Cómo solucionar el error de replicación de Active Directory 5 en Windows Server: Se deniega el acceso

En este artículo se describen los síntomas, la causa y la resolución de situaciones en las que se produce un error en la replicación de Active Directory con el error 5: Se deniega el acceso.

Número de KB original: 3073945

Síntomas

Es posible que encuentre uno o varios de los síntomas siguientes cuando se produce un error en las replicaciones de Active Directory con el error 5.

Síntoma 1

La herramienta de línea de comandos Dcdiag.exe informa de que se produce un error en la prueba de replicación de Active Directory con código de estado de error (5). El informe es similar al ejemplo siguiente:

Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: Replications  
Replications Check  
[Replications Check,<Destination_DC_Name>] A recent replication attempt failed:  
From <Source_DC> to <Destination_DC>  
Naming Context: <Directory_Partition_DN_Path>  
The replication generated an error (5):  
Access is denied.  
The failure occurred at <Date> <Time>.  
The last success occurred at <Date> <Time>.  
<Number> failures have occurred since the last success.

Síntoma 2

La herramienta de línea de comandos Dcdiag.exe informa de que la función produce un DsBindWithSpnEx error 5 ejecutando el DCDIAG /test:CHECKSECURITYERROR comando .

Síntoma 3

La herramienta de línea de comandos REPADMIN.exe informa de que se produjo un error en el último intento de replicación con el estado 5.

Los REPADMIN comandos que citan con frecuencia el estado 5 incluyen, pero no están limitados a los siguientes:

• REPADMIN /KCC
• REPADMIN /REPLICATE
• REPADMIN /REPLSUM
• REPADMIN /SHOWREPL
• REPADMIN /SHOWREPS
• REPADMIN /SYNCALL

La salida de ejemplo del comando es la REPADMIN /SHOWREPL siguiente. Esta salida muestra la replicación entrante de DC_2_Name a DC_1_Name un error con el error "Acceso denegado".

<Site_Name>\<DC_1_Name>  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID: <GUID>  
DSA invocationID: <invocationID>

==== INBOUND NEIGHBORS======================================  
DC= <DomainName>,DC=com  
<Site_Name>\<DC_2_Name> via RPC  
DSA object GUID: <GUID> 
Last attempt @ <Date> <Time> failed, result 5(0x5):  
Access is denied.  
<#> consecutive failure(s).  
Last success @ <Date> <Time>.

Síntoma 4

Los eventos NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con el estado 5 se registran en el registro de Servicios de directorio en Visor de eventos.

En la tabla siguiente se resumen los eventos de Active Directory que citan con frecuencia el estado 8524, incluidos, entre otros:

Identificador del evento	Source	Cadena de evento
1655	NTDS General	Active Directory intentó comunicarse con el siguiente catálogo global y los intentos no se realizaron correctamente.
1925	NTDS KCC	Error al intentar establecer un vínculo de replicación para la siguiente partición de directorio grabable.
19:26	NTDS KCC	Error al intentar establecer un vínculo de replicación a una partición de directorio de solo lectura con los parámetros siguientes.

Síntoma 5

Al hacer clic con el botón derecho en el objeto de conexión desde un controlador de dominio de origen (DC) en sitios y servicios de Active Directory y, a continuación, seleccione Replicar ahora, se producirá un error en el proceso y recibirá el siguiente error:

Texto del título del cuadro de diálogo: Replicar ahora

Texto del mensaje de diálogo:

Se produjo el siguiente error durante el intento de sincronizar el contexto de nomenclatura %<nombre de partición> de directorio% del controlador> de dominio de origen del controlador <de dominio al <controlador de dominio DC> de destino: se deniega el acceso.

La operación no continuará.

La captura de pantalla siguiente representa un ejemplo del error:

Solución alternativa

Use las herramientas genéricas de DCDIAG y NETDIAG de línea de comandos para ejecutar varias pruebas. Use la herramienta de DCDIAG /TEST:CheckSecurityError línea de comandos para realizar pruebas específicas. (Estas pruebas incluyen una comprobación de registro de SPN).

Para resolver el problema, siga estos pasos:

1. En un símbolo del sistema, ejecute DCDIAG en el controlador de dominio de destino.
2. Ejecute DCDIAG /TEST:CheckSecurityError y NETDIAG.
3. Resuelva los errores identificados por DCDIAG.
4. Vuelva a intentar la operación de replicación con errores anteriormente. Si las replicaciones siguen fallando, consulte las siguientes causas y soluciones.

