Поделиться через

Как устранить ошибку репликации Active Directory 5 в Windows Server: доступ запрещен

В этой статье описываются симптомы, причины и разрешение ситуаций, в которых репликация Active Directory завершается ошибкой 5: доступ запрещен.

Исходный номер базы знаний: 3073945

Симптомы

При сбое репликации Active Directory с ошибкой 5 может возникнуть одна или несколько следующих симптомов.

Симптом 1

Средство командной строки Dcdiag.exe сообщает, что тест репликации Active Directory завершается сбоем с кодом состояния ошибки (5). Отчет похож на следующий пример:

Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: Replications  
Replications Check  
[Replications Check,<Destination_DC_Name>] A recent replication attempt failed:  
From <Source_DC> to <Destination_DC>  
Naming Context: <Directory_Partition_DN_Path>  
The replication generated an error (5):  
Access is denied.  
The failure occurred at <Date> <Time>.  
The last success occurred at <Date> <Time>.  
<Number> failures have occurred since the last success.

Симптом 2

Средство командной строки Dcdiag.exe сообщает, что DsBindWithSpnEx функция завершается ошибкой 5, выполнив DCDIAG /test:CHECKSECURITYERROR команду.

Симптом 3

Средство командной строки REPADMIN.exe сообщает, что последняя попытка репликации завершилась ошибкой состояния 5.

Команды REPADMIN , которые часто ссылаются на состояние 5, но не ограничиваются следующими:

  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL

Пример выходных данных из REPADMIN /SHOWREPL команды выглядит следующим образом. В выходных данных показаны входящие репликации из DC_2_Name DC_1_Name сбоя с ошибкой "Доступ запрещен".

<Site_Name>\<DC_1_Name>  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID: <GUID>  
DSA invocationID: <invocationID>

==== INBOUND NEIGHBORS======================================  
DC= <DomainName>,DC=com  
<Site_Name>\<DC_2_Name> via RPC  
DSA object GUID: <GUID> 
Last attempt @ <Date> <Time> failed, result 5(0x5):  
Access is denied.  
<#> consecutive failure(s).  
Last success @ <Date> <Time>.

Симптом 4

События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с состоянием 5 регистрируются в журнале служб каталогов Просмотр событий.

В следующей таблице приведены сведения о событиях Active Directory, которые часто ссылаются на состояние 8524, включая, но не ограничиваются:

ИД события Исходный код Строка события
1655 Общие сведения о NTDS Active Directory попыталась связаться со следующим глобальным каталогом, и попытки были неудачными.
1925 NTDS KCC Сбой попытки установить ссылку репликации для следующего раздела каталога, допускаемого для записи.
1926 NTDS KCC Попытка установить ссылку репликации на секцию каталога только для чтения со следующими параметрами завершилась ошибкой.

Симптом 5

Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена (DC) на сайтах и службах Active Directory, а затем выберите "Реплицировать сейчас", процесс завершается сбоем, и вы получите следующую ошибку:

Текст заголовка диалогового окна: репликация

Текст сообщения диалогового окна:

В ходе попытки синхронизации контекста именования %<directory имя%> от исходного контроллера домена контроллера домена с контроллером> домена <на контроллер> домена<. Доступ запрещен.

Операция не продолжится.

На следующем снимке экрана представлен пример ошибки:

Снимок экрана: окно

Обходное решение

Используйте универсальные средства DCDIAG и NETDIAG командной строки для выполнения нескольких тестов. Используйте средство командной DCDIAG /TEST:CheckSecurityError строки для выполнения определенных тестов. (Эти тесты включают проверку регистрации субъекта-службы.)

Чтобы обойти эту проблему, выполните указанные ниже действия.

  1. В командной строке запустите DCDIAG контроллер домена назначения.
  2. Выполните команды DCDIAG /TEST:CheckSecurityError и NETDIAG.
  3. Устраните все ошибки, которые были идентифицированы DCDIAG.
  4. Повторите операцию репликации, которая ранее завершилась сбоем. Если репликация продолжится сбоем, ознакомьтесь со следующими причинами и решениями.

