Freigeben über

Active Directory-Replikationsfehler 8453: Replikationszugriff wurde verweigert

In diesem Artikel wird beschrieben, wie Sie ein Problem beheben, bei dem die Active Directory-Replikation fehlschlägt und Fehler 8453 generiert: Replikationszugriff wurde verweigert.

Ursprüngliche KB-Nummer: 2022387

Notiz

Private Benutzer: Dieser Artikel ist nur für technische Supportmitarbeiter und IT-Experten vorgesehen. Wenn Sie nach Hilfe zu einem Problem suchen, bitten Sie die Microsoft Community.

Übersicht

Der Fehler 8453 hat die folgenden Hauptursachen:

  • Der Zieldomänencontroller verfügt nicht über die erforderlichen Berechtigungen zum Replizieren des Benennungskontexts/der -partition.

  • Der Administrator, der die Replikation manuell gestartet hat, verfügt nicht über entsprechende Berechtigungen.

    Notiz

    Diese Bedingung wirkt sich nicht auf die regelmäßige oder geplante Replikation aus.

Häufigste Ursache

Für die Perioden- oder geplante Replikation, wenn der Zieldomänencontroller ein schreibgeschützter Domänencontroller (RODC) ist:

Die Sicherheitsgruppe "Unternehmenslesegeschützte Domänencontroller" verfügt nicht über Berechtigungen zum Replizieren von Verzeichnisänderungen im Stammverzeichnis des Namenskontexts (NC) für die Partition, die nicht repliziert wird, und gibt Fehler 8453 zurück.

Top-Lösung

Erteilen Sie für jede NC, die RODCs nicht replizieren und den Fehler 8453 zurückgibt, die Berechtigung zum Replizieren von Verzeichnisänderungen der Sicherheitsgruppe "Enterprise Read-only" der Gesamtstrukturstammdomäne.

Beispiel:

Eine RODC childdc2.child.contoso.com repliziert die contoso.com Partition nicht und gibt Fehler 8453 zurück. Führen Sie die folgenden Schritte aus, um diese Situation zu beheben:

  1. Öffnen Sie ADSIEDIT.msc auf einem contoso.com Domänencontroller.

  2. Öffnen Sie eine Verbindung mit der contoso.com Domäne NC (Standardbenennungskontext).

  3. Öffnen Sie die Eigenschaften von dc=contoso,dc=com NC, und wählen Sie die Registerkarte "Sicherheit " aus.

  4. Wählen Sie "Hinzufügen" aus, und geben Sie den folgenden Eintrag in das Textfeld ein:
    Contoso\Enterprise-Domänencontroller mit Schreibschutz

    Notiz

    Diese Gruppe ist nur in der Gesamtstrukturstammdomäne vorhanden.

  5. Klicken Sie auf Namen überprüfen und dann auf OK.

  6. Deaktivieren Sie im Dialogfeld "Berechtigungen für schreibgeschützte Domänencontroller für Unternehmen" die Kontrollkästchen "Zulassen ", die automatisch aktiviert sind:

    • Lesen Sie
    • Lesen von Domänenkennwort- und Sperrrichtlinien
    • Lesen anderer Domänenparameter

  7. Aktivieren Sie das Feld "Zulassen" neben "Verzeichnisänderungen replizieren", und wählen Sie dann "OK" aus.

Wenn das Problem durch diese Schritte nicht behoben wird, lesen Sie den Rest dieses Artikels.

Symptome

Wenn dieses Problem auftritt, treten mindestens eins der folgenden Symptome auf:

  • Der DCDIAG-Replikationstest (DCDIAG /TEST:Replications) meldet, dass der getestete Domänencontroller Testreplikationen fehlgeschlagen hat und den Status 8453 hat: Replikationszugriff wurde verweigert:

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • Der DCDIAG NCSecDesc-Test (DCDIAG /TEST:NCSecDesc) meldet, dass der Domänencontroller, der von DCDIAG getestet wurde, NCSecDec fehlgeschlagen ist und dass mindestens eine Berechtigung auf dem NC-Head einer oder mehrerer Verzeichnispartitionen auf dem getesteten Domänencontroller fehlt, der von DCDIAG getestet wurde:

    Starting test: NCSecDesc  
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSO\Domain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSO\Enterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • Der DCDIAG MachineAccount-Test (DCDIAG /TEST:MachineAccount) meldet, dass der Domänencontroller, der von DCDIAG getestet wurde, computeraccount fehlgeschlagen ist, da das UserAccountControl-Attribut auf dem Domänencontrollercomputerkonto das SERVER_TRUST_ACCOUNT oder TRUSTED_FOR_DELEGATION Flags fehlt:

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • Der DCDIAG KCC-Ereignisprotokolltest gibt die hexadezimale Entsprechung des Microsoft-Windows-ActiveDirectory_DomainService-Ereignisses 2896 an:

    B50 hex = 2896 dezimal. Dieser Fehler kann alle 60 Sekunden auf dem Infrastrukturmasterdomänencontroller protokolliert werden.

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXE meldet, dass ein Replikationsversuch fehlgeschlagen ist und einen 8453-Status zurückgegeben hat.

    REPADMIN-Befehle, die häufig den Status 8453 angeben, sind jedoch nicht auf Folgendes beschränkt.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      Die Beispielausgabe zeigt REPADMIN /SHOWREPSdie eingehende Replikation von CONTOSO-DC2 zu CONTOSO-DC1 an, die fehlschlägt und den Replikationszugriff verweigert hat , lautet wie folgt:

      Default-First-Site-Name\CONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • Der Befehl "Jetzt replizieren" in Active Directory-Websites und -Diensten (DSSITE). MSC) gibt einen Replikationszugriff zurück, der fehler wurde verweigert .

    Wenn Sie mit der rechten Maustaste auf das Verbindungsobjekt von einem Quelldomänencontroller klicken und dann "Replizieren" auswählen , tritt ein Fehler auf. Und ein Replikationszugriff wurde verweigert , wird ein Fehler zurückgegeben. Die folgende Fehlermeldung wird angezeigt:

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    Der Replikationszugriff wurde verweigert, der nach dem Ausführen des Befehls

  • NTDS-KCC-, NTDS-General- oder Microsoft-Windows-ActiveDirectory_DomainService-Ereignisse mit dem Status 8453 werden im Active Directory-Direktivendienste (AD DS)-Ereignisprotokoll protokolliert.

Active Directory-Ereignisse, die häufig den Status 8453 angeben, sind jedoch nicht auf die folgenden Ereignisse beschränkt:

Ereignisquelle Ereignis-ID Ereigniszeichenfolge
Microsoft-Windows-ActiveDirectory_DomainService 1699 Dieser Verzeichnisdienst konnte die für die folgende Verzeichnispartition angeforderten Änderungen nicht abrufen. Daher konnte es keine Änderungsanforderungen an den Verzeichnisdienst an die folgende Netzwerkadresse senden.
Microsoft-Windows-ActiveDirectory_DomainService 2,896 Ein Client hat eine DirSync-LDAP-Anforderung für eine Verzeichnispartition vorgenommen. Der Zugriff wurde aufgrund des folgenden Fehlers verweigert.
NTDS allgemein 1655 Active Directory hat versucht, mit dem folgenden globalen Katalog zu kommunizieren, aber die Versuche waren nicht erfolgreich.
NTDS KCC 1265 Der Versuch, eine Replikationsverbindung mit Parametern herzustellen
Partition: <Partition DN-Pfad>
Quell-DSA DN: <DN des Quellobjekts DC NTDS Settings>
Quell-DSA-Adresse: <vollqualifizierte Quell-DCs CNAME>
Standortübergreifender Transport (falls vorhanden): <dn Pfad>
fehler mit dem folgenden Status:
NTDS KCC 1925 Beim Versuch, einen Replikationslink für eine beschreibbare Verzeichnispartition herzustellen, ist ein Fehler aufgetreten.

Ursache

Fehler 8453 (Replikationszugriff wurde verweigert) hat mehrere Ursachen, darunter:

  • Das UserAccountControl-Attribut auf dem Zieldomänencontrollercomputerkonto fehlt eines der folgenden Flags:
    SERVER_TRUST_ACCOUNT oder TRUSTED_FOR_DELEGATION

  • Die Standardberechtigungen sind für mindestens eine Verzeichnispartition nicht vorhanden, um die geplante Replikation im Sicherheitskontext des Betriebssystems zuzulassen.

