Callback message error issuing replication 8453 0x2105 replication access was denied

Active Directory replication error 8453: Replication access was denied

This article describes how to troubleshoot a problem where Active Directory replication fails and generates error 8453: Replication access was denied.

Applies to: В Windows Server 2012 R2
Original KB number: В 2022387

Home users: This article is only intended for technical support agents and IT professionals. If you’re looking for help with a problem, ask the Microsoft Community.

Summary

This error 8453 has the following primary causes:

The destination domain controller doesn’t have the required permissions to replicate the naming context/partition.

The administrator who manually started replication doesn’t have permissions to do so.

This condition doesn’t affect periodic or scheduled replication.

Top cause

For period or scheduled replication, if the destination domain controller is a Read-only Domain Controller (RODC):

The Enterprise Read-Only Domain Controllers security group doesn’t have Replicating Directory Changes permissions on the root of the naming context (NC) for the partition that doesn’t replicate and returns error 8453.

Top solution

On each NC that RODCs don’t replicate and that returns error 8453, grant Replicating Directory Changes permissions to the forest-root domain’s Enterprise Read-only Domain Controllers security group.

Example:

A RODC childdc2.child.contoso.com doesn’t replicate the contoso.com partition and returns error 8453. To troubleshoot this situation, follow these steps:

Open ADSIEDIT.msc on a contoso.com domain controller.

Open a connection to the contoso.com domain NC (default naming context).

Open the properties of the dc=contoso,dc=com NC, and select the Security tab.

Select Add, and enter the following entry in the text box:
ContosoEnterprise Read-Only Domain Controllers

This group exists only in the forest-root domain.

Select Check Names, and then select OK.

In the Permissions for Enterprise Read-Only Domain Controllers dialog box, clear the Allow check boxes that are automatically selected:

• Read
• Read domain password & lockout policies
• Read Other domain parameters

Select the Allow box next to Replicating Directory Changes, and then select OK.

If these steps don’t resolve the problem, see the rest of this article.

Symptoms

When this problem occurs, you experience one or more of the following symptoms:

The DCDIAG Replication test ( DCDIAG /TEST:NCSecDesc ) reports that the tested domain controller failed test replications and has a status of 8453: Replication access was denied:

The DCDIAG NCSecDesc test ( DCDIAG /TEST:NCSecDes ) reports that the domain controller that was tested by DCDIAG failed test NCSecDec and that one or more permissions are missing on the NC head of one or more directory partitions on the tested domain controller that was tested by DCDIAG:

The DCDIAG MachineAccount test ( DCDIAG /TEST:MachineAccount ) reports that the domain controller that was tested by DCDIAG failed test MachineAccount because the UserAccountControl attribute on the domain controllers computer account is missing the SERVER_TRUST_ACCOUNT or TRUSTED_FOR_DELEGATION flags:

The DCDIAG KCC event log test indicates the hexadecimal equivalent of Microsoft-Windows-ActiveDirectory_DomainService event 2896:

B50 hex = 2896 decimal. This error may be logged every 60 seconds on the infrastructure master domain controller.

REPADMIN.EXE reports that a replication attempt failed and returned an 8453 status.

REPADMIN commands that commonly indicate the 8453 status include but aren’t limited to the following.

Sample output from REPADMIN /SHOWREPS showing inbound replication from CONTOSO-DC2 to CONTOSO-DC1 that fail and return the replication access was denied error is as follows:

The replicate now command in Active Directory Sites and Services (DSSITE.MSC) returns a replication access was denied error.

Right-clicking the connection object from a source domain controller and then selecting replicate now fails. And a replication access was denied error is returned. The following error message is displayed:

NTDS KCC, NTDS General, or Microsoft-Windows-ActiveDirectory_DomainService events that have the 8453 status are logged in the Active Directory Directive Services (AD DS) event log.

Active Directory events that commonly indicate the 8453 status include but aren’t limited to the following events:

Cause

Error 8453 (Replication Access was denied) has multiple root causes, including:

The UserAccountControl attribute on the destination domain controller computer account is missing either of the following flags:
SERVER_TRUST_ACCOUNT or TRUSTED_FOR_DELEGATION

The default permissions don’t exist on one or more directory partitions to allow scheduled replication to occur in the operating system’s security context.

