 5 bao gồm nhưng không giới hạn sau:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL
Kết quả mẫu từ lệnh REPADMIN /SHOWREPLsau. Kết quả này hiển thị các đồng gửi từDC_2_Name để DC_1_Namethất bại với lỗi "Truy cập bị từ chối".

Site_Name\DC_1_Name
DSA lựa chọn: IS_GC
Tùy chọn trang web: (không có)
DSA các đối tượng GUID: GUID
DSA invocationID: invocationID

=== ĐẾN LÂN CẬN ===
DC =DomainName, DC = com
Site_Name\DC_2_Name qua RPC
DSA các đối tượng GUID: GUID
Lần cuối @ NgàyGiờ không thành công, kết quả 5(0x5):
Truy cập bị từ chối.
<#>failure(s) liên tiếp.
Cuối cùng thành công @ </#>NgàyGiờ.

Hiện tượng 4

Sự kiện NTDS KCC, NTDS chung hoặc Microsoft-Windows-ActiveDirectory_DomainService 5 trạm đậu được ghi trong Nhật ký bản ghi dịch vụ mục tin thư thoại trong trình Trình xem sự kiện.

Bảng sau tổng hợp sự kiện Thư mục Họat động thường trích dẫn trạm đậu 8524.
ID sự kiệnNguồnChuỗi sự kiện
1655NTDS chungThư mục Họat động cố gắng liên lạc với danh mục chung sau và những nỗ lực không thành công.
1925NTDS KCCCố gắng thiết lập kết nhân phân vùng có mục tin thư thoại sau thất bại.
1926NTDS KCCCố gắng để thiết lập phân vùng chỉ đọc mục tin thư thoại sao chép liên kết với các tham số sau thất bại.

Hiện tượng 5

Khi bạn bấm chuột phải vào đối tượng kết nối từ một bộ bộ kiểm soát miền nguồn trong Thư mục Họat động các web site và bản ghi dịch vụ và sau đó chọnSao chép bây giờ, quá trình thất bại và bạn nhận được lỗi sau:

Sao chép bây giờ

Lỗi sau xảy ra trong khi cố gắng đồng bộ hoá đặt tên bối cảnh %tên phân hoạch mục tin thư thoại% kiểm soát miền Nguồn DC để kiểm soát miền Đích DC:
Truy cập bị từ chối.

Thao tác sẽ tiếp tục.

Ảnh chụp màn hình sau thể hiện một mẫu lỗi:


Cách giải quyết khác
Sử dụng tênDCDIAG công cụ dòng lệnh để chạy nhiều thử nghiệm. Sử dụng công cụ dòng lệnh DCDIAG /TEST:CheckSecurityErrorsđể thực hiện kiểm tra cụ thể. (Kiểm tra các bao gồm một phòng kiểm nhập SPN). Chạy thử nghiệm để khắc phục sự cố Thư mục Họat động thao tác nhân thất bại với lỗi 5 và lỗi 8453. Tuy nhiên, xin lưu ý rằng công cụ này chạy như là một phần của việc thực thiDCDIAGmặc định.

Để khắc phục sự cố này, hãy làm theo các bước sau:
  1. Tại dấu kiểm nhắc lệnh, chạy DCDIAG trên bộ điều khiển miền đích.
  2. Chạy DCDAIG /TEST:CheckSecurityError.
  3. Chạy NETDIAG.
  4. Giải quyết bất kỳ lỗi đã được xác định bởiDCDIAGNETDIAG.
  5. Thử lại lỗi đã sao chép hoạt động.
Nếu nhân bản vẫn không thành công, hãy xem phần "Nguyên nhân và giải pháp"phần.


Nguyên nhân và giải pháp
Các nguyên nhân có thể gây lỗi 5. Có một số giải pháp.

Nguyên nhân 1: cài đặt chuyên biệt RestrictRemoteClients trong sổ kiểm nhập có giá trị 2

Nếu thiết đặt chính sách hạn chế RPC không được xác thực máy tính kháchđược kích hoạt và được đặt thànhAuthenticated mà không có ngoại lệ, giá trị kiểm nhập RestrictRemoteClients được đặt thành giá trị 0x2 khoá con kiểm nhập HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC.