  • Die Standard- oder benutzerdefinierten Berechtigungen sind in einer oder mehreren Verzeichnispartitionen nicht vorhanden, damit Benutzer die Ad-hoc- oder sofortige Replikation mithilfe von DSSITE auslösen können. MSC repliziert jetzt, repadmin /replicate, repadmin /syncalloder ähnliche Befehle.

  • Die Berechtigungen, die zum Auslösen der Ad-hoc-Replikation erforderlich sind, sind in den relevanten Verzeichnispartitionen korrekt definiert. Der Benutzer ist jedoch kein Mitglied von Sicherheitsgruppen, denen das Replikationsverzeichnis erteilt wurde, ändert die Berechtigung.

  • Der Benutzer, der die Ad-hoc-Replikation auslöst, ist Mitglied der erforderlichen Sicherheitsgruppen, und diesen Sicherheitsgruppen wurde die Berechtigung "Verzeichnisänderungen replizieren" erteilt. Die Mitgliedschaft in der Gruppe, die die Replikation von Verzeichnisänderungen gewährt, wird jedoch vom Sicherheitstoken des Benutzers durch das Feature "Benutzerkontosteuerung geteiltes Benutzerzugriffstoken" entfernt. Dieses Feature wurde in Windows Vista und Windows Server 2008 eingeführt.

    Notiz

    Verwechseln Sie nicht das Feature für die geteilte Tokensicherheit von Benutzerkontensteuerung, das in Vista und Windows Server 2008 eingeführt wurde, mit dem UserAccountControl-Attribut , das auf Domänencontrollerrollencomputerkonten definiert ist, die vom Active Directory-Dienst gespeichert werden.

  • Wenn der Zieldomänencontroller ein RODC ist, wurde RODCPREP nicht in Domänen ausgeführt, die derzeit schreibgeschützte Domänencontroller hosten, oder die Gruppe "Schreibgeschützte Domänencontroller für Unternehmen" verfügt nicht über die Berechtigung "Verzeichnisänderungen replizieren" für die Partition, die nicht repliziert wird.

  • Sie verfügen über LDS-Instanzen (Lightweight Directory Services). Und das NTDS-Einstellungsobjekt für die betroffenen Instanzen fehlt im LDS-Konfigurationscontainer. Der folgende Eintrag wird z. B. angezeigt:

    CN=NtDs-Einstellungen,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Active Directory-Fehler und -Ereignisse, z. B. die im Abschnitt "Symptome " erwähnten, können auch auftreten und eine Fehlermeldung 5 generieren (Access wird verweigert).

Die schritte für Fehler 5 oder Fehler 8453, die im Abschnitt "Lösung " erwähnt werden, lösen replikationsfehler auf Computern, die derzeit fehlschlagen, und generieren die andere Fehlermeldung.

Häufige Ursachen für Active Directory-Vorgänge, bei denen Fehler 5 Meldungen generieren, sind:

  • Übermäßige Zeitverknifung
  • Die Fragmentierung von UDP-formatierten Kerberos-Paketen durch Zwischengeräte im Netzwerk
  • Fehlender Zugriff auf diesen Computer über Netzwerkrechte .
  • Fehlerhafte sichere Kanäle oder domäneninterne Vertrauensstellungen
  • CrashOnAuditFail = 2 Eintrag in der Registrierung

Lösung

Verwenden Sie die folgenden Methoden, um dieses Problem zu beheben.

Ausführen einer Integritätsprüfung mithilfe von DCDIAG + DCDIAG /test:CheckSecurityError

  1. Führen Sie DCDIAG auf dem Ziel-DC aus, der den Fehler oder das Ereignis 8453 meldet.
  2. Führen Sie DCDIAG auf dem Quelldomänencontroller aus, auf dem der Zieldomänencontroller den Fehler oder das Ereignis 8453 meldet.
  3. Führen Sie DCDIAG /test:CheckSecurityError den Zieldomänencontroller aus.
  4. Führen Sie die Ausführung DCDIAG /test:CheckSecurityError auf dem Quell-DC aus.

