Table of contents
TOC
目次を折りたたむ
目次を展開する

レプリケーション エラー8453レプリケーション アクセスが拒否されました

Bill Mathers|最終更新日: 2017/03/10
|
1 投稿者

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

このトピックでは、現象、原因およびActive Directoryレプリケーション エラー8453レプリケーション アクセスが拒否されたを解決する方法について説明します。</段落 > < クラスを一覧表示 ="bullet"> < リスト アイテム > < 段落 > < xlink:hrefリンク ="985b9945-78c9-4754-8a69-146878d9f790 #BKMK_Symptoms">現象 </段落 > </リスト アイテム > < リスト アイテム > < 段落 > < xlink:hrefをリンク ="985b9945-78c9-4754-8a69-146878d9f790 #BKMK_Causes">により </段落 > </リスト アイテム > < リスト アイテム > < 段落 > < xlink:hrefをリンク ="985b9945-78c9-4754-8a69-146878d9f790 #BKMK_Resolutions">解像度
現象<ph id="t4"></タイトル > < コンテンツ > < クラスを一覧表示「注文」= > < リスト アイテム > < 段落 ></ph>[DCDIAGレプリケーション テスト (DCDIAG/TEST: NCSecDesc) 報告されるテストDC 8453の状態と「失格したテストのレプリケーション」: レプリケーション アクセスが拒否されました。<ph id="t5"></段落 > < コード > 起動テスト: レプリケーション [レプリケーションの確認、& lt; 宛先DC] 最近レプリケーション試みが失敗しました: から & lt; DC & gt; をソースに & lt; 宛先DC 名前付けコンテキスト: & lt; DNパス ディレクトリ パーティション & gt; を失敗します。 < codeFeaturedElement > レプリケーション エラー (8453) を生成する: レプリケーション アクセスが拒否されました に障害が発生した & lt; 日付 & gt;。& lt; 時間 & gt; されます。 で最後の成功が発生しました & lt; 日付 & gt;。& lt; 時間 & gt; されます。 最後の成功後に %#% エラーが発生しました。 、移行先 & lt; 宛先DC & gt; 用のコンピューター アカウントです。 正しく構成されていません。 UserAccountControlフィールドを確認します。 Kerberosのエラーです。 、コンピューター アカウントが存在しないかと一致しません。 先、ソースまたはKDCサーバー。 KDCの検証ドメイン パーティションは、エンタープライズの残りの部分と同期されます。 Repadmin/syncallのツールは、この目的に使用することができます。 ... < codeFeaturedElement > & lt; DCテストDCDIAG & gt;失格したテスト レプリケーション </コード > </リスト アイテム > < リスト アイテム > < 段落 ></ph>、DCDIAG NCSecDescテスト (DCDIAG/TEST: NCSecDes) DCDIAG"失格したテストNCSecDec"によってドメイン コント ローラーをテストして、1つまたは複数のアクセス許可がDCDIAGによってテスト テスト済みドメイン コント ローラー上の1つまたは複数のディレクトリ パーティションのNCヘッド上で見つかりませんレポート:<ph id="t6"></段落の間隔 > < コード > 起動テスト: NCSecDesc エラーNT AUTHORITYENTERPRISEドメイン コント ローラーがありません ディレクトリの変更をレプリケートする レプリケーションの同期 レプリケーション トポロジの管理 レプリケート ディレクトリ変更でフィルター処理を設定 名前付けコンテキストのアクセス権を: DC = contoso、DC = com エラーCONTOSODomainコント ローラーがありません ディレクトリの変更をすべてにレプリケート 名前付けコンテキストのアクセス権を: DC = contoso、DC = com エラーCONTOSOEnterprise Read-onlyドメイン コント ローラーがありません ディレクトリの変更をレプリケートすること 名前付けコンテキストのアクセス権を: DC contoso、DC = = com ... < codeFeaturedElement > CONTOSO DC2失格したテストNCSecDesc </コード > < クラスのアラート =「に注意してください」> < 段落 ></ph>一連の各セキュリティ グループは、環境によって異なる可能性がありますに必要なアクセス権がありません。 <listitem><para>DCDIAG MachineAccountテスト (DCDIAG/TEST: MachineAccount) 報告Dcのコンピューター アカウントのUserAccountControl属性で"SERVER_TRUST_ACCOUNT"または"TRUSTED_FOR_DELEGATION"フラグが指定されていないために、DCがDCDIAG"失格したテストMachineAccount"をテストする:<ph id="t7"></段落 > < コード > 起動テスト: MachineAccount < codeFeaturedElement > CONTOSO DC2アカウントに委任時の信頼は です。できない レプリケートされます。 アカウントCONTOSO DC2がDCアカウントではありません。これをレプリケートできません。 警告: CONTOSO DC2の属性userAccountControlが: 0x288 = (HOMEDIR_REQUIRED |ENCRYPTED_TEXT_PASSWORD_ALLOWED |NORMAL_ACCOUNT) DCは、一般的な設定 0x82000 = (SERVER_TRUST_ACCOUNT |TRUSTED_FOR_DELEGATION) このレプリケーションに影響する可能性がありますか? .........................CONTOSO DC2 < codeFeaturedElement > 失格したテストMachineAccount </コード > </リスト アイテム > < リスト アイテム > < 段落 ></ph>DCDIAG KCCイベント ログのテストについて、MicrosoftがWindowsにActiveDirectory_DomainServiceイベント2896相当する16進数を記載されています。<ph id="t8"></段落 > < 段落 ></ph>B50 16進数 = 2896 10進表現です。 インフラストラクチャ マスター ドメイン コント ローラーで60秒ごとにこのエラーが記録されます。<ph id="t9"></段落 > < コード > 起動テスト: KccEvent * KCCイベント ログのテスト エラー イベントが発生しました。