Thiết đặt chính sách cho phép chỉ xác thực từ xa quy trình này gọi cho khách hàng (RPC) để kết nối với máy chủ RPC đang chạy trên máy tính có cài đặt chuyên biệt chính sách được áp dụng. Nó không cho phép ngoại lệ. Nếu bạn chọn tuỳ chọn này, một hệ thống không thể nhận cuộc gọi ẩn danh từ xa bằng cách sử dụng RPC. Thiết đặt này sẽ không bao giờ được áp dụng cho bộ điều khiển miền.

Giải pháp
  1. Vô hiệu hoá thiết đặt chính sách hạn chế đối với khách hàng không được xác thực RPChạn chế giá trị kiểm nhậpRestrictRemoteClients2.

    Lưu ý Thiết đặt chính sách nằm trong đường dẫn sau:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. Xoá thiết đặt kiểm nhập RestrictRemoteClients, và sau đó khởi động lại.
Xem Hạn chế không được xác thực máy tính khách RPC: chính sách nhóm đấm miền của bạn ở mặt.

Nguyên nhân 2: cài đặt chuyên biệt CrashOnAuditFail trong sổ kiểm nhập điều khiển miền đích có giá trị 2

Giá trị CrashOnAduitFail2 được kích hoạt nếu các kiểm tra: tắt hệ thống ngay lập tức nếu không thể kí nhập kiểm tra bảo mậtthiết đặt chính sách nhóm chính sách được bật và Nhật ký sự kiện bảo mật cục bộ có đầy đủ.

Bộ bộ kiểm soát miền Thư mục Họat động đặc biệt dễ bị Nhật ký bảo mật tối đa năng lực khi kiểm tra được kích hoạt và kích thước của Nhật ký sự kiện bảo mật bị hạn chếkhông ghi đè các sự kiện (xóa Nhật ký tự)và tuỳ chọn ghi đè lên cần thiếttrong trình Trình xem sự kiện hoặc tương đương chính sách nhóm.

Giải pháp

Quan trọng Làm theo các bước trong phần này một cách cẩn thận. Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ kiểm nhập không đúng. Trước khi bạn sửa đổi sao lưu sổ kiểm nhập để khôi phục trong trường hợp xảy ra sự cố.
  1. Xóa Nhật ký sự kiện bảo mật, và lưu nó vào vị trí khác theo yêu cầu.
  2. Tái thẩm định bất kỳ giới hạn kích thước vào Nhật ký sự kiện bảo mật. Điều này bao gồm cài đặt chuyên biệt dựa trên chính sách.
  3. Xoá và sau đó tái tạo mục kiểm nhập CrashOnAuditFail như sau:
    Khoá con đăng ký: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Tên giá trị: CrashOnAuditFail
    Loại giá trị: REG_DWORD
    Dữ liệu giá trị: 1
  4. Khởi động lại bộ điều khiển miền đích.
Để biết thêm thông tin, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:

Nguyên nhân 3: Tin tưởng không hợp lệ

Nếu nhân bản Thư mục Họat động không giữa các bộ điều khiển miền trong khácmiền, bạn nên kiểm tra của mối quan hệ tin cậy cùng đường tin cậy.

Bạn có thể thử quan hệ tin cậy NetDiagthử nghiệm để kiểm tra chia độ tin cậy. Tiện ích Netdiag.exe xác định độ tin cậy bị hỏng bằng cách hiển thị văn bản sau:
Kiểm tra mối quan hệ tin cậy.... : Thất bại
Kiểm tra để đảm bảo DomainSid miền 'domainname' đúng.
[NGHIÊM TRỌNG] Kênh an toàn miền 'domainname' bị hỏng.
[%Mã trạm đậu khác nhau%]

Ví dụ: nếu bạn có một nhóm nhiều miền có một tên miền gốc (Contoso.COM), miền con (B.Contoso.COM), cháu miền (C.B.Contoso.COM) và vùng cây trong cùng một nhóm (Fabrikam.COM) và nếu nhân bản không giữa bộ kiểm soát miền trong miền cháu (C.B.Contoso.COM) và vùng cây (Fabrikam.COM), bạn nên kiểm tra y tế tin cậy giữa C.B.Contoso.COM và B.Contoso.COM , giữa B.Contoso.COM và Contoso.COM, sau đó cuối cùng giữa Contoso.COM và Fabrikam.COM.

Nếu một lối tắt tin cậy giữa các miền đích, bạn không phải kiểm tra đường dẫn chuỗi tin cậy. Thay vào đó, bạn phải xác nhận tin cậy lối tắt đến và nguồn miền.

