Aracılığıyla paylaş

Windows Server'da Active Directory çoğaltma hatası 5: Erişim reddedildi hatasını giderme

Bu makalede, Active Directory çoğaltmasının 5: Erişim reddedildi hatasıyla başarısız olduğu durumların belirtileri, nedeni ve çözümü açıklanmaktadır.

Özgün KB numarası: 3073945

Belirtiler

Active Directory çoğaltmaları 5 hatasıyla başarısız olduğunda aşağıdaki belirtilerden biriyle veya daha fazlasıyla karşılaşabilirsiniz.

Belirti 1

Dcdiag.exe komut satırı aracı, Active Directory çoğaltma testinin hata durum koduyla (5) başarısız olduğunu bildirir. Rapor aşağıdaki örneğe benzer:

Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: Replications  
Replications Check  
[Replications Check,<Destination_DC_Name>] A recent replication attempt failed:  
From <Source_DC> to <Destination_DC>  
Naming Context: <Directory_Partition_DN_Path>  
The replication generated an error (5):  
Access is denied.  
The failure occurred at <Date> <Time>.  
The last success occurred at <Date> <Time>.  
<Number> failures have occurred since the last success.

Belirti 2

Dcdiag.exe komut satırı aracı, komutu çalıştırarak DCDIAG /test:CHECKSECURITYERROR işlevin DsBindWithSpnEx 5 hatasıyla başarısız olduğunu bildirir.

Belirti 3

REPADMIN.exe komut satırı aracı, son çoğaltma denemesinin 5 durumuyla başarısız olduğunu bildirir.

REPADMIN Sık sık 5 durumunu belirten komutlar şunlardır ancak bunlarla sınırlı değildir:

  • REPADMIN /KCC
  • REPADMIN /REPLICATE
  • REPADMIN /REPLSUM
  • REPADMIN /SHOWREPL
  • REPADMIN /SHOWREPS
  • REPADMIN /SYNCALL

komutundan REPADMIN /SHOWREPL alınan örnek çıktı aşağıdaki gibidir. Bu çıkış, 'den DC_2_Name gelen çoğaltmanın DC_1_Name "Erişim reddedildi" hatasıyla başarısız olduğunu gösterir.

<Site_Name>\<DC_1_Name>  
DSA Options: IS_GC  
Site Options: (none)  
DSA object GUID: <GUID>  
DSA invocationID: <invocationID>

==== INBOUND NEIGHBORS======================================  
DC= <DomainName>,DC=com  
<Site_Name>\<DC_2_Name> via RPC  
DSA object GUID: <GUID> 
Last attempt @ <Date> <Time> failed, result 5(0x5):  
Access is denied.  
<#> consecutive failure(s).  
Last success @ <Date> <Time>.

Belirti 4

5 durumlu NTDS KCC, NTDS Genel veya Microsoft-Windows-ActiveDirectory_DomainService olayları Olay Görüntüleyicisi Dizin Hizmetleri oturumuna kaydedilir.

Aşağıdaki tabloda, 8524 durumunu sık sık belirten Active Directory olayları özetlense de bunlarla sınırlı değildir:

Olay Kodu Kaynak Olay dizesi
1655 NTDS Genel Active Directory aşağıdaki genel katalogla iletişim kurmaya çalıştı ve girişimler başarısız oldu.
1925 NTDS KCC Aşağıdaki yazılabilir dizin bölümü için çoğaltma bağlantısı oluşturma girişimi başarısız oldu.
1926 NTDS KCC Aşağıdaki parametrelerle salt okunur bir dizin bölümüne çoğaltma bağlantısı oluşturma girişimi başarısız oldu.

Belirti 5

Active Directory Siteleri ve Hizmetleri'ndeki bir kaynak etki alanı denetleyicisinden (DC) bağlantı nesnesine sağ tıklayıp Şimdi Çoğalt'ı seçtiğinizde işlem başarısız olur ve aşağıdaki hatayı alırsınız:

İletişim kutusu başlık metni: Şimdi Çoğalt

İletişim kutusu iletisi metni:

%directory partition name% adlandırma bağlamını< Etki Alanı Denetleyicisi Kaynak DC'den Etki Alanı Denetleyicisi <Hedef DC'sine> <>eşitleme girişimi sırasında aşağıdaki hata oluştu: Erişim reddedildi.>

İşlem devam edecektir.

