Udostępnij za pośrednictwem

Jak rozwiązać problem z błędem replikacji usługi Active Directory 5 w systemie Windows Server: odmowa dostępu

W tym artykule opisano objawy, przyczynę i rozwiązanie sytuacji, w których replikacja usługi Active Directory kończy się niepowodzeniem z powodu błędu 5: Odmowa dostępu.

Oryginalny numer KB: 3073945

Symptomy

Może wystąpić co najmniej jeden z następujących objawów, gdy replikacja usługi Active Directory kończy się niepowodzeniem z błędem 5.

Symptom 1

Narzędzie wiersza polecenia Dcdiag.exe zgłasza, że test replikacji usługi Active Directory kończy się niepowodzeniem z kodem stanu błędu (5). Raport przypomina następujący przykład:

Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: Replications  
Replications Check  
[Replications Check,<Destination_DC_Name>] A recent replication attempt failed:  
From <Source_DC> to <Destination_DC>  
Naming Context: <Directory_Partition_DN_Path>  
The replication generated an error (5):  
Access is denied.  
The failure occurred at <Date> <Time>.  
The last success occurred at <Date> <Time>.  
<Number> failures have occurred since the last success.

Objaw 2

Narzędzie wiersza polecenia Dcdiag.exe zgłasza, że DsBindWithSpnEx funkcja kończy się niepowodzeniem z powodu błędu 5, uruchamiając DCDIAG /test:CHECKSECURITYERROR polecenie .

Objaw 3

Narzędzie wiersza polecenia REPADMIN.exe zgłasza, że ostatnia próba replikacji nie powiodła się ze stanem 5.

Polecenia REPADMIN , które często przytaczają stan 5, obejmują, ale nie są ograniczone do następujących:

  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL

Przykładowe dane wyjściowe polecenia REPADMIN /SHOWREPL są następujące. Te dane wyjściowe pokazują replikację przychodzącą z DC_2_Name błędu DC_1_Name "Odmowa dostępu".

<Site_Name>\<DC_1_Name>  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID: <GUID>  
DSA invocationID: <invocationID>

==== INBOUND NEIGHBORS======================================  
DC= <DomainName>,DC=com  
<Site_Name>\<DC_2_Name> via RPC  
DSA object GUID: <GUID> 
Last attempt @ <Date> <Time> failed, result 5(0x5):  
Access is denied.  
<#> consecutive failure(s).  
Last success @ <Date> <Time>.

Objaw 4

Zdarzenia NTDS KCC, NTDS General lub Microsoft-Windows-ActiveDirectory_DomainService ze stanem 5 są rejestrowane w dzienniku usług katalogowych Podgląd zdarzeń.

Poniższa tabela zawiera podsumowanie zdarzeń usługi Active Directory, które często przytaczają stan 8524, w tym między innymi:

Identyfikator zdarzenia Źródło Ciąg zdarzenia
1655 NTDS ogólne Usługa Active Directory próbowała nawiązać komunikację z następującym wykazem globalnym i próby zakończyły się niepowodzeniem.
1925 NTDS KCC Nie można ustanowić łącze replikacji dla następujących partycji katalogów zapisu.
1926 NTDS KCC Próba ustanowienia łącza replikacji z partycją katalogu tylko do odczytu o następujących parametrach nie powiodła się.

Objaw 5

Po kliknięciu prawym przyciskiem myszy obiektu połączenia ze źródłowego kontrolera domeny (DC) w lokacjach i usługach usługi Active Directory, a następnie wybraniu pozycji Replikuj teraz proces zakończy się niepowodzeniem i zostanie wyświetlony następujący błąd:

Tekst tytułu okna dialogowego: Replikuj teraz

Tekst komunikatu okna dialogowego:

Podczas próby zsynchronizowania kontekstu nazewnictwa %<directory name% z kontrolera domeny źródłowego kontrolera> domeny> do <docelowego> kontrolera domeny <wystąpił następujący błąd: odmowa dostępu.

Operacja nie będzie kontynuowana.

Poniższy zrzut ekranu przedstawia przykład błędu:

Zrzut ekranu przedstawiający okno Replikuj teraz, które pokazuje przykład błędu.

Rozwiązanie

Użyj ogólnych narzędzi DCDIAG i NETDIAG wiersza polecenia, aby uruchomić wiele testów. DCDIAG /TEST:CheckSecurityError Użyj narzędzia wiersza polecenia, aby wykonać określone testy. (Te testy obejmują sprawdzanie rejestracji głównej nazwy usługi).