Следующие причины могут привести к ошибке 5. Некоторые из них имеют решения.

Причина 1. Существует недопустимый канал безопасности или несоответствие паролей в исходном или целевом контроллере домена

Проверьте канал безопасности, выполнив одну из следующих команд:

  • nltest /sc_query:<Domain Name>

  • netdom verify <DC Name>

При условии сбросьте пароль контроллера домена назначения с помощью NETDOM /RESETPWD.

Решение

  1. Отключите службу Центра распространения ключей Kerberos (KDC) на целевом контроллере домена.

  2. В командной строке с повышенными привилегиями на целевом контроллере домена получите билет Kerberos системы, выполнив команду Klist -li 0x3e7 purge.

  3. Выполните NETDOM RESETPWD сброс пароля удаленного контроллера домена:

    c:\>netdom resetpwd /server:<remote_dc_name> /userd: domain_name\administrator /passwordd: administrator_password

  4. Убедитесь, что потенциальные KDCs и исходный контроллер домена (если они в одном домене) реплицируют новый пароль целевого контроллера домена.

  5. Запустите службу KDC на целевом контроллере домена и повторите операцию репликации.

Дополнительные сведения см. в разделе "Использование Netdom.exe для сброса паролей учетной записи компьютера контроллера домена".

Причина 2. Параметр CrashOnAuditFail в реестре целевого контроллера домена имеет значение "2".

Значение CrashOnAuditFail 2 активируется, если аудит: немедленно завершить работу системы, если параметр политики аудита безопасности в групповой политике включен, а локальный журнал событий безопасности заполнен.

Контроллеры домена Active Directory особенно подвержены журналам безопасности с максимальной емкостью при включенном аудите, а размер журнала событий безопасности ограничен событиями не перезаписывать (вручную очистить журнал) и перезаписывать по мере необходимости параметры в Просмотр событий или их эквивалентах групповой политики.

Решение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для защиты создайте резервную копию реестра перед его изменением, чтобы в случае возникновения проблем можно было восстановить его. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

  1. Снимите журнал событий безопасности и сохраните его в другом расположении по мере необходимости.

  2. Переоцените все ограничения размера в журнале событий безопасности. Сюда входят параметры на основе политик.

  3. Удалите и повторно создайте CrashOnAuditFail запись реестра следующим образом:

    Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Имя значения: CrashOnAuditFail
    Тип значения: REG_DWORD
    Данные значения: 1

  4. Перезапустите целевой контроллер домена.

При просмотре CrashOnAuditFail значения 0 или 1некоторые инженеры CSS разрешили ошибки "Доступ запрещен", очистив журнал событий безопасности еще раз, удалив CrashOnAuditFail значение реестра и перезагрузив целевой контроллер домена.

Дополнительные сведения см. в разделе "Управление аудитом и журналом безопасности".

Причина 3. Недопустимое доверие (безопасный канал в исходном или целевом контроллере домена недопустим, или отношения доверия в цепочке доверия нарушены или недопустимы).

Если репликация Active Directory завершается сбоем между контроллерами домена в разных доменах, следует проверить работоспособность отношений доверия вдоль пути доверия.

Вы можете попробовать тест отношения доверия NetDiag, чтобы проверить наличие неисправных доверий. Служебная программа Netdiag.exe определяет неработающие отношения доверия, отображая следующий текст:

Trust relationship test. . . . . . : Failed  
Test to ensure DomainSid of domain '<domainname>' is correct.  
[FATAL] Secure channel to domain '<domainname>' is broken.  
[% <variable status code> %]

Например, если у вас есть лес с несколькими доменами, содержащий корневой домен (), дочерний домен (Contoso.COM), домен grandchild (C.B.Contoso.COMB.Contoso.COM) и домен дерева в одном лесу (Fabrikam.COM), а также если репликация завершается сбоем между контроллерами домена в домене внуков () и домене дерева (C.B.Contoso.COMFabrikam.COM), следует проверить работоспособность доверия между C.B.Contoso.COM и B.Contoso.COM B.Contoso.COM, наконец, и, наконец, между иContoso.COM, наконец, между Contoso.COM Fabrikam.COMи.