Aşağıdaki ekran görüntüsü hatanın bir örneğini temsil eder:

Hatanın bir örneğini gösteren Şimdi Çoğalt penceresinin ekran görüntüsü.

Geçici çözüm

Birden çok test çalıştırmak için genel DCDIAG ve NETDIAG komut satırı araçlarını kullanın. DCDIAG /TEST:CheckSecurityError Belirli testleri gerçekleştirmek için komut satırı aracını kullanın. (Bu testler spn kayıt denetimi içerir.)

Bu soruna geçici bir çözüm bulmak için aşağıdaki adımları uygulayın:

  1. Komut isteminde hedef etki alanı denetleyicisinde komutunu çalıştırın DCDIAG .
  2. DCDIAG /TEST:CheckSecurityError ve NETDIAG komutlarını çalıştırın.
  3. tarafından DCDIAGtanımlanan tüm hataları çözün.
  4. Daha önce başarısız olan çoğaltma işlemini yeniden deneyin. Çoğaltmalar başarısız olursa aşağıdaki nedenlere ve çözümlere bakın.

Aşağıdaki nedenler hata 5'e neden olabilir. Bazılarının çözümleri vardır.

Neden 1: Kaynak veya hedef DC'de geçersiz bir güvenlik kanalı veya parola uyumsuzluğu var

Aşağıdaki komutlardan birini çalıştırarak güvenlik kanalını doğrulayın:

  • nltest /sc_query:<Domain Name>

  • netdom verify <DC Name>

Bu durumda, kullanarak NETDOM /RESETPWDhedef etki alanı denetleyicisinin parolasını sıfırlayın.

Çözüm

  1. Hedef etki alanı denetleyicisinde Kerberos Anahtar Dağıtım Merkezi (KDC) hizmetini devre dışı bırakın.

  2. Hedef etki alanı denetleyicisindeki yükseltilmiş bir komut isteminden komutunu çalıştırarak Klist -li 0x3e7 purgesistemin Kerberos anahtarını alın.

  3. Uzak etki alanı denetleyicisinin parolasını sıfırlamak için komutunu çalıştırın NETDOM RESETPWD :

    c:\>netdom resetpwd /server:<remote_dc_name> /userd: domain_name\administrator /passwordd: administrator_password

  4. Olası KDC'lerin ve kaynak etki alanı denetleyicisinin (aynı etki alanındaysa) gelen hedef etki alanı denetleyicisinin yeni parolasını çoğaltdığından emin olun.

  5. Hedef etki alanı denetleyicisinde KDC hizmetini başlatın ve çoğaltma işlemini yeniden deneyin.

Daha fazla bilgi için bkz . Etki alanı denetleyicisinin makine hesabı parolalarını sıfırlamak için Netdom.exe kullanma.

Neden 2: Hedef DC'nin kayıt defterindeki "CrashOnAuditFail" ayarının değeri "2"

CrashOnAuditFail Grup İlkesi'nde 2 Güvenlik denetimleri günlüğe kaydedilemiyorsa Denetim: Sistemi hemen kapat ilke ayarı etkinse ve yerel güvenlik olay günlüğü doluysa değeri tetikleniyor.

Active Directory etki alanı denetleyicileri özellikle denetim etkinleştirildiğinde ve güvenlik olay günlüğünün boyutu, Olay Görüntüleyicisi veya Grup İlkesi eşdeğerlerinde olayların üzerine yazma (günlüğü el ile temizleme) ve Gerektiğinde Üzerine Yaz seçenekleriyle kısıtlandığında maksimum kapasite güvenlik günlüklerine açıktır.