The default or custom permissions don’t exist on one or more directory partitions to allow users to trigger ad-hoc or immediate replication by using DSSITE.MSC replicate now, repadmin /replicate , repadmin /syncall , or similar commands.

The permissions that are required to trigger ad-hoc replication are correctly defined on the relevant directory partitions. However, the user isn’t a member of any security groups that have been granted the replication directory changes permission.

The user who triggers ad-hoc replication is a member of the required security groups, and those security groups have been granted the Replicate Directory Changes permission. However, membership in the group that’s granting the replicating directory changes permission is removed from the user’s security token by the User Account Control split user access token feature. This feature was introduced in Windows Vista and Windows Server 2008.

Don’t confuse the User Account Control split token security feature that was introduced in Vista and Windows Server 2008 with the UserAccountControl attribute that’s defined on domain controller role computer accounts that are stored by the Active Directory service.

If the destination domain controller is an RODC, RODCPREP hasn’t been run in domains that are currently hosting read-only domain controllers, or the Enterprise Read-Only Domain Controllers group doesn’t have Replicate Directory Changes permissions for the partition that is not replicating.

DCs that are running new operating system versions were added to an existing forest where Office Communication Server has been installed.

You have Lightweight Directory Services (LDS) instances. And the NTDS Settings object for the affected instances is missing from the LDS configuration container. For example, you see the following entry:

Active Directory errors and events, such as those mentioned in the Symptoms section, may also occur and generate an error 5 message (Access is denied).

The steps for error 5 or error 8453 mentioned in the Resolution section won’t resolve replication failures on computers that are currently failing replication and generating the other error message.

Common root causes for Active Directory operations failing that are generating error 5 messages include:

• Excessive Time Skew
• The fragmentation of UDP-formatted Kerberos packets by intermediate devices on the network
• Missing access this computer from network rights.
• Broken secure channels or intra-domain trusts
• CrashOnAuditFail = 2 entry in the registry

Resolution

To resolve this problem, use the following methods.

Run a health-check by using DCDIAG + DCDIAG /test:CheckSecurityError

1. Run DCDIAG on the destination DC that’s reporting the 8453 error or event.
2. Run DCDIAG on the source domain controller on which the destination domain controller is reporting the 8453 error or event.
3. Run DCDIAG /test:CheckSecurityError on the destination domain controller.
4. Run DCDIAG /test:CheckSecurityError on the source DC.

Fix invalid UserAccountControl

The UserAccountControl attribute includes a bitmask that defines the capabilities and state of a user or computer account. For more information about UserAccountControl flags, see User-Account-Control attribute.

The typical UserAccountControl attribute value for a writeable (full) DC computer account is 532480 decimal or 82000 hex. UserAccountControl values for a DC computer account can vary, but must contain the SERVER_TRUST_ACCOUNT and TRUSTED_FOR_DELEGATION flags, as shown in the following table.

The typical UserAccountControl attribute value for a read-only domain controller computer account is 83890176 decimal or 5001000 hex.

The UserAccountControl attribute on the destination domain controller is missing the SERVER_TRUST_ACCOUNT flag

If the DCDIAG MachineAccount test fails and returns a failed test MachineAcccount error message, and the UserAccountControl attribute on the tested domain controller is missing the SERVER_TRUST_ACCOUNT flag, add the missing flag in the tested domain controller’s copy of Active Directory.

1. Start ADSIEDIT.MSC on the console of the domain controller that’s missing the SERVER_TRUST_ACCOUNT as reported by DCDIAG.
2. Right-click ADSIEDIT in the top-left pane of ADSIEDIT.MSC, and then select connect to.
3. In the Connection Settings dialog box, click Select a well known naming context, and then select Default naming context (the computer account domain partition).
4. Click Select or type a domain or server. And select the name of the domain controller that’s failing in DCDIAG.
5. Select OK.
6. In the domain naming context, locate and right-click the domain controller computer account, and select Properties.
7. Double-click the UserAccountControl attribute, and then record its decimal value.
8. Start Windows Calculator in programmer mode (Windows Server 2008 and later versions).
9. Enter the decimal value for UserAccountControl. Convert the decimal value to its hexadecimal equivalent, add 0x80000 to the existing value, and then press the equals sign (=).
10. Convert the newly calculated UserAccountContorl value to its decimal equivalent.
11. Enter the new decimal value from Windows Calculator to the UserAccountControl attribute in ADSIEDIT.MSC.
12. Select OK twice to save.