Если между целевыми доменами существует ярлык доверия, вам не нужно проверять цепочку пути доверия. Вместо этого следует проверить ярлык доверия между целевым и исходным доменом.

Проверьте наличие последних изменений паролей в доверии, выполнив следующую команду:

Repadmin /showobjmeta * <DN path for TDO in question>

Убедитесь, что контроллер домена назначения транзитивно реплицирует секцию каталога домена, в которой изменения пароля доверия могут вступили в силу.

Ниже приведены команды для сброса доверия из корневого домена PDC:

netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay

Ниже приведены команды для сброса доверия из дочернего домена PDC:

netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Причина 4. Чрезмерное отклонение времени

Существует разница во времени между KDC, используемым целевым контроллером домена и исходным контроллером домена. Разница во времени превышает максимальное количество времени, разрешенное Kerberos в политике домена по умолчанию.

Параметры политики Kerberos в политике домена по умолчанию позволяют в течение пяти минут в системном времени (это значение по умолчанию) между контроллерами домена KDC и целевыми серверами Kerberos, чтобы предотвратить атаки воспроизведения. В некоторых документах указывается, что системное время клиента и целевого объекта Kerberos должно находиться в течение пяти минут. Другая документация указывает, что в контексте проверки подлинности Kerberos важное время — это разность между KDC, используемым вызывающим объектом и временем целевого объекта Kerberos. Кроме того, Kerberos не заботится о том, соответствует ли системное время соответствующим контроллерам домена текущее время. Он заботится только о том, что относительная разница во времени между KDC и целевым контроллером домена находится в пределах максимального времени, которое позволяет политика Kerberos. (Время по умолчанию — пять минут или меньше.)

В контексте операций Active Directory целевой сервер — это исходный контроллер домена, который обращается к контроллеру домена назначения. Каждый контроллер домена в лесу Active Directory, на котором в настоящее время работает служба KDC, является потенциальным KDC. Поэтому необходимо учитывать точность времени для всех остальных контроллеров домена для исходного контроллера домена. Это включает время самого контроллера домена назначения.

Для проверки точности времени можно использовать следующие две команды:

  • DCDIAG /TEST:CheckSecurityError
  • W32TM /MONITOR

Пример выходных данных DCDIAG /TEST:CheckSecurityError можно найти в разделе "Дополнительные сведения". В этом примере показано чрезмерное отклонение времени на контроллерах домена.

Найдите события LSASRV 40960 на целевом контроллере домена при сбое запроса репликации. Найдите события, которые ссылаются на GUID в записи CNAME исходного контроллера домена с расширенной ошибкой 0xc000133. Найдите события, похожие на следующие:

0xc000133. Время на основном контроллере домена отличается от времени на контроллере домена резервного копирования или сервере-члене слишком большой объем

Трассировки сети, записывающие конечный компьютер, который подключается к общей папке на исходном контроллере домена (а также другие операции), могут отобразить ошибку "Расширенная ошибка произошла" на экране, но трассировка сети отображает следующие сведения:

—> область запросов <KerberosV5:TGS: — запрос TGS из исходного контроллера домена
<— Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <— ответ TGS, где "KRB_AP_ERR_TKE_NYV
<— сопоставляется с "Билет еще недействителен" <— сопоставляется с "Билет еще недействителен"

Ответ TKE_NYV указывает, что диапазон дат в билете TGS является более новым, чем время на целевом объекте. Это означает чрезмерное отклонение времени.

Примечание.

