您目前已離線,請等候您的網際網路重新連線

如何疑難排解 Active Directory 複寫錯誤 5 「 存取被拒 」 在 Windows Server 中

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3073945
本文說明的徵狀、 原因和解決方法中的 Active Directory 複寫失敗 witherror 5 的情況下:
存取被拒
徵狀
您可能會遇到下列一或多個下列的徵狀,當 Active Directory 的複寫失敗,錯誤 5。

徵狀 1

Dcdiag.exe 命令列工具會報告 Active Directory 的複寫測試失敗,錯誤狀態碼為 (5)。報表類似下列:

測試的伺服器: 網站名稱\Destination_DC_Name
開始測試: 複寫
* 複寫檢查
[複寫檢查,Destination_DC_Name] 的最近使用的複寫嘗試失敗:
Source_DC 若要 Destination_DC
命名內容: Directory_Partition_DN_Path
複寫已產生錯誤 (5):
存取被拒。
在發生失敗 日期時間.
上次的成功發生於 日期時間.
數字 上次的成功之後發生失敗。

徵狀 2

Dcdiag.exe 命令列工具會報告執行DCDIAG /test:CHECKSECURITYERROR命令週期DsBindWithSpnEx函式會失敗,錯誤 5。

徵狀 3

REPADMIN.exe 命令列工具會報告一次複寫嘗試失敗,狀態 5。

經常引用狀態 5 的REPADMIN命令包括但不是限於下列:
  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN 進行
  • REPADMIN /SYNCALL
REPADMIN /SHOWREPL命令輸出的範例如下。此輸出內容顯示從傳入複寫DC_2_Name 若要 DC_1_Name如果再次失敗,發生 「 拒絕存取 」 錯誤。

網站名稱\DC_1_Name
DSA 選項: IS_GC
站台選項: (無)
DSA 物件 GUID: GUID
DSA 呼叫識別碼: 呼叫識別碼

=== 輸入的芳鄰 ===
DC =網域名稱DC = com
網站名稱\DC_2_Name 經由 RPC
DSA 物件 GUID: GUID
上一次的嘗試 @ 日期時間 失敗,會產生 5(0x5):
存取被拒。
<#>個連續的失敗。
上次成功 </#>日期時間.

徵狀 4

目錄服務記錄檔中的事件檢視器] 會將 NTDS KCC、 NTDS 一般或 Microsoft-Windows-ActiveDirectory_DomainService 5 的狀態事件記錄下來。

下表摘述經常引用 8524 狀態的 Active Directory 事件。
事件識別碼來源事件字串
1655NTDS 一般Active Directory 嘗試與下列的通用類別目錄,並嘗試已失敗。
1925NTDS KCC嘗試建立下列的可寫入的目錄磁碟分割的複寫連結失敗。
1926NTDS KCC嘗試建立唯讀目錄磁碟分割的複寫連結,使用下列參數失敗。

徵狀 5

當您從來源網域控制站在 Active Directory 站台及服務的連線物件上按一下滑鼠右鍵,然後選取 [立即複寫時,程序失敗,而您會收到下列錯誤:

立即複寫

嘗試同步處理的命名內容 %時,發生以下錯誤目錄磁碟分割名稱從網域控制站的 % 來源 DC 網域控制站 目的 DC:
存取被拒。

將不會繼續作業。

下列螢幕擷取畫面表示錯誤的範例:


其他可行方案
使用泛型DCDIAG 若要執行多個測試的命令列工具。您可以使用DCDIAG /TEST:CheckSecurityErrors命令列工具,執行特定測試。(這些測試包括的 SPN 登錄檢查)。執行測試,以疑難排解 Active Directory 作業導致複寫失敗與錯誤 5 錯誤 8453。不過,請注意這項工具不會執行預設的執行DCDIAG的一部分。