The UserAccountControl attribute on the destination domain controller is missing the TRUSTED_FOR_DELEGATION flag

If the DCDIAG MachineAccount test returns a failed test MachineAcccount error message, and the UserAccountControl attribute on the tested domain controller is missing the TRUSTED _FOR_DELEGATION flag, add the missing flag in the tested domain controller’s copy of Active Directory.

Start Active Directory Users and Computers (DSA.MSC) on the console of the domain controller that was tested by DCDIAG.

Right-click the domain controller computer account.

Select the Delegation tab.

On the domain controller machine account, select the Trusted this computer for delegation to any service (Kerberos only) option.

Fix invalid default security descriptors

Active Directory operations take place in the security context of the account that started the operation. Default permissions on Active Directory partitions allow the following operations:

• Members of the Enterprise Administrators group can start ad-hoc replication between any domain controller in any domain in the same forest.
• Members of the Built-in Administrators group can start ad-hoc replication between domain controllers in the same domain.
• Domain Controllers in the same forest can start replication by using either change notification or replication schedule.

Default permissions on Active Directory partitions don’t allow the following operations by default:

• Members of the Built-in Administrators group in one domain can’t start ad-hoc replication to domain controllers in that domain from domain controllers in different domains.
• Users that aren’t members of the Built-in Administrators group can’t start ad-hoc replication from any other domain controller in the same domain or forest.

By design, these operations fail until default permissions or group memberships are modified.

Permissions are defined at the top of each directory partition (NC head), and are inherited throughout the partition tree. Verify that explicit groups (groups that the user is directly a member of) and implicit groups (groups that explicit groups have nested membership of) have the required permissions. Also verify that Deny permissions assigned to implicit or explicit groups don’t take precedence over the required permissions. For more information about default directory partitions, see Default Security of the Configuration Directory Partition.

Verify that default permissions exist in the top of each directory partition that is failing and returning replication access was denied

If ad-hoc replication is failing between domain controllers in different domains, or between domain controllers in the same domain for non-domain administrators, see the Grant non-domain admins permissions section.

If ad-hoc replication is failing for members of the Enterprise Administrators group, focus on NC head permissions that are granted to the Enterprise Administrators group.

If ad-hoc replication is failing for members of a Domain Administrators group, focus on the permissions that are granted to the built-in Administrators Security group.

If a scheduled replication that’s started by domain controllers in a forest is failing and returning error 8453, focus on permissions for the following security groups:

Enterprise Domain Controllers

Enterprise Read-Only Domain Controllers

If a scheduled replication is started by domain controllers on a read-only domain controller (RODC) is failing and returning error 8453, verify that the Enterprise Read-Only Domain Controllers security group is granted the required access on the NC head of each directory partition.

The following table shows the default permission that’s defined on the schema, configuration, domain, and DNS applications by various Windows versions.

The DCDIAG NcSecDesc test may report false positive errors when it’s run in environments that have mixed system versions.

The DSACLS command can be used to dump the permissions on a given directory partition by using the following syntax:
DSACLS

For example, use the following command:

The command can be targeted to a remote domain controller by using the syntax:

Be wary of DENY permission on NC heads removing the permissions for groups that the failing user is a direct or nested member of.

Add required permissions that are missing

Use the Active Directory ACL editor in ADSIEDIT.MSC to add the missing DACLS.

Grant non-domain admins permissions

Grant non-domain admins the following permissions:

• To replicate between domain controllers in the same domain for non-enterprise administrators
• To replicate between domain controllers in different domains

Default permissions on Active Directory partitions don’t allow the following operations:

• Members of the Built-in Administrators group in one domain can’t initiate ad-hoc replication from domain controllers in different domains.
• Users that aren’t members of the built-in domain admins group to initiate ad-hoc replication between domain controllers in the same domain or different domain.

These operations fail until permissions on directory partitions are modified.

To resolve this problem, use either of the following methods:

Add users to existing groups that have already been the granted the required permissions to replicate directory partitions. (Add the Domain administrators for replication in the same domain, or the Enterprise Administrators group to trigger ad-hoc replication between different domains.)