  • W32TM /MONITOR проверяет время только на контроллерах домена в домене тестовых компьютеров, поэтому их необходимо запустить в каждом домене и сравнить время между доменами.
  • Если системное время было найдено неточным, попробуйте выяснить, почему и что можно сделать, чтобы предотвратить неточное время в будущем. Был ли корневой PDC леса настроен с внешним источником времени? Доступны ли источники времени ссылки в Сети и доступны ли в сети? Была ли служба времени запущена? Настроены ли компьютеры роли контроллера домена для использования иерархии NT5DS для исходного времени?
  • Если разница во времени слишком велика на контроллерах домена назначения, команда "Репликация теперь " в DSSITE. MSC завершается ошибкой "Существует разница времени и даты между клиентом и сервером" на экране. Эта строка ошибки сопоставляется с ошибкой 1398 (десятичная) или 0x576 (шестнадцатеричная) с именем символьной ошибки ERROR_TIME_SKEW.

Дополнительные сведения см. в разделе "Настройка допустимости синхронизации часов для предотвращения атак воспроизведения".

Причина 5. Параметр "RestrictRemoteClients" в реестре имеет значение "2"

Если параметр политики клиентов RPC без проверки подлинности включен и установлен значение "Проверка подлинности без исключений", RestrictRemoteClients значение реестра устанавливается как значение 0x2 в подразделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC реестра.

Этот параметр политики позволяет подключаться только к серверам RPC, работающим на компьютере, к которому применяется параметр политики, только клиенты удаленного вызова процедур (RPC). Он не разрешает исключения. Если этот параметр выбран, система не может получать удаленные анонимные звонки с помощью RPC. Этот параметр никогда не следует применять к контроллеру домена.

Решение

  1. Отключите параметры политики клиентов RPC без проверки подлинности, ограничивающие RestrictRemoteClients значение 2реестра.

    Примечание.

    Параметр политики расположен в следующем пути:

    Конфигурация компьютера\Административные шаблоны\Вызов удаленной процедуры\Ограничения для клиентов RPC, не прошедших проверку подлинности.

  2. RestrictRemoteClients Удалите параметр реестра и перезапустите его.

Дополнительные сведения см. в разделе "Ограничения для клиентов RPC, не прошедших проверку подлинности: групповая политика, которая ударяет ваш домен в разделе реестра RestrictRemoteClients" включена.

Причина 6. Права пользователя Access this computer from network (Доступ к этому компьютеру из сети) не предоставляется группе "Корпоративные контроллеры домена" или пользователю, активировавшему репликацию.

В установке Windows политика контроллера домена по умолчанию связана с подразделением организации контроллера домена по умолчанию. Подразделение предоставляет этому компьютеру Access от сетевого пользователя право на следующие группы безопасности:

Локальная политика Политика контроллера домена по умолчанию
Администраторы Администраторы
Пользователи, прошедшие проверку подлинности Пользователи, прошедшие проверку подлинности
Все Все
Контроллеры домена предприятия Контроллеры домена предприятия
[Доступ, совместимый с Предварительной версией Windows 2000] Совместимый с Windows 2000 Access

Если операции Active Directory завершаются ошибкой 5, проверьте следующие моменты:

  • Группы безопасности в таблице предоставляются этому компьютеру Access от сетевого пользователя в политике контроллера домена по умолчанию.

  • Учетные записи компьютера контроллера домена находятся в подразделении контроллера домена.

  • Политика контроллера домена по умолчанию связана с подразделением контроллера домена или альтернативными подразделениями, на которых размещаются учетные записи компьютера контроллера домена.

  • Групповая политика применяется к целевому контроллеру домена, который в настоящее время регистрирует ошибку 5.

  • Запрет доступа к этому компьютеру с правами сетевого пользователя включен или не ссылается на прямые или транзитивные группы, используемые контроллером домена или учетной записью пользователя, активирующей репликацию.

  • Приоритет политики, заблокированное наследование, фильтрация инструментария управления Microsoft Windows (WMI) или подобное не препятствует применению параметра политики к компьютерам роли контроллера домена.

Примечание.