イベントId: 0xC0000B50 時に生成された: 06/25/2010 07時45分: 07 イベント文字列: クライアント加えDirSync LDAPディレクトリ パーティションに要求します。次のエラーにより、アクセスが拒否されました。 ディレクトリ パーティション: & lt; DNパスのディレクトリ パーティション & gt; エラー値: < codeFeaturedElement > 8453レプリケーション アクセスが拒否されました。 無操作 クライアントは、この要求のためのアクセスをない可能性があります。クライアントは、それを必要とする場合、割り当てる必要があります制御のアクセス権"複製 ディレクトリ変更"問題のディレクトリ パーティションにします。 </コード > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMINします。EXEはレポート ステータス8453でそのレプリケーション試行が失敗しました。<ph id="t10"></段落 > < 段落 ></ph>REPADMINコマンドを8453状態ですに限定されない引用をよくします。</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><tbody><tr><td><list class="bullet"><listitem><para>REPADMIN/KCC<ph id="t11"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMIN/REHOST<ph id="t12"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMIN/REPLICATE<ph id="t13"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMIN /REPLSUM</para></listitem></list></td><td><list class="bullet"><listitem><para>REPADMIN/SHOWREPL<ph id="t14"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMIN/SHOWREPS<ph id="t15"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMIN/SHOWUTDVEC<ph id="t16"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>REPADMIN /SYNCALL</para></listitem></list></td></tr></tbody></table><para>"REPADMIN/SHOWREPS"を表すCONTOSO DC2からの入力方向のレプリケーション「レプリケーション アクセスが拒否されました」というエラーが表示CONTOSO DC1が失敗した場合に、以下に示すからの出力をサンプル:<ph id="t1"></段落の間隔 > < コード > 既定の最初のサイト-NameCONTOSOにDC1 DSAオプション: IS_GC サイトのオプション: (なし) DSAオブジェクトGUID: b6dc8589-7e00-4a5d-b688-045aef63ec01 DSA invocationID: b6dc8589-7e00-4a5d-b688-045aef63ec01 === 着信近隣 === DC = contoso、DC = com 既定の最初のサイトにNameCONTOSO・DC2 RPC経由で DSAオブジェクトGUID: 74fbe06c-932c-46b5-831b-af9e31f496b2 最後の試行 @ & lt; 日付 & gt; & lt; 時間 & gt; に失敗しました、< codeFeaturedElement > 結果8453 (0x2105): レプリケーション アクセスが拒否されました。 & lt; #& gt;連続したエラー。 最後 @ 成功 & lt; 日付 & gt;& lt; 時間 & gt; されます。 </コード > </リスト アイテム > < リスト アイテム > < 段落 ></ph>Active Directoryサイトおよびサービスで「今すぐレプリケート」コマンドでは、「複製アクセスが拒否されました」を返します。<ph id="t2"></段落 > < 段落 ></ph>DCのソースからの接続オブジェクトを右クリックし、選択"今すぐレプリケート"は失敗し"複製アクセスが拒否されました。 画面に表示されるエラー メッセージは、次に示します:<ph id="t3"></段落の間隔 > < 段落 ></ph>ダイアログのタイトル テキスト: 今すぐレプリケート<ph id="t4"></段落の間隔 > < 段落 ></ph>ダイアログのメッセージ テキスト: 名前付けコンテキストを同期しているときに、次のエラーが発生した<% のディレクトリ パーティション名>ドメイン コント ローラーから<ソースDC>ドメイン コント ローラーに<宛先DC>:<ph id="t5"></段落の間隔 > < 段落 ></ph>レプリケーション アクセスが拒否されました</para><para> 操作が続行しないで<ph id="t6"></段落の間隔 > < 段落 ></ph>ダイアログ内のボタン: OK<ph id="t7"></段落の間隔 > < mediaLink > < xlink:hrefをイメージ ="d6bdf81a-dce0-4426-911e-b57b88ff766d"/> </リスト アイテム > < リスト アイテム > < 段落 ></ph>8453状態でNTDS KCC、NTDS全般またはMicrosoftがWindows-ActiveDirectory_DomainServiceのイベント、ディレクトリ サービスのイベント ログに記録されます。<ph id="t8"></段落 > < 段落 ></ph>8453状態をよく具体的activeのディレクトリ イベントに制限はありません。</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>イベントID</para></td><td><para>イベント ソース</para></td><td><para>イベント文字列</para></td></tr></thead><tbody><tr><td><para>1699</para></td><td><para>MicrosoftがWindowsにActiveDirectory_DomainService</para></td><td><para>このディレクトリ サービスは、次のディレクトリ パーティションに要求された変更を取得できませんでした。 このため、次のネットワーク アドレスのディレクトリ サービスを変更要求を送信することでした。</para></td></tr><tr><td><para>2896</para></td><td><para>MicrosoftがWindowsにActiveDirectory_DomainService</para></td><td><para>クライアントでは、ディレクトリ パーティションのDirSync LDAP要求が行われます。 