若要解決這個問題,請依照下列步驟執行:
  1. 在命令提示字元中,請在目的地網域控制站上執行DCDIAG
  2. 執行DCDAIG /TEST:CheckSecurityError
  3. 執行NETDIAG
  4. 解析程式DCDIAGNETDIAG找出任何錯誤。
  5. 先前失敗再試一次複寫操作。
如果複寫繼續失敗,請參閱"原因和解決方案> 一節。


原因和解決方案
下列原因可能會導致錯誤 5。其中一些都有解決方案。

原因 1: 在登錄中的 [RestrictRemoteClients] 設定的值為 2

如果未驗證的 RPC 用戶端的限制原則設定已啟用,且設定為 [無例外下的驗證,則會將 RestrictRemoteClients 的登錄值設定為0x2 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC 登錄子機碼中的值。

這個原則設定啟用只已驗證的遠端程序呼叫 (RPC) 用戶端連線到在其套用原則設定的電腦執行的 RPC 伺服器。它不允許例外狀況。如果您選取此選項時,系統就無法使用 RPC 來接收遠端匿名呼叫。此設定應該永遠不會套用到網域控制站中。

方案
  1. 停用未經驗證的 RPC 用戶端的限制原則設定,會將RestrictRemoteClients登錄值限制為2

    附註這項原則設定位於下列路徑:
    Computer Configuration\Administrative Templates\System\Remote Procedure Call\Restrictions for Unauthenticated RPC clients

  2. 刪除RestrictRemoteClients的登錄設定值,並重新啟動。
請參閱 未驗證的 RPC 用戶端的限制: punches 您在面臨的網域群組原則.

原因 2: 在目的地網域控制站的登錄中的 [CrashOnAuditFail] 設定的值為 2

如果CrashOnAduitFail值為2會觸發稽核: 當無法記錄安全性稽核時,立即關機系統啟用群組原則中的原則設定,且本機安全性事件記錄檔已滿。

當啟用 [稽核及安全性事件記錄檔的大小會受到不會覆寫的事件 (手動清除記錄),並視需要覆寫事件檢視器中的選項或其群組原則對等用法時,使用中的目錄網域控制站是特別容易最大容量的安全性記錄檔。

方案

重要仔細遵循本章節中的步驟。如果您不當修改登錄,可能會發生嚴重的問題。在修改前 備份還原登錄 以免發生問題。
  1. 清除安全性事件記錄檔中,並將它儲存到其他位置所需。
  2. 重新評估任何安全性事件記錄檔的大小限制。這包括以原則為依據的設定。
  3. 刪除,然後再重新建立,如下所示 CrashOnAuditFail 登錄項目:
    登錄子機碼: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    數值名稱: CrashOnAuditFail
    實值型別: REG_DWORD
    數值資料: 1
  4. 重新啟動目的地網域控制站。
如需詳細資訊,請參閱下列文件的 「 Microsoft 知識庫 」 中的文:

原因 3: 無效的信任

如果在不同的網域控制站之間就會失敗 Active Directory 複寫網域,您應該驗證信任關係,信任路徑的健全狀況。

您可以嘗試 NetDiag 信任關係測試,來檢查中斷的信任。Netdiag.exe 公用程式會識別中斷的信任,藉由顯示下列文字:
信任關係測試。 執行: 失敗
測試,以確保網域的 DomainSid '網域名稱' 是否正確。
[嚴重]網域的安全通道 '網域名稱' 已被破壞。
[%變數的狀態碼%]

例如,如果您有多網域樹系包含一個根網域 (Contoso.COM)、 子網域 (B.Contoso.COM)、 後代子網域 (C.B.Contoso.COM),以及樹狀目錄中的網域相同的樹系 (Fabrikam.COM) 和後代子網域 (C.B.Contoso.COM) 中的網域控制站和樹狀目錄網域 (Fabrikam.COM) 之間如果失敗的複寫時,您應該驗證信任的健全狀況,C.B.Contoso.COM 和 B.Contoso.COM 之間B.Contoso.COM 之間 Contoso.COM,然後最後 Contoso.COM 和 Fabrikam.COM 之間。