W celu obejścia tego problemu należy wykonać następujące czynności:

  1. W wierszu polecenia uruchom polecenie DCDIAG na docelowym kontrolerze domeny.
  2. Uruchom polecenia DCDIAG /TEST:CheckSecurityError i NETDIAG.
  3. Rozwiąż wszelkie błędy, które zostały zidentyfikowane przez DCDIAGprogram .
  4. Spróbuj ponownie wykonać wcześniej nieudaną operację replikacji. Jeśli replikacje nadal kończą się niepowodzeniem, zobacz następujące przyczyny i rozwiązania.

Następujące przyczyny mogą spowodować błąd 5. Niektóre z nich mają rozwiązania.

Przyczyna 1: Na źródłowym lub docelowym kontrolerze domeny występuje nieprawidłowa niezgodność kanału zabezpieczeń lub hasła

Zweryfikuj kanał zabezpieczeń, uruchamiając jedno z następujących poleceń:

  • nltest /sc_query:<Domain Name>

  • netdom verify <DC Name>

Zresetuj hasło docelowego kontrolera domeny przy użyciu polecenia NETDOM /RESETPWD.

Rozwiązanie

  1. Wyłącz usługę Centrum dystrybucji kluczy Kerberos (KDC) na docelowym kontrolerze domeny.

  2. W wierszu polecenia z podwyższonym poziomem uprawnień na docelowym kontrolerze domeny uzyskaj bilet protokołu Kerberos systemu, uruchamiając polecenie Klist -li 0x3e7 purge.

  3. Uruchom polecenie NETDOM RESETPWD , aby zresetować hasło zdalnego kontrolera domeny:

    c:\>netdom resetpwd /server:<remote_dc_name> /userd: domain_name\administrator /passwordd: administrator_password

  4. Upewnij się, że potencjalne kontrolery KDC i źródłowy kontroler domeny (jeśli są w tej samej domenie) przychodzące replikują nowe hasło docelowego kontrolera domeny.

  5. Uruchom usługę centrum dystrybucji kluczy na docelowym kontrolerze domeny i ponów próbę wykonania operacji replikacji.

Aby uzyskać więcej informacji, zobacz How to use Netdom.exe to reset machine account passwords of a domain controller (Jak używać Netdom.exe do resetowania haseł kont komputera kontrolera domeny).

Przyczyna 2: Ustawienie "CrashOnAuditFail" w rejestrze docelowego kontrolera domeny ma wartość "2"

Wartość CrashOnAuditFail 2 jest wyzwalana, jeśli system inspekcji: zamknij system natychmiast, jeśli nie można rejestrować ustawień zasad inspekcji zabezpieczeń w zasadach grupy jest włączone, a lokalny dziennik zdarzeń zabezpieczeń jest pełny.

Kontrolery domeny usługi Active Directory są szczególnie podatne na dzienniki zabezpieczeń o maksymalnej pojemności podczas inspekcji i rozmiar dziennika zdarzeń zabezpieczeń jest ograniczony przez zdarzenia Nie zastępowaj (wyczyść dziennik ręcznie) i zastąp zgodnie z potrzebami opcje w Podgląd zdarzeń lub ich odpowiedniki zasad grupy.

Rozwiązanie

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby uzyskać dodatkową ochronę, należy przed rozpoczęciem wykonania tej modyfikacji wykonać kopię zapasową rejestru, aby rejestr mógł zostać przywrócony w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

  1. Wyczyść dziennik zdarzeń zabezpieczeń i zapisz go w innej lokalizacji zgodnie z potrzebami.

  2. Ponownie przeszacuj ograniczenia rozmiaru dziennika zdarzeń zabezpieczeń. Obejmuje to ustawienia oparte na zasadach.

  3. Usuń, a następnie utwórz CrashOnAuditFail ponownie wpis rejestru w następujący sposób:

    Podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Nazwa wartości: CrashOnAuditFail
    Typ wartości: REG_DWORD
    Dane wartości: 1

  4. Uruchom ponownie docelowy kontroler domeny.

Podczas wyświetlania CrashOnAuditFail 0 wartości lub 1niektórzy inżynierowie CSS rozwiązali błędy "Odmowa dostępu", usuwając ponownie dziennik zdarzeń zabezpieczeń, usuwając wartość rejestru i ponownie uruchamiając CrashOnAuditFail docelowy kontroler domeny.

