Table of contents
TOC
折叠目录
展开目录

复制的错误 5 拒绝访问

Bill Mathers|上次更新日期: 2017/3/10
|
1 参与者

适用于: Windows Server 2016,Windows Server 2012 R2、Windows Server 2012

本主题介绍症状、的原因并解决 Active Directory 复制的错误 5: 访问拒绝。< / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-> < 链接 xlink:href ="87acf6ce-5166-4ab4-b8d7-42b03bab226a #BKMK_Symptoms">症状< / 链接 > < / 段落-> < / 列表项 > < 列表项 > < 段落-> < 链接 xlink:href ="87acf6ce-5166-4ab4-b8d7-42b03bab226a #BKMK_Causes">导致< / 链接 > < / 段落-> < / 列表项 > < 列表项 > < 段落-> < 链接 xlink:href ="87acf6ce-5166-4ab4-b8d7-42b03bab226a #BKMK_Resolutions">分辨率
症状<ph id="t4">< / 标题 > < 内容 > < 段落-></ph>本指南介绍了症状、Active Directory 复制操作失败的错误 5 的其中的情况下的原因和分辨率步骤: 访问拒绝。<ph id="t5">< / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>DCDIAG 报告 Active Directory 复制测试已失败,错误状态代码 (5):"拒绝访问:"<ph id="t6">< / 段落-> < 代码 > 测试服务器: & l t; 站点名称 & g t; & l t; 目标直流名称 & g t; 开始测试: 复制 * 复制检查 [复制检查,& l t; 目标 DC 名称] 最近的复制尝试失败: 从 & l t; 源 DC & g t;到 & l t; 目标 DC & g t; 命名上下文: & l t; 目录分区 DN 路径 & g t; < codeFeaturedElement > 复制生成错误 (5): 拒绝访问 < / codeFeaturedElement >。 故障发生在 & l t; 日期 & g t;& l t; 时间 & g t;。 在发生最后一个成功 & l t; 日期 & g t;& l t; 时间 & g t;。 3 失败以来最后一成功。< / 代码 > < / 列表项 > < 列表项 >< 段落-></ph>REPADMIN。EXE 报告上次复制尝试没与 5 状态。<para>通常告知 5 状态的 REPADMIN 命令包括但不是限于:</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><tbody><tr><td><list class="bullet"><listitem><para>REPADMIN /KCC</para></listitem><listitem><para>REPADMIN /REPLICATE</para></listitem><listitem><para>REPADMIN /REPLSUM</para></listitem></list></td><td><list class="bullet"><listitem><para>REPADMIN /SHOWREPL</para></listitem><listitem><para>REPADMIN /SHOWREPS</para></listitem><listitem><para>REPADMIN /SYNCALL</para></listitem></list></td></tr></tbody></table><para>"REPADMIN /SHOWREPS"从下面的示例输出显示 CONTOSO DC2 从到 CONTOSO DC1 失败并显示"复制无法访问"错误的入站的复制:<ph id="t7">< / 段落 >< 代码 > 默认的第一个-站点-NameCONTOSO-DC1 DSA 选项: IS_GC 站点选项:(无) DSA 对象 GUID: b6dc8589-7e00-4a5d-b688-045aef63ec01 DSA invocationID: b6dc8589-7e00-4a5d-b688-045aef63ec01 === 站邻居 === DC = contoso,直流 = com 默认的第一个-站点-NameCONTOSO-DC2 通过 RPC DSA 对象 GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2 续航 @ 尝试 & l t; 日期; & l t; 时间 & g t; 失败< codeFeaturedElement > 结果 5(0x5): 访问拒绝。< / codeFeaturedElement > & l t; #& g t;连续失败。 续航 @ 成功 & l t; 日期 & g t;& l t; 时间 & g t;。 < / 代码 >< / 列表项 >< 列表项 >< 段落-></ph>NTDS KCC、NTDS 常规或 Microsoft-Windows ActiveDirectory_DomainService 事件,与 5 状态登录事件查看器中的目录服务日志。</para><para>通常告知 5 状态的 active Directory 事件包括但不是限于:</para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>事件 ID</para></td><td><para>事件源</para></td><td><para>事件字符串</para></td></tr></thead><tbody><tr><td><para>1655</para></td><td><para>NTDS 常规</para></td><td><para>尝试使用以下全球目录通信,active Directory 并尝试未成功。</para></td></tr><tr><td><para>1925</para></td><td><para>NTDS KCC</para></td><td><para>尝试建立复制链接的以下目录可写分区失败。</para></td></tr><tr><td><para>1926</para></td><td><para>NTDS KCC</para></td><td><para>尝试使用以下参数失败建立只读目录分区复制链接。</para></td></tr></tbody></table><listitem><para><ui>立即复制</ui>Active Directory 站点和服务中的命令返回"拒绝访问。"</para><para>来源 DC 连接对象右键单击并选择"立即复制"失败,"拒绝访问。 屏幕错误消息的文本和屏幕截图如下所示:</para><para>对话框标题文本: 复制现在</para><para>对话框消息的文本:</para><para>尝试同步命名上下文期间出现以下错误<%目录分区名称 %>从域控制器<源 DC>到域控制器<目标直流>:</para><para>拒绝访问</para><para>将不会继续操作</para><para><插入 ADDS_ReplError_AccessIsDenied></para></listitem>