Çözüm

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatli bir şekilde izlediğinizden emin olun. Koruma amacıyla, bir sorun oluştuğunda kayıt defterini geri yükleyebilmek için kayıt defterini değiştirmeden önce yedekleyin. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

  1. Güvenlik olay günlüğünü temizleyin ve gerektiği gibi başka bir konuma kaydedin.

  2. Güvenlik olay günlüğündeki tüm boyut kısıtlamalarını yeniden değerlendirin. Buna ilke tabanlı ayarlar dahildir.

  3. Aşağıdaki gibi bir CrashOnAuditFail kayıt defteri girdisi silin ve yeniden oluşturun:

    Kayıt defteri alt anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
    Değer Adı: CrashOnAuditFail
    Değer Türü: REG_DWORD
    Değer Verileri: 1

  4. Hedef etki alanı denetleyicisini yeniden başlatın.

veya 1değerini 0 gördükten CrashOnAuditFail sonra, bazı CSS mühendisleri güvenlik olay günlüğünü yeniden temizleyerek, kayıt defteri değerini silerek CrashOnAuditFail ve hedef etki alanı denetleyicisini yeniden başlatarak "Erişim reddedildi" hatalarını çözdü.

Daha fazla bilgi için bkz . Denetim ve güvenlik günlüğünü yönetme.

Neden 3: Geçersiz güven (kaynak veya hedef DC'deki güvenli kanal geçersiz veya güven zincirindeki güven ilişkileri bozuk veya geçersiz)

Active Directory çoğaltması farklı etki alanlarındaki etki alanı denetleyicileri arasında başarısız olursa, güven yolu boyunca güven ilişkilerinin sistem durumunu doğrulamanız gerekir.

Bozuk güvenleri denetlemek için NetDiag Güven İlişkisi testini deneyebilirsiniz. Netdiag.exe yardımcı programı aşağıdaki metni görüntüleyerek bozuk güvenleri tanımlar:

Trust relationship test. . . . . . : Failed  
Test to ensure DomainSid of domain '<domainname>' is correct.  
[FATAL] Secure channel to domain '<domainname>' is broken.  
[% <variable status code> %]

Örneğin, kök etki alanı (), alt etki alanı (), alt etki alanı (Contoso.COM), alt etki alanı (B.Contoso.COM) ve aynı ormandaki ağaç etkiC.B.Contoso.COM alanı () içeren çok etki alanılı bir ormanınız varsa ve torun etki alanındaki (C.B.Contoso.COMFabrikam.COM) ve ağaç etki alanındaki etki alanı denetleyicileri arasında çoğaltma başarısız oluyorsa (Fabrikam.COM), ile arasında B.Contoso.COMC.B.Contoso.COM ve arasında Contoso.COMB.Contoso.COM ve son olarak ile arasında Contoso.COM Fabrikam.COMgüven durumunu doğrulamanız gerekir).

Hedef etki alanları arasında bir kısayol güveni varsa, güven yolu zincirini doğrulamanız gerekmez. Bunun yerine, hedef ve kaynak etki alanı arasındaki kısayol güvenini doğrulamanız gerekir.

Aşağıdaki komutu çalıştırarak güvendeki son parola değişikliklerini denetleyin:

Repadmin /showobjmeta * <DN path for TDO in question>

Hedef etki alanı denetleyicisinin, güven parola değişikliklerinin etkili olabileceği yazılabilir etki alanı dizini bölümünü geçişli olarak gelen çoğaltması olduğunu doğrulayın.

Kök etki alanı PDC'sinden güvenleri sıfırlama komutları aşağıdaki gibidir:

netdom trust <Root Domain> /Domain:<Child Domain> /UserD:CHILD /PasswordD:* /UserO:ROOT /PasswordO:* /Reset /TwoWay

Alt etki alanı PDC'sinden güvenleri sıfırlama komutları aşağıdaki gibidir:

netdom trust <Child Domain> /Domain:<Root Domain> /UserD:Root /PasswordD:* /UserO:Child /PasswordO:* /Reset /TwoWay

Neden 4: Aşırı zaman dengesizliği

Hedef DC ile kaynak DC tarafından kullanılan KDC arasında bir zaman farkı vardır. Zaman farkı, Varsayılan Etki Alanı ilkesinde tanımlanan Kerberos tarafından izin verilen maksimum zaman dengesizliği sınırını aşıyor.