如果目的地網域之間,存在捷徑信任,您就不需要驗證的信任路徑鏈結。相反地,您應該驗證目的和來源網域之間的捷徑信任。

執行下列命令,檢查最近信任的密碼變更:
Repadmin /showobjmeta * <DN path for TDO in question>
請確認目的地網域控制站可轉移複寫可寫入的網域目錄磁碟分割輸入信任密碼變更可能才會生效。

若要重設信任從根網域 PDC 的命令如下所示:
netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay
若要重設信任來自子網域 PDC 的命令如下所示:
netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

原因 4: 過多的時間差異

在 [預設網域原則中的 Kerberos 原則設定允許 (這是預設值) 的系統時間的五分鐘差異 KDC 網域控制站之間 Kerberos 目標伺服器來預防轉送攻擊。某些文件中聲明,用戶端的系統時間而且的 Kerberos 目標必須是另一個的五分鐘內。其他文件中聲明,在內容中的 Kerberos 驗證,是很重要的時間是呼叫端由 KDC 和 Kerberos 目標上的時間之間的差異。此外,Kerberos 並不會管相關的網域控制站上的系統時間是否符合目前的時間。在乎只,相對於是扭曲的最長時間內該 Kerberos 原則允許的 KDC 和目標網域控制站的時間差異。(預設時間是 5 分鐘或更少。)

在使用中的目錄操作的內容中,目標伺服器是由目的地網域控制站連線的來源網域控制站。目前正在執行 KDC 服務 Active Directory 樹系中的每個網域控制站是潛在的 KDC。因此,您必須考慮時間在來源網域控制站對所有其他網域控制站上的正確度。這包括在目的地網域控制站本身的時間。

您可以使用下列兩個命令,來檢查時間正確性:
  • DCDIAG /TEST:CheckSecurityError
  • W32TM/監視
您可以找到範例輸出中的DCDIAG /TEST:CheckSecurityError從"更多的資訊> 一節。這個範例會示範過多的時間扭曲 Windows Server 2003 與 Windows Server 2008 R2 為基礎的網域控制站上。

尋找出現 LSASRV 40960 事件,在目的地網域控制站上的一次失敗的複寫要求。尋找引用的 GUID 的延伸錯誤 0xc000133 與來源網域控制站的 CNAME 記錄的事件。看起來如下所示的事件:
網域主控制站的時間是不同的時間備份網域控制站或成員伺服器相差太大

擷取目的電腦連線到來源網域控制站 (以及其他作業) 上的共用資料夾的網路追蹤可能會顯示 「 發生延伸的錯誤 」 螢幕上的錯誤,而網路追蹤會顯示下列:
-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC <- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS response where "KRB_AP_ERR_TKE_NYV<- maps to "Ticket not yet valid"                                                                                                                                  <-  maps to "Ticket not yet valid"
TKE_NYV回應表示 TGS 票證的日期範圍內是比目標電腦上的時間。這表示過多的時間差異。

注意事項
  • 所以您不必執行此程序中每個網域,並比較兩個網域之間的時間, W32TM MONITOR就會檢查只在測試電腦網域中的網域控制站上的時間。
  • 當時間差異是太大而無法在 Windows Server 2008 R2 為基礎的目的地網域控制站,在 DSSITE 中的 [立即複寫] 指令。MSC 失敗並且出現 「 有 」 用戶端與伺服器之間的時間和/或日期的差異螢幕上錯誤。這個錯誤的字串對應至錯誤 1398年十進位或十六進位ERROR_TIME_SKEW符號錯誤同名的 0x576。
如需詳細資訊,請參閱 若要防止重新執行攻擊的設定時鐘同步處理容錯.