导致<ph id="t8">< / 标题 > < 内容 > < 段落-></ph>有效的根本原因错误 5:"拒绝访问"包含:<ph id="t9">< / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>"从网络中访问这台计算机"用户右不授予的"企业域控制器"组或触发立即复制管理员。<ph id="t10">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>"禁用组"设置中的目标 DC 注册表具有 2 值。<ph id="t11">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>没有由目标 DC 和超出最长的时间扭曲允许 Kerberos 的源 DC KDC 之间的区别默认定义域策略的时间。<ph id="t12">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>之间的源代码和目的地 Dc。SMB 签名不匹配<ph id="t13">< / 段落 > < / 列表项 > < 列表项 > < 段落-></ph>之间的源代码和目的地 Dc。LMCompatibility 不匹配<ph id="t14">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>服务主体名称是不已注册或由于延迟简单复制或复制故障不存在。<ph id="t15">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>UDP 格式化的 Kerberos 数据包将成为碎片通过网络等路由器和交换机的基础结构设备。<ph id="t16">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>源或直流目的地的安全通道无效。<ph id="t17">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>信任关系信任链中的不损坏或不正确。<ph id="t18">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>注册表 HKLMSystemCurrentControlSetControlLSAKerberosDomains 部分中的 KDCNames 设置不正确包含本地 Active Directory 域名<ph id="t19">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>某些网络适配器具有"大发送卸载"功能,可以被已知导致该问题。<ph id="t20">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>已已知的源或目标 DC 使用最小化防火墙网络适配器筛选器驱动程序的防病毒软件,导致该问题。<ph id="t21">< / 段落-> < / 列表项 > < / 列表 > < 段落-></ph>活动目录错误和类似症状部分中的本主题中所提到的事件也可能会失败与类似错误字符串 8453 错误"复制无法访问。" 下面的根本原因原因可能导致广告操作无法 8453:"复制无法访问",但不是会失败导致的错误 5:"复制拒绝":<ph id="t1">< / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>NC 头未授予"复制目录更改"权限。<ph id="t2">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>安全主要初始化复制不是"复制目录更改。"授予的组成员<ph id="t3">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>缺少中的标志<embeddedlabel>UserAccountControl</embeddedlabel>包括 SERVER_TRUST_ACCOUNT 和 TRUSTED_FOR_DELEGATION 属性。<ph id="t4">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>RODC 已升级到域而无需之前运行 ADPREP /RODCPREP。<ph id="t5">< / 段落-> < / 列表项 > < / 列表 > < 段落-></ph>有关详细信息,请参阅 Active Directory 复制错误 8453: 复制访问拒绝。
分辨率<ph id="t6">< / 标题 > < 内容 > < 段落-></ph>有 Active Directory 复制失败,错误 5 多个根本原因。 通过使用 DCDIAG,如工具最初攻击问题 DCDIAG//TEST: CheckSecurityError 并 NETDIAG 公开常见问题。 <para>运行 DCDIAG,DCDIAG//TEST: CheckSecurityError 和 NETDIAG<ph id="t7">< / 段落-> < 段落-></ph>通用 DCDIAG 运行多个测试。 <embeddedlabel>DCDIAG//TEST: CheckSecurityErrors</embeddedlabel>写入执行特定的测试(包括 SPN 注册检查)进行疑难解答 Active Directory 操作复制失败的错误 5:"拒绝访问",并会错误 8453:"复制无法访问"但它不能运行作为默认执行 DCDIAG 的一部分。<ph id="t8">< / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>在目标 DC 运行 DCDIAG。