Aby uzyskać więcej informacji, zobacz Zarządzanie inspekcją i dziennikiem zabezpieczeń.

Przyczyna 3: Nieprawidłowe zaufanie (bezpieczny kanał na źródłowym lub docelowym kontrolerze domeny jest nieprawidłowy lub relacje zaufania w łańcuchu zaufania są uszkodzone lub nieprawidłowe)

Jeśli replikacja usługi Active Directory nie powiedzie się między kontrolerami domeny w różnych domenach, należy zweryfikować kondycję relacji zaufania wzdłuż ścieżki zaufania.

Możesz wypróbować test relacji zaufania NetDiag, aby sprawdzić, czy nie ma uszkodzonych relacji zaufania. Narzędzie Netdiag.exe identyfikuje uszkodzone relacje zaufania, wyświetlając następujący tekst:

Trust relationship test. . . . . . : Failed  
Test to ensure DomainSid of domain '<domainname>' is correct.  
[FATAL] Secure channel to domain '<domainname>' is broken.  
[% <variable status code> %]

Jeśli na przykład masz las z wieloma domenami, który zawiera domenę główną (Contoso.COM), domenę podrzędną (B.Contoso.COM), domenę wnuka (C.B.Contoso.COM) i domenę drzewa w tym samym lesie (Fabrikam.COM), a jeśli replikacja kończy się niepowodzeniem między kontrolerami domeny w domenie wnuka (C.B.Contoso.COM) i domeny drzewa (Fabrikam.COM), należy zweryfikować kondycję zaufania między i , Contoso.COMB.Contoso.COM między i , a następnie na koniec między Fabrikam.COMC.B.Contoso.COM Contoso.COM i .B.Contoso.COM

Jeśli istnieje relacja zaufania skrótów między domenami docelowymi, nie musisz weryfikować łańcucha ścieżek zaufania. Zamiast tego należy zweryfikować relację zaufania skrótów między domeną docelową i źródłową.

Sprawdź ostatnie zmiany hasła w relacji zaufania, uruchamiając następujące polecenie:

Repadmin /showobjmeta * <DN path for TDO in question>

Sprawdź, czy docelowy kontroler domeny jest przechodnio replikowanie replikowalnej partycji katalogu domeny z możliwością zapisu, gdzie zmiany hasła zaufania mogą obowiązywać.

Polecenia resetowania zaufania z głównego kontrolera PDC domeny są następujące:

netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay

Polecenia resetowania relacji zaufania z kontrolera PDC domeny podrzędnej są następujące:

netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Przyczyna 4. Nadmierna niesymetryczność czasu

Istnieje różnica czasu między centrum dystrybucji kluczy używanym przez docelowy kontroler domeny a źródłowym kontrolerem domeny. Różnica czasu przekracza maksymalną niesymetryczność czasu dozwoloną przez protokół Kerberos zdefiniowany w domyślnych zasadach domeny.

Ustawienia zasad protokołu Kerberos w domyślnych zasadach domeny umożliwiają pięciominutową różnicę czasu systemowego (jest to wartość domyślna) między kontrolerami domeny centrum dystrybucji kluczy i serwerami docelowymi Protokołu Kerberos, aby zapobiec atakom powtarzanym. Niektóre dokumenty stwierdzają, że czas systemowy klienta i docelowy protokołu Kerberos musi mieścić się w ciągu pięciu minut od siebie. Inne dokumenty stwierdzają, że w kontekście uwierzytelniania Kerberos czas, który jest ważny, jest różnicą między centrum dystrybucji kluczy używanym przez obiekt wywołujący a czasem docelowym protokołu Kerberos. Ponadto protokół Kerberos nie dba o to, czy czas systemowy na odpowiednich kontrolerach domeny jest zgodny z bieżącym czasem. Zależy tylko na tym, że względna różnica czasu między centrum dystrybucji kluczy i docelowym kontrolerem domeny mieści się w ramach maksymalnego niesymetryczności czasu dozwolonego przez zasady Protokołu Kerberos. (Domyślny czas to pięć minut lub mniej).