有來源或目的地網域控制站上是不正確的安全性通道或密碼不相符的原因 5:

驗證安全性通道,藉由執行下列命令之一:
  • nltest /sc:query
  • netdom 確認

在 [條件],重設使用NETDOM /RESETPWD的目的地網域控制站的密碼。

方案

  1. 停用 Kerberos 金鑰發佈中心 (KDC) 服務重新啟動網域控制站上。
  2. 從目的網域控制站的主控台,執行NETDOM RESETPWD重設目的地網域控制站的密碼,如下所示:
    c:\>netdom resetpwd /server: server_name /userd: domain_name\administrator /passwordd: administrator_password
  3. 請確定在可能的 Kdc 與來源網域控制站 (如果這些是相同網域中) 輸入複寫的目的地網域控制站的新密碼的知識。
  4. 重新啟動目的地網域控制站,來更新 Kerberos 票證,並再試一次複寫操作。
請參閱 如何使用 Netdom.exe 來重設機器的網域控制站的帳戶密碼。.

原因 6: 「 這台電腦從網路存取 」 使用者權限並未授與使用者觸發複寫

在預設安裝的 Windows 中,預設網域控制站原則會連結到網域控制站的組織單位 (OU)。OUgrants存取這台電腦從網路使用者,從右至下列的安全性群組中:
本機原則預設網域控制站原則
系統管理員系統管理員
已驗證的使用者已驗證的使用者
每一個人每一個人
企業網域控制站企業網域控制站
[Windows 2000 前版相容的存取]Windows 2000 前版相容的存取
如果 Active Directory 作業失敗,錯誤碼為 5,您應該確認下列各點:
  • 在資料表中的安全性群組會授與存取這台電腦從網路的使用者權限,在 [預設網域控制站的原則。
  • 網域控制站電腦帳戶都位於網域控制站的 OU。
  • 預設網域控制站的原則會連結到網域控制站的 OU 或替代裝載電腦帳戶的 Ou。
  • 群組原則會套用至目前記錄錯誤 5 的目的地網域控制站。
  • 拒絕存取從網路的這台電腦] 使用者權限已啟用,或沒有網域控制站所使用的安全性內容不參照直接或可轉移群組或使用者帳戶觸發複寫。
  • 原則優先順序、 封鎖的繼承、 Microsoft Windows 管理檢測 (WMI) 篩選,或其他類似不讓這項原則設定套用到網域控制站角色的電腦。

注意事項
  • 使用 RSOP,都可以驗證原則設定。MSC 工具。不過, GPRESULT /Z是慣用的工具,因為它是更精確。
  • 本機原則的優先於站台、 網域及 OU 中所定義的原則。
  • 一次就是很常見的系統管理員若要移除的 「 企業網域控制站 」 和 「 每個人 」 群組從 「 從網路存取這台電腦 」 原則設定,在 [預設網域控制站的原則。不過,要移除兩個群組是嚴重威脅。沒有任何理由,若要移除 「 企業網域控制站"這個原則設定,因為只有網域控制站是此群組的成員。

解決原因 7: 沒有 SMB 簽章不相符的來源和目的地網域控制站

最佳的相容性矩陣,用於 SMB 簽章會說明圖形和文字 「 交互操作性矩陣 > 兩節的知識庫文件916846.矩陣是由四個原則設定和其登錄為基礎的對等用法,如下所示定義。
原則設定 登錄路徑
Microsoft 網路用戶端: 數位簽章的通訊 (如果伺服器同意)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft 網路用戶端: 數位簽章通訊 (自動)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft 網路伺服器: 數位簽章的通訊 (如果伺服器同意)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft 網路伺服器: 數位簽章通訊 (自動)HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature
您應該注重 SMB 簽章的目的和來源網域控制站間的不相符。傳統的情況下都牽涉到的為啟用或需要某一邊但停用在其他的設定。