Korrigieren ungültiger UserAccountControl-Objekt

Das UserAccountControl-Attribut enthält eine Bitmaske, die die Funktionen und den Status eines Benutzer- oder Computerkontos definiert. Weitere Informationen zu UserAccountControl-Flags finden Sie unter User-Account-Control-Attribut.

Der typische UserAccountControl-Attributwert für ein schreibbares (vollständiges) DC-Computerkonto ist 532480 dezimal oder 82000 hex. UserAccountControl-Werte für ein DC-Computerkonto können variieren, müssen jedoch die SERVER_TRUST_ACCOUNT und TRUSTED_FOR_DELEGATION Flags enthalten, wie in der folgenden Tabelle dargestellt.

Eigenschaftsflag Farbtonwert Dezimalzahl
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl-Wert 0x82000 532480

Der typische UserAccountControl-Attributwert für ein schreibgeschütztes Domänencontrollercomputerkonto ist 83890176 Dezimal- oder 5001000-Hexadezimalzahl.

Eigenschaftsflag Farbtonwert Dezimalzahl
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Typischer UserAccountControl-Wert für RODC 0x5001000 83890176

  • Das UserAccountControl-Attribut auf dem Zieldomänencontroller fehlt das SERVER_TRUST_ACCOUNT-Flag.

    Wenn der DCDIAG MachineAccount-Test fehlschlägt und eine Fehlermeldung mit dem Fehler "MachineAcccount " zurückgibt, und das UserAccountControl-Attribut auf dem getesteten Domänencontroller fehlt das SERVER_TRUST_ACCOUNT Flag, fügen Sie das fehlende Flag in der Kopie des getesteten Domänencontrollers von Active Directory hinzu.

    1. Starten Sie ADSIEDIT. MSC auf der Konsole des Domänencontrollers, der die SERVER_TRUST_ACCOUNT fehlt, wie von DCDIAG gemeldet.
    2. Klicken Sie im oberen linken Bereich von ADSIEDIT mit der rechten Maustaste auf ADSIEDIT. MSC, und wählen Sie dann "Verbinden mit" aus.
    3. Klicken Sie im Dialogfeld "Verbindungseinstellungen " auf "Bekannten Namenskontext auswählen", und wählen Sie dann den Standardbenennungskontext (die Computerkontodomänenpartition) aus.
    4. Klicken Sie auf "Auswählen", oder geben Sie eine Domäne oder einen Server ein. Wählen Sie den Namen des Domänencontrollers aus, der in DCDIAG fehlschlägt.
    5. Wählen Sie OK aus.
    6. Suchen Und klicken Sie im Domänenbenennungskontext mit der rechten Maustaste auf das Domänencontrollercomputerkonto, und wählen Sie "Eigenschaften" aus.
    7. Doppelklicken Sie auf das UserAccountControl-Attribut , und notieren Sie dann den Dezimalwert.
    8. Starten Sie den Windows-Rechner im Programmiermodus (Windows Server 2008 und höher).
    9. Geben Sie den Dezimalwert für UserAccountControl ein. Konvertieren Sie den Dezimalwert in die hexadezimale Entsprechung, fügen Sie 0x80000 zum vorhandenen Wert hinzu, und drücken Sie dann das Gleichheitszeichen (=).
    10. Konvertieren Sie den neu berechneten UserAccountContorl-Wert in die dezimale Entsprechung.
    11. Geben Sie den neuen Dezimalwert aus dem Windows-Rechner in das UserAccountControl-Attribut in ADSIEDIT ein. MSC.
    12. Wählen Sie zweimal OK aus, um sie zu speichern.

  • Das UserAccountControl-Attribut auf dem Zieldomänencontroller fehlt das TRUSTED_FOR_DELEGATION Flag.

    Wenn der DCDIAG MachineAccount-Test eine Fehlermeldung "MachineAcccount fehlgeschlagen" zurückgibt, und das UserAccountControl-Attribut auf dem getesteten Domänencontroller fehlt das VERTRAUENSWÜRDIGe _FOR_DELEGATION Flag, fügen Sie das fehlende Flag in der Kopie des getesteten Domänencontrollers von Active Directory hinzu.