<ph id="t9">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>运行 DCDAIG//TEST: CheckSecurityError<ph id="t10">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>运行 NETDIAG<ph id="t11">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>解决由 DCDIAG 和 NETDIAG 标识故障。 重试之前无法复制操作。 如果仍然无法,请继续执行下一步分辨率选项。<ph id="t12">< / 段落-> < / 列表项 > < / 列表 > < 列表类 ="排序"> < 列表项 > < 段落-></ph>检查"从网络中访问这台计算机"权限<ph id="t13">< / 段落 > < 段落-></ph>默认域控制器策略域控制器在 Windows 中的默认安装中,已链接,并且它右到以下安全组授予"从网络访问该计算机"的用户:<ph id="t14">< / 段落 > < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>管理员<ph id="t15">< / 段落 > < / 列表项 > < 列表项 > < 段落-></ph>验证用户<ph id="t16">< / 段落 > < /列表项 > < 列表项 > < 段落-></ph>每个人都<ph id="t17">< / 段落 > < / 列表项 > < 列表项 > < 段落-></ph>企业域控制器<ph id="t18">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>[windows 2000 兼容访问]<ph id="t19">< / 段落 > < / 列表项 > < / 列表 > < 段落-></ph>如果 Active Directory 操作失败的错误 5:"拒绝访问",请验证:<ph id="t20">< / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>上述列表中的安全组有已"从网络中访问这台计算机"用户中授予权限默认的域控制器策略。<ph id="t21">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>域控制器计算机帐户都位于<ui>域控制器</ui>OU。<ph id="t22">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>默认域控制器策略链接到<ui>域控制器</ui>OU 或备用华丽绚烂举办计算机帐户。<ph id="t23">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>组策略应用在当前日志记录的错误 5 目标域控制器上。<ph id="t24">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>"拒绝访问该计算机的网络"用户右尚未启用,或没有引用无法直接或嵌套组。<ph id="t25">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>组策略优先级、阻止的继承、WMI 筛选或类似设置不能防止"从网络中访问这台计算机"用户直接将应用于域控制器。<ph id="t26">< / 段落-> < / 列表项 > < / 列表 > < 段落-></ph>可以与 RSOP.MSC 但"GPRESULT /Z"是首选的工具,因为它是更准确。<ph id="t27">< / 段落-> < 段落-></ph>注意: 本地策略优先站点、域和组织单位中定义的策略。<ph id="t28">< / 段落-> < 段落-></ph>注意: 在一次很常见的管理员,要删除<ui>企业域控制器</ui>和<ui>每个人都</ui>来自"从网络中访问这台计算机"用户组右键默认域控制器策略中。 删除都是不建议。 若要删除没有原因<ui>企业域控制器</ui>从此权限作为仅域控制器是该组的会员。<ph id="t29">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>禁用组 = 2<ph id="t30">< / 段落-> < 段落-></ph>Active Directory 复制失败时 HKLMSystemCurrentControlSetControlLSACrashOnAuditFail 的值为"2"。<ph id="t31">< / 段落-> < 段落-></ph>CrashOnAduitFail 值 2 触发时"审核: 如果无法登录安全审核立即系统关闭"已启用在组策略中的设置和本地事件查看器中的安全日志充满。<ph id="t32">< / 段落-> < 段落-></ph>Active Directory 域控制器往往会尤其是最大容量安全日志时启用审核安全事件日志大小具有一直受"不会覆盖的事件(清除日志手动)或事件查看器或组策略中等效"覆盖根据需要"选项。<ph id="t33">< / 段落-> < 段落-> < embeddedLabel ></ph>用户操作<ph id="t34">< / embeddedLabel > < / 段落-> < 段落-></ph>如果 HKLMSystemCCSControlLSACrashOnAuditFail 的值为"2": <ph id="t35">< / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>清除安全事件日志(保存到所需的其他位置)。<ph id="t36">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>重新评估安全事件日志中,包括组策略设置的任何大小约束。 </para><listitem><para>重新创建"1 的值禁用 (REG_DWORD) 组。<ph id="t1">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>重新启动。