原因 8: UDP 格式化 Kerberos 封包片段

網路路由器及交換器可能片段,或完全卸除的 Kerberos 和擴充機制用於 DNS (EDNS0) 的使用者資料包通訊協定的 UDP 格式化的大型網路封包。正在執行 Windows 2000 伺服器或 Windows Server 2003 作業系統系列的電腦受到特別是在執行 Windows Server 2008 或 Windows Server 2008 R2 的電腦上的 UDP 分散程度。

方案
  1. 從目的網域控制站的主控台,以其完整的電腦名稱,來識別網路路由所支援的最大封包抓取來源網域控制站。若要這樣做,請執行下列命令:
    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
  2. 如果少於 1472 最大的非分散封包,請嘗試下列方法 (依喜好設定順序排列) 的其中一個:
    • 變更網路基礎結構,以便適當地支援大型的 UDP 框架。這可能需要路由器、 交換器或防火牆上的韌體升級或組態變更。
    • (在目的地網域控制站) 的 maxpacketsize 設定為 [最大的 TCP 標頭,可由PING-f-l命令較少 8 個位元組的封包,然後重新啟動已變更的網域控制站。
    • 設定 (在目的地網域控制站) 的 maxpacketsize 值為1到此觸發程序為使用 TCP 的 Kerberos 驗證。重新啟動已變更的網域控制站,以使變更生效。
  3. 重試失敗的 Active Directory 作業。

原因 9: 網路介面卡已經啟用了大型傳送的卸載功能

方案
  1. 在目的地網域控制站中,開啟 [網路介面卡內容]。
  2. 按一下 [[設定] 按鈕。
  3. 選取 [進階] 索引標籤。
  4. 停用的IPv4 大型傳送卸載的屬性。
  5. 重新啟動網域控制站。

原因 10: 無效的 Kerberos 領域

Kerberos 領域不正確,如果有一個或多個下列情況皆成立:
  • 不正確的 KDCNames 登錄項目會包含本機的 Active Directory 網域名稱。
  • PolAcDmN 登錄機碼與 PolPrDmN 登錄機碼不相符。

解決方案

重要仔細遵循本章節中的步驟。如果您不當修改登錄,可能會發生嚴重的問題。在修改前 備份還原登錄 以免發生問題。

不正確的 KDCNames 登錄項目的方案
  1. 在目的地網域控制站中,執行 REGEDIT。
  2. 在登錄中找到下列子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. 每個Fully_Qualified_Domain> 下的子機碼,確認 [,KdcNames 登錄項目值指的是有效的外部Kerberos 領域並不適用於本機網域或同一個 Active Directory 樹系中的另一個網域。
解決方案不符 PolAcDmN 與 PolPrDmN 登錄機碼
注意這個方法是只適用於執行 Windows 2000 Server 的網域控制站。
  1. 啟動登錄編輯程式。
  2. 在 [瀏覽] 窗格中,展開 [安全性]。
  3. 在 [安全性] 功能表中,按一下 [授與系統管理員的本機群組完全控制的安全性 hive 及其子容器和物件的權限]。
  4. 在登錄中找到下列子機碼:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
  5. 在右邊窗格的 [登錄編輯程式中,按一下沒有名稱: REG_NONE 登錄項目一次。
  6. 按一下 [檢視] 功能表上的 [顯示二進位資料]。
  7. 在對話方塊的 [格式] 區段中,按一下 [位元組]。

    網域名稱會顯示為二進位資料] 對話方塊的右邊顯示的字串。網域名稱是 Kerberos 領域相同。
  8. 在登錄中找到下列子機碼:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
  9. 在右邊窗格的 [登錄編輯程式中,按兩下沒有名稱: REG_NONE 項目。
  10. 二進位編輯器] 對話方塊中,貼上的 PolPrDmNregistry 子機碼的值。(來自 PolPrDmN 的登錄子機碼的值是 NetBIOS 網域名稱)。
  11. 重新啟動網域控制站。
如果網域控制站沒有正確運作,請參閱其他方法.