次のエラーにより、アクセスが拒否されました。</para></td></tr><tr><td><para>1655</para></td><td><para>NTDS全般</para></td><td><para>Active Directoryは、次のグローバル カタログと通信しようとして、試みは成功しました。</para></td></tr><tr><td><para>1265</para></td><td><para>NTDS KCC</para></td><td><para>パラメーターを使って複製リンクを確立しようとすると、<ph id="t9"></段落の間隔 > < 段落 ></ph>パーティション:<パーティションDNパス<ph id="t10">& gt; </段落 > < 段落 ></ph>ソースDSA DN:<ソースDC NTDS設定オブジェクトのDN<ph id="t11">& gt; </段落の間隔 > < 段落 ></ph>ソースDSAアドレス:<ソースDcの完全修飾CNAME<ph id="t12">& gt; </段落の間隔 > < 段落 ></ph>(ある場合)、サイト間のトランスポート: <dnパス<ph id="t13">& gt; </段落 > < 段落 ></ph>次の状態で失敗しました。</para></td></tr><tr><td><para>1925</para></td><td><para>NTDS KCC</para></td><td><para>次の書き込み可能なディレクトリ パーティションのレプリケーション リンクの確立に失敗しました。</para></td></tr></tbody></table></listitem>
により<ph id="t14"></タイトル > < コンテンツ > < 段落 ></ph>ステータス8453: を含む複数の根本原因を「複製アクセスが拒否されました」: <ph id="t15"></段落 > < クラスの一覧を表示「注文」= > < リスト アイテム > < 段落 ></ph>SERVER_TRUST_ACCOUNTまたはTRUSTED_FOR_DELEGATIONのフラグの欠落しているが、UserAccountControl属性は、ドメイン コント ローラーの移行先コンピューター アカウントをします。<ph id="t16"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>既定のアクセス許可が発生する予定のレプリケーションを許可する1つまたは複数のディレクトリ パーティション上に存在しない<?Comment JTH: Ask Arren what does this mean? 2011-08-22T10:58:00Z Id='1?>、オペレーティング システムのセキュリティ コンテキスト<ph id="t17">で < ですか?CommentEnd Id = '1' ? ></ph>します。<ph id="t18"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>既定またはカスタムのアクセス許可は、ユーザーが、アド ホックまたはDSSITE.MSC ->「今すぐレプリケート」、"repadmin/replicate"、"repadmin/syncall"または類似のコマンド。<ph id="t19"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>アドホック レプリケーションをトリガーするために必要なアクセス許可が正しく、関連のディレクトリ パーティションに定義されていますが、ユーザーが<embeddedlabel><em>いない</em></embeddedlabel>メンバーされているすべてのセキュリティ グループ与えレプリケーション ディレクトリの変更のアクセス許可します。 <listitem><para>ユーザーが、アド ホックのレプリケーションをトリガーする<embeddedlabel><em>IS</em></embeddedlabel>必要なセキュリティ グループのメンバーとそれらのセキュリティ グループには「ディレクトリの変更をレプリケート」アクセス許可が与えられていますが、「ディレクトリの変更をレプリケート」アクセス許可を与えるグループのメンバーシップによって、ユーザーのセキュリティ トークンから削除されました、<externallink><linktext>ユーザー アカウント制御</linktext><linkuri><a href="http://technet.microsoft.com/library/cc772207(WS.10).aspx">http://technet.microsoft.com/library/cc772207(WS.10).aspx</a></linkuri></externallink> (分割ユーザー アクセス トークン) 機能がWindows VistaおよびWindows Server 2008で導入されました。<ph id="t20"></段落 > < クラスのアラート =「に注意してください」> < 段落 ></ph>Windows VistaおよびWindows Server 2008で導入されたユーザー アカウント制御分割トークンのセキュリティ機能を混同しない、<embeddedlabel>UserAccountControl</embeddedlabel> DCの役割のコンピューター アカウントがActive Directoryに格納されているで定義される属性です。<ph id="t21"></段落 > </アラート > </リスト アイテム > < リスト アイテム > < 段落 ></ph>RODCPREPは読み取り専用ドメイン コント ローラーをホストしている現在のドメインで実行されていません。<ph id="t22"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>Office通信サーバーがインストールされている既存のフォレストに新しいバージョンのオペレーティング システムを実行しているドメイン コント ローラーが追加されました。<ph id="t23"></段落 > </リスト アイテム > < 段落 ></ph>作業中のディレクトリ エラーとこのトピックの「現象」に示されているものなどのイベントもエラー5で失敗します:"アクセスが拒否された"します。<ph id="t24"></段落 > < 段落 ></ph>エラー5解像度を適用することについて、手順:「アクセスが拒否された」以下に、エラー状態のレプリケーション8453を失敗現在はコンピューター上のレプリケーション エラーは解決されませんその逆もできます。 Active Directory操作5のエラーで失敗する一般的な根本的な原因:「アクセスが拒否された」を含める:<ph id="t25"></段落の間隔 > < クラスの一覧を表示 ="bullet"> < リスト アイテム > < 段落 ></ph>過剰な時間傾斜<ph id="t26"></段落の間隔 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>ネットワーク上の中間デバイスによるUDP形式のKerberosパケットの断片化<ph id="t27"></段落の間隔 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>「ネットワークからこのコンピューターにアクセス」の権限のないです。<ph id="t28"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>セキュリティで保護されたチャネルの切断またはドメイン内の信頼<ph id="t29"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>CrashOnAuditFail = レジストリで2</para></listitem>