Create your own group, grant that group the required permissions on directory partitions throughout the forest, and then add users to those groups.

For more information, see KB303972. Grant the security group in question the same permissions listed in the table in the Fix invalid default security descriptors section.

Verify group membership in the required security groups

After the correct security groups have been granted the required permissions on directory partitions, verify that users who start replication have effective membership in direct or nested security groups that are granted replication permissions. To do it, follow these steps:

Log on by using the user account in which ad-hoc replication is failing and returning replication access was denied.

At a command prompt, run the following command:

Verify membership in the security groups that have been granted the replicating directory changes permissions on the relevant directory partitions.

If the user was added to the permitted group that was changed after the last user logon, log on a second time, and then run the WHOAMI /ALL command again.

If this command still does not show membership in the expected security groups, open an elevated Command Prompt window, on the local computer, and run WHOAMI /ALL at the command prompt.

If the group membership differs between the WHOAMI /ALL output that is generated by elevated and non-elevated command prompts, see When you run an LDAP query against a Windows Server 2008-based domain controller, you obtain a partial attribute list.

Verify that the expected nested group memberships exist.

If a user is getting permissions to run ad-hoc replication as a member of nested group, which is a member of group that has been directly granted replication permissions, verify the nested group membership chain. We’ve seen ad-hoc Active Directory replication failures because the Domain Administrators and Enterprise Administrators groups were removed from the built-in Administrators groups.

RODC replication

If computer-initiated replication is failing on RODCs, verify that you have run ADPREP /RODCPREP and that the Enterprise Read-Only Domain Controller group is granted the Replicate Directory Changes right on each NC head.

Missing NTDS Settings object for LDS server

In Active Directory Lightweight Directory Services (LDS), it’s possible to delete the object without a metadata cleanup in DBDSUTIL. It may cause this problem. To restore the instance to the configuration set, you must uninstall the LDS instance on the affected servers, and then run the ADAM configuration wizard.

If you have added LDAPS support for the instance, you must configure the certificate in the service store again, because uninstalling the instance also removes the service instance.

Источник

Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.

В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:

• Error 2146893022 (главное конечное имя неверно);
• Error 1908 (не удалось найти контроллер домена);
• Error 8606 (недостаточно атрибутов для создания объекта);
• Error 8453 (доступ к репликации отвергнут).

Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.

Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.

Рисунок. Архитектура леса

Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.

Экран 1. Два недостающих контроллера домена

В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.

Экран 2. Статус репликации контроллеров домена

Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.

Экран 3. Ошибки репликации, возникающие в лесу Contoso

Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:

Repadmin /showrel * /csv > ShowRepl.csv

Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:

1. Из меню Home щелкните Format as table и выберите один из стилей.
2. Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
3. Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
4. Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
5. Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
6. Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.

Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:

1. Перейдите к приглашению PowerShell и введите команду

Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.

3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.

4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.

Экран 4. Задание фильтра

Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.

Исправление ошибки AD Replication Error -2146893022

Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:

Repadmin /showrepl dc2

На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.

Экран 5. Проблема с DC2 — целевое основное имя неверно

Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:

Repadmin /bind DC1

На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).

Экран 6. Сообщение о событии с Event ID 4

Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:

Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta1.txt

Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta2.txt

Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.

KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:

Net stop kdc

Теперь требуется начать репликацию корневого раздела Root:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:

Net start kdc

Обнаружение и устранение ошибки AD Replication Error 1908

Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:

Nltest /dbflag:2080fff

Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:

Repadmin /replicate dc1 childdc1 dc=child,dc=root,
dc=contoso,dc=com

Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.

Экран 7. Репликация не состоялась, потому что DC домена не может быть найден

Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:

Nltest /dsgetdc:child /kdc

Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:

Nltest /dsgetdc:child

В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.

Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:

DSGetDcName function called: client PID=2176,
Dom:child Acct:(null) Flags:KDC

Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.

Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:

Dcdiag /test:dns /dnsdelegation > Dnstest.txt

На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.

Экран 8. Пример файла Dnstest.txt

Чтобы устранить проблему DNS, сделайте следующее:

1. На DC1 откройте консоль управления DNS.

2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.

3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.

4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.

5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.

6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.

7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.

8. Дважды нажмите кнопку OK.