原因 11: 沒有 LAN Manager 相容性 (LM 相容性) 不相配的來源和目的地網域控制站

原因 12: 服務主要名稱是未註冊或不存在因為簡單的複寫延遲或複寫失敗

原因 13: 防毒軟體使用迷你防火牆網路介面卡篩選器驅動程式來源或目的地網域控制站上

狀況說明
Microsoft 已確認這是<套用> 一節所列出的 Microsoft 產品的問題。
其他相關資訊
使用中的目錄錯誤和事件,例如 < 徵狀 > 一節也會失敗,錯誤加上下列、 類似的錯誤字串的 8453 所述:
複寫存取被拒。

下列情況下,可能會導致 Active Directory 作業失敗,錯誤 8453。不過,這種情況下不會導致失敗,錯誤 5。
  • 命名內容 (NC) 標頭不具有複寫目錄變更權限授與權限。
  • 安全性主體的起始複寫不是複寫目錄變更權限授與群組的成員。
  • 旗標為UserAccountControl屬性中遺失。其中包括SERVER_TRUST_ACCOUNT旗標以及TRUSTED_FOR_DELEGATION旗標。
  • 唯讀網域控制站 (RODC) 已加入網域中,而不需執行第一個ADPREP /RODCPREP命令。

從 DCDIAG /TEST:CheckSecurityError 的範例輸出


從 Windows Server 2008 R2 的網域控制站的範例DCDIAG /test:CHECKSECURITYERROR輸出如下。這個輸出被因過多的時間差異。

Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError        Source DC <Source DC> has possible security error (1398).         Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED               or down machine received by:                    <Source DC>         [<Source DC>] DsBindWithSpnEx() failed with error 1398,         There is a time and/or date difference between the client and server..         Ignoring DC <Source DC> in the convergence test of object         CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we         cannot connect!         ......................... <Destination_DC> failed test CheckSecurityError
從 Windows Server 2003 的網域控制站的範例DCDIAG /CHECKSECURITYERROR輸出如下。這被因為過多的時間差異。
Doing primary tests   Testing server: <Site_Name>\<Destination_DC_Name>      Starting test: CheckSecurityError         Source DC <Source DC>has possible security error (5).  Diagnosing...               Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine recieved by:                    <Source DC>         Source DC <Source DC>_has possible security error (5).  Diagnosing...               Time skew error: 7205 seconds different between:.              <Source DC>               <Destination_DC>         [<Source DC>] DsBindWithSpnEx() failed with error 5,         Access is denied..         Ignoring DC <Source DC>in the convergence test of object CN=<Destination_DC>,OU=Domain Controllers,DC=<DomainName>,DC=com, because we cannot connect!         ......................... <Destination_DC>failed test CheckSecurityError
DCDIAG /CHECKSECURITYERROR輸出的範例如下。它會顯示遺失 SPN 的名稱。(輸出可能有所不同環境環境)。
Doing primary testsTesting server: <site name>\<dc name>Test omitted by user request: AdvertisingStarting test: CheckSecurityError* Dr Auth: Beginning security errors check’Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>Checking machine account for DC <DC name> on DC <DC Name>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>* Missing SPN :LDAP/<hostname>.<DNS domain name>* Missing SPN :LDAP/<hostname>* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :LDAP/bba727ef—be4e—477d—9796—63b6cee3bSf.<forest root domain DN>* SPN found   :E3514235—4B06—I1D1—ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>* SPN found   :HOST/<hostname>.<DNS domain name>* SPN found   :HOST/<hostname>* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.



警告:本文為自動翻譯

內容

文章識別碼:3073945 - 最後檢閱時間:08/23/2015 23:48:00 - 修訂: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 Standard, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3073945 KbMtzh
意見反應
="https://c.microsoft.com/ms.js">