Las causas siguientes pueden producir el error 5. Algunos de ellos tienen soluciones.

Causa 1: Hay un canal de seguridad no válido o un error de coincidencia de contraseña en el controlador de dominio de origen o destino

Valide el canal de seguridad mediante la ejecución de uno de los siguientes comandos:

• nltest /sc_query:<Domain Name>

• netdom verify <DC Name>

En condición, restablezca la contraseña del controlador de dominio de destino mediante NETDOM /RESETPWD.

Solución

1. Deshabilite el servicio Centro de distribución de claves (KDC) kerberos en el controlador de dominio de destino.

2. Desde un símbolo del sistema con privilegios elevados en el controlador de dominio de destino, obtenga el vale kerberos del sistema ejecutando Klist -li 0x3e7 purge.

3. Ejecute NETDOM RESETPWD para restablecer la contraseña del controlador de dominio remoto:

   c:\>netdom resetpwd /server:<remote_dc_name> /userd: domain_name\administrator /passwordd: administrator_password
   

4. Asegúrese de que los KDC potenciales y el controlador de dominio de origen (si están en el mismo dominio) replican la nueva contraseña del controlador de dominio de destino.

5. Inicie el servicio KDC en el controlador de dominio de destino y vuelva a intentar la operación de replicación.

Para obtener más información, consulte Uso de Netdom.exe para restablecer las contraseñas de la cuenta del equipo de un controlador de dominio.

Causa 2: La configuración "CrashOnAuditFail" en el registro del controlador de dominio de destino tiene un valor de "2"

Se desencadena un CrashOnAuditFail valor de si el sistema Audit: Shut down inmediatamente si no puede registrar la configuración de 2 directiva de auditorías de seguridad en la directiva de grupo está habilitada y el registro de eventos de seguridad local está lleno.

Los controladores de dominio de Active Directory son especialmente propensos a registros de seguridad de capacidad máxima cuando se habilita la auditoría y el tamaño del registro de eventos de seguridad está restringido por los eventos No sobrescribir eventos (borrar el registro manualmente) y Sobrescribir las opciones necesarias en Visor de eventos o sus equivalentes de directiva de grupo.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Como medida de protección, haga una copia de seguridad del registro antes de modificarlo para poder restaurarlo si se produce algún problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

1. Borre el registro de eventos de seguridad y guárdelo en otra ubicación según sea necesario.

2. Vuelva a evaluar las restricciones de tamaño en el registro de eventos de seguridad. Esto incluye la configuración basada en directivas.

3. Elimine y vuelva a crear una CrashOnAuditFail entrada del Registro de la siguiente manera:

   Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
   Nombre del valor: CrashOnAuditFail
   Tipo de valor: REG_DWORD
   Datos de valor: 1

4. Reinicie el controlador de dominio de destino.

Al ver un CrashOnAuditFail valor de 0 o 1, algunos ingenieros de CSS han resuelto errores de "Acceso denegado" borrando de nuevo el registro de eventos de seguridad, eliminando el valor del CrashOnAuditFail Registro y reiniciando el controlador de dominio de destino.

Para obtener más información, consulte Administración del registro de seguridad y auditoría.

Causa 3: La confianza no válida (el canal seguro en el controlador de dominio de origen o destino no es válido o las relaciones de confianza en la cadena de confianza se interrumpen o no son válidas).

Si se produce un error en la replicación de Active Directory entre controladores de dominio en distintos dominios, debe comprobar el estado de las relaciones de confianza a lo largo de la ruta de acceso de confianza.

Puede probar la prueba relación de confianza de NetDiag para comprobar si hay confianzas rotas. La utilidad Netdiag.exe identifica las confianzas rotas mostrando el texto siguiente:

Trust relationship test. . . . . . : Failed  
Test to ensure DomainSid of domain '<domainname>' is correct.  
[FATAL] Secure channel to domain '<domainname>' is broken.  
[% <variable status code> %]

Por ejemplo, si tiene un bosque de varios dominios que contiene un dominio raíz (Contoso.COM), un dominio secundario (), un dominio de nieto (B.Contoso.COMC.B.Contoso.COM) y un dominio de árbol en el mismo bosque (Fabrikam.COM) y si se produce un error en la replicación entre los controladores de dominio del dominio de los nietos (C.B.Contoso.COM) y el dominio de árbol (Fabrikam.COM), debe comprobar el estado de confianza entre C.B.Contoso.COM y B.Contoso.COM, entre B.Contoso.COM yContoso.COM, después, entre Contoso.COM Fabrikam.COMy ).

