次の方法で共有

Active Directory レプリケーション エラー 8453: レプリケーション アクセスが拒否されました

この記事では、Active Directory レプリケーションが失敗し、エラー 8453: レプリケーション アクセスが拒否された問題をトラブルシューティングする方法について説明します。

元の KB 番号: 2022387

Note

ホーム ユーザー: この記事は、テクニカル サポート 担当者と IT プロフェッショナルのみを対象としています。 問題に関するヘルプを探している場合は、microsoft コミュニティ

まとめ

このエラー 8453 の主な原因は次のとおりです。

  • 宛先ドメイン コントローラーに、名前付けコンテキスト/パーティションのレプリケートに必要なアクセス許可がありません。

  • 手動でレプリケーションを開始した管理者に、レプリケーション実行のアクセス許可がありません。

    Note

    この条件は、定期的またはスケジュールされたレプリケーションには影響しません。

上位の原因

期間またはスケジュールされたレプリケーションの場合、宛先ドメイン コントローラーが読み取り専用ドメイン コントローラー (RODC) の場合:

Enterprise 読み取り専用ドメイン コントローラー セキュリティ グループには、レプリケートせず、エラー 8453 を返すパーティションの名前付けコンテキスト (NC) のルートに対する ディレクトリ変更の複製 アクセス許可がありません。

トップ ソリューション

RODC がレプリケートせず、エラー 8453 が返される各 NC で、フォレスト ルート ドメインの Enterprise 読み取り専用ドメイン コントローラー セキュリティ グループに ディレクトリの変更の複製 アクセス許可を付与します。

例:

RODC childdc2.child.contoso.com は、 contoso.com パーティションをレプリケートせず、エラー 8453 を返します。 この状況をトラブルシューティングするには、次の手順に従います。

  1. contoso.com ドメイン コントローラーで ADSIEDIT.msc を開きます。

  2. contoso.com ドメイン NC (既定の名前付けコンテキスト) への接続を開きます。

  3. dc=contoso,dc=com NC のプロパティを開き、Security タブを選択します。

  4. 追加を選択し、テキスト ボックスに次のエントリを入力します。
    Contoso\Enterprise 読み取り専用ドメイン コントローラー

    Note

    このグループは、フォレスト ルート ドメインにのみ存在します。

  5. [名前の確認] を選択し、[OK] を選択します。

  6. [エンタープライズ読み取り専用ドメイン コントローラーの 使用 ] ダイアログ ボックスで、自動的に選択されている [ Allow ] チェック ボックスをオフにします。

    • 既読
    • ドメイン パスワードとロックアウト ポリシーの読み取り
    • その他のドメイン パラメーターの読み取り

  7. ディレクトリ変更の複製の横にある Allow ボックスを選択し、OKを選択します。

これらの手順で問題が解決しない場合は、この記事の残りの部分を参照してください。

現象

この問題が発生すると、次の 1 つ以上の現象が発生します。

  • DCDIAG レプリケーション テスト (DCDIAG /TEST:Replications) は、テスト対象のドメイン コントローラー 失敗したテスト レプリケーション 状態が 8453: レプリケーション アクセスが拒否されたことを報告します。

    Starting test: Replications  
[Replications Check,<destination domain controller] A recent replication attempt failed:  
From <source DC> to <Destination DC  
Naming Context: <DN path of failing directory partition>  
The replication generated an error (8453):  
Replication access was denied.  
The failure occurred at <date> <time>.  
The last success occurred at <date> <time>.  
%#% failures have occurred since the last success.  
The machine account for the destination <destination DC>.  
is not configured properly.  
Check the userAccountControl field.  
Kerberos Error.  
The machine account is not present, or does not match on the.  
destination, source or KDC servers.  
Verify domain partition of KDC is in sync with rest of enterprise.  
The tool repadmin/syncall can be used for this purpose.  
......................... <DC tested by DCDIAG> failed test Replications

  • DCDIAG NCSecDesc テスト (DCDIAG /TEST:NCSecDesc) は、DCDIAG 失敗テスト NCSecDec によってテストされたドメイン コントローラーと DCDIAG によってテストされたテスト済みドメイン コントローラーの 1 つ以上のディレクトリ パーティションの NC ヘッドに対して 1 つ以上のアクセス許可が欠落していることを報告します。