Kiểm tra để thay đổi mật khẩu mới tin cậy bằng cách chạy lệnh sau:
Repadmin /showobjmeta * <DN path for TDO in question>
Xác minh rằng bộ điều khiển miền đích đến nhân sao chép phân hoạch mục tin thư thoại có tên miền mà thay đổi mật khẩu tin cậy có thể có hiệu lực.

Lệnh lại độ tin cậy từ gốc PDC là như sau:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
Lệnh lại độ tin cậy miền con PDC là như sau:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Nguyên nhân 4: Quá nhiều thời gian nghiêng

Thiết đặt chính sách Kerberos trong chính sách miền mặc định cho phép cho một sự khác biệt năm phút thời gian hệ thống (đây là giá trị mặc định) giữa KDC bộ kiểm soát miền và máy chủ đích Kerberos ngăn lại tấn công. Một số tài liệu nói rằng khi hệ thống máy tính khách và là mục tiêu Kerberos phải trong vòng năm phút một khác. Tiểu bang tài liệu khác, trong ngữ cảnh của xác thực Kerberos, đó là quan trọng là lệch giữa KDC được sử dụng bởi người gọi và thời gian trên Kerberos đích. Ngoài ra, Kerberos không quan tâm xem thời gian hệ thống trên bộ điều khiển miền có liên quan phù hợp với tất cả thời gian. Nó quan tâm chỉ có bản thânthời gian khác nhau giữa các bộ điều khiển miền KDC và mục tiêu là trong thời gian tối đa skew đó Kerberos chính sách cho phép. (Thời gian mặc định là 5 phút hoặc ít hơn.)

Trong ngữ cảnh hoạt động Thư mục Họat động, máy chủ đích là bộ kiểm soát miền nguồn được liên lạc với bộ điều khiển miền đích. Tất cả bộ điều khiển miền trong một nhóm Thư mục Họat động hiện đang chạy bản ghi dịch vụ KDC là KDC tiềm năng. Do đó, bạn phải xem xét thời gian chính xác trên tất cả các bộ điều khiển miền với bộ bộ kiểm soát miền nguồn. Điều này bao gồm thời gian trên bộ điều khiển miền đích chính nó.

Bạn có thể sử dụng hai lệnh sau đây để kiểm tra độ chính xác thời gian:
  • DCDIAG /TEST:CheckSecurityError
  • W32TM/GIÁM SÁT
Bạn có thể tìm thấy kết quả mẫuDCDIAG /TEST:CheckSecurityErrortrong phần "Thông tin"phần. Mẫu này hiển thị quá nhiều thời gian skew trên bộ điều khiển dựa trên Windows Server 2008 R2 và Windows Server 2003 dựa trên miền.

tra cứu LSASRV 40960 sự kiện trên bộ điều khiển miền đích tại thời điểm thất bại yêu cầu sao chép. tra cứu sự kiện trích dẫn GUID trong bản ghi CNAME của bộ bộ kiểm soát miền nguồn với lỗi mở rộng 0xc000133. tra cứu sự kiện giống như sau:
Khi điều khiển miền chính là khác nhau hơn khi sao lưu bộ điều khiển miền hoặc máy chủ thành viên của một lượng quá lớn

dấu kiểm vết mạng chụp máy tính đích kết nối với một cặp dùng chung trên bộ bộ kiểm soát miền nguồn (và các hoạt động) có thể hiển thị các "mở rộng đã xảy ra lỗi" trên màn hình lỗi, trong khi theo dõi mạng Hiển thị như sau:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
Trả lời TKE_NYVchỉ ra rằng phạm vi ngày trên vé đội mới hơn khi mục tiêu. Điều này cho thấy quá nhiều thời gian skew.

Lưu ý:
  • W32TM MONITORkiểm tra thời gian trên bộ điều khiển miền trong miền máy tính thử nghiệm, vì vậy bạn có thể chạy trong từng miền và so sánh thời gian giữa các tên miền.
  • Khi thời gian khác nhau được quá lớn trên bộ điều khiển miền dựa trên Windows Server 2008 R2 đích, lệnh tái tạo hiện tại DSSITE. MSC không thành công với các "Không có thời gian và / hoặc ngày sự khác biệt giữa máy tính khách và máy chủ" trên màn hình lỗi. Chuỗi lỗi này bản đồ lỗi 1398 thập phân hoặc thập lục phân với tên biểu tượng lỗiERROR_TIME_SKEW 0x576.
Để biết thêm thông tin, hãy xem Thiết đặt đồng hồ đồng bộ hoá khả năng chịu để ngăn chặn lại tấn công.