<ph id="t2">< / 段落-> < / 列表项 > < / 列表 > < 段落-> < embeddedLabel ></ph>相关内容<ph id="t3">< / embeddedLabel > < / 段落-> < 段落-> < externalLink > < linkText ></ph>已 888179 参阅 MSKB<ph id="t4">< / linkText > < linkUri ></ph><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;888179">http://support.microsoft.com/default.aspx?scid=kb;EN-US;888179</a><ph id="t5">< / linkUri > < / externalLink ></ph>: 禁用组注册表值设置为 1 Exchange 计算机上或安全事件日志达到 Windows 2000 Server 的最大大小时发生时出现问题的<ph id="t6">< / 段落 > < 段落-> < externalLink > < linkText ></ph>已 140058<ph id="t7">参阅 MSKB < / linkText> < linkUri ></ph><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;140058">http://support.microsoft.com/default.aspx?scid=kb;EN-US;140058</a><ph id="t8">< / linkUri > < / externalLink ></ph>: 如何到防止审核的活动时安全日志是完整<ph id="t9">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>过多的时间扭曲<ph id="t10">< / 段落-> < 段落-></ph>Kerberos 组策略设置默认域策略允许 5 分钟差异(默认值)系统时之间密钥 Distribution 中心 (KDC) 域控制器和 Kerberos 目标服务器以防止重播攻击。 某些文档,指出该目标必须 5 分钟内的时间 Kerberos 客户端之间的时间。 其他 Kerberos 身份验证、matters 是呼叫和 Kerberos 目标系统上的时间使用 KDC 之间的差异的时间的上下文中的状态。 此外,是否相关的域控制器上的系统时间与匹配的当前时间并不重要到 Kerberos,只<placeholder>相对</placeholder>差异 KDC 和目标直流的时间位于 (默认 5 分钟小于或等于) 扭曲最长时间 Kerberos 策略允许。<ph id="t11">< / 段落-> < 段落-></ph>在 Active Directory 的操作环境,目标服务器是 DC 目标 DC 正在联系的来源。 (当前运行 KDC 服务)Active Directory 森林中的每个域控制器是潜在 KDC,因此你需要考虑源 DC 防御的所有其他域控制器上的时间准确性包括上目标 DC 本身的时间。<ph id="t12">< / 段落-> < 段落-></ph>包含两种方法查看时间的准确性:<ph id="t13">< / 段落-> < 代码 > c: & g t; DCDIAG//TEST: CheckSecurityError < / 代码 > < 段落-></ph>和<ph id="t14">< / 段落-> < 代码 > c: & g t;W32TM /MONITOR < / 代码 > < 段落-></ph>示例输出 DCDIAG//TEST: 中找不到 CheckSecurityError 过度扭曲 Windows Server 2003 和 Windows Server 2008 R2 域控制器上的时间来描述<link _xlink3a_href="87acf6ce-5166-4ab4-b8d7-42b03bab226a#BKMK_MoreInfo" />更多信息部分中的所述。<ph id="t15">< / 段落-> < 段落-></ph>查找出现 LSASRV 40960 失败复制次活动目标 DC 请求,告知中的扩展错误 0xc000133 源 DC CNAME 记录 GUID:"在主域控制器时不同于备份域控制器或成员服务器过大的时间。"<ph id="t16">< / 段落-> < 段落-></ph>捕获连接到源直流(以及其他操作)上的共享文件夹的目标计算机的网络跟踪可能显示屏幕错误"外延发生错误。" 尽管网络跟踪显示:<ph id="t17">< / 段落-> < 代码 >-& g t;KerberosV5 KerberosV5:TGS 请求领域: & l t;-TGS 源 DC 请求 & l t;-Kerberosvs Kerberosvs:KRB_ERROR-KRB_AP_ERR_TKE_NVV (33) & l t;-TGS 响应位置"KRB_AP_ERR_TKE_NYV & l t;-地图"票证尚未有效"< / 代码 > < 段落-></ph>TKE_NYV 响应指示的日期范围 TGS 票证上是在目标系统上的时间比新指示扭曲过多的时间。 </para><para>注意: W32TM//MONITOR 只检查时间的测试计算机域中 Dc 因此你需要在每个域中运行此和比较域之间的时间。 </para><para>注意: 如果系统找不到时间不够准确,请努力找出原因和可以做什么向前阻止不准确时间。 森林根 PDC 配置外部时间源有多大? 引用时来源在线或在网络上的可用? 在运行时间服务? DC 角色计算机配置为使用 NT5DS 层次到源时间? 已时间回退保护中所述<externallink><linktext>已 884776 参阅 MSKB</linktext><linkuri><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;884776">http://support.microsoft.com/default.aspx?scid=kb;EN-US;884776</a></linkuri></externallink>就地? 系统时钟是否工作正常的电池和精确的时间在 bios? 有多大虚拟主机和配置为源时间的访客计算机正确? </para><para>注意: 当时间在于太大在 Windows Server 2008 R2 目标 Dc,<ui>立即复制</ui>中 DSSITE.MSC 失败,屏幕错误"时间和/或日期之间没有区别客户端和服务器。" 此错误字符串将映射到错误 1398 小数点/符号错误 0x576 hex 命名 ERROR_TIME_SKEW。 </para><para><embeddedlabel>相关内容<ph id="t18">< / embeddedLabel >< / 段落 > < 段落-> < externalLink > < linkText ></ph>设置时钟同步能力到阻止重播攻击<ph id="t19">< / linkText > < linkUri ></ph><a href="http://technet.microsoft.com/library/cc784130(WS.10).aspx">http://technet.microsoft.com/library/cc784130(WS.10).aspx</a><ph id="t20">< / linkUri > < / externalLink ></ph> (<a href="http://technet.microsoft.com/library/cc784130(WS.10).aspx">http://technet.microsoft.com/library/cc784130(WS.10).aspx</a>)<ph id="t21">< / 段落 > < / 列表项 > < 列表项 > < 段落-></ph>SMB 签名不匹配<ph id="t22">< / 段落 > < 段落-></ph>的图形和文本"互操作性矩阵"部分中介绍了 SMB 签名最佳的兼容性矩阵<externallink><linktext>已 916846 参阅 MSKB</linktext><linkuri><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;916846">http://support.microsoft.com/default.aspx?scid=kb;EN-US;916846</a></linkuri></externallink>和四个的策略设置和注册表基于对应的定义:</embeddedlabel></para><table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>策略设置</para></td><td><para>注册表路径</para></td></tr></thead><tbody><tr><td><para>Microsoft 网络客户端: 进行数字签名的通信(如果 server 同意)</para></td><td><para>HKLMSYSTEMCCSServicesLanmanworkstationParametersEnablesecuritysignature</para></td></tr><tr><td><para>Microsoft 网络客户端: 进行数字签名的通信(总是)</para></td><td><para>HKLMSYSTEMCCSServicesLanmanworkstationParametersRequiresecuritysignature</para></td></tr><tr><td><para>Microsoft 网络 server: 数字签名的通信(如果 server 同意)</para></td><td><para>HKLMSYSTEMCCSServicesLanmanserverParametersEnablesecuritysignature</para></td></tr><tr><td><para>Microsoft 网络 server: 数字签名的通信(总是)</para></td><td><para>HKLMSYSTEMCCSServicesLanmanserverParametersRequiresecuritysignature</para></td></tr></tbody></table><para>对焦在 SMB 签名与成为设置启用了或需要一侧,但在其他禁用经典情况下在目标和源域控制器之间不匹配。 </para><para>注意: 内部测试表明登录不匹配,从而导致复制 SMB 失败,错误 1722 年: RPC 服务器不可用。<ph id="t23">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>UDP 格式化 Kerberos 数据包碎片<ph id="t24">< / 段落-> < 段落-></ph>网络路由器和开关可能片段或完全丢弃 Kerberos 和 EDNS0 (DNS) 所使用的较大 UDP 格式化网络包。 运行 Windows 2000 和 Windows Server 2003 的操作系统系列的计算机受到特别 UDP 碎片相对于运行 Windows Server 2008 和 Windows Server 2008 R2 的计算机。<ph id="t25">< / 段落-> < 段落-> < embeddedLabel ></ph>用户操作<ph id="t26">< / embeddedLabel > < / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>从目标 DC 主机时,它的完整的计算机名称来识别受网络路线的最大数据包通过 ping 源 DC。<ph id="t27">< / 段落-> < 代码 > c: & g t;Ping & l t; 源 DC 主机名称 & g t;。& l t; 完全合格的计算机名称 & g t;-f l 1472 < / 代码 > < / 列表项 > < 列表项 > < 段落-></ph>小于 1472 字节,或者(首选项的顺序)的最大的非碎片数据包是否:<ph id="t28">< / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>修改您的网络基础结构,以完全支持大 UDP 帧。 这可能需要固件升级或配置更改路由器、交换机或防火墙。<ph id="t1">< / 段落-> < / 列表项 > < / 列表 > < 段落-></ph>或者<ph id="t2">< / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>由 PING-f-l 命令涵盖 TCP 标题,然后重新启动修改的 DC 较少 8 字节(位于目标 DC)的一组 maxpacketsize 大数据包。<ph id="t3">< / 段落-> < / 列表项 > < / 列表 > < 段落-></ph>或者<ph id="t4">< / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>设置为"1"它触发 Kerberos 要使用的 TCP 值 maxpacketsize(位于目标 DC)。 重新启动修改后的直流,以使更改生效。<ph id="t5">< / 段落-> < / 列表项 > < / 列表 > < / 列表项 > < 列表项 > < 段落-></ph>重试失败 Active Directory 操作。<ph id="t6">< / 段落-> < / 列表项 > < / 列表 > < / 列表项 > < 列表项 > < 段落-></ph>无效的安全通道 / 密码不匹配<ph id="t7">< / 段落-> < 段落-></ph>验证的安全信道"nltest /sc: 查询"或"netdom 验证"。 条件,在重置目标 Dc 密码 NETDOM /RESETPWD 多个项目,其中包括所述<externallink><linktext>已 325850 参阅 MSKB</linktext><linkuri><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;325850">http://support.microsoft.com/default.aspx?scid=kb;EN-US;325850</a></linkuri></externallink>。