W kontekście operacji usługi Active Directory serwer docelowy jest źródłowym kontrolerem domeny, który jest kontaktowany przez docelowy kontroler domeny. Każdy kontroler domeny w lesie usługi Active Directory, który jest obecnie uruchomiona usługa KDC, jest potencjalnym centrum dystrybucji kluczy. W związku z tym należy wziąć pod uwagę dokładność czasu na wszystkich innych kontrolerach domeny względem źródłowego kontrolera domeny. Obejmuje to czas na docelowym kontrolerze domeny.

Aby sprawdzić dokładność czasu, możesz użyć następujących dwóch poleceń:

  • DCDIAG /TEST:CheckSecurityError
  • W32TM /MONITOR

Przykładowe dane wyjściowe DCDIAG /TEST:CheckSecurityError można znaleźć w sekcji "Więcej informacji". W tym przykładzie pokazano nadmierne niesymetryczność czasu na kontrolerach domeny.

Poszukaj zdarzeń LSASRV 40960 na docelowym kontrolerze domeny, gdy żądanie replikacji zakończy się niepowodzeniem. Poszukaj zdarzeń, które przytaczają identyfikator GUID w rekordzie CNAME źródłowego kontrolera domeny z rozszerzonym błędem 0xc000133. Wyszukaj zdarzenia podobne do następujących:

0xc000133: czas w podstawowym kontrolerze domeny jest inny niż w czasie tworzenia kopii zapasowej kontrolera domeny lub serwera członkowskiego przez zbyt dużą ilość

Ślady sieci przechwytujące komputer docelowy łączący się z folderem udostępnionym na źródłowym kontrolerze domeny (a także inne operacje) mogą wyświetlać błąd "Wystąpił błąd rozszerzony" na ekranie, ale śledzenie sieci wyświetla następujące informacje:

-> KerberosV5 KerberosV5:TGS Request Realm: <- Żądanie TGS ze źródłowego kontrolera domeny
<- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <— odpowiedź TGS, gdzie "KRB_AP_ERR_TKE_NYV
<- mapuje na "Bilet jeszcze nieprawidłowy" <- mapuje na "Bilet jeszcze nieprawidłowy"

TKE_NYV Odpowiedź wskazuje, że zakres dat w bilecie TGS jest nowszy niż czas w obiekcie docelowym. Oznacza to nadmierne niesymetryczność czasu.

Uwaga 16.

  • W32TM /MONITOR Sprawdza czas tylko na kontrolerach domeny w domenie komputerów testowych, więc należy uruchomić to w każdej domenie i porównać czas między domenami.
  • Jeśli czas systemowy został uznany za niedokładny, spróbuj ustalić, dlaczego i co można zrobić, aby zapobiec niedokładnemu czasowi w przyszłości. Czy główny kontroler PDC lasu został skonfigurowany ze źródłem czasu zewnętrznego? Czy źródła czasu odwołania są w trybie online i dostępne w sieci? Czy usługa czasowa była uruchomiona? Czy komputery roli kontrolera domeny są skonfigurowane do używania hierarchii NT5DS do czasu źródłowego?
  • Gdy różnica czasu jest zbyt duża na docelowych kontrolerach domeny, polecenie Replikuj teraz w usłudze DSSITE. Program MSC kończy się niepowodzeniem z powodu błędu "Istnieje różnica czasu i/lub daty między klientem a serwerem". Ten ciąg błędu jest mapowy na błąd 1398 (dziesiętny) lub 0x576 (szesnastkowy) z nazwą błędu symbolicznego ERROR_TIME_SKEW.

Aby uzyskać więcej informacji, zobacz Ustawianie tolerancji synchronizacji zegara w celu zapobiegania atakom odtwarzania.

Przyczyna 5. Ustawienie "RestrictRemoteClients" w rejestrze ma wartość "2"

Jeśli ustawienie zasad Nieuwierzytelnionych klientów RPC jest włączone i ustawione na Wartość Uwierzytelnione bez wyjątków, RestrictRemoteClients wartość rejestru jest ustawiona na wartość 0x2 w podkluczu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC rejestru.

To ustawienie zasad umożliwia tylko uwierzytelnieni klienci zdalnego wywołania procedury (RPC) do łączenia się z serwerami RPC uruchomionymi na komputerze, na którym zastosowano ustawienie zasad. Nie zezwala na wyjątki. Jeśli wybierzesz tę opcję, system nie będzie mógł odbierać zdalnych wywołań anonimowych przy użyciu wywołań RPC. To ustawienie nigdy nie powinno być stosowane do kontrolera domeny.