9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.

10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:

Nltest /dsgetdc:child /kdc /force

11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду

Repadmin /replicate dc1 childdc1 «dc=child,dc=root,
dc=contoso,dc=com»

Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.

Экран 9. Использование оснастки Active Directory Sites и?Services

После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.

Экран 10. Ошибка при репликации

Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.

Устранение ошибки AD Replication Error 8606

Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).

Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:

Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.

Экран 11. Ошибка из-за наличия устаревшего объекта

Экран 12. Событие с кодом 1988

Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.

Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:

Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt

Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).

Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:

Repadmin /showrepl DC1 > Showrepl.txt

В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:

DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e

Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.

Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4-
b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com»
/Advisory_mode

Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.

Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.

Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:

Repldiag /removelingeringobjects
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:

Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=root,dc=contoso,dc=com» /Advisory_mode

После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.

Экран 13. Сообщение об удалении устаревших объектов

Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.

Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.

Устранение ошибки AD Replication Error 8453

Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.

Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:

Repadmin /showrepl childdc2 > Repl.txt

Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:

BoulderChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
WARNING: Not advertising as a global catalog

Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:

Source: BoulderTRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
Replication access was denied
Naming Context: DC=treeroot,DC=fabrikam,DC=com

Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.

Экран 14. Отсутствие связи репликации

Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:

Dcdiag /test:checksecurityerror

На экране 15 показан фрагмент вывода DCDiag.exe.

Экран 15. Фрагмент вывода DCDiag.exe

Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.

Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:

1. На TRDC1 откройте оснастку ADSI Edit.

2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.

3. Выберите вкладку Security.

4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.

5. Нажмите Add.

6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.

7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.

8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений

*Read

*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)

*Read Other domain parameters

9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.

10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду

Repadmin /kcc childdc2

Экран 16. Включение разрешения Replicating Directory Change

Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.

Состояние репликации критически важно

Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.
root.contoso.com 0b457f73-96a4-429b-ba81-
1a3e0f51c848 «dc=forestdnszones,dc=root,
dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Root.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects dc1.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones–Root.
Repadmin /removelingeringobjects dc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=domaindnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Child.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones-Child.
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена TreeRoot.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc1.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»

Ошибка репликации Active Directory 8453: доступ к репликации запрещен

В этой статье описывается, как устранить проблему, из-за которой репликация Active Directory завершается сбоем и возникает ошибка 8453: доступ к репликации запрещен.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2022387

Домашние пользователи: Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вам нужна помощь в устранении проблемы, обратитесь к сообществу Майкрософт.

Аннотация

Эта ошибка 8453 имеет следующие основные причины:

У конечного контроллера домена нет необходимых разрешений для репликации контекста или секции именования.

Администратор, который вручную запустил репликацию, не имеет на это разрешений.

Это условие не влияет на периодичную или запланированную репликацию.

Первопричина

Для периодов или запланированных репликаций, если конечный контроллер домена является контроллером домена только для чтения (RODC):

Группа безопасности Read-Only контроллеров домена Enterprise не имеет разрешений на репликацию изменений каталога в корне контекста именования (NC) для секции, которая не реплицируется и возвращает ошибку 8453.

Верхнее решение

В каждой сетевой сети, которую контроллеры домена не реплицируются и которая возвращает ошибку 8453, предоставьте разрешения на репликацию изменений каталога группе безопасности корпоративных контроллеров домена только для чтения в корневом домене леса.

Пример:

RODC childdc2.child.contoso.com не реплицирует contoso.com секцию и возвращает ошибку 8453. Чтобы устранить эту проблему, выполните следующие действия.

Откройте ADSIEDIT.msc на контроллере contoso.com домена.

Откройте подключение к сетевому контроллеру contoso.com домена (контекст именования по умолчанию).

Откройте свойства dc =contoso,dc=com NC и выберите вкладку «Безопасность «.

Нажмите кнопку «Добавить» и введите в текстовое поле следующую запись:
ContosoEnterprise Read-Only контроллеры домена

Эта группа существует только в корневом домене леса.

Выберите «Проверить имена» и нажмите кнопку «ОК».

В диалоговом окне Read-Only «Разрешения для корпоративных контроллеров домена» снимите автоматически установленные флажки «Разрешить»:

• Чтение
• Чтение политик блокировки & паролей домена
• Чтение параметров другого домена

Установите флажок « Разрешить» рядом с пунктом «Репликация изменений каталога» и нажмите кнопку » ОК».