Nguyên nhân 5: Có một không khớp kênh hoặc mật khẩu bảo mật không hợp lệ trên bộ bộ kiểm soát miền nguồn hoặc đích

Kiểm tra bảo mật kênh bằng cách chạy một trong các lệnh sau:
  • nltest /sc:query
  • kiểm tra netdom

Điều kiện, đặt lại mật khẩu bộ điều khiển miền đích bằng cách sử dụng NETDOM /RESETPWD.

Giải pháp

  1. Vô hiệu hoá bản ghi dịch vụ trung tâm phân phối Kerberos khoá (KDC) trên bộ điều khiển miền được khởi động lại.
  2. Từ bàn điều khiển bộ điều khiển miền đích, chạy NETDOM RESETPWD để đặt lại mật khẩu cho bộ điều khiển miền đích như sau:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. Đảm bảo rằng có khả năng KDCs và bộ bộ kiểm soát miền nguồn (nếu đó là trong cùng một miền) đến bản kiến thức của bộ điều khiển miền đích mật khẩu mới.
  4. Khởi động lại bộ điều khiển miền đích để cập nhật vé Kerberos và thử lại thao tác nhân bản.
Xem Làm thế nào để sử dụng Netdom.exe để đặt lại mật khẩu tài khoản máy tính của bộ điều khiển miền.

Nguyên nhân 6: Người dùng "Truy nhập máy tính này từ mạng" phải không được cấp cho người dùng đã kích hoạt đồng gửi

Trong cài đặt chuyên biệt mặc định của Windows, chính sách điều khiển miền mặc định được liên kết với bộ điều khiển miền đơn vị tổ chức (OU). OUgrants người dùngtruy nhập máy tính này từ mạngphải nhóm bảo mật sau:
Chính sách cục bộChính sách kiểm soát miền mặc định
Quản trị viênQuản trị viên
Xác thực người dùngXác thực người dùng
Mọi ngườiMọi người
Bộ điều khiển miền của doanh nghiệpBộ điều khiển miền của doanh nghiệp
[Pre-Windows 2000 truy cập tương thích]Truy cập tương hợp về sau pre-Windows 2000
Nếu Thư mục Họat động hoạt động không thành công với lỗi 5, bạn nên kiểm tra các điểm sau:
  • nhóm bảo mật trong bảng được phéptruy nhập máy tính này từ mạng dùng bộ điều khiển miền mặc định chính sách.
  • Tài khoản máy điều khiển được tính toán miền được đặt trong bộ điều khiển miền đơn vị tổ chức.
  • Bộ điều khiển miền mặc định chính sách được liên kết đơn vị tổ chức của bộ bộ kiểm soát miền hoặc thay thế anh đang lưu trữ tài khoản máy tính.
  • chính sách nhóm được áp dụng trên bộ điều khiển miền đích hiện bản ghi lỗi 5.
  • Từ chối truy nhập vào máy tính này từ mạng người dùng phải được kích hoạt hoặc không không tham chiếu trực tiếp hoặc động từ nhóm là bối cảnh bảo mật được sử dụng bộ điều khiển miền hoặc tài khoản người dùng kích hoạt đồng gửi đó.
  • Chính sách ưu, bị thừa kế, Microsoft phương tiện quản lý Windows (WMI) lọc hoặc như không ngăn thiết đặt chính sách từ việc áp dụng cho máy tính vai trò bộ điều khiển miền.

Lưu ý:
  • Thiết đặt chính sách có thể được xác thực với RSOP. Công cụ MSC. Tuy nhiên, GPRESULT /Z là công cụ ưa thích vì nó là chính xác hơn.
  • Chính sách cục bộ có ưu tiên trong chính sách được xác định trong web site, tên miền và đơn vị tổ chức.
  • Một lần là phổ biến cho quản trị viên để loại bỏ các "doanh nghiệp bộ kiểm soát miền" và "Tất cả" nhóm từ thiết đặt chính sách "Truy cập vào máy tính này từ mạng" trong chính sách của bộ kiểm soát miền mặc định. Tuy nhiên, loại bỏ nhóm hai là nghiêm trọng. Không có lý do để loại bỏ "Bộ kiểm soát miền doanh nghiệp" thiết lập chính sách này, do bộ điều khiển miền chỉ là thành viên của nhóm này.