<ph id="t8">< / 段落-> < 段落-> < embeddedLabel ></ph>用户操作<ph id="t9">< / embeddedLabel > < / 段落-> < 列表类 ="项目符号"> < 列表项 > < 段落-></ph>KDC 上禁用服务 DC 正在重新启动。<ph id="t10">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>从目标 DC 控制台中,运行 NETDOM RESETPWD 重置密码目标 DC。<ph id="t11">< / 段落-> < 代码 >: & g t; netdom resetpwd /server: 服务器名称 /userd: 域名管理员 /passwordd: administrator_password < / 代码 > < / 列表项 > < 列表项 > < 段落-></ph>确保该可能 Kdc 和源直流(如果在相同的域中)入站复制知道目的地 Dc 新密码。<ph id="t12">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>重新启动目标 DC 刷新 Kerberos 票证,然后重试复制操作。<ph id="t13">< / 段落-> < / 列表项 > < / 列表 > < 段落-> < embeddedLabel ></ph>相关内容<ph id="t14">< / embeddedLabel > < / 段落 > < 段落-> < externalLink > < linkText ></ph>已 325850 参阅 MSKB<ph id="t15">< / linkText > < linkUri ></ph><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;325850">http://support.microsoft.com/default.aspx?scid=kb;EN-US;325850</a><ph id="t16">< / linkUri > < / externalLink ></ph>如何使用 Netdom.exe 的 Windows Server 域控制器计算机帐户密码重置<ph id="t17">< / 段落 > < / 列表项 > < 列表项 > < 段落-></ph>无效信任<ph id="t18">< / 段落 > < 段落-></ph>如果 Active Directory 复制无法域控制器在间<placeholder>不同</placeholder>域验证沿信任路径信任关系的运行状况。<ph id="t19">< / 段落-> < 段落-></ph>可以,当使用<embeddedlabel>NETDIAG 信任关系</embeddedlabel>信任来检查损坏的测试。 NETDIAG 标识使用下列文字损坏的信任:<ph id="t20">< / 段落-> < 段落-></ph>信任关系测试。 . . . . . : 未通过测试,以确保的域 DomainSid '<域名>' 正确无误。 [致命]于域安全通道 '<域名>已损坏。 [<%变量状态代码 %>]<ph id="t21">< / 段落-> < 段落-></ph>例如,如果你拥有多域包含根域 Contoso.COM、孩子域 B.Contoso.COM、三级域 C.B.Contoso.COM 和"相同森林中的树 domain"林 Fabrikam.COM: 复制失败中三级域 C.B.Contoso.COM Dc 和树域 Fabrikam.COM,之间然后验证是否信任 C.B.Contoso.COM 和 B.Contoso.COM、B.Contoso.COM Contoso.COM 然后最后 Contoso.COM 和之间 Fabrikam.COM 的运行状况。<ph id="t22">< / 段落-> < 段落-></ph>快捷方式信任存在目的地域间,如果信任路径链没有进行验证。 改为验证目标和源域之间快捷方式信任。<ph id="t23">< / 段落-> < 段落-></ph>检查最近的密码变为信任: <ph id="t24">< / 段落 > < 代码 > Repadmin /showobjmeta * & l t; DN 路径为受信任的域对象 (TDO) 问题 & g t; < / 代码 > < 段落-> < embeddedLabel ></ph>命令重置信任<ph id="t25">< / embeddedLabel > < / 段落 > < 段落-></ph>从目录林根级域 PDC 模拟器:<ph id="t26">< / 段落 > < 代码 > netdom 信任 & l t;根域 & g t;/Domain: & l t;孩子域 & g t;/UserD: 孩子 /PasswordD:* /UserO: 根 /PasswordO:* /Reset /TwoWay < / 代码 > < 段落-></ph>孩子域 PDC 模拟器从:<ph id="t27">< / 段落-> < 代码 > netdom 信任 & l t;孩子域 & g t;/Domain: & l t;根域 & g t;/UserD: 根 /PasswordD:* /UserO: 孩子 /PasswordO:* /Reset /TwoWay < / 代码 > < / 列表项 > < 列表项 > < 段落-></ph>无效 Kerberos 领域-PolAcDmN / PolPrDmN <ph id="t28">< / 段落 > < 段落-></ph>从复制<externallink><linktext>MKSB 837513</linktext><linkuri><a href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;837513">http://support.microsoft.com/default.aspx?scid=kb;EN-US;837513</a></linkuri></externallink>域控制器不正常<ph id="t29">< / 段落 > < 列表类 ="排序"> < 列表项 > < 段落-></ph>开始注册表编辑器中。<ph id="t30">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在左侧窗格中,展开安全。<ph id="t31">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在安全菜单中,单击管理员本地组安全配置单元及其孩子容器以及对象完全控制的授予权限。