Если эти действия не устраняют проблему, см. остальную часть этой статьи.

Симптомы

При возникновении этой проблемы возникает один или несколько из следующих симптомов:

Тест репликации DCDIAG ( DCDIAG /TEST:NCSecDesc ) сообщает, что тестируемый контроллер домена завершился сбоем тестовой репликации и имеет состояние 8453: доступ к репликации запрещен:

Тест DCDIAG NCSecDesc ( DCDIAG /TEST:NCSecDes ) сообщает, что контроллер домена, который был протестирован с помощью DCDIAG, завершился сбоем теста NCSecDec и что одно или несколько разрешений отсутствуют в заголовке NC одного или нескольких разделов каталога на протестированном контроллере домена, который был протестирован DCDIAG:

Тест DCDIAG MachineAccount ( DCDIAG /TEST:MachineAccount ) сообщает, что контроллер домена, протестируемый DCDIAG, завершился сбоем теста MachineAccount, так как в атрибуте UserAccountControl в учетной записи компьютера контроллеров домена отсутствуют флаги SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION:

Тест журнала событий DCDIAG KCC указывает шестнадцатеричный эквивалент события Microsoft-Windows-ActiveDirectory_DomainService 2896:

B50 hex = 2896 decimal. Эта ошибка может регистрироваться каждые 60 секунд на главном контроллере домена инфраструктуры.

REPADMIN.EXE сообщает о неудачной попытке репликации и возвращает состояние 8453.

Команды REPADMIN, которые обычно указывают состояние 8453, включают, но не ограничиваются следующими.

Пример выходных REPADMIN /SHOWREPS данных, показывающих входящую репликацию из CONTOSO-DC2 в CONTOSO-DC1, которая завершается сбоем и возвращает ошибку отказа в доступе к репликации, выглядит следующим образом:

Теперь команда репликации выполняется на сайтах и службах Active Directory (DSSITE). MSC) возвращает ошибку отказа в доступе к репликации .

Щелкните правой кнопкой мыши объект подключения из исходного контроллера домена и выберите репликацию. И возвращается ошибка отказа в доступе к репликации. Отобразится следующее сообщение об ошибке:

События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с состоянием 8453 регистрируются в журнале событий служб директив Active Directory (AD DS).

События Active Directory, которые обычно указывают на состояние 8453, включают, но не ограничиваются следующими событиями:

Причина

Ошибка 8453 (доступ к репликации запрещен) имеет несколько основных причин, в том числе:

Атрибут UserAccountControl в целевой учетной записи компьютера контроллера домена отсутствует в любом из следующих флагов:
SERVER_TRUST_ACCOUNT или TRUSTED_FOR_DELEGATION

Разрешения по умолчанию не существуют в одном или нескольких разделах каталога, чтобы обеспечить выполнение запланированной репликации в контексте безопасности операционной системы.

По умолчанию или пользовательские разрешения не существуют в одном или нескольких разделах каталогов, чтобы пользователи могли активировать нерегламентированную или немедленную репликацию с помощью DSSITE. MSC реплицирует сейчас, repadmin /replicate или repadmin /syncall аналогичные команды.

Разрешения, необходимые для активации нерегламентированной репликации, правильно определены в соответствующих разделах каталогов. Однако пользователь не является членом каких-либо групп безопасности, которым предоставлено разрешение на изменение каталога репликации.

Пользователь, запускавший нерегламентируемую репликацию, является членом требуемых групп безопасности, и этим группам безопасности предоставлено разрешение на репликацию изменений каталога . Однако членство в группе, которая предоставляет разрешение на изменение реплицированного каталога, удаляется из маркера безопасности пользователя с помощью функции разделения маркера доступа пользователя в элементе управления учетной записью. Эта функция была представлена в Windows Vista и Windows Server 2008.

Не путайте функцию безопасности разбиения маркера управления учетными записями пользователей, появившиеся в Vista и Windows Server 2008, с атрибутом UserAccountControl , определенным в учетных записях компьютера роли контроллера домена, которые хранятся в службе Active Directory.