Varsayılan etki alanı ilkesindeki Kerberos ilkesi ayarları, yeniden yürütme saldırılarını önlemek için KDC etki alanı denetleyicileri ile Kerberos hedef sunucuları arasında sistem süresinde beş dakikalık bir farka izin verir (varsayılan değer budur). Bazı belgelerde, istemcinin ve Kerberos hedefinin sistem süresinin beş dakika içinde olması gerektiği belirtilir. Diğer belgelerde Kerberos kimlik doğrulaması bağlamında önemli olan sürenin çağıran tarafından kullanılan KDC ile Kerberos hedefindeki saat arasındaki değişim olduğu belirtiliyor. Ayrıca Kerberos, ilgili etki alanı denetleyicilerindeki sistem saatinin geçerli saatle eşleşip eşleşmediğini de umursamaz. Yalnızca KDC ile hedef etki alanı denetleyicisi arasındaki göreli zaman farkının Kerberos ilkesinin izin verdiği maksimum dengesizlik süresi içinde olması önemlidir. (Varsayılan süre beş dakika veya daha kısadır.)

Active Directory işlemleri bağlamında hedef sunucu, hedef etki alanı denetleyicisi tarafından iletişim kuran kaynak etki alanı denetleyicisidir. Şu anda KDC hizmetini çalıştıran bir Active Directory ormanındaki her etki alanı denetleyicisi olası bir KDC'dir. Bu nedenle, kaynak etki alanı denetleyicisine karşı diğer tüm etki alanı denetleyicilerinde zaman doğruluğunu göz önünde bulundurmanız gerekir. Buna hedef etki alanı denetleyicisinin kendisinde zaman da dahildir.

Saat doğruluğunu denetlemek için aşağıdaki iki komutu kullanabilirsiniz:

  • DCDIAG /TEST:CheckSecurityError
  • W32TM /MONITOR

örnek çıkışını DCDIAG /TEST:CheckSecurityError "Daha fazla bilgi" bölümünde bulabilirsiniz. Bu örnek, etki alanı denetleyicilerinde aşırı zaman dengesizliği gösterir.

Çoğaltma isteği başarısız olduğunda hedef etki alanı denetleyicisinde LSASRV 40960 olaylarını arayın. Genişletilmiş hata 0xc000133 kaynak etki alanı denetleyicisinin CNAME kaydında GUID'yi gösteren olayları arayın. Aşağıdakine benzer olayları arayın:

0xc000133: Birincil Etki Alanı Denetleyicisindeki süre, Yedekleme Etki Alanı Denetleyicisi veya üye sunucusundaki zamandan çok büyük miktarda farklıdır

Kaynak etki alanı denetleyicisinde (ve diğer işlemlerde) paylaşılan bir klasöre bağlanan hedef bilgisayarı yakalayan ağ izlemeleri ekranda "Genişletilmiş bir hata oluştu" hatasını gösterebilir, ancak bir ağ izlemesi aşağıdaki bilgileri görüntüler:

-> KerberosV5 KerberosV5:TGS İstek Bölgesi: <- Kaynak DC'den TGS isteği
<- Kerberosvs Kerberosvs:KRB_ERROR - KRB_AP_ERR_TKE_NVV (33) <- TGS yanıtı burada "KRB_AP_ERR_TKE_NYV
<- "Bilet henüz geçerli değil" <olarak eşler - "Bilet henüz geçerli değil" olarak eşler

Yanıt, TKE_NYV TGS biletindeki tarih aralığının hedefte geçen süreden daha yeni olduğunu gösterir. Bu, aşırı zaman dengesizliği olduğunu gösterir.