<ph id="t32">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>找到 HKEY_LOCAL_MACHINESECURITYPolicyPolPrDmN 密钥。<ph id="t33">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在注册表编辑器的右窗格中,单击<无名称>: REG_NONE 输入一次。<ph id="t34">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在查看菜单中,单击显示二进制数据。 在对话框中的格式部分中,单击字节。<ph id="t35">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>域名显示作为右侧的二进制数据对话框中的字符串。 域名并 Kerberos 领域相同。<ph id="t36">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>找到 HKEY_LOCAL_MACHINESECURITYPolicyPolACDmN 注册表项。<ph id="t37">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在注册表编辑器的右窗格中,双击<无名称>: REG_NONE 条目。<ph id="t38">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在二进制编辑器对话框中,将其粘贴 PolPrDmN 从的值。 (来自 PolPrDmN 值应该为 NetBIOS 域名。)<ph id="t1">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>重新启动的域控制器。<ph id="t2">< / 段落-> < / 列表项 > < / 列表 > < / 列表项 > < 列表项 > < 段落-></ph>无效 Kerberos 领域-KdcNames<ph id="t3">< / 段落-> < 段落-> < embeddedLabel ></ph>用户操作<ph id="t4">< / embeddedLabel > < / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>目标 DC 控制台上运行"REGEDIT"。<ph id="t5">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>在注册表中找到以下路径: HKLMsystemccscontrollsakerberosdomains<ph id="t6">< / 段落 > < / 列表项 > < 列表项 > < 段落-></ph>每个<完整的域>下 HKLMsystemccscontrollsakerberosdomains,验证"KdcNames"的值涉及到有效<placeholder>外部</placeholder>Kerberos 领域不地域或相同的 Active Directory 森林中的另一个域。<ph id="t7">< / 段落-> < / 列表项 > < / 列表 > < / 列表项 > < 列表项 > < 段落-></ph>网络适配器的"IPv4 大发送卸载"启用:<ph id="t8">< / 段落-> < 段落-> < embeddedLabel ></ph>用户操作<ph id="t9">< / embeddedLabel > < / 段落-> < 列表类 ="排序"> < 列表项 > < 段落-></ph>开放的网络适配器属性。<ph id="t10">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>单击配置。<ph id="t11">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>单击高级选项<ph id="t12">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>禁用"IPv4 大发送卸载"。<ph id="t13">< / 段落-> < / 列表项 > < 列表项 > < 段落-></ph>重新启动。</para></listitem>
详细信息<ph id="t14">< / 标题 > < 内容 > < 段落-></ph>示例 DCDIAG//test: 按扭曲太多时间导致 Windows Server 2008 R2 DC CHECKSECURITYERROR 输出:<ph id="t15">< / 段落-> < 代码 > 这样做主要测试 测试服务器: 默认的第一个-站点-NameCONTOSO-DC1 开始测试: CheckSecurityError 源 DC CONTOSO DC2 有可能的安全错误 (1398)。 诊断… 时扭曲错误客户端和 1 Dc 之间!ERROR_ACCESS_DENIED 或计算机接收下: CONTOSO DC2 [CONTOSO DC2] DsBindWithSpnEx() 失败,错误 1398, 是时间和/或日期区别的客户端和服务器.. 忽略 DC CONTOSO-DC2 中融合测试的对象 CN = CONTOSO DC1,OU = 域控制器,DC = contoso,直流 = com,因为我们 无法连接! .........................CONTOSO DC1 失败的测试 CheckSecurityError < / 代码 > < 段落-></ph>示例 DCDIAG /CHECKSECURITYERROR 输出 Windows Server 2003 DC 按扭曲太多时间导致从:<ph id="t16">< / 段落-> < 代码 > 这样做主要测试 测试服务器: 默认的第一个-站点-NameCONTOSO-DC3 开始测试: CheckSecurityError 源 DC CONTOSO DC1 有可能的安全错误 (5)。诊断… 时扭曲错误客户端和 1 Dc 之间!ERROR_ACCESS_DENIED 或计算机接收下: CONTOSO DC1 源 DC CONTOSO DC2 有可能的安全错误 (5)。诊断… 时扭曲错误: 7205 秒不同之间:。 CONTOSO DC2 CONTOSO DC3 [CONTOSO DC1] DsBindWithSpnEx() 失败,错误 5 访问拒绝.. 