Si existe una confianza de acceso directo entre los dominios de destino, no es necesario validar la cadena de rutas de acceso de confianza. En su lugar, debe validar la confianza de acceso directo entre el destino y el dominio de origen.

Para comprobar si hay cambios recientes en la contraseña en la confianza, ejecute el comando siguiente:

Repadmin /showobjmeta * <DN path for TDO in question>

Compruebe que el controlador de dominio de destino está replicando transitivamente la partición de directorio de dominio grabable en la que pueden surtir efecto los cambios de contraseña de confianza.

Los comandos para restablecer las confianzas del PDC del dominio raíz son los siguientes:

netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay

Los comandos para restablecer las confianzas del PDC del dominio secundario son los siguientes:

netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Causa 4: Asimetría excesiva de tiempo

Hay una diferencia de tiempo entre el KDC utilizado por el controlador de dominio de destino y el controlador de dominio de origen. La diferencia de tiempo supera el sesgo de tiempo máximo permitido por Kerberos definido en la directiva de dominio predeterminado.

La configuración de directiva kerberos en la directiva de dominio predeterminada permite una diferencia de cinco minutos en el tiempo del sistema (este es el valor predeterminado) entre los controladores de dominio KDC y los servidores de destino Kerberos para evitar ataques de reproducción. Algunas documentación indican que la hora del sistema del cliente y la del destino Kerberos deben estar dentro de cinco minutos entre sí. Otra documentación indica que, en el contexto de la autenticación Kerberos, el tiempo que es importante es la diferencia entre el KDC que usa el autor de la llamada y la hora en el destino Kerberos. Además, Kerberos no le importa si la hora del sistema en los controladores de dominio pertinentes coincide con la hora actual. Solo le importa que la diferencia de tiempo relativa entre el KDC y el controlador de dominio de destino esté dentro del sesgo de tiempo máximo que permite la directiva kerberos. (La hora predeterminada es de cinco minutos o menos).

En el contexto de las operaciones de Active Directory, el servidor de destino es el controlador de dominio de origen que se comunica con el controlador de dominio de destino. Cada controlador de dominio de un bosque de Active Directory que ejecuta actualmente el servicio KDC es un KDC potencial. Por lo tanto, debe tener en cuenta la precisión del tiempo en todos los demás controladores de dominio en el controlador de dominio de origen. Esto incluye la hora en el propio controlador de dominio de destino.

Puede usar los dos comandos siguientes para comprobar la precisión de la hora:

• DCDIAG /TEST:CheckSecurityError
• W32TM /MONITOR

Puede encontrar la salida de ejemplo de DCDIAG /TEST:CheckSecurityError en la sección "Más información". En este ejemplo se muestra una asimetría de tiempo excesiva en los controladores de dominio.

Busque eventos LSASRV 40960 en el controlador de dominio de destino cuando se produzca un error en la solicitud de replicación. Busque eventos que citan un GUID en el registro CNAME del controlador de dominio de origen con el error extendido 0xc000133. Busque eventos similares a los siguientes:

0xc000133: el momento en el controlador de dominio principal es diferente del momento en el controlador de dominio de copia de seguridad o el servidor miembro por una cantidad demasiado grande.

Los seguimientos de red que capturan el equipo de destino que se conecta a una carpeta compartida en el controlador de dominio de origen (y también otras operaciones) pueden mostrar el error "Se ha producido un error extendido" en pantalla, pero un seguimiento de red muestra la siguiente información:

-> KerberosV5 KerberosV5:TGS Request Realm: <- TGS request from source DC
<- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33): <respuesta de TGS donde "KRB_AP_ERR_TKE_NYV
<- se asigna a "Ticket todavía no válido" <: se asigna a "Ticket todavía no válido"

La TKE_NYV respuesta indica que el intervalo de fechas del vale de TGS es más reciente que la hora en el destino. Esto indica una asimetría excesiva de tiempo.