Nguyên nhân 7: Có một không phù hợp ký SMB giữa nguồn và đích bộ kiểm soát miền

Ma trận tương hợp về sau tốt nhất để kiểm nhập SMB được ghi lại trong đồ họa và văn bản "tương tác ma trận" phần của bài viết cơ sở kiến thức916846. Ma trận được xác định bằng bốn thiết đặt chính sách kiểm nhập dựa trên tương đương như sau.
Thiết đặt chính sách Đường dẫn kiểm nhập
Microsoft mạng máy khách: kí liên lạc (nếu máy chủ đồng ý)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft mạng máy khách: kí liên lạc (luôn luôn)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Máy chủ mạng Microsoft: kí liên lạc (nếu máy chủ đồng ý)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Máy chủ mạng Microsoft: kí liên lạc (luôn luôn)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
Bạn nên tập trung vào SMB đăng mismatches giữa các đích và bộ bộ kiểm soát miền nguồn. Các trường hợp cổ điển bao gồm một thiết đặt cho phép hoặc yêu cầu một bên nhưng tắt các.

Nguyên nhân 8: Định dạng UDP Kerberos gói phân mảnh

Bộ định tuyến mạng và chuyển mạch có thể đoạn hoặc hoàn toàn thả lớn định dạng sử dụng gói giao thức UDP mạng gói được sử dụng Kerberos và cơ chế mở rộng cho DNS (EDNS0). Máy tính đang chạy Windows 2000 Server hoặc Windows Server 2003 hệ điều hành họ là đặc biệt dễ bị phân mảnh UDP trên máy tính đang chạy Windows Server 2008 hoặc Windows Server 2008 R2.

Giải pháp
  1. Từ bàn điều khiển bộ điều khiển miền đích, ping bộ bộ kiểm soát miền nguồn bằng tên đầy đủ tính xác định gói lớn hỗ trợ đường mạng. Để thực hiện việc này, hãy chạy lệnh sau:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. Nếu không phân mảnh gói lớn hơn 1.472 byte, hãy thử một trong các phương pháp sau (theo thứ tự ưu tiên):
    • Thay đổi cơ sở hạ tầng mạng thích hợp hỗ trợ lớn UDP khung. Điều này có thể yêu cầu phần mềm nâng cấp hoặc cấu hình thay đổi trên bộ định tuyến, chuyển mạch hoặc tường lửa.
    • Thiết lập maxpacketsize (trên bộ điều khiển miền đích) lớn gói xác định bằng lệnh PING -f-lít byte 8 tài khoản mục Giao thức Kiểm soát Truyền, và sau đó khởi động lại bộ điều khiển miền thay đổi.
    • Thiết lập maxpacketsize (trên bộ điều khiển miền đích) giá trị 1này kích hoạt xác thực Kerberos sử dụng Giao thức Kiểm soát Truyền một. Khởi động lại bộ điều khiển miền thay đổi để thay đổi có hiệu lực.
  3. Thử lại thao tác thất bại Thư mục Họat động.

Nguyên nhân 9: bộ thích ứng mạng có tính năng lớn gửi Offload hỗ trợ

Giải pháp
  1. Bộ điều khiển miền đích, mở thuộc tính bộ thích ứng mạng.
  2. Bấmnút chọn một cấu hình .
  3. Chọn tab nâng cao .
  4. Vô hiệu hoá các thuộc tính IPv4 lớn gửi Offload .
  5. Khởi động lại bộ điều khiển miền.

Nguyên nhân 10: không hợp lệ Kerberos lĩnh vực

Lĩnh vực Kerberos không hợp lệ nếu một hoặc nhiều điều kiện sau là đúng:
  • KDCNames mục kiểm nhập không đúng cách có tên địa phương của Thư mục Họat động.
  • Khoá kiểm nhập PolAcDmN và PolPrDmN khoá kiểm nhập không khớp.

Giải pháp

Quan trọng Làm theo các bước trong phần này một cách cẩn thận. Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ kiểm nhập không đúng. Trước khi bạn sửa đổi sao lưu sổ kiểm nhập để khôi phục trong trường hợp xảy ra sự cố.