    Starting test: NCSecDesc  
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have  
Replicating Directory Changes                               <- List of missing access  
Replication Synchronization                                 <- rights required for each Manage Replication Topology                                       <- security group could vary  
Replicating Directory Changes In Filtered Set               <- depending in missing  
access rights for the naming context:                          <- right in your environment  
DC=contoso,DC=com  
Error CONTOSO\Domain Controllers doesn't have  
Replicating Directory Changes All  
access rights for the naming context:  
DC=contoso,DC=com  
Error CONTOSO\Enterprise Read-Only Domain Controllers doesn't have  
Replicating Directory Changes  
access rights for the naming context:  
DC=contoso,DC=com  
......................... CONTOSO-DC2 failed test NCSecDesc

  • DCDIAG MachineAccount テスト (DCDIAG /TEST:MachineAccount) は、ドメイン コントローラー コンピューター アカウントの UserAccountControl 属性にSERVER_TRUST_ACCOUNTフラグまたは TRUSTED_FOR_DELEGATION フラグがないため DCDIAG 失敗テスト MachineAccount によってテストされたドメイン コントローラーを報告します。

    Starting test: MachineAccount  
The account CONTOSO-DC2 is not trusted for delegation . It cannot  
replicate.  
The account CONTOSO-DC2 is not a DC account. It cannot replicate.  
Warning: Attribute userAccountControl of CONTOSO-DC2 is:  
0x288 = ( HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT )  
Typical setting for a DC is  
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )  
This may be affecting replication? 
......................... CONTOSO-DC2 failed test MachineAccount

  • DCDIAG KCC イベント ログ テストは、Microsoft-Windows-ActiveDirectory_DomainService イベント 2896 と同等の 16 進数を示します。

    B50 hex = 2896 decimal。 このエラーは、インフラストラクチャ マスター ドメイン コントローラーで 60 秒ごとにログに記録される場合があります。

    Starting test: KccEvent  
The KCC Event log test  
An error event occurred. EventID: 0xC0000B50  
Time Generated: 06/25/2010 07:45:07

Event String:  
A client made a DirSync LDAP request for a directory partition. Access was denied due to the following error.

Directory partition:  
<DN path of directory partition>

Error value:  
8453 Replication access was denied.

User Action  
The client may not have access for this request. If the client requires it, they should be assigned the control access right "Replicating Directory Changes" on the directory partition in question.

  • REPADMIN.EXEは、レプリケーションの試行が失敗し、8453 状態を返したことを報告します。

    一般的に 8453 状態を示す REPADMIN コマンドには、次のものが含まれますが、これらに限定されません。

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      REPADMIN /SHOWREPS CONTOSO-DC2 から CONTOSO-DC1 への受信レプリケーションが失敗し、レプリケート アクセスが拒否されたことを示す出力の例次のようになります。

      Default-First-Site-Name\CONTOSO-DC1  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID:  
DSA invocationID:  
DC=contoso,DC=com  
Default-First-Site-Name\CONTOSO-DC2 via RPC  
DSA object GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2  
Last attempt @ <date> <time> failed, result 8453 (0x2105):  
Replication access was denied.  
<#> consecutive failure(s).  
Last success @ <date> <time>.

  • Active Directory サイトとサービス (DSSITE) の コマンドを今すぐ複製します。MSC) は、重複アクセスが拒否されました エラーを返します。

    ソース ドメイン コントローラーから接続オブジェクトを右クリックし、[今すぐ複製 選択すると 失敗します。 また、 重複アクセスが拒否されました エラーが返されます。 次のエラー メッセージが表示されます。

    Dialog title text: Replicate Now  
Dialog message text: The following error occurred during the attempt to synchronize naming context <%directory partition name%> from Domain Controller <Source DC> to Domain Controller <Destination DC>:  
Replication access was denied  

The operation will not continue  
Buttons in Dialog: OK

    レプリケーション アクセスが拒否されました。このエラーは、replicate now コマンドの実行後に発生します。

  • 状態が 8453 の NTDS KCC、NTDS General、または Microsoft-Windows-ActiveDirectory_DomainService イベントは、Active Directory ディレクティブ サービス (AD DS) イベント ログに記録されます。