解像度<ph id="t1"></タイトル > < コンテンツ > < クラスを一覧表示「注文」= > < リスト アイテム > < 段落 > < embeddedLabel ></ph>DCDIAG & DCDIAG正常性チェックを実行/test: CheckSecurityError<ph id="t2"> </段落の間隔 > < クラスを一覧表示「注文」= > < リスト アイテム > < 段落 ></ph>"destination DC"で実行DCDIAG 8453エラーまたはイベントを報告します。<ph id="t3"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>実行DCDIAG「ソースDC」をDC 8453エラーを報告するか、イベントは、「からプル」<ph id="t4"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>実行DCDIAG/test:"destination DC"でCheckSecurityError 8453エラーまたはイベントを報告します。<ph id="t5"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>実行DCDIAG/test: 8453エラーまたはイベントを報告DCは「引き抜くから」を"ソースDC"CheckSecurityError。<ph id="t6"></段落 > </リスト アイテム > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>無効なUserAccountControlを修正する<ph id="t7"> </段落 > < 段落 ></ph>機能と、ユーザーまたはコンピューター アカウントの状態を定義するビットマスクの「UserAccountControl属性で構成されています。 記載されてUserAccountControlフラグについて詳しくは<externallink><linktext>サポート技術情報305144</linktext><linkuri><a href="http://support.microsoft.com/kb/305144">http://support.microsoft.com/kb/305144</a></linkuri></externallink>と<externallink><linktext>MSDN</linktext><linkuri><a href="http://msdn.microsoft.com/library/ms680832(VS.85).aspx">http://msdn.microsoft.com/library/ms680832(VS.85).aspx</a></linkuri></externallink>します。<ph id="t8"></段落 > < 段落 ></ph>典型的なUserAccountControl属性値を<placeholder>書き込み可能な</placeholder>(「完全」) のドメイン コント ローラーのコンピューター アカウントが532480 10進数または16進数の82000します。 ドメイン コント ローラーのコンピューター アカウントのUserAccountControl値が異なる場合がありますが、<placeholder>する必要があります</placeholder>SERVER_TRUST_ACCOUNTとTRUSTED_FOR_DELEGATIONフラグが次の表に示すように含まれています。 <table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>プロパティのフラグ</para></td><td><para>16進数値</para></td><td><para>10進数値</para></td></tr></thead><tbody><tr><td><para>SERVER_TRUST_ACCOUNT</para></td><td><para>0x2000</para></td><td><para>8192</para></td></tr><tr><td><para>TRUSTED_FOR_DELEGATION</para></td><td><para>これに対して、0x80000</para></td><td><para>524288</para></td></tr><tr><td><para>UserAccountControl値</para></td><td><para>0x82000</para></td><td><para>532480</para></td></tr></tbody></table><para>典型的なUserAccountControl属性値を<placeholder>読み取り専用ドメイン コント ローラー</placeholder>コンピューター アカウントは、10進83890176または5001000 16進数。</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>プロパティのフラグ</para></td><td><para>16進数値</para></td><td><para>10進数値</para></td></tr></thead><tbody><tr><td><para>WORKSTATION_TRUST_ACCOUNT</para></td><td><para>0x1000</para></td><td><para>4096</para></td></tr><tr><td><para>TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION</para></td><td><para>0x1000000</para></td><td><para>16777216</para></td></tr><tr><td><para>PARTIAL_SECRETS_ACCOUNT</para></td><td><para>0X4000000</para></td><td><para>67108864</para></td></tr><tr><td><para>RODC用の典型的なUserAccountControl値</para></td><td><para>0x5001000</para></td><td><para>83890176</para></td></tr></tbody></table><list class="ordered"><listitem><para><embeddedlabel>展開先のDC UserAccountControl属性には、SERVER_TRUST_ACCOUNTフラグが見つからない<ph id="t9"></ph></embeddedlabel> </段落 > < 段落 >DCDIAG MachineAccountテストに不合格に「障害が発生したテストMachineAcccount」を使用して、テスト済みDCに対するUserAccountControl属性には、SERVER_TRUST_ACCOUNTフラグが見つからない場合は、Active DirectoryのテストDcコピーで、不足しているフラグを追加します。