Not

  • W32TM /MONITOR yalnızca test bilgisayarları etki alanındaki etki alanı denetleyicilerinde zamanı denetler, bu nedenle bunu her etki alanında çalıştırmanız ve etki alanları arasındaki zamanı karşılaştırmanız gerekir.
  • Sistem saatinin yanlış olduğu tespit edildiyse, gelecekte yanlış zamanı önlemek için neden ve neler yapılıp yapılamadığını anlamaya çalışın. Orman kök PDC'si bir dış zaman kaynağıyla yapılandırıldı mı? Başvuru zaman kaynakları çevrimiçi ve ağda kullanılabilir mi? Zaman hizmeti çalışıyor mu? DC rol bilgisayarları kaynak saate NT5DS hiyerarşisini kullanacak şekilde yapılandırılmış mı?
  • Hedef etki alanı denetleyicilerinde zaman farkı çok büyük olduğunda, DSSITE'de Şimdi çoğalt komutu. MSC, ekranda "İstemci ile sunucu arasında saat ve/veya tarih farkı var" hatasıyla başarısız oluyor. Bu hata dizesi, sembolik ERROR_TIME_SKEW hata adıyla hata 1398 (ondalık) veya 0x576 (onaltılık) ile eşler.

Daha fazla bilgi için bkz . Yeniden Yürütme Saldırılarını Önlemek için Saat Eşitleme Toleransını Ayarlama.

Neden 5: Kayıt defterindeki "RestrictRemoteClients" ayarının değeri "2"

Kimliği Doğrulanmamış RPC istemcileri için Kısıtlamalar ilke ayarı etkinleştirilir ve özel durumlar olmadan kimliği doğrulandı olarak ayarlanırsa, RestrictRemoteClients kayıt defteri değeri kayıt defteri alt anahtarındaki HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC değerine 0x2 ayarlanır.

Bu ilke ayarı, yalnızca kimliği doğrulanmış uzaktan yordam çağrısı (RPC) istemcilerinin ilke ayarının uygulandığı bilgisayarda çalışan RPC sunucularına bağlanmasına olanak tanır. Özel durumlara izin vermez. Bu seçeneği belirtirseniz, sistem RPC kullanarak uzak anonim çağrıları alamaz. Bu ayar hiçbir zaman bir etki alanı denetleyicisine uygulanmamalıdır.

Çözüm

  1. Kayıt defteri değerini 2ile kısıtlayan RestrictRemoteClients Kimliği Doğrulanmamış RPC istemcileri için Kısıtlamalar ilke ayarını devre dışı bırakın.

    Not

    İlke ayarı aşağıdaki yolda bulunur:

    Kimliği Doğrulanmamış RPC istemcileri için Bilgisayar Yapılandırması\Yönetim Şablonları\System\Remote Procedure Call\Restrictions.

  2. RestrictRemoteClients Kayıt defteri ayarını silin ve yeniden başlatın.

Daha fazla bilgi için bkz . Kimliği Doğrulanmamış RPC İstemcileri için Kısıtlamalar: Etki alanınızın yüzüne yumruk atan grup ilkesi ve RestrictRemoteClients kayıt defteri anahtarı etkindir.

Neden 6: "Bu bilgisayara ağdan eriş" kullanıcı hakkı "Kurumsal Etki Alanı Denetleyicileri" grubuna veya çoğaltmayı tetikleyen bir kullanıcıya verilmedi

Windows'un varsayılan yüklemesinde, varsayılan etki alanı denetleyicisi ilkesi etki alanı denetleyicisinin kuruluş birimine (OU) bağlıdır. OU, Bu bilgisayara ağ kullanıcısından erişme hakkını aşağıdaki güvenlik gruplarına verir:

Yerel ilke Varsayılan etki alanı denetleyicisi ilkesi
Yöneticiler Yöneticiler
Kimliği Doğrulanmış Kullanıcılar Kimliği Doğrulanmış Kullanıcılar
Herkes Herkes
Kurumsal Etki Alanı Denetleyicileri Kurumsal Etki Alanı Denetleyicileri
[Windows 2000 öncesi uyumlu Erişim] Windows 2000 öncesi uyumlu Erişim

Active Directory işlemleri 5 hatasıyla başarısız olursa aşağıdaki noktaları doğrulamanız gerekir:

  • Tablodaki güvenlik gruplarına, varsayılan etki alanı denetleyicisinin ilkesinde Bu bilgisayara ağ kullanıcısından erişme hakkı verilir.