一般的に 8453 の状態を示す Active Directory イベントには、次のイベントが含まれますが、これらに限定されません。

イベント ソース イベント ID イベントの文字列
Microsoft-Windows-ActiveDirectory_DomainService 1699 このディレクトリ サービスは、次のディレクトリ パーティションに対して要求された変更を取得できませんでした。 その結果、次のネットワーク アドレスでディレクトリ サービスに変更要求を送信できませんでした。
Microsoft-Windows-ActiveDirectory_DomainService 2,896 クライアントがディレクトリ パーティションに対して DirSync LDAP 要求を行いました。 次のエラーにより、アクセスが拒否されました。
NTDS 全般 1655 Active Directory は、次のグローバル カタログと通信しようとして、試行が成功しなかった場合。
NTDS KCC 1265 パラメーターを使用したレプリケーション リンクの確立の試行
パーティション: <パーティション DN パス>
ソース DSA DN: ソース DC NTDS 設定オブジェクトの <DN>
ソース DSA アドレス: <source DC 完全修飾 CNAME>
サイト間トランスポート (存在する場合): <dn パス>
次の状態で失敗しました。
NTDS KCC 1925 次の書き込み可能なディレクトリ パーティションのレプリケーション リンクを確立できませんでした。

原因

エラー 8453 (レプリケーション アクセスが拒否されました) には、次のような複数の根本原因があります。

  • 宛先ドメイン コントローラー コンピューター アカウントの UserAccountControl 属性に、次のいずれかのフラグがありません。
    SERVER_TRUST_ACCOUNT または TRUSTED_FOR_DELEGATION

  • オペレーティング システムのセキュリティ コンテキストでスケジュールされたレプリケーションを実行できるようにするため、既定のアクセス許可は 1 つ以上のディレクトリ パーティションに存在しません。

  • 既定またはカスタムのアクセス許可は、ユーザーが DSSITE を使用してアドホックレプリケーションまたは即時レプリケーションをトリガーできるように、1 つ以上のディレクトリ パーティションに存在しません。MSC 今すぐrepadmin /replicaterepadmin /syncall、または同様のコマンドを複製します。

  • アドホック レプリケーションをトリガーするために必要なアクセス許可は、関連するディレクトリ パーティションで正しく定義されています。 ただし、ユーザーは、レプリケーション ディレクトリの変更アクセス許可が付与されているセキュリティ グループのメンバーではありません。

  • アドホック レプリケーションをトリガーするユーザーは、必要なセキュリティ グループのメンバーであり、これらのセキュリティ グループには、 ディレクトリの変更 アクセス許可が付与されています。 ただし、レプリケート ディレクトリ変更アクセス許可を付与しているグループのメンバーシップは、 User アカウント制御 分割ユーザー アクセス トークン機能によってユーザーのセキュリティ トークンから削除されます。 この機能は、Windows Vista および Windows Server 2008 で導入されました。

    Note

    Vista および Windows Server 2008 で導入されたユーザー アカウント制御の分割トークン セキュリティ機能と、Active Directory サービスによって格納されているドメイン コントローラーの役割コンピューター アカウントで定義されている UserAccountControl 属性を混同しないでください。

  • 移行先ドメイン コントローラーが RODC の場合、RODCPREP は現在読み取り専用ドメイン コントローラーをホストしているドメインで実行されていないか、エンタープライズ読み取り専用ドメイン コントローラー グループにレプリケートされていないパーティションに対する ディレクトリ変更 アクセス許可が付与されていません。

  • ライトウェイト ディレクトリ サービス (LDS) インスタンスがある。 また、影響を受けるインスタンスの NTDS Settings オブジェクトが LDS 構成コンテナーに存在しません。 たとえば、次のエントリが表示されます。

    CN=NtDs 設定,CN=Server1$ADAMINST1,CN=Server,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Symptoms 」セクションに記載されているような Active Directory エラーとイベントも発生し、 エラー 5 メッセージが生成されることがあります (Access は拒否されます)。

Resolution」セクションで説明されているエラー 5 またはエラー 8453 の手順では、現在レプリケーションが失敗し、他のエラー メッセージが生成されているコンピューターでのレプリケーションエラーは解決されません。

エラー 5 メッセージを生成する Active Directory 操作の失敗の一般的な根本原因は次のとおりです。

  • 過剰な時間のずれ
  • ネットワーク上の中間デバイスによる UDP 形式の Kerberos パケットの断片化
  • 見つからない ネットワークからこのコンピューターにアクセス 権限。
  • セキュリティで保護されたチャネルまたはドメイン内の信頼の破損
  • CrashOnAuditFail = 2 レジストリのエントリ

解決方法

この問題を解決するには、次の方法を使用します。

DCDIAG + DCDIAG /test:CheckSecurityError を使用して正常性チェックを実行する

  1. 8453 エラーまたはイベントを報告している宛先 DC で DCDIAG を実行します。
  2. 宛先ドメイン コントローラーが 8453 エラーまたはイベントを報告しているソース ドメイン コントローラーで DCDIAG を実行します。
  3. 移行先ドメイン コントローラーで DCDIAG /test:CheckSecurityError を実行します。
  4. ソース DC で DCDIAG /test:CheckSecurityError を実行します。