<ph id="t10"></段落 > < プロシージャ > < title ></ph>UserAccountControl属性をSERVER_TRUST_ACCOUNTフラグを追加する<ph id="t11"></タイトル > < 手順クラス =「注文」> < 手順 > < コンテンツ > < 段落 ></ph>ADSIEDIT.MSCにします。<ph id="t12"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>右クリック<ui>Adsi</ui> ADSIEDIT.MSCし、選んだ<ui>に接続しています.</ui>.<ph id="t13"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>Connection settings] ダイアログ ボックス内で:<ph id="t14"></段落の間隔 > < クラスを一覧表示 ="bullet"> < リスト アイテム > < 段落 ></ph>] をクリックして<ui>よく知られている名前付けコンテキストの選択</ui>選択と<ui>既定の名前付けコンテキスト</ui>(つまり、コンピューター アカウントのドメイン パーティション)。<ph id="t15"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>クリックして<ui>既定 (ドメインまたはサーバーにログオンしている)</ui>します。<ph id="t16"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>クリックして<ui>OK</ui>します。<ph id="t17"></段落 > </リスト アイテム > </ph></para></listitem></list> < 段落 > & lt; & lt;挿入ADDS_ADSIEditConnectionSettings<ph id="t18">& gt; & gt; </段落の間隔 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>ドメインの名前付けコンテキストに検索し、ドメイン コント ローラーのコンピューター アカウントと選択を右クリックして<ui>プロパティ</ui>します。<ph id="t19"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>ダブルクリック、<ui>userAccountControl</ui>属性し、10進数を記録します。<ph id="t20"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>関数電卓 (Windows 2000またはWindows Server 2003) またはプログラマ モード (Windows Server 2008以降) でWindowsの電卓を起動し、userAccountControlの10進数値を入力します。<ph id="t21"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>16進数の同等額を10進数値に変換します。<ph id="t22"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>これに対して、0x80000を既存の値を追加して、「=」キーを押します。<ph id="t23"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>新しいuserAccountControlの計算された値を10進数の同等額に変換します。<ph id="t24"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>新しいの10進値でWindowsの電卓からの入力、<ui>userAccountControl</ui> ADSIEDIT.MSC. クリックして<ui>OK</ui>を保存するには、2回クリックします。<ph id="t1"></段落 > </コンテンツ > </ステップ > </手順 > </プロシージャ > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>展開先のDC userAccountControl属性には、TRUSTED_FOR_DELEGATIONフラグが見つからない<ph id="t2"> </段落 > < 段落 ></ph>「失格したテストMachineAcccount」してDCDIAG MachineAccountテストが失敗し、テスト、DCに対するuserAccountControl属性には、TRUSTED _FOR_DELEGATIONフラグが欠落しているが場合、は、Active DirectoryのテストDcコピーで、不足しているフラグを追加します。<ph id="t3"></段落 > < プロシージャ > < title ></ph>UserAccountControl属性を信頼済み _FOR_DELEGATIONフラグを追加する<ph id="t4"></タイトル > < 手順クラス =「注文」> < 手順 > < コンテンツ > < 段落 ></ph>開始のActive Directoryユーザーとコンピューター (DSA.MSC) DCDIAGによってテストDCのコンソールにします。<ph id="t5"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>DC、コンピューター アカウントを右クリックし、クリックして<ui>プロパティ</ui>します。<ph id="t6"></段落 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>をクリックして、<ui>委任</ui>タブ<ph id="t7"></段落の間隔 > </コンテンツ > </ステップ > < 手順 > < コンテンツ > < 段落 ></ph>クリックして<ui>(Kerberosのみ) のすべてのサービスへの委任では、このコンピューターを信頼</ui>、し、[ok] をクリックします。<ph id="t8"></段落 > < 段落 > & lt; & lt;</ph>ADDS_DCDelegationTabを挿入<ph id="t9">& gt; & gt; </段落の間隔 > </コンテンツ > </ステップ > </手順 > </プロシージャ > </リスト アイテム > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>修正無効な既定のセキュリティ記述子の追加<ph id="t10"> </段落の間隔 > < 段落 ></ph>Active Directory操作操作を開始したアカウントのセキュリティ コンテキストで実行します。 