  • Etki alanı denetleyicisi bilgisayar hesapları, etki alanı denetleyicisinin OU'sunda bulunur.

  • Varsayılan etki alanı denetleyicisinin ilkesi, etki alanı denetleyicisinin işletim sistemine veya etki alanı denetleyicisi bilgisayar hesaplarını barındıran alternatif OU'lara bağlıdır.

  • Grup İlkesi, şu anda hata 5'i günlüğe kaydeden hedef etki alanı denetleyicisine uygulanır.

  • Bu bilgisayara ağ kullanıcısından erişimi reddet hakkı etkindir veya çoğaltmayı tetikleyen etki alanı denetleyicisi veya kullanıcı hesabı tarafından kullanılan güvenlik bağlamı doğrudan veya geçişli gruplara başvurmaz.

  • İlke önceliği, engellenen devralma, Microsoft Windows Yönetim Araçları (WMI) filtrelemesi veya benzeri, ilke ayarının etki alanı denetleyicisi rol bilgisayarlarına uygulanmasını engellemez.

Not

  • İlke ayarları RSOP ile doğrulanabilir. MSC, ancak GPRESULT daha doğru olduğu için tercih edilen araçtır, örneğin veya GPRESULT /H c:\temp\GPOResult.html GPRESULT /Z.
  • Yerel ilke, sitelerde, etki alanlarında ve OU'larda tanımlanan ilkelere göre önceliklidir.
  • Bir zamanlar, yöneticilerin varsayılan etki alanı denetleyicisinin ilkesindeki Bu bilgisayara ağ ilkesinden eriş ayarından Kurumsal Etki Alanı Denetleyicileri ve Herkes gruplarını kaldırması yaygın bir durumdu. Ancak, her iki grubun kaldırılması önemli bir işlemdir. Yalnızca etki alanı denetleyicileri bu grubun üyesi olduğundan, Bu ilke ayarından Kurumsal etki alanı denetleyicilerini kaldırmak için bir neden yoktur.

Neden 7: Kaynak ve hedef DC'ler arasında SMB imzalama uyuşmazlığı var

SMB imzalama için en iyi uyumluluk matrisi dört ilke ayarı ve bunların kayıt defteri tabanlı eşdeğerleriyle tanımlanır:

İlke ayarı Kayıt defteri yolu
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Enablesecuritysignature
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanworkstation\Parameters\Requiresecuritysignature
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (sunucu kabul ederse) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Enablesecuritysignature
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman) HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Lanmanserver\Parameters\Requiresecuritysignature

Hedef ve kaynak etki alanı denetleyicileri arasındaki SMB imzalama uyuşmazlıklarına odaklanmalısınız. Klasik durumlar, bir tarafta etkin veya gerekli ancak diğer tarafta devre dışı bırakılmış bir ayarı içerir.

Not

İç test SMB imzalama uyuşmazlıkları göstererek çoğaltmanın 1722: "RPC Sunucusu kullanılamıyor" hatasıyla başarısız olmasına neden oldu.

Neden 8: UDP biçimli Kerberos paket parçalanması

Ağ yönlendiricileri ve anahtarları, DNS için Kerberos ve Uzantı Mekanizmaları (EDNS0) tarafından kullanılan büyük Kullanıcı Veri Birimi Protokolü (UDP) biçimli ağ paketlerini parçalayabilir veya tamamen bırakabilir.