Если конечным контроллером домена является RODC, RODCPREP не был запущен в доменах, где в настоящее время размещены контроллеры домена только для чтения, или группа контроллеров домена Enterprise Read-Only не имеет разрешений на репликацию изменений каталога для секции, которая не реплицирована.

Контроллеры домена, работающие под управлением новых версий операционной системы, были добавлены в существующий лес, в котором установлен Сервер связи Office.

У вас есть экземпляры служб LDS. Объект NTDS Settings для затронутых экземпляров отсутствует в контейнере конфигурации LDS. Например, вы увидите следующую запись:

Ошибки и события Active Directory, такие как упомянутые в разделе » Симптомы», также могут возникать и создавать сообщение об ошибке 5 (доступ запрещен).

Действия для ошибки 5 или ошибки 8453, упомянутые в разделе «Разрешение», не устраняют сбои репликации на компьютерах, на которых в настоящее время происходит сбой репликации и создает другое сообщение об ошибке.

Ниже перечислены основные причины сбоев операций Active Directory, вызывающих ошибку 5.

• Чрезмерное неравномерное распределение времени
• Фрагментация пакетов Kerberos в формате UDP промежуточными устройствами в сети
• Отсутствует доступ к этому компьютеру из сетевых прав.
• Неработающие безопасные каналы или отношения доверия внутри домена
• CrashOnAuditFail = 2 запись в реестре

Решение

Чтобы устранить эту проблему, используйте следующие методы.

Выполнение проверки работоспособности с помощью DCDIAG + DCDIAG /test:CheckSecurityError

1. Запустите DCDIAG на целевом контроллере домена, который сообщает об ошибке или событии 8453.
2. Запустите DCDIAG на исходном контроллере домена, на котором конечный контроллер домена сообщает об ошибке или событии 8453.
3. Запустите DCDIAG /test:CheckSecurityError на конечном контроллере домена.
4. Выполнение DCDIAG /test:CheckSecurityError на исходном контроллере домена.

Исправлен недопустимый элемент UserAccountControl

Атрибут UserAccountControl включает битовую маску, которая определяет возможности и состояние учетной записи пользователя или компьютера. Дополнительные сведения о флагах UserAccountControl см. в описании атрибута User-Account-Control.

Типичное значение атрибута UserAccountControl для записываемой (полной) учетной записи компьютера контроллера домена — 532480 десятичных знаков или 82000 шестнадцатеричных бит. Значения UserAccountControl для учетной записи компьютера контроллера домена могут отличаться , но должны содержать флаги SERVER_TRUST_ACCOUNT и TRUSTED_FOR_DELEGATION, как показано в следующей таблице.

Типичное значение атрибута UserAccountControl для учетной записи компьютера контроллера домена только для чтения — 83890176 десятичное или 5001000 шестнадцатеричного.

В атрибуте UserAccountControl на конечном контроллере домена отсутствует флаг SERVER_TRUST_ACCOUNT домена.

Если тест DCDIAG MachineAccount завершается сбоем и возвращает сообщение об ошибке MachineAcccount с ошибкой теста, а атрибут UserAccountControl на проверяемом контроллере домена отсутствует флаг SERVER_TRUST_ACCOUNT , добавьте отсутствующий флаг в копию Active Directory проверяемого контроллера домена.

1. Запустите ADSIEDIT. MSC на консоли контроллера домена, в котором отсутствует SERVER_TRUST_ACCOUNT, как сообщает DCDIAG.
2. Щелкните правой кнопкой мыши ADSIEDIT в левой верхней области ADSIEDIT. MSC, а затем выберите «Подключиться к».
3. В диалоговом окне «Параметры подключения» щелкните «Выбрать известный контекст именования «, а затем выберите контекст именования по умолчанию (раздел домена учетной записи компьютера).
4. Нажмите кнопку «Выбрать» или введите домен или сервер. Выберите имя контроллера домена, который завершается сбоем в DCDIAG.
5. Нажмите кнопку ОК.
6. В контексте именования домена найдите и щелкните правой кнопкой мыши учетную запись компьютера контроллера домена и выберите пункт «Свойства».
7. Дважды щелкните атрибут UserAccountControl и запишите его десятичное значение.
8. Запустите калькулятор Windows в режиме программиста (Windows Server 2008 и более поздних версий).
9. Введите десятичное значение для UserAccountControl. Преобразуйте десятичное значение в шестнадцатеричный эквивалент, добавьте 0x80000 к существующему значению и нажмите знак равенства (=).
10. Преобразуйте вычисленное значение UserAccountContorl в его десятичный эквивалент.
11. Введите новое десятичное значение из калькулятора Windows в атрибут UserAccountControl в ADSIEDIT. Msc.
12. Нажмите кнопку «ОК » дважды, чтобы сохранить.