Active Directoryのパーティションに既定のアクセス許可を許可する:<ph id="t11"></段落 > < クラスを一覧表示 ="bullet"> < リスト アイテム > < 段落 ></ph>同じフォレスト内の任意のドメイン内の任意のDC間のレプリケーションを開始しますが、アド ホックEnterprise Administratorsのメンバーをグループ化します。<ph id="t12"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>同じドメインのドメイン コント ローラー間のレプリケーションを開始しますが、アド ホックする組み込みのAdministratorsグループのメンバーです。<ph id="t13"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>ドメイン コント ローラー、同じフォレストで変更通知またはレプリケーションのスケジュールのいずれかを使用して、レプリケーションを開始します。<ph id="t14"></段落 > </リスト アイテム > < 段落 ></ph>グループ メンバーシップが変更またはActive Directoryのパーティションに既定のアクセス許可は、既定では、次を許可しないと、仕様では、既定のアクセスを許可するまでは失敗:<ph id="t15"></段落 > < クラスを一覧表示 ="bullet"> < リスト アイテム > < 段落 ></ph>1つのドメインで組み込みのAdministratorsグループのメンバーは異なるドメイン内のDcからそのドメイン内のDcにアドホック レプリケーションを開始することはできません。<ph id="t16"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>組み込みのadministratorsグループのメンバーではないユーザーは、同じドメインまたはフォレストの他の任意のDCからアドホック レプリケーションを開始できません。<ph id="t17"></段落 > </リスト アイテム > < 段落 ></ph>アクセス許可は (名前付けコンテキストまたは"NC"ヘッドと呼ばれます) の各ディレクトリ パーティション上部で定義されているし、パーティション ツリー全体にわたって継承します。 明示的なグループ (ユーザーが直接のメンバーになっている) と暗黙のグループ (明示的なグループのメンバーシップを入れ子になったを持つもの) が必要なアクセス許可を持っている暗黙的または明示的なグループに割り当てられているアクセス許可を拒否が必要なアクセス許可をtrumpingしていないことを確認します。<ph id="t18"></段落 > < 段落 ></ph>既定のディレクトリ パーティションについて詳しくで利用可能な<externallink><linktext>構成のディレクトリ パーティションの既定のセキュリティ</linktext><linkuri><a href="http://technet.microsoft.com/library/cc961739.aspx">http://technet.microsoft.com/library/cc961739.aspx</a></linkuri></externallink>します。<ph id="t19"></段落 > < クラスを一覧表示「注文」= > < リスト アイテム > < 段落 ></ph>「レプリケーション アクセスが拒否されました」のエラーで失敗しているそれぞれのディレクトリ パーティションの「上」既定のアクセス許可があることを確認します。<ph id="t20"></段落 > < クラスを一覧表示 ="bullet"> < リスト アイテム > < 段落 ></ph>別のドメインでは、ドメイン コント ローラー間、またはドメイン以外の管理者と同じドメインのドメイン コント ローラー間、アドホックのレプリケーションが失敗する場合は、以下の「非ドメイン管理者アクセス許可を付与してください...」セクションを参照してください。<ph id="t21"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>アドホック レプリケーションNCヘッド アクセス許可でフォーカス、Enterprise Adminsグループのメンバーでは、Enterprise Adminsグループに付与場合されます。<ph id="t22"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>Domain Adminsグループのメンバーには、アドホックのレプリケーションが失敗する場合、組み込みのAdministratorsセキュリティ グループに付与されるアクセス許可を重視します。<ph id="t23"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>8453とフォレストでドメイン コント ローラーによって開始される予定のレプリケーションが失敗する場合は、エンタープライズ ドメイン コント ローラーと企業のアクセス許可を重視Read-Onlyドメイン コント ローラーのセキュリティ グループです。<ph id="t24"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>エラー8453では、読み取り専用ドメイン コント ローラー (RODC) 上のドメイン コント ローラーによって開始される予定のレプリケーションが失敗する場合は確認をエンタープライズRead-onlyドメイン コント ローラー セキュリティ グループにはそれぞれのディレクトリ パーティションのNC先頭に必要なアクセスが許可されています。<ph id="t25"></段落 > </リスト アイテム > < 段落 ></ph>次の表は、オペレーティング システムのバージョンのスキーマ、構成、ドメインおよびDNSアプリケーションで定義されている既定のアクセス許可を示しています。 <table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>各ディレクトリ パーティションに必要なDACL</para></td><td><para>Windows 2000</para></td><td><para>Windows Server 2003</para></td><td><para>Windows Server 2008以降</para></td></tr></thead><tbody><tr><td><para>レプリケーション トポロジを管理します。</para></td><td><para>X</para></td><td><para>X</para></td><td><para>X</para></td></tr><tr><td><para>ディレクトリの変更をレプリケートすること</para></td><td><para>X</para></td><td><para>X</para></td><td><para>X</para></td></tr><tr><td><para>レプリケーションの同期</para></td><td><para>X</para></td><td><para>X</para></td><td><para>X</para></td></tr><tr><td><para>すべてを変更するディレクトリを複製します。