    1. Starten Sie Active Directory-Benutzer und -Computer (DSA). MSC) auf der Konsole des Domänencontrollers, der von DCDIAG getestet wurde.

    2. Klicken Sie mit der rechten Maustaste auf das Domänencontrollercomputerkonto.

    3. Wählen Sie die Registerkarte Delegierung aus.

    4. Wählen Sie auf dem Computerkonto des Domänencontrollers die Option "Vertrauenswürdig für diesen Computer" aus, um eine Delegierung an einen beliebigen Dienst (nur Kerberos) zu aktivieren.

      Der Computer für die Delegierung an eine beliebige Dienstoption unter der Registerkarte

Beheben ungültiger Standardsicherheitsdeskriptoren

Active Directory-Vorgänge werden im Sicherheitskontext des Kontos ausgeführt, das den Vorgang gestartet hat. Standardberechtigungen für Active Directory-Partitionen ermöglichen die folgenden Vorgänge:

  • Mitglieder der Gruppe "Unternehmensadministratoren" können die Ad-hoc-Replikation zwischen jedem Domänencontroller in einer beliebigen Domäne in derselben Gesamtstruktur starten.
  • Mitglieder der Gruppe "Integrierte Administratoren" können die Ad-hoc-Replikation zwischen Domänencontrollern in derselben Domäne starten.
  • Domänencontroller in derselben Gesamtstruktur können die Replikation entweder mithilfe der Änderungsbenachrichtigung oder des Replikationszeitplans starten.

Standardberechtigungen für Active Directory-Partitionen lassen die folgenden Vorgänge standardmäßig nicht zu:

  • Mitglieder der Gruppe "Integrierte Administratoren" in einer Domäne können keine Ad-hoc-Replikation mit Domänencontrollern in dieser Domäne von Domänencontrollern in verschiedenen Domänen starten.
  • Benutzer, die keine Mitglieder der Gruppe "Integrierte Administratoren" sind, können keine Ad-hoc-Replikation von einem anderen Domänencontroller in derselben Domäne oder Gesamtstruktur starten.

Standardmäßig schlagen diese Vorgänge fehl, bis Standardberechtigungen oder Gruppenmitgliedschaften geändert werden.

Berechtigungen werden oben in jeder Verzeichnispartition (NC head) definiert und in der gesamten Partitionsstruktur geerbt. Stellen Sie sicher, dass explizite Gruppen (Gruppen, bei denen der Benutzer direkt Mitglied ist) und implizite Gruppen (Gruppen, denen explizite Gruppen geschachtelte Mitgliedschaften angehören) über die erforderlichen Berechtigungen verfügen. Stellen Sie außerdem sicher, dass den impliziten oder expliziten Gruppen zugewiesene Berechtigungen nicht Vorrang vor den erforderlichen Berechtigungen haben. Weitere Informationen zu Standardverzeichnispartitionen finden Sie unter "Standardsicherheit" der Konfigurationsverzeichnispartition.

  • Vergewissern Sie sich, dass die Standardberechtigungen oben in jeder Verzeichnispartition vorhanden sind, die fehlschlägt und der Replikationszugriff zurückgegeben wurde.

    Wenn die Ad-hoc-Replikation zwischen Domänencontrollern in verschiedenen Domänen oder zwischen Domänencontrollern in derselben Domäne für Nicht-Domänenadministratoren fehlschlägt, lesen Sie den Abschnitt "Berechtigungen für Nicht-Domänenadministratoren erteilen" .

    Wenn die Ad-hoc-Replikation für Mitglieder der Gruppe "Unternehmensadministratoren" fehlschlägt, konzentrieren Sie sich auf NC-Head-Berechtigungen, die der Gruppe "Unternehmensadministratoren" gewährt werden.

    Wenn die Ad-hoc-Replikation für Mitglieder einer Gruppe "Domänenadministratoren" fehlschlägt, konzentrieren Sie sich auf die Berechtigungen, die der integrierten Sicherheitsgruppe "Administratoren" erteilt werden.