Rozwiązanie

  1. Wyłącz ograniczenia dla nieuwierzytelnionych klientów RPC ustawienie zasad, które ogranicza RestrictRemoteClients wartość rejestru do 2.

    Uwaga 16.

    Ustawienie zasad znajduje się w następującej ścieżce:

    Konfiguracja komputera\Szablony administracyjne\System\Zdalne wywołanie procedury\Ograniczenia dla nieuwierzytelnionych klientów RPC.

  2. RestrictRemoteClients Usuń ustawienie rejestru, a następnie uruchom ponownie.

Aby uzyskać więcej informacji, zobacz Ograniczenia dla nieuwierzytelnionych klientów RPC: zasady grupy, które uderza domenę w twarz i RestrictRemoteClients klucz rejestru jest włączony.

Przyczyna 6. Uprawnienie użytkownika "Uzyskiwanie dostępu do tego komputera z sieci" nie jest przyznawane grupie "Kontrolery domeny przedsiębiorstwa" ani użytkownikowi, który wyzwolił replikację

W domyślnej instalacji systemu Windows domyślne zasady kontrolera domeny są połączone z jednostką organizacyjną kontrolera domeny. Jednostka organizacyjna udziela dostępu do tego komputera z uprawnienia użytkownika sieciowego do następujących grup zabezpieczeń:

Zasady lokalne Domyślne zasady kontrolera domeny
Administratorzy Administratorzy
Uwierzytelnieni użytkownicy Uwierzytelnieni użytkownicy
Wszyscy Wszyscy
Kontrolery domeny przedsiębiorstwa Kontrolery domeny przedsiębiorstwa
[Dostęp zgodny z systemem Windows 2000] Dostęp zgodny z systemem Windows 2000

Jeśli operacje usługi Active Directory kończą się niepowodzeniem z powodu błędu 5, należy sprawdzić następujące kwestie:

  • Grupy zabezpieczeń w tabeli mają dostęp do tego komputera z uprawnienia użytkownika sieciowego w domyślnych zasadach kontrolera domeny.

  • Konta komputerów kontrolera domeny znajdują się w jednostki organizacyjnej kontrolera domeny.

  • Domyślne zasady kontrolera domeny są połączone z jednostki organizacyjnej kontrolera domeny lub z alternatywnymi jednostkami organizacyjnymi hostujących konta komputera kontrolera domeny.

  • Zasady grupy są stosowane na docelowym kontrolerze domeny, który obecnie rejestruje błąd 5.

  • Odmowa dostępu do tego komputera z prawa użytkownika sieciowego jest włączona lub nie odwołuje się do grup bezpośrednich lub przechodnich, które kontekst zabezpieczeń używany przez kontroler domeny lub konto użytkownika wyzwalające replikację.

  • Pierwszeństwo zasad, zablokowane dziedziczenie, filtrowanie instrumentacji zarządzania Windows (WMI) lub podobne nie uniemożliwia ustawienia zasad stosowania do komputerów ról kontrolera domeny.

Uwaga 16.

  • Ustawienia zasad można zweryfikować za pomocą funkcji RSOP. MSC, ale GPRESULT jest preferowanym narzędziem, ponieważ jest bardziej dokładne, na przykład GPRESULT /H c:\temp\GPOResult.html lub GPRESULT /Z.
  • Zasady lokalne mają pierwszeństwo przed zasadami zdefiniowanymi w lokacjach, domenach i jednostkach organizacyjnych.
  • W tym samym czasie administratorzy często usuwali grupy Kontrolery domeny przedsiębiorstwa i Wszyscy z ustawienia zasad sieciowych dostęp do tego komputera w domyślnych zasadach kontrolera domeny. Jednak usunięcie obu grup jest śmiertelne. Nie ma powodu, aby usunąć kontrolery domeny przedsiębiorstwa z tego ustawienia zasad, ponieważ tylko kontrolery domeny są członkami tej grupy.

Przyczyna 7. Występuje niezgodność podpisywania SMB między źródłowymi i docelowymi kontrolerami domeny

Najlepsza macierz zgodności podpisywania SMB jest definiowana przez cztery ustawienia zasad i ich odpowiedniki oparte na rejestrze:

Ustawienie zasad Ścieżka rejestru
Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Serwer sieci Microsoft: podpisz cyfrowo komunikację (jeśli serwer zgadza się) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature

Należy skoncentrować się na niezgodności podpisywania SMB między docelowym i źródłowymi kontrolerami domeny. Przypadki klasyczne obejmują ustawienie, które jest włączone lub wymagane po jednej stronie, ale wyłączone po drugiej stronie.