Çözüm

  1. Hedef etki alanı denetleyicisinin konsolundan, ağ yolu tarafından desteklenen en büyük paketi tanımlamak için kaynak etki alanı denetleyicisine tam bilgisayar adına ping atayın. Bunu yapmak için aşağıdaki komutu çalıştırın:

    c:\>Ping <Source_DC_hostname>.<Fully_Qualified_Computer_Name> -f -l 1472

  2. Parçalanmamış en büyük paket 1.472 bayttan azsa, aşağıdaki yöntemlerden birini deneyin (tercih sırasına göre):

    • Ağ altyapısını büyük UDP çerçevelerini uygun şekilde destekleyecek şekilde değiştirin. Bunun için yönlendiricilerde, anahtarlarda veya güvenlik duvarlarında üretici yazılımı yükseltmesi veya yapılandırma değişikliği gerekebilir.
    • Maxpacketsize değerini (hedef etki alanı denetleyicisinde) TCP üst bilgisini hesaba katması için 8 bayt daha az komutla PING -f -l tanımlanan en büyük pakete ayarlayın ve değiştirilen etki alanı denetleyicisini yeniden başlatın.
    • maxpacketsize değerini (hedef etki alanı denetleyicisinde) değerine 1ayarlayın. Bu, TCP kullanmak için Kerberos kimlik doğrulamasını tetikler. Değişikliğin etkili olması için değiştirilen etki alanı denetleyicisini yeniden başlatın.

  3. Başarısız Active Directory işlemini yeniden deneyin.

Neden 9: Ağ bağdaştırıcılarında "Büyük Gönderme Boşaltma" özelliği etkin

Çözüm

  1. Hedef etki alanı denetleyicisinde ağ bağdaştırıcısı özelliklerini açın.
  2. Yapılandır düğmesini seçin.
  3. Gelişmiş sekmesini seçin.
  4. IPv4 Büyük Gönderme Boşaltma özelliğini devre dışı bırakın.
  5. Etki alanı denetleyicisini yeniden başlatın.

Neden 10: Geçersiz Kerberos bölgesi

Aşağıdaki koşullardan biri veya daha fazlası doğruysa Kerberos bölgesi geçersizdir:

  • KDCNames Kayıt defteri girdisi yanlış bir şekilde yerel Active Directory etki alanı adını içeriyor.
  • PolAcDmN Kayıt defteri anahtarı ve PolPrDmN kayıt defteri anahtarı eşleşmiyor.

Çözümler

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatli bir şekilde izlediğinizden emin olun. Koruma amacıyla, bir sorun oluştuğunda kayıt defterini geri yükleyebilmek için kayıt defterini değiştirmeden önce yedekleyin. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

Yanlış "KDCNames" kayıt defteri girdisine çözüm

  1. Hedef etki alanı denetleyicisinde komutunu çalıştırın REGEDIT.
  2. Kayıt defterinde aşağıdaki alt anahtarı bulun: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Domains
  3. Alt anahtar altındaki her <Fully_Qualified_Domain> için, kayıt defteri girdisinin değerinin KdcNames yerel etki alanına veya aynı Active Directory ormanındaki başka bir etki alanına değil geçerli bir dış Kerberos alanına başvurduğunu doğrulayın.

Eşleşmeyen "PolAcDmN" ve "PolPrDmN" kayıt defteri anahtarları için çözüm

  1. Kayıt Defteri Düzenleyicisi'ni başlatın.

  2. Gezinti bölmesinde Güvenlik'i genişletin.

  3. Güvenlik menüsünde İzinler'i seçerek Yöneticiler yerel grubuna kovanın ve alt kapsayıcılarının ve nesnelerinin SECURITY tam denetimini verin.

  4. Kayıt defterinde aşağıdaki alt anahtarı bulun:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN

  5. Kayıt Defteri Düzenleyicisi'nin sağ tarafındaki bölmede Ad Yok: REG_NONE kayıt defteri girdisini bir kez seçin.

  6. Görünüm menüsünde İkili Verileri Görüntüle'yi seçin.

  7. İletişim kutusunun Biçim bölümünde Bayt'ı seçin.

    Etki alanı adı, İkili Veri iletişim kutusunun sağ tarafında bir dize olarak görüntülenir. Etki alanı adı Kerberos bölgesiyle aynıdır.