Nota:

• W32TM /MONITOR comprueba el tiempo solo en los controladores de dominio del dominio de los equipos de prueba, por lo que debe ejecutarlo en cada dominio y comparar el tiempo entre los dominios.
• Si se encontró que la hora del sistema era inexacta, intente averiguar por qué y qué se puede hacer para evitar el tiempo inexacto en el futuro. ¿Se configuró el PDC raíz del bosque con un origen de hora externo? ¿Hay orígenes de tiempo de referencia en línea y disponibles en la red? ¿Se ejecutó el servicio de tiempo? ¿Los equipos de rol de controlador de dominio están configurados para usar la jerarquía NT5DS para el tiempo de origen?
• Cuando la diferencia de tiempo es demasiado grande en los controladores de dominio de destino, el comando Replicar ahora en DSSITE. MSC produce un error en pantalla "Hay una diferencia de hora o fecha entre el cliente y el servidor". Esta cadena de error se asigna al error 1398 (decimal) o 0x576 (hexadecimal) con el nombre de error simbólico ERROR_TIME_SKEW.

Para obtener más información, vea Establecer la tolerancia de sincronización del reloj para evitar ataques de reproducción.

Causa 5: La configuración "RestrictRemoteClients" del Registro tiene un valor de "2"

Si la configuración de directiva Restricciones para clientes RPC no autenticados está habilitada y se establece en Autenticado sin excepciones, el valor del RestrictRemoteClients Registro se establece en un valor de 0x2 en la subclave del HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC Registro.

Esta configuración de directiva solo permite que los clientes autenticados de llamada a procedimiento remoto (RPC) se conecten a los servidores RPC que se ejecutan en el equipo al que se aplica la configuración de directiva. No permite excepciones. Si selecciona esta opción, el sistema no puede recibir llamadas anónimas remotas mediante RPC. Esta configuración nunca se debe aplicar a un controlador de dominio.

Solución

1. Deshabilite la configuración de directiva Restricciones para clientes RPC no autenticados que restrinja el valor del RestrictRemoteClients Registro a 2.

   Nota:

   La configuración de directiva se encuentra en la ruta de acceso siguiente:

   Configuración del equipo\Plantillas administrativas\Sistema\Llamada a procedimiento remoto\Restricciones para clientes RPC no autenticados.

2. Elimine la configuración del RestrictRemoteClients Registro y, a continuación, reinicie.

Para obtener más información, consulte Restricciones para clientes RPC no autenticados: la directiva de grupo que puntea el dominio en la cara y la clave del Registro RestrictRemoteClients está habilitada.

Causa 6: el derecho de usuario "Acceder a este equipo desde la red" no se concede al grupo "Controladores de dominio de empresa" ni a un usuario que desencadenó la replicación.

En una instalación predeterminada de Windows, la directiva de controlador de dominio predeterminada está vinculada a la unidad de organización (OU) del controlador de dominio. La unidad organizativa concede al usuario acceso a este equipo desde el derecho de usuario de red a los siguientes grupos de seguridad:

Directiva local	Directiva predeterminada del controlador de dominio
Administradores	Administradores
Usuarios autenticados	Usuarios autenticados
Todos	Todos
Enterprise Domain Controllers	Enterprise Domain Controllers
[Acceso compatible con Windows 2000 anterior]	Acceso compatible con Windows 2000 anterior

Si se produce un error 5 en las operaciones de Active Directory, debe comprobar los siguientes puntos:

• A los grupos de seguridad de la tabla se les concede acceso a este equipo desde el derecho de usuario de red en la directiva predeterminada del controlador de dominio.

• Las cuentas de equipo del controlador de dominio se encuentran en la unidad organizativa del controlador de dominio.

• La directiva predeterminada del controlador de dominio está vinculada a la unidad organizativa del controlador de dominio o a unidades organizativas alternativas que hospedan las cuentas de equipo del controlador de dominio.

• La directiva de grupo se aplica en el controlador de dominio de destino que registra actualmente el error 5.

• El derecho denegar el acceso a este equipo desde el derecho de usuario de red está habilitado o no hace referencia a grupos directos o transitivos que el controlador de dominio o la cuenta de usuario que está usando el controlador de dominio o la cuenta de usuario que desencadena la replicación.

• La prioridad de la directiva, la herencia bloqueada, el filtrado de Instrumental de administración de Microsoft Windows (WMI) o como, por ejemplo, no impide que la configuración de directiva se aplique a los equipos de rol de controlador de dominio.