Uwaga 16.

Testy wewnętrzne wykazały niezgodność podpisywania SMB, co powoduje niepowodzenie replikacji z błędem 1722: "Serwer RPC jest niedostępny".

Przyczyna 8. Fragmentacja pakietów Kerberos w formacie UDP

Routery i przełączniki sieciowe mogą być fragmentowane lub całkowicie usuwać duże pakiety sieciowe sformatowane przez protokół UDP (User Datagram Protocol), które są używane przez protokół Kerberos i mechanizmy rozszerzeń dla systemu DNS (EDNS0).

Rozwiązanie

  1. Z konsoli docelowego kontrolera domeny wyślij polecenie ping do źródłowego kontrolera domeny przez jego w pełni kwalifikowaną nazwę komputera, aby zidentyfikować największy pakiet obsługiwany przez trasę sieciową. Aby to zrobić, uruchom następujące polecenie:

    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472

  2. Jeśli największy pakiet niefragmentowany jest mniejszy niż 1472 bajty, spróbuj wykonać jedną z następujących metod (w kolejności preferencji):

    • Zmień infrastrukturę sieci, aby odpowiednio obsługiwała duże ramki UDP. Może to wymagać uaktualnienia lub zmiany konfiguracji oprogramowania układowego na routerach, przełącznikach lub zaporach.
    • Ustaw parametr maxpacketsize (na docelowym kontrolerze domeny) na największy pakiet zidentyfikowany przez PING -f -l polecenie mniejsze niż 8 bajtów, aby uwzględnić nagłówek TCP, a następnie uruchom ponownie zmieniony kontroler domeny.
    • Ustaw parametr maxpacketsize (na docelowym kontrolerze domeny) na wartość 1. Spowoduje to wyzwolenie uwierzytelniania Kerberos w celu użycia protokołu TCP. Uruchom ponownie zmieniony kontroler domeny, aby zmiany zaczęły obowiązywać.

  3. Ponów próbę nieudanej operacji usługi Active Directory.

Przyczyna 9. Karty sieciowe mają włączoną funkcję "Duże odciążanie wysyłania"

Rozwiązanie

  1. Na docelowym kontrolerze domeny otwórz właściwości karty sieciowej.
  2. Wybierz przycisk Konfiguruj.
  3. Wybierz kartę Zaawansowane.
  4. Wyłącz właściwość IPv4 Large Send Offload (Odciążanie dużych adresów IPv4).
  5. Uruchom ponownie kontroler domeny.

Przyczyna 10: Nieprawidłowy obszar kerberos

Obszar Kerberos jest nieprawidłowy, jeśli spełniony jest co najmniej jeden z następujących warunków:

  • Wpis KDCNames rejestru niepoprawnie zawiera lokalną nazwę domeny usługi Active Directory.
  • PolAcDmN Klucz rejestru i PolPrDmN klucz rejestru nie są zgodne.

Rozwiązania

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby uzyskać dodatkową ochronę, należy przed rozpoczęciem wykonania tej modyfikacji wykonać kopię zapasową rejestru, aby rejestr mógł zostać przywrócony w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Rozwiązanie nieprawidłowego wpisu rejestru "KDCNames"

  1. Na docelowym kontrolerze domeny uruchom polecenie REGEDIT.
  2. Znajdź następujący podklucz w rejestrze: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Dla każdego <Fully_Qualified_Domain> w podkluczu sprawdź, czy wartość KdcNames wpisu rejestru odnosi się do prawidłowego zewnętrznego obszaru kerberos, a nie domeny lokalnej lub innej domeny w tym samym lesie usługi Active Directory.

Rozwiązanie niezgodności kluczy rejestru "PolAcDmN" i "PolPrDmN"

  1. Uruchom Edytor rejestru.

  2. W okienku nawigacji rozwiń węzeł Zabezpieczenia.

  3. W menu Zabezpieczenia wybierz pozycję Uprawnienia, aby przyznać grupie lokalnej Administratorzy pełną kontrolę SECURITY nad gałęzią i jej podrzędnymi kontenerami i obiektami.