</para></td><td><para></para></td><td><para>X</para></td><td><para>X</para></td></tr><tr><td><para>フィルターのセットに変更をレプリケートすること</para></td><td><para></para></td><td><para></para></td><td><para>X</para></td></tr></tbody></table><alert class="note"><para>DCDIAG NcSecDescテストに記載されている環境で混在オペレーティング システムのバージョンで実行すると正エラーをfalseを報告する<externallink><linktext>サポート技術情報829306</linktext><linkuri><a href="http://support.microsoft.com/kb/829306">http://support.microsoft.com/kb/829306</a></linkuri></externallink>します。 </para></alert><para>DSACLSコマンドは、構文を使用して特定のディレクトリ パーティションへのアクセス許可をダンプするために使用できます"DSACLS<のディレクトリ パーティションDNパス>"します。<ph id="t1"></段落 > < コード > C:\ & gt; dsacls dc = contoso、dc = com </コード > < 段落 ></ph>構文を使ってリモート ドメイン コント ローラーを対象に設定できる、コマンド:<ph id="t2"></段落 > < コード > c:\ & gt; dsacls \contoso-dc2\dc=contoso,dc=com </コード > < 段落 ></ph>NCヘッドが失敗した場合、ユーザーが直接または入れ子になったのメンバーになっているグループのアクセス許可の削除で「拒否」アクセス許可の注意が必要です。<ph id="t3"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>不足している必要なアクセス許可を追加<ph id="t4"></段落 > < 段落 ></ph>ADSIEDIT.MSCのMSC見つからないDACLに追加します。<ph id="t5"></段落 > < 段落 ></ph>ACL「復元できる」を使用して、既定の設定を"DSACLS<のディレクトリ パーティションDNパス>/S/T"コマンド。<ph id="t6"></段落 > </リスト アイテム > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>ドメイン以外の管理者に同じドメインまたは企業以外の管理者が異なるドメイン内のドメイン コント ローラー間でレプリケートするには、ドメイン コント ローラー間でレプリケートするアクセス許可を付与<ph id="t7"> </段落の間隔 > < 段落 ></ph>Active Directoryのパーティションに既定のアクセス許可は、次を許可しないと、ディレクトリ パーティションにアクセス許可が変更されるまで、失敗:<ph id="t8"></段落の間隔 > < クラスを一覧表示 ="bullet"> < リスト アイテム > < 段落 ></ph>1つのドメインで組み込みのAdministratorsグループのメンバーからアドホック レプリケーションを開始できません別のドメイン内のDcします。<ph id="t9"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>組み込みのDomain Adminsグループのメンバーではないユーザーは、同じドメインまたは別のドメインのドメイン コント ローラー間のレプリケーションのアドホックを開始できません。<ph id="t10"></段落 > </リスト アイテム > < 段落 ></ph>この問題を解決する2つがあります: <ph id="t11"></段落 > < クラスを一覧表示「注文」= > < リスト アイテム > < 段落 ></ph>与えられた既にされている既存のグループにユーザーを追加レプリケート異なるドメイン間でアドホック レプリケーションをトリガーするには、(同じドメインでレプリケーションDomain Adminsグループ) またはEnterprise Adminsグループのディレクトリ パーティションに必要なアクセス許可します。<ph id="t12"></段落 > < 段落 ></ph>- または -<ph id="t13"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>独自のグループを作成、そのグループに、フォレスト全体のディレクトリ パーティションに必要なアクセス許可を付与するものし、し、それらのグループにユーザーを追加します。<ph id="t14"></段落 > < 段落 > < externalLink > <「linktext」></ph>サポート技術情報303972<ph id="t15"></「linktext」> < linkUri ></ph><a href="http://support.microsoft.com/kb/303972">http://support.microsoft.com/kb/303972</a><ph id="t16"></ph>セキュリティ グループを作成し、、それらのグループに必要なメンバーを追加して、Active Directoryのパーティションに必要なDACLをグループに付与するプロセスについて説明します。 同じアクセス許可が「解決無効な既定のセキュリティ記述子」セクションの表にこの記事を示すそのセキュリティ グループを付与します。<ph id="t17"></段落 > < 段落 ></ph>関連コンテンツ:<ph id="t18"></段落 > < 段落 > < externalLink > <「linktext」></ph>サポート技術情報の記事303305<ph id="t19"></「linktext」> < linkUri ></ph><a href="http://support.microsoft.com/kb/303305">http://support.microsoft.com/kb/303305</a><ph id="t20"></ph>: Active Directoryサイトおよびサービス ツールを使用する場合の「アクセス拒否」エラー メッセージ<ph id="t21"></段落の間隔 > < 段落 > < externalLink > <「linktext」></ph>Active Directoryを委任するためのベスト プラクティス<ph id="t22"></「linktext」> < linkUri ></ph><a href="http://www.microsoft.com/download/en/details.aspx?displaylang=en&id">http://www.microsoft.com/download/en/details.aspx?displaylang=en&id</a> = 21678<ph id="t23"> </段落 > </リスト アイテム > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>必要なセキュリティ グループのグループのメンバーシップを確認する<ph id="t24"> </段落 > < 段落 ></ph>適切なセキュリティ グループには、ディレクトリ パーティションに必要なアクセス許可が付与されているが、最後の残りのタスクはユーザーのレプリケーションが開始されるダイレクトの効果的なメンバーであること、または入れ子になっているセキュリティ グループのレプリケーションのアクセス許可が付与されることを確認します。