忽略 DC CONTOSO-DC1 融合测试的对象 CN 中 = CONTOSO DC3,OU = 域控制器,DC = contoso,直流 = com,因为我们无法连接! .........................CONTOSO DC3 失败的测试 CheckSecurityError < / 代码 > < 段落-></ph>示例 DCDIAG /CHECKSECURITYERROR 输出显示缺少 SPN 名称(其中的输出可能会有所不同环境环境)。 输出示例如下所示:<ph id="t17">< / 段落-> < 代码 > 这样做主要测试 测试服务器: & l t; 站点名称 & g t; & l t; dc 名称 & g t; 通过用户请求忽略的测试: 广告 开始测试: CheckSecurityError * 灾难恢复 Auth: 开始安全错误检查 找到 KDC & l t;KDC DC & g t;对于域 & l t; DNS 名称广告域 & g t;在站点 & l t; 站点名称 & g t; 检查计算机帐户对 DC & l t; DC 名称 & g t;在直流 & l t; DC 名称 & g t; * 缺少 SPN: LDAP / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; / & l t; DNS 域名称 & g t; * 缺少 SPN: LDAP / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; * 缺少 SPN: LDAP / & l t; 主机名称 & g t; * 缺少 SPN: LDAP / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; / & l t;NetBIOS 域名 & g t; * 缺少 SPN: LDAP / bba727efbe4e477d979663b6cee3bSf。& l t;目录林根级域 DN & g t; * SPN 找到: E35142354B06I1D1AB4 00c04fc2dcd2 / & l t;各自的对象 GUID & g t; / & l t;目录林根级域 DNS 名称 & g t; * 缺少 SPN: 主机 / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; / & l t; DNS 域名称 & g t; * SPN 找到: 主机 / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; * SPN 找到: 主机 / & l t; 主机名称 & g t; * 缺少 SPN: 主机 / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; / & l t;NetBIOS 域名 & g t; * 缺少 SPN: GC / & l t; 主机名称 & g t;。& l t; DNS 域名称 & g t; / & l t; DNS 域名称 & g t; 无法为验证机器帐户 (& l t; DN 路径 Dc 计算机帐户 & g t;) 的 & l t; DC 名称 & g t; 在 & l t; DC 名称 & g t;。 < / 代码 > < 段落-></ph>示例 DCDIAG /CHECKSECURITYERROR 输出从 Windows Server 2003 DC 按扭曲过多的时间导致: <code>Testing server: <site name><dc name> Test omitted by user request: Advertising Starting test: CheckSecurityError * Dr Auth: Beginning security errors check' Found KDC <KDC DC> for domain <DNS Name of AD domain> in site <site name> Checking machine account for DC <DC name> on DC <DC Name> * Missing SPN :LDAP/<hostname>.<DNS domain name>/<DNS domain name> * Missing SPN :LDAP/<hostname>.<DNS domain name> * Missing SPN :LDAP/<hostname> * Missing SPN :LDAP/<hostname>.<DNS domain name>/<NetBIOS domain name> * Missing SPN :LDAP/bba727efbe4e477d979663b6cee3bSf.<forest root domain DN> * SPN found :E35142354B06I1D1AB4-00c04fc2dcd2/<NTDS Settings object GUID>/<forest root domain DNS name> * Missing SPN :HOST/<hostname>.<DNS domain name>/<DNS domain name> * SPN found :HOST/<hostname>.<DNS domain name> * SPN found :HOST/<hostname> * Missing SPN :HOST/<hostname>.<DNS domain name>/<NetBIOS domain name> * Missing SPN :GC/<hostname>.<DNS domain name>/<DNS domain name> Unable to verify the machine account (<DN path for Dc machine account>) for <DC Name> on <DC name>. </code>
疑难解答失败的错误 5 的 Active Directory 操作: 访问拒绝< / linkText > < linkUri >http://support.microsoft.com/kb/2002013< / linkUri > < / externalLink > < externalLink > < linkText >Active Directory 复制型号的工作原理< / linkText > < linkUri >http://technet.microsoft.com/library/cc772726(WS.10).aspx< / linkUri > < / externalLink > < externalLink >< linkText >repsFrom,RepsFromhttp://msdn.microsoft.com/library/cc228409(PROT.13).aspx
© 2017 Microsoft