Nota:

• La configuración de directiva se puede validar con RSOP. MSC, pero GPRESULT es la herramienta preferida porque es más precisa, por ejemplo, GPRESULT /H c:\temp\GPOResult.html o GPRESULT /Z.
• La directiva local tiene prioridad sobre las directivas definidas en sitios, dominios y UNIDADES organizativas.
• Al mismo tiempo, era habitual que los administradores quitara los grupos Controladores de dominio de empresa y Todos del equipo Acceder a este equipo desde la configuración de directiva de red en la directiva predeterminada del controlador de dominio. Sin embargo, quitar ambos grupos es grave. No hay ninguna razón para quitar controladores de dominio enterprise de esta configuración de directiva, ya que solo los controladores de dominio son miembros de este grupo.

Causa 7: Hay un error de coincidencia de firma SMB entre los controladores de dominio de origen y de destino.

La mejor matriz de compatibilidad para la firma de SMB se define mediante cuatro configuraciones de directiva y sus equivalentes basados en el Registro:

Configuración de directiva	Ruta de acceso del Registro
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Servidor de red de Microsoft: firmar digitalmente las comunicaciones (si el servidor está de acuerdo)	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)	HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature

Debe centrarse en las discrepancias de firma de SMB entre el destino y los controladores de dominio de origen. Los casos clásicos implican una configuración habilitada o necesaria en un lado, pero deshabilitada en la otra.

Nota:

Las pruebas internas mostraron errores de coincidencia de firma de SMB, lo que provoca un error de replicación con el error 1722: "El servidor RPC no está disponible".

Causa 8: fragmentación de paquetes Kerberos con formato UDP

Los enrutadores y conmutadores de red pueden fragmentar o quitar completamente paquetes de red con formato UDP (Protocolo de datagramas de usuario) con formato que usan Kerberos y mecanismos de extensión para DNS (EDNS0).

Solución

1. Desde la consola del controlador de dominio de destino, haga ping al controlador de dominio de origen por su nombre de equipo completo para identificar el paquete más grande admitido por la ruta de red. Para ello, ejecute el siguiente comando:

   c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472
   

2. Si el paquete no fragmentado más grande es inferior a 1472 bytes, pruebe uno de los métodos siguientes (en orden de preferencia):

   • Cambie la infraestructura de red para admitir correctamente fotogramas UDP grandes. Esto puede requerir un cambio de configuración o actualización de firmware en enrutadores, conmutadores o firewalls.
   • Establezca maxpacketsize (en el controlador de dominio de destino) en el paquete más grande identificado por el PING -f -l comando menos de 8 bytes para tener en cuenta el encabezado TCP y, a continuación, reinicie el controlador de dominio cambiado.
   • Establezca maxpacketsize (en el controlador de dominio de destino) en un valor de 1. Esto desencadena la autenticación Kerberos para usar un TCP. Reinicie el controlador de dominio modificado para que el cambio surta efecto.

3. Vuelva a intentar la operación de Active Directory con errores.

Causa 9: Los adaptadores de red tienen habilitada la característica "Descarga de envío grande"

Solución

1. En el controlador de dominio de destino, abra las propiedades del adaptador de red.
2. Seleccione el botón Configurar.
3. Seleccione la pestaña Opciones avanzadas.
4. Deshabilite la propiedad IPv4 Large Send Offload .
5. Reinicia el controlador de dominio.

Causa 10: Dominio kerberos no válido

El dominio kerberos no es válido si se cumplen una o varias de las condiciones siguientes:

• La KDCNames entrada del Registro contiene incorrectamente el nombre de dominio local de Active Directory.
• La PolAcDmN clave del Registro y la PolPrDmN clave del Registro no coinciden.

Soluciones

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Como medida de protección, haga una copia de seguridad del registro antes de modificarlo para poder restaurarlo si se produce algún problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

Solución a la entrada del Registro "KDCNames" incorrecta

1. En el controlador de dominio de destino, ejecute REGEDIT.
2. Busque la subclave siguiente en el Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
3. Para cada <Fully_Qualified_Domain> en la subclave, compruebe que el valor de la entrada del KdcNames Registro hace referencia a un dominio kerberos externo válido y no al dominio local u otro dominio del mismo bosque de Active Directory.

Solución a las claves del Registro "PolAcDmN" y "PolPrDmN" no coincidedas

1. Inicia el Editor del Registro.

2. En el panel de navegación, expanda Seguridad.

3. En el menú Seguridad , seleccione Permisos para conceder al grupo local Administradores control total del SECURITY subárbol y sus contenedores y objetos secundarios.

4. Busque la subclave siguiente en el Registro:
   HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN

5. En el panel derecho del Editor del Registro, seleccione la entrada Sin nombre: REG_NONE registro una vez.

6. En el menú Ver , seleccione Mostrar datos binarios.

7. En la sección Formato del cuadro de diálogo, seleccione Byte.

   El nombre de dominio se muestra como una cadena en el lado derecho del cuadro de diálogo Datos binarios. El nombre de dominio es el mismo que el dominio Kerberos.

8. Busque la subclave siguiente en el Registro:
   HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN

9. En el panel derecho del Editor del Registro, haga doble clic en la entrada Sin nombre: REG_NONE .

10. En el cuadro de diálogo Editor binario, pegue el valor de la subclave del PolPrDmN Registro. (El valor de la subclave del PolPrDmN Registro es el nombre de dominio NetBIOS).

11. Reinicia el controlador de dominio. Si el controlador de dominio no funciona correctamente, consulte otros métodos.

Causa 11: Hay un error de coincidencia de compatibilidad de LAN Manager (compatibilidad de LM) entre los controladores de dominio de origen y destino.

Causa 12: los nombres de entidad de seguridad de servicio no están registrados o no están presentes debido a una latencia de replicación simple o a un error de replicación

Causa 13: El software antivirus usa un controlador de filtro de adaptador de red de mini firewall en el controlador de dominio de origen o destino

Más información

Los errores y eventos de Active Directory, como los descritos en la sección "Síntomas" también pueden producir un error 8453 junto con la cadena de error similar a la siguiente:

Se denegó el acceso de replicación.

Las siguientes situaciones pueden provocar un error en las operaciones de Active Directory con el error 8453. Sin embargo, estas situaciones no provocan errores con el error 5.

• No se permite el encabezado del contexto de nomenclatura (NC) con el permiso Replicating Directory Changes (Cambios de directorio de replicación).
• La entidad de seguridad que inicia la replicación no es miembro de un grupo al que se le concede el permiso Replicating Directory Changes (Cambios de directorio de replicación).
• Faltan marcas en el UserAccountControl atributo . Estas marcas incluyen SERVER_TRUST_ACCOUNT y TRUSTED_FOR_DELEGATION.
• El controlador de dominio de solo lectura (RODC) se unió al dominio sin ejecutar primero el ADPREP /RODCPREP comando.

Salida de ejemplo de "DCDIAG /TEST:CheckSecurityError"

La salida de ejemplo de DCDIAG /CHECKSECURITYERROR para un controlador de dominio es la siguiente. Esto se debe a una asimetría de tiempo excesiva.

Doing primary tests  
Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: CheckSecurityError  
Source DC <Source DC> has possible security error (5). Diagnosing...  
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED or down machine recieved by:
<Source DC>  
Source DC <Source DC>_has possible security error (5). Diagnosing...  
Time skew error: 7205 seconds different between:.  
<Source DC>  
<Destination_DC>  
[<Source DC>] DsBindWithSpnEx() failed with error 5,  
Access is denied..  
Ignoring DC <Source DC> in the convergence test of object CN=<Destination_DC>,OU=Domain  Controllers,DC=<DomainName>,DC=com, because we cannot connect!  
......................... <Destination_DC> failed test CheckSecurityError  

La salida de ejemplo de DCDIAG /CHECKSECURITYERROR es la siguiente. Muestra los nombres de SPN que faltan. (La salida puede variar de entorno a entorno).

Doing primary tests  
Testing server: <site name>\<dc name>  
Test omitted by user request: Advertising  
Starting test: CheckSecurityError  
* Dr Auth: Beginning security errors check'  
Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>  
Checking machine account for DC <DC name> on DC <DC Name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>  
* Missing SPN :LDAP/<hostname>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :LDAP/bba727ef-be4e-477d-9796-63b6cee3bSf.<forest root domain DN>  
* SPN found :E3514235-4B06-I1D1-ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>  
* SPN found :HOST/<hostname>.<DNS domain name>  
* SPN found :HOST/<hostname>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>
Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.