  • Параметры политики можно проверить с помощью RSOP. MSC, но GPRESULT является предпочтительным средством, так как это более точно, например GPRESULT /H c:\temp\GPOResult.html или GPRESULT /Z.
  • Локальная политика имеет приоритет над политиками, определенными в сайтах, доменах и подразделениях.
  • В одно время администраторы часто удаляют контроллеры домена предприятия и группы "Все" из этого компьютера из параметра политики сети в политике контроллера домена по умолчанию. Однако удаление обеих групп неустранимо. Нет причин удалять контроллеры домена Enterprise из этого параметра политики, так как только контроллеры домена являются членами этой группы.

Причина 7. Существует несоответствие подписывания SMB между исходным и целевым контроллерами домена

Оптимальная матрица совместимости для подписи SMB определяется четырьмя параметрами политики и эквивалентами на основе реестра:

Параметр политики Путь к разделу реестра
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Клиент сети Microsoft: использовать цифровую подпись (всегда) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Сетевой сервер Майкрософт: обмен данными с цифровой подписью (если сервер согласен) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Сервер сети Microsoft: использовать цифровую подпись (всегда) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature

Следует сосредоточиться на несоответствиях подписывания SMB между конечными и исходными контроллерами домена. Классические варианты включают параметр, который включен или необходим на одной стороне, но отключен на другой.

Примечание.

Внутреннее тестирование показало несоответствие подписывания SMB, что приводит к сбою репликации с ошибкой 1722: "Сервер RPC недоступен".

Причина 8. Фрагментация пакетов Kerberos в формате UDP

Сетевые маршрутизаторы и коммутаторы могут фрагментировать или полностью удалить большой протокол пользовательской диаграммы данных (UDP),отформатированные сетевые пакеты, используемые Kerberos и механизмами расширения для DNS (EDNS0).

Решение

  1. В консоли конечного контроллера домена ping source domain controller по полному имени компьютера, чтобы определить самый большой пакет, поддерживаемый сетевым маршрутом. Для этого выполните следующую команду:

    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472

  2. Если самый большой не фрагментированный пакет меньше 1472 байт, попробуйте один из следующих методов (в порядке предпочтения):

    • Измените сетевую инфраструктуру, чтобы обеспечить соответствующую поддержку больших кадров UDP. Для этого может потребоваться обновление встроенного ПО или изменение конфигурации маршрутизаторов, коммутаторов или брандмауэров.
    • Установите maxpacketsize (на целевом контроллере домена) на самый большой пакет, определенный PING -f -l командой менее 8 байт, чтобы учесть заголовок TCP, а затем перезапустите измененный контроллер домена.
    • Задайте значение maxpacketsize (на целевом контроллере домена).1 Это активирует проверку подлинности Kerberos для использования TCP. Перезапустите измененный контроллер домена, чтобы внести изменения в силу.

  3. Повторите неудачную операцию Active Directory.

Причина 9. Сетевые адаптеры имеют функцию "Большая разгрузка отправки" включена

Решение

  1. На целевом контроллере домена откройте свойства сетевого адаптера.
  2. Нажмите кнопку Настроить.
  3. Откройте вкладку Дополнительно .
  4. Отключите свойство IPv4 Large Send Offload.
  5. Перезапустите контроллер домена.

Причина 10. Недопустимая область Kerberos

Область Kerberos недопустима, если одно или несколько следующих условий имеют значение true:

  • Запись KDCNames реестра неправильно содержит локальное доменное имя Active Directory.
  • Раздел PolAcDmN реестра и PolPrDmN раздел реестра не совпадают.

Решения

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для защиты создайте резервную копию реестра перед его изменением, чтобы в случае возникновения проблем можно было восстановить его. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Решение для неправильной записи реестра KDCNames

  1. На целевом контроллере домена выполните команду REGEDIT.
  2. Найдите следующий подраздел в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Для каждого <Fully_Qualified_Domain> под ключом убедитесь, что значение KdcNames записи реестра относится к допустимой внешней области Kerberos, а не к локальному домену или другому домену в том же лесу Active Directory.

Решение несогласованных разделов реестра PolAcDmN и PolPrDmN

  1. Откройте редактор реестра.

  2. В области навигации разверните узел "Безопасность".