  4. Znajdź następujący podklucz w rejestrze:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN

  5. W okienku po prawej stronie Edytora rejestru wybierz pozycję Brak nazwy: REG_NONE wpis rejestru jednorazowo.

  6. W menu Widok wybierz pozycję Wyświetl dane binarne.

  7. W sekcji Format okna dialogowego wybierz pozycję Bajt.

    Nazwa domeny jest wyświetlana jako ciąg po prawej stronie okna dialogowego Dane binarne. Nazwa domeny jest taka sama jak obszar Kerberos.

  8. Znajdź następujący podklucz w rejestrze:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN

  9. W okienku po prawej stronie Edytora rejestru kliknij dwukrotnie wpis Brak nazwy: REG_NONE .

  10. W oknie dialogowym Edytor binarny wklej wartość z podklucza PolPrDmN rejestru. (Wartość z podklucza PolPrDmN rejestru jest nazwą domeny NetBIOS).

  11. Uruchom ponownie kontroler domeny. Jeśli kontroler domeny nie działa poprawnie, zobacz inne metody.

Przyczyna 11: Występuje niezgodność zgodności programu LAN Manager (zgodność LM) między źródłowymi i docelowymi kontrolerami domeny

Przyczyna 12: Nazwy główne usługi nie są zarejestrowane lub nie występują z powodu prostego opóźnienia replikacji lub niepowodzenia replikacji

Przyczyna 13: Oprogramowanie antywirusowe używa sterownika filtru karty sieciowej mini-zapory na źródłowym lub docelowym kontrolerze domeny

Więcej informacji

Błędy i zdarzenia usługi Active Directory, takie jak opisane w sekcji "Objawy", mogą również zakończyć się niepowodzeniem z błędem 8453 wraz z ciągiem błędu podobnym do następującego:

Odmowa dostępu do replikacji.

Następujące sytuacje mogą spowodować niepowodzenie operacji usługi Active Directory z błędem 8453. Jednak te sytuacje nie powodują błędów z błędem 5.

  • Nagłówek kontekstu nazewnictwa (NC) nie jest dozwolony z uprawnieniem Replikowanie zmian katalogu.
  • Podmiot zabezpieczeń rozpoczynający replikację nie jest członkiem grupy, która ma uprawnienie Replikowanie zmian katalogu.
  • Brak flag w atrybucie UserAccountControl . Te flagi obejmują SERVER_TRUST_ACCOUNT i TRUSTED_FOR_DELEGATION.
  • Kontroler domeny tylko do odczytu (RODC) dołączył do domeny bez wcześniejszego ADPREP /RODCPREP uruchomienia polecenia.

Przykładowe dane wyjściowe z polecenia "DCDIAG /TEST:CheckSecurityError"

Przykładowe dane wyjściowe z DCDIAG /CHECKSECURITYERROR kontrolera domeny są następujące. Jest to spowodowane nadmiernym niesymetrycznością czasu.

Doing primary tests  
Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: CheckSecurityError  
Source DC <Source DC> has possible security error (5). Diagnosing...  
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED or down machine recieved by:
<Source DC>  
Source DC <Source DC>_has possible security error (5). Diagnosing...  
Time skew error: 7205 seconds different between:.  
<Source DC>  
<Destination_DC>  
[<Source DC>] DsBindWithSpnEx() failed with error 5,  
Access is denied..  
Ignoring DC <Source DC> in the convergence test of object CN=<Destination_DC>,OU=Domain  Controllers,DC=<DomainName>,DC=com, because we cannot connect!  
......................... <Destination_DC> failed test CheckSecurityError

Przykładowe dane wyjściowe z DCDIAG /CHECKSECURITYERROR programu są następujące. Pokazuje brakujące nazwy SPN. (Dane wyjściowe mogą się różnić w zależności od środowiska do środowiska).

Doing primary tests  
Testing server: <site name>\<dc name>  
Test omitted by user request: Advertising  
Starting test: CheckSecurityError  
* Dr Auth: Beginning security errors check'  
Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>  
Checking machine account for DC <DC name> on DC <DC Name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>  
* Missing SPN :LDAP/<hostname>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :LDAP/bba727ef-be4e-477d-9796-63b6cee3bSf.<forest root domain DN>  
* SPN found :E3514235-4B06-I1D1-ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>  
* SPN found :HOST/<hostname>.<DNS domain name>  
* SPN found :HOST/<hostname>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>
Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.

Zbieranie danych

Jeśli potrzebujesz pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki opisane w temacie Zbieranie informacji przy użyciu przewodnika rozwiązywania problemów z replikacją usługi Active Directory.