    Wenn eine geplante Replikation, die von Domänencontrollern in einer Gesamtstruktur gestartet wird, fehlschlägt und Fehler 8453 zurückgegeben wird, konzentrieren Sie sich auf Berechtigungen für die folgenden Sicherheitsgruppen:

    • Domänencontroller des Unternehmens

    • Schreibgeschützte Enterprise-Domänencontroller

      Wenn eine geplante Replikation von Domänencontrollern auf einem schreibgeschützten Domänencontroller (RODC) fehlschlägt und Fehler 8453 zurückgegeben wird, stellen Sie sicher, dass der Sicherheitsgruppe "Schreibgeschützte Domänencontroller für Unternehmen" der erforderliche Zugriff auf den NC-Leiter jeder Verzeichnispartition gewährt wird.

      In der folgenden Tabelle sind die Standardberechtigungen aufgeführt, die für das Schema, die Konfiguration, die Domäne und die DNS-Anwendungen von verschiedenen Windows-Versionen definiert sind.

      DACL für jede Verzeichnispartition erforderlich Windows Server 2008 und höher
      Replikationstopologie verwalten X
      Replizieren von Verzeichnisänderungen X
      Replikationssynchronisierung X
      Replizieren von Verzeichnisänderungen: Alle X
      Replizieren von Änderungen im Filtersatz X

      Notiz

      Der DCDIAG NcSecDesc-Test meldet möglicherweise falsch positive Fehler, wenn er in Umgebungen mit gemischten Systemversionen ausgeführt wird.

      Der BEFEHL DSACLS kann verwendet werden, um die Berechtigungen für eine bestimmte Verzeichnispartition mithilfe der folgenden Syntax abzubilden:
      DSACLS <DN-Pfad der Verzeichnispartition>

      Verwenden Sie z.B. den folgenden Befehl:

      C:\>dsacls dc=contoso,dc=com

      Der Befehl kann mithilfe der Syntax auf einen Remotedomänencontroller ausgerichtet werden:

      c:\>dsacls \\contoso-dc2\dc=contoso,dc=com

      Seien Sie vorsichtig mit der Berechtigung "VERWEIGERN" auf NC-Köpfen, indem Sie die Berechtigungen für Gruppen entfernen, bei denen der fehlerhafte Benutzer ein direktes oder geschachteltes Mitglied ist.

Hinzufügen erforderlicher Berechtigungen, die fehlen

Verwenden Sie den Active Directory-ACL-Editor in ADSIEDIT. MSC zum Hinzufügen des fehlenden DACLS.

Gewähren von Berechtigungen für Nicht-Domänenadministratoren

Gewähren Sie Nicht-Domänenadministratoren die folgenden Berechtigungen:

  • So replizieren Sie zwischen Domänencontrollern in derselben Domäne für Nicht-Unternehmensadministratoren
  • So replizieren Sie zwischen Domänencontrollern in verschiedenen Domänen

Standardberechtigungen für Active Directory-Partitionen lassen die folgenden Vorgänge nicht zu:

  • Mitglieder der Gruppe "Integrierte Administratoren" in einer Domäne können keine Ad-hoc-Replikation von Domänencontrollern in verschiedenen Domänen initiieren.
  • Benutzer, die keine Mitglieder der integrierten Domänenadministratorgruppe sind, um die Ad-hoc-Replikation zwischen Domänencontrollern in derselben Domäne oder einer anderen Domäne zu initiieren.

Diese Vorgänge schlagen fehl, bis Berechtigungen für Verzeichnispartitionen geändert werden.

Verwenden Sie eine der folgenden Methoden, um dieses Problem zu beheben:

  • Fügen Sie Vorhandenen Gruppen Benutzer hinzu, denen bereits die erforderlichen Berechtigungen zum Replizieren von Verzeichnispartitionen erteilt wurden. (Fügen Sie die Domänenadministratoren für die Replikation in derselben Domäne oder die Gruppe "Unternehmensadministratoren" hinzu, um die Ad-hoc-Replikation zwischen verschiedenen Domänen auszulösen.)