<ph id="t25"></段落 > < クラスを一覧表示「注文」= > < リスト アイテム > < 段落 ></ph>"レプリケーション アクセスが拒否されました"でアドホック レプリケーションを失敗するというユーザー アカウントでログオンします。<ph id="t26"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>コマンド プロンプトから"WHOAMI/ALL"のように入力し、関連のディレクトリ パーティションに「ディレクトリの変更をレプリケート」アクセス許可が与えられているセキュリティ グループのメンバーシップを確認します。<ph id="t27"></段落 > < 段落 ></ph>ユーザーが変更権限がグループに追加されたかどうか<placeholder>後</placeholder>最後のユーザーのログオンがもう一度ログオンし、再試行、"whoami/all"コマンド。<ph id="t28"></段落 > < 段落 ></ph>"WHOAMI/ALL"も表示されない場合メンバーシップ予想されるセキュリティ グループで、管理者特権のコマンド プロンプトを起動 (右クリック<ui>コマンド プロンプト</ui>] をクリックし、<ui>管理者として実行</ui>) ローカル マシンと実行、"WHOAMI/ALL"から、管理者特権のコマンド プロンプトの内側にします。<ph id="t29"></段落 > < 段落 ></ph>グループ メンバーシップがCMDプロンプトを管理者特権と管理者特権でないによって生成されたWHOAMI/ALL出力間で異なる場合を参照してください。<externallink><linktext>サポート技術情報976063</linktext><linkuri><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;976063">http://support.microsoft.com/default.aspx?scid=kb;EN-US;976063</a></linkuri></externallink>します。<ph id="t30"></段落 > </リスト アイテム > < リスト アイテム > < 段落 ></ph>予想される入れ子になったグループ メンバーシップが存在することを確認します。<ph id="t31"></段落 > < 段落 ></ph>ユーザーが直接アクセス許可の複製が許可されているグループのメンバーであるテスト グループのメンバーであることによってアドホック レプリケーションを実行するアクセス許可を取得、入れ子になったグループ メンバーシップ チェーンを確認します。 Microsoft CSSにアドホックを表示するなど、Domain AdminsおよびEnterprise Adminsグループは、組み込みのAdministratorsグループから削除されたために広告のレプリケーションが失敗します。<ph id="t1"></段落 > </リスト アイテム > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>RODCレプリケーション<ph id="t2"> </段落 > < 段落 ></ph>Rodcでは、コンピューターによる複製が失敗する場合は、ADPREPを実行することを確認 /RODCPREPに規定されている<externallink><linktext>967482サポート技術情報</linktext><linkuri><a href="http://support.microsoft.com/kb/967482">http://support.microsoft.com/kb/967482</a></linkuri></externallink>し、そのエンタープライズRead-onlyドメイン コント ローラーのグループに各NCヘッドで「ディレクトリの変更をレプリケート」の権利が付与されています。<ph id="t3"></段落 > </リスト アイテム > < リスト アイテム > < 段落 > < embeddedLabel ></ph>Office通信サーバー<ph id="t4"> </段落 > < 段落 ></ph>AD操作8453"レプリケーション アクセスが拒否されました"で失敗した場合、既存のフォレストに通信Server 2005のOfficeまたはOfficeの通信Server 2007直後に、プロモーション、またはWindows Server 2008またはWindows Server 2008 R2のドメイン コント ローラーへのアップグレードを実行して記事をご覧くださいサポート技術情報:<ph id="t5"></段落 > < 段落 > < externalLink > <「linktext」></ph>982020<ph id="t6"></「linktext」> < linkUri ></ph><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;982020">http://support.microsoft.com/default.aspx?scid=kb;EN-US;982020</a><ph id="t7"></ph>: Office Communications Server 2007 R2、OCS 2007またはLC 2005正常に動作しないWindows Server 2008 R2にアップグレードした後<ph id="t8"></段落 > < 段落 > < externalLink > <「linktext」></ph>982021<ph id="t9"></「linktext」> < linkUri ></ph><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;982021">http://support.microsoft.com/default.aspx?scid=kb;EN-US;982021</a><ph id="t10"></ph>: サポートは、Windows Server 2008 R2オペレーティング システムでのOffice Communications Server 2007 R2メンバー サーバー役割の使用</para>
8453エラーで失敗するActive Directory操作のトラブルシューティング:"レプリケーション アクセスが拒否されました"。</「linktext」> < linkUri >http://support.microsoft.com/kb/2022387
© 2017 Microsoft