  8. Kayıt defterinde aşağıdaki alt anahtarı bulun:
    HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN

  9. Kayıt Defteri Düzenleyicisi'nin sağ tarafındaki bölmede Ad Yok: REG_NONE girdisine çift tıklayın.

  10. İkili Düzenleyici iletişim kutusunda, kayıt defteri alt anahtarındaki PolPrDmN değeri yapıştırın. (Kayıt defteri alt anahtarındaki PolPrDmN değer NetBIOS etki alanı adıdır).

  11. Etki alanı denetleyicisini yeniden başlatın. Etki alanı denetleyicisi düzgün çalışmıyorsa diğer yöntemlere bakın.

Neden 11: Kaynak ve hedef DC'ler arasında LAN Manager Uyumluluğu (LM Uyumluluğu) uyumsuzluğu var

Neden 12: Basit çoğaltma gecikmesi veya çoğaltma hatası nedeniyle hizmet asıl adları kayıtlı değil veya mevcut değil

Neden 13: Virüsten koruma yazılımı, kaynak veya hedef DC'de bir mini güvenlik duvarı ağ bağdaştırıcısı filtre sürücüsü kullanıyor

Daha Fazla Bilgi

"Belirtiler" bölümünde açıklananlar gibi Active Directory hataları ve olayları, aşağıdakine benzer hata dizesiyle birlikte 8453 hatasıyla da başarısız olabilir:

Çoğaltma Erişimi reddedildi.

Aşağıdaki durumlar Active Directory işlemlerinin 8453 hatasıyla başarısız olmasına neden olabilir. Ancak, bu durumlar hata 5 ile hatalara neden olmaz.

  • Dizin Değişikliklerini Çoğaltma izniyle adlandırma bağlamı (NC) başına izin verilmez.
  • Çoğaltmayı başlatan güvenlik sorumlusu, Dizin Değişikliklerini Çoğaltma izni verilen bir grubun üyesi değildir.
  • Özniteliğinde UserAccountControl bayraklar eksik. Bu bayraklar ve TRUSTED_FOR_DELEGATIONdeğerlerini içerirSERVER_TRUST_ACCOUNT.
  • Salt okunur etki alanı denetleyicisi (RODC) önce komutunu çalıştırmadan ADPREP /RODCPREP etki alanına katıldı.

"DCDIAG /TEST:CheckSecurityError" örnek çıktısı

Etki alanı denetleyicisi için örnek DCDIAG /CHECKSECURITYERROR çıktı aşağıdaki gibidir. Bunun nedeni aşırı zaman dengesizliğidir.

Doing primary tests  
Testing server: <Site_Name>\<Destination_DC_Name>  
Starting test: CheckSecurityError  
Source DC <Source DC> has possible security error (5). Diagnosing...  
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED or down machine recieved by:
<Source DC>  
Source DC <Source DC>_has possible security error (5). Diagnosing...  
Time skew error: 7205 seconds different between:.  
<Source DC>  
<Destination_DC>  
[<Source DC>] DsBindWithSpnEx() failed with error 5,  
Access is denied..  
Ignoring DC <Source DC> in the convergence test of object CN=<Destination_DC>,OU=Domain  Controllers,DC=<DomainName>,DC=com, because we cannot connect!  
......................... <Destination_DC> failed test CheckSecurityError

örnek DCDIAG /CHECKSECURITYERROR çıktısı aşağıdaki gibidir. Eksik SPN adlarını gösterir. (Çıkış ortamdan ortama farklılık gösterebilir.)

Doing primary tests  
Testing server: <site name>\<dc name>  
Test omitted by user request: Advertising  
Starting test: CheckSecurityError  
* Dr Auth: Beginning security errors check'  
Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name>  
Checking machine account for DC <DC name> on DC <DC Name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>  
* Missing SPN :LDAP/<hostname>  
* Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :LDAP/bba727ef-be4e-477d-9796-63b6cee3bSf.<forest root domain DN>  
* SPN found :E3514235-4B06-I1D1-ABØ4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name>  
* SPN found :HOST/<hostname>.<DNS domain name>  
* SPN found :HOST/<hostname>  
* Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name>  
* Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name>
Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>.

Veri toplama

Microsoft desteğinden yardıma ihtiyacınız varsa, Active Directory çoğaltma sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.