  • Erstellen Sie Ihre eigene Gruppe, erteilen Sie dieser Gruppe die erforderlichen Berechtigungen für Verzeichnispartitionen in der gesamten Gesamtstruktur, und fügen Sie dann Benutzer zu diesen Gruppen hinzu.

Weitere Informationen finden Sie unter KB303972. Gewähren Sie der betreffenden Sicherheitsgruppe die gleichen Berechtigungen, die in der Tabelle im Abschnitt "Ungültige Standardsicherheitsbeschreibungen korrigieren" aufgeführt sind.

Überprüfen der Gruppenmitgliedschaft in den erforderlichen Sicherheitsgruppen

Nachdem die richtigen Sicherheitsgruppen die erforderlichen Berechtigungen für Verzeichnispartitionen erteilt haben, überprüfen Sie, ob Benutzer, die die Replikation starten, über eine effektive Mitgliedschaft in direkten oder geschachtelten Sicherheitsgruppen verfügen, die Replikationsberechtigungen erteilt haben. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich mit dem Benutzerkonto an, bei dem die Ad-hoc-Replikation fehlschlägt und der Replikationszugriff zurückgegeben wurde.

  2. Führen Sie an der Eingabeaufforderung folgenden Befehl aus:

    WHOAMI /ALL

  3. Überprüfen Sie die Mitgliedschaft in den Sicherheitsgruppen, denen die replizierten Verzeichnisänderungen berechtigungen für die relevanten Verzeichnispartitionen erteilt wurden.

    Wenn der Benutzer der zugelassenen Gruppe hinzugefügt wurde, die nach der letzten Benutzeranmeldung geändert wurde, melden Sie sich ein zweites Mal an, und führen Sie dann den WHOAMI /ALL Befehl erneut aus.

    Wenn dieser Befehl weiterhin keine Mitgliedschaft in den erwarteten Sicherheitsgruppen anzeigt, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, auf dem lokalen Computer, und führen Sie WHOAMI /ALL an der Eingabeaufforderung aus.

    Wenn sich die Gruppenmitgliedschaft zwischen der WHOAMI /ALL Ausgabe unterscheidet, die von Eingabeaufforderungen mit erhöhten und nicht erhöhten Rechten generiert wird, lesen Sie, wenn Sie eine LDAP-Abfrage für einen Windows Server 2008-basierten Domänencontroller ausführen, erhalten Sie eine partielle Attributliste.

  4. Stellen Sie sicher, dass die erwarteten geschachtelten Gruppenmitgliedschaften vorhanden sind.

    Wenn ein Benutzer Berechtigungen zum Ausführen der Ad-hoc-Replikation als Mitglied der geschachtelten Gruppe erhält, bei dem es sich um ein Mitglied der Gruppe handelt, der direkt Replikationsberechtigungen erteilt wurde, überprüfen Sie die verschachtelte Gruppenmitgliedschaftskette. Wir haben Ad-hoc-Active Directory-Replikationsfehler gesehen, da die Gruppen "Domänenadministratoren" und "Unternehmensadministratoren" aus den integrierten Administratorgruppen entfernt wurden.

RODC-Replikation

Wenn die computergesteuerte Replikation auf RODCs fehlschlägt, stellen Sie sicher, dass Sie ausgeführt ADPREP /RODCPREP haben und dass der Gruppe "Enterprise Read-Only-Domänencontroller" die Berechtigung " Verzeichnisänderungen replizieren" auf jedem NC-Kopf gewährt wird.

Fehlendes NTDS Settings-Objekt für LDS-Server

In Active Directory Lightweight Directory Services (LDS) ist es möglich, das Objekt ohne Metadatenbereinigung in DBDSUTIL zu löschen. Es kann zu diesem Problem führen. Um die Instanz auf dem Konfigurationssatz wiederherzustellen, müssen Sie die LDS-Instanz auf den betroffenen Servern deinstallieren und dann den ADAM-Konfigurations-Assistenten ausführen.

Notiz

Wenn Sie die LDAPS-Unterstützung für die Instanz hinzugefügt haben, müssen Sie das Zertifikat im Dienstspeicher erneut konfigurieren, da durch die Deinstallation der Instanz auch die Dienstinstanz entfernt wird.