  3. В меню "Безопасность" выберите "Разрешения", чтобы предоставить администраторам локальную группу полный контроль SECURITY над кустом и дочерними контейнерами и объектами.

  4. Найдите следующий подраздел в реестре:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN

  5. В правой области редактора реестра выберите "Нет имени": REG_NONE запись реестра один раз.

  6. В меню "Вид" выберите "Показать двоичные данные".

  7. В разделе "Формат" диалогового окна выберите Байт.

    Доменное имя отображается в виде строки в правой части диалогового окна двоичных данных . Доменное имя совпадает с именем области Kerberos.

  8. Найдите следующий подраздел в реестре:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN

  9. В правой области редактора реестра дважды щелкните запись "Нет имени": REG_NONE запись.

  10. В диалоговом окне "Двоичный редактор" вставьте значение из подраздела PolPrDmN реестра. (Значение из подраздела реестра — доменное PolPrDmN имя NetBIOS.

  11. Перезапустите контроллер домена. Если контроллер домена работает неправильно, см . другие методы.

Причина 11. Существует несоответствие совместимости диспетчера локальной сети (совместимость LM) между исходным и целевым контроллерами домена

Причина 12. Имена субъектов-служб либо не зарегистрированы, либо отсутствуют из-за простой задержки репликации или сбоя репликации

Причина 13. Антивирусное программное обеспечение использует драйвер фильтра сетевого адаптера мини-брандмауэра в исходном или целевом контроллере домена

Дополнительная информация

Ошибки и события Active Directory, такие как описанные в разделе "Симптомы", также могут завершиться ошибкой 8453 вместе со строкой ошибки, аналогичной следующей:

Доступ к репликации был отклонен.

Следующие ситуации могут привести к сбою операций Active Directory с ошибкой 8453. Однако эти ситуации не вызывают сбоев с ошибкой 5.

  • Головка контекста именования (NC) не разрешена с разрешением "Репликирование изменений каталога".
  • Субъект безопасности, запускающий репликацию, не является членом группы, которая предоставляет разрешение "Репликация изменений каталога".
  • Флаги отсутствуют в атрибуте UserAccountControl . К этим флагам относятся SERVER_TRUST_ACCOUNT и TRUSTED_FOR_DELEGATION.
  • Контроллер домена только для чтения (RODC) присоединился к домену без первого выполнения ADPREP /RODCPREP команды.

Пример выходных данных из "DCDIAG /TEST:CheckSecurityError"

Пример выходных данных для DCDIAG /CHECKSECURITYERROR контроллера домена выглядит следующим образом. Это вызвано чрезмерным отклонением времени.

Doing primary tests  
Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: CheckSecurityError  
Source DC <Source DC> has possible security error (5). Diagnosing...  
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED or down machine recieved by:
<Source DC>  
Source DC <Source DC>_has possible security error (5). Diagnosing...  
Time skew error: 7205 seconds different between:.  
<Source DC>  
<Destination_DC>  
[<Source DC>] DsBindWithSpnEx() failed with error 5,  
Access is denied..  
Ignoring DC <Source DC> in the convergence test of object CN=<Destination_DC>,OU=Domain  Controllers,DC=<DomainName>,DC=com, because we cannot connect!  
......................... <Destination_DC> failed test CheckSecurityError

Ниже приведен пример выходных данных DCDIAG /CHECKSECURITYERROR . В нем отображаются отсутствующие имена имени субъекта-службы. (Выходные данные могут отличаться от среды к среде.)

Doing primary tests  
Testing server: <site name>\<dc name>  
Test omitted by user request: Advertising  
Starting test: CheckSecurityError  
* Dr Auth: Beginning security errors check'  
Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>  
Checking machine account for DC <DC name> on DC <DC Name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>  
* Missing SPN :LDAP/<hostname>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :LDAP/bba727ef-be4e-477d-9796-63b6cee3bSf.<forest root domain DN>  
* SPN found :E3514235-4B06-I1D1-ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>  
* SPN found :HOST/<hostname>.<DNS domain name>  
* SPN found :HOST/<hostname>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>
Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.