Giải pháp cho các mục kiểm nhập không đúng KDCNames
  1. Bộ điều khiển miền đích, chạy REGEDIT.
  2. Định vị khoá con sau trong sổ đăng ký:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Đối với mỗiFully_Qualified_Domain> trong con, xác minh rằng giá trị cho mục kiểm nhập KdcNames tham chiếu ngoài hợp lệKerberos lĩnh vực chứ không phải miền địa phương hoặc các tên miền khác trong cùng một nhóm Thư mục Họat động.
Giải pháp cho mismatching PolAcDmN và PolPrDmN khoá kiểm nhập
Lưu ý: Phương pháp này có hiệu lực cho bộ bộ kiểm soát miền đang chạy Windows 2000 Server.
  1. Khởi động Trình soạn Sổ đăng ký.
  2. Trong ngăn điều hướng, mở rộng bảo mật.
  3. Trên menu công cụ bảo mật , bấm quyềnmức gộp nhóm quản trị cục bộ kiểm soát hoàn toàn Trung tâm bảo mật của bộ chứa con và đối tượng.
  4. Định vị khoá con sau trong sổ đăng ký:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. Trong ngăn bên phải của Registry Editor, bấm vàoKhông tên: Mục kiểm nhập REG_NONE một lần.
  6. Trên menu xem , nhấp vào Hiển thị dữ liệu nhị phân.
  7. Trong định dạng của hộp thoại, bấmByte.

    Tên miền được hiển thị như là một chuỗi ở phía bên phải của hộp thoạiDữ liệu nhị phân. Tên miền có giống như các lĩnh vực Kerberos.
  8. Định vị khoá con sau trong sổ đăng ký:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. Trong ngăn bên phải của Registry Editor, bấm đúp vàoKhông tên: Mục REG_NONE.
  10. Trong hộp thoại Binary Editor, dán giá trị từ con PolPrDmNregistry. (Giá trị từ khoá con kiểm nhập PolPrDmN là tên NetBIOS).
  11. Khởi động lại bộ điều khiển miền.
Nếu bộ điều khiển miền không hoạt động đúng cách, hãy xemphương pháp khác.

Nguyên nhân 11: Có một tương hợp về sau LAN Manager (LM tương thích) không phù hợp giữa các nguồn và đích bộ kiểm soát miền

Nguyên nhân 12: Tên bản ghi dịch vụ chính là không kiểm nhập hoặc không có do độ trễ đơn giản sao chép hoặc không nhân bản

Nguyên nhân 13: Phần mềm chống vi-rút sử dụng một tường lửa nhỏ điều khiển bộ lọc bộ thích ứng mạng trên bộ bộ kiểm soát miền nguồn hoặc đích

Tình trạng
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin thêm
Thư mục Họat động lỗi và như được mô tả trong phần "triệu chứng" phần cũng có thể thất bại với lỗi 8453 cùng với chuỗi lỗi sau, tương tự như:
Nhân bản truy cập bị từ chối.

Các tình huống sau đây có thể gây ra hoạt động không thành công với lỗi 8453 Thư mục Họat động. Tuy nhiên, các trường hợp này không làm thất bại với lỗi 5.
  • Đặt tên đầu bối cảnh (NC) không permissioned với sự cho phép sao chép thay đổi mục tin thư thoại.
  • Sao chép khởi động chính bảo mật không phải là thành viên của một nhóm được mức cấp phép sao chép thay đổi mục tin thư thoại.
  • Cờ bị thiếu trong thuộc tínhUserAccountControl. Điều này bao gồmSERVER_TRUST_ACCOUNTcờ và cờTRUSTED_FOR_DELEGATION.
  • Bộ điều khiển miền chỉ đọc (RODC) được tham gia trong miền mà không có lệnhADPREP /RODCPREPdòng đầu trang tiên.

Kết quả mẫu từ DCDIAG /TEST:CheckSecurityError


Mẫu DCDIAG /test:CHECKSECURITYERRORra khỏi bộ kiểm soát miền Windows Server 2008 R2 sau. Kết quả này là do quá nhiều thời gian skew.

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
Mẫu DCDIAG /CHECKSECURITYERROR ra khỏi bộ kiểm soát miền Windows Server 2003 dựa trên sau. Điều này là do quá nhiều thời gian skew.
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
Mẫu DCDIAG /CHECKSECURITYERRORra sau. Nó cho thấy thiếu SPN tên. (Kết quả có thể thay đổi từ môi trường môi trường)
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3073945 - Xem lại Lần cuối: 08/23/2015 23:47:00 - Bản sửa đổi: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtvi
Phản hồi