В атрибуте UserAccountControl на конечном контроллере домена отсутствует флаг TRUSTED_FOR_DELEGATION домена.

Если тест DCDIAG MachineAccount возвращает сообщение об ошибке MachineAcccount теста, а атрибут UserAccountControl на проверяемом контроллере домена отсутствует флаг TRUSTED _FOR_DELEGATION , добавьте отсутствующий флаг в копию Active Directory проверяемого контроллера домена.

Запуск Пользователи и компьютеры Active Directory (DSA). MSC) в консоли контроллера домена, который был протестен DCDIAG.

Щелкните правой кнопкой мыши учетную запись компьютера контроллера домена.

Выберите вкладку «Делегирование «.

В учетной записи компьютера контроллера домена выберите доверенный компьютер для делегирования в любую службу (только Kerberos).

Исправлены недопустимые дескрипторы безопасности по умолчанию

Операции Active Directory выполняется в контексте безопасности учетной записи, которая начала операцию. Разрешения по умолчанию для секций Active Directory позволяют выполнять следующие операции:

• Участники группы «Администраторы предприятия» могут запускать нерегламентную репликацию между любым контроллером домена в любом домене в одном лесу.
• Члены встроенной группы администраторов могут запускать нерегламентную репликацию между контроллерами домена в одном домене.
• Контроллеры домена в одном лесу могут запускать репликацию с помощью уведомления об изменениях или расписания репликации.

Разрешения по умолчанию для секций Active Directory не позволяют выполнять следующие операции по умолчанию:

• Члены группы встроенных администраторов в одном домене не могут запускать нерегламентную репликацию на контроллеры домена в этом домене с контроллеров домена в разных доменах.
• Пользователи, не включаемые в группу встроенных администраторов, не могут запускать нерегламентированные репликации с любого другого контроллера домена в том же домене или лесу.

По умолчанию эти операции завершались сбоем до тех пор, пока не будут изменены разрешения по умолчанию или членство в группах.

Разрешения определяются в верхней части каждой секции каталога (nc head) и наследуются по всему дереву секций. Убедитесь, что явные группы (группы, в которые пользователь непосредственно входит) и неявные группы (группы, в которых явные группы имеют вложенное членство) имеют необходимые разрешения. Кроме того, убедитесь, что запрет разрешений, назначенных неявным или явным группам, не имеет приоритет над необходимыми разрешениями. Дополнительные сведения о разделах каталогов по умолчанию см. в разделе «Безопасность по умолчанию» раздела каталога конфигурации.

Убедитесь, что разрешения по умолчанию существуют в верхней части каждого раздела каталога, в котором происходит сбой, и отказано в доступе репликации.

Если происходит сбой нерегламентированной репликации между контроллерами домена в разных доменах или между контроллерами домена в одном домене для администраторов без домена, см. раздел «Предоставление разрешений администраторам, не являющегося администратором домена».

Если нерегламентированной репликации не удается выполнить для участников группы «Администраторы предприятия», сосредоточьтесь на разрешениях на управление сетевыми контроллерами, которые предоставляются группе «Администраторы предприятия».

Если нерегламентированной репликации не удается выполнить для членов группы «Администраторы домена», сосредоточьтесь на разрешениях, предоставленных встроенной группе безопасности администраторов.

Если запланированная репликация, запущенная контроллерами домена в лесу, завершается сбоем и возвращает ошибку 8453, сосредоточьтесь на разрешениях для следующих групп безопасности:

Корпоративные контроллеры домена

Корпоративные Read-Only контроллеры домена

Если запланированная репликация запускается контроллерами домена на контроллере домена только для чтения (RODC), которая завершается сбоем и возвращает ошибку 8453, убедитесь, что группе безопасности контроллеров домена Enterprise Read-Only