無効な UserAccountControl を修正する

UserAccountControl属性には、ユーザーまたはコンピューター アカウントの機能と状態を定義するビットマスクが含まれています。 UserAccountControl フラグの詳細については、「User-Account-Control 属性を参照してください。

writeable (full) DC コンピューター アカウントの一般的な UserAccountControl 属性値は 532480 16 進数または 82000 16 進数です。 DC コンピューター アカウントの UserAccountControl 値は異なる場合がありますが、次の表に示すように、 SERVER_TRUST_ACCOUNT フラグと TRUSTED_FOR_DELEGATION フラグを含める必要があります。

プロパティのフラグ 16 進値 10 進値
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl 値 0x82000 532480

読み取り専用ドメイン コントローラー コンピューター アカウントの一般的な UserAccountControl 属性値は、10 進数または 5001000 16 進数83890176です。

プロパティのフラグ 16 進値 10 進値
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
RODC の一般的な UserAccountControl 値 0x5001000 83890176

  • 宛先ドメイン コントローラーの UserAccountControl 属性にSERVER_TRUST_ACCOUNT フラグがありません

    DCDIAG MachineAccount テストが失敗し、 失敗したテスト MachineAcccount エラー メッセージが返され、テストされたドメイン コントローラーの UserAccountControl 属性に SERVER_TRUST_ACCOUNT フラグがない場合は、テスト対象のドメイン コントローラーの Active Directory のコピーに不足しているフラグを追加します。

    1. ADSIEDIT を開始します。DCDIAG によって報告された SERVER_TRUST_ACCOUNT が見つからないドメイン コントローラーの本体上の MSC。
    2. ADSIEDIT の左上のウィンドウで ADSIEDIT を右クリックします。MSC を選択し、 [接続先] を選択します。
    3. [ 接続の設定 ] ダイアログ ボックスで、[ 既知の名前付けコンテキストの選択] をクリックし、[ 既定の名前付けコンテキスト (コンピューター アカウント のドメイン パーティション) を選択します。
    4. [ 選択] をクリックするか、ドメインまたはサーバーを入力します。 DCDIAG で失敗しているドメイン コントローラーの名前を選択します。
    5. [OK] を選択します。
    6. ドメインの名前付けコンテキストで、ドメイン コントローラー コンピューター アカウントを見つけて右クリックし、 Properties を選択します。
    7. UserAccountControl属性をダブルクリックし、その 10 進値を記録します。
    8. プログラマ モード (Windows Server 2008 以降のバージョン) で Windows 電卓を起動します。
    9. UserAccountControl の 10 進値を入力します。 10 進値を等価の 16 進数に変換し、既存の値に 0x80000 を追加してから、等号 (=) を押します。
    10. 新しく計算された UserAccountContorl 値を等価の 10 進数に変換します。
    11. WINDOWS 電卓から ADSIEDIT の UserAccountControl 属性に新しい 10 進値を入力します。MSC。
    12. OKを 2 回選択して保存します。

  • 宛先ドメイン コントローラーの UserAccountControl 属性に TRUSTED_FOR_DELEGATION フラグがありません

    DCDIAG MachineAccount テストが 失敗したテスト MachineAcccount エラー メッセージを返し、テスト対象のドメイン コントローラーの UserAccountControl 属性に TRUSTED _FOR_DELEGATION フラグがない場合は、テスト対象のドメイン コントローラーの Active Directory のコピーに不足しているフラグを追加します。

    1. Active Directory ユーザーとコンピューター (DSA) を開始します。MSC) は、DCDIAG によってテストされたドメイン コントローラーの本体上にあります。

    2. ドメイン コントローラーのコンピューター アカウントを右クリックします。

    3. [委任] タブを選びます。

    4. ドメイン コントローラー コンピューター アカウントで、任意のサービスへの委任 このコンピューターを信頼する (Kerberos のみ) オプションを選択します。

      [D C プロパティ] ダイアログ ボックスの [委任] タブにある [任意のサービスへの委任にこのコンピューターを信頼しました] オプション。

無効な既定のセキュリティ記述子を修正する

Active Directory 操作は、操作を開始したアカウントのセキュリティ コンテキストで行われます。 Active Directory パーティションに対する既定のアクセス許可では、次の操作が許可されます。

  • Enterprise Administrators グループのメンバーは、同じフォレスト内の任意のドメイン内の任意のドメイン コントローラー間でアドホック レプリケーションを開始できます。
  • 組み込みの Administrators グループのメンバーは、同じドメイン内のドメイン コントローラー間でアドホック レプリケーションを開始できます。
  • 同じフォレスト内のドメイン コントローラーは、変更通知またはレプリケーション スケジュールを使用してレプリケーションを開始できます。

Active Directory パーティションに対する既定のアクセス許可では、既定では次の操作は許可されません。

  • 1 つのドメインの組み込み Administrators グループのメンバーは、異なるドメインのドメイン コントローラーから、そのドメイン内のドメイン コントローラーへのアドホック レプリケーションを開始できません。
  • 組み込みの Administrators グループのメンバーではないユーザーは、同じドメインまたはフォレスト内の他のドメイン コントローラーからアドホック レプリケーションを開始することはできません。

既定のアクセス許可またはグループ メンバーシップが変更されるまで、これらの操作は設計上失敗します。

アクセス許可は、各ディレクトリ パーティションの上部 (NC ヘッド) で定義され、パーティション ツリー全体で継承されます。 明示的なグループ (ユーザーが直接メンバーであるグループ) と暗黙的なグループ (明示的なグループが入れ子になったメンバーシップを持つグループ) に必要なアクセス許可があることを確認します。 また、暗黙的または明示的なグループに割り当てられた拒否アクセス許可が、必要なアクセス許可よりも優先されていないことも確認します。 既定のディレクトリ パーティションの詳細については、「 構成ディレクトリ パーティションの既定のセキュリティを参照してください。

  • 失敗し、レプリケーション アクセスを返す各ディレクトリ パーティションの上部に既定のアクセス許可が存在することを確認します

    異なるドメイン内のドメイン コントローラー間、またはドメイン管理者以外の同じドメイン内のドメイン コントローラー間でアドホック レプリケーションが失敗する場合は、「 ドメイン管理者以外のアクセス許可 」セクションを参照してください。

    エンタープライズ管理者グループのメンバーに対してアドホック レプリケーションが失敗する場合は、エンタープライズ管理者グループに付与される NC ヘッドアクセス許可に注目してください。

    ドメイン管理者グループのメンバーに対してアドホック レプリケーションが失敗する場合は、組み込みの Administrators セキュリティ グループに付与されるアクセス許可に注目してください。

    フォレスト内のドメイン コントローラーによって開始されたスケジュールされたレプリケーションが失敗し、エラー 8453 が返される場合は、次のセキュリティ グループのアクセス許可に注目してください。

    • Enterprise Domain Controllers

    • Enterprise Read-Only Domain Controllers

      読み取り専用ドメイン コントローラー (RODC) 上のドメイン コントローラーによってスケジュールされたレプリケーションが開始され、エラー 8453 が返された場合は、Enterprise 読み取り専用ドメイン コントローラー セキュリティ グループに、各ディレクトリ パーティションの NC ヘッドに必要なアクセス権が付与されていることを確認します。

      次の表に、さまざまな Windows バージョンでスキーマ、構成、ドメイン、DNS アプリケーションに定義されている既定のアクセス許可を示します。

      各ディレクトリ パーティションに必要な DACL Windows Server 2008 以降
      レプリケーション トポロジの管理 x
      ディレクトリの変更のレプリケート x
      レプリケーションの同期 x
      ディレクトリの変更すべてのレプリケート x
      フィルター セットでの変更のレプリケート x

      Note

      DCDIAG NcSecDesc テストは、システム バージョンが混在する環境で実行すると、誤検知エラーを報告する場合があります。

      DSACLS コマンドを使用すると、次の構文を使用して、特定のディレクトリ パーティションに対するアクセス許可をダンプできます。
      DSACLS <ディレクトリ パーティションのDN パス>

      たとえば、次のコマンドを使用します。

      C:\>dsacls dc=contoso,dc=com

      このコマンドは、次の構文を使用してリモート ドメイン コントローラーを対象にすることができます。

      c:\>dsacls \\contoso-dc2\dc=contoso,dc=com

      失敗したユーザーが直接または入れ子になったメンバーであるグループのアクセス許可を削除する NC ヘッドに対する DENY アクセス許可に注意してください。

不足している必要なアクセス許可を追加する

ADSIEDIT で Active Directory ACL エディターを使用します。不足している DACLS を追加する MSC。

ドメイン管理者以外のアクセス許可を付与する

ドメイン管理者以外に次のアクセス許可を付与します。

  • エンタープライズ以外の管理者の同じドメイン内のドメイン コントローラー間でレプリケートするには
  • 異なるドメイン内のドメイン コントローラー間でレプリケートするには

Active Directory パーティションに対する既定のアクセス許可では、次の操作は許可されません。

  • 1 つのドメインの組み込み Administrators グループのメンバーは、異なるドメインのドメイン コントローラーからアドホック レプリケーションを開始できません。
  • 組み込みのドメイン管理者グループのメンバーではないユーザーは、同じドメインまたは異なるドメイン内のドメイン コントローラー間でアドホック レプリケーションを開始します。

これらの操作は、ディレクトリ パーティションに対するアクセス許可が変更されるまで失敗します。

この問題を解決するには、次のいずれかの方法を使用します。

  • ディレクトリ パーティションをレプリケートするために必要なアクセス許可が既に付与されている既存のグループにユーザーを追加します。 (同じドメイン内のレプリケーション用のドメイン管理者を追加するか、Enterprise Administrators グループを追加して、異なるドメイン間のアドホック レプリケーションをトリガーします)。

  • 独自のグループを作成し、そのグループにフォレスト全体のディレクトリ パーティションに必要なアクセス許可を付与してから、それらのグループにユーザーを追加します。

詳細については、 KB303972を参照してください。 問題のセキュリティー・グループに、「 Fix の無効なデフォルト・セキュリティー記述子 」セクションの表にリストされているものと同じ権限を付与します。

必要なセキュリティ グループのグループ メンバーシップを確認する

ディレクトリ パーティションに対して必要なアクセス許可が正しいセキュリティ グループに付与されたら、レプリケーションを開始するユーザーが、レプリケーションのアクセス許可が付与されている直接または入れ子になったセキュリティ グループの有効なメンバーシップを持っていることを確認します。 これを行うには、次の手順に従います。

  1. アドホック レプリケーションが失敗し、 複製アクセスが拒否されたユーザー アカウントを使用してログオン

  2. コマンド プロンプトで、次のコマンドを実行します。

    WHOAMI /ALL

  3. レプリケート ディレクトリに付与されているセキュリティ グループのメンバーシップが、関連するディレクトリ パーティションに対するアクセス許可を変更することを確認します。

    ユーザーが最後のユーザー ログオン後に変更された許可されたグループに追加された場合は、2 回目にログオンし、 WHOAMI /ALL コマンドをもう一度実行します。

    このコマンドで想定されるセキュリティ グループのメンバーシップが表示されない場合は、ローカル コンピューターで管理者特権のコマンド プロンプト ウィンドウを開き、コマンド プロンプトで WHOAMI /ALL を実行します。

    昇格されたコマンド プロンプトによって生成される WHOAMI /ALL 出力と管理者特権以外のコマンド プロンプトでグループ メンバーシップが異なる場合は、「 Windows Server 2008 ベースのドメイン コントローラーに対して LDAP クエリを実行する場合は、部分的な属性リストを取得します

  4. 予期される入れ子になったグループ メンバーシップが存在することを確認します。

    ユーザーが、入れ子になったグループのメンバー (レプリケーションのアクセス許可が直接付与されているグループのメンバー) としてアドホック レプリケーションを実行するアクセス許可を取得している場合は、入れ子になったグループ メンバーシップ チェーンを確認します。 ドメイン管理者グループとエンタープライズ管理者グループが組み込みの Administrators グループから削除されたため、アドホック Active Directory レプリケーションエラーが発生しました。

RODC レプリケーション

RODC でコンピューターが開始したレプリケーションが失敗する場合は、 ADPREP /RODCPREP 実行していること、およびエンタープライズ読み取り専用ドメイン コントローラー グループに各 NC ヘッドの ディレクトリ変更の複製 権限が付与されていることを確認します。

LDS サーバーの NTDS Settings オブジェクトが見つかりません

Active Directory Lightweight Directory Services (LDS) では、DBDSUTIL でメタデータをクリーンアップせずにオブジェクトを削除できます。 この問題が発生する可能性があります。 インスタンスを構成セットに復元するには、影響を受けるサーバー上の LDS インスタンスをアンインストールしてから、ADAM 構成ウィザードを実行する必要があります。

Note

インスタンスの LDAPS サポートを追加した場合は、インスタンスをアンインストールするとサービス インスタンスも削除されるため、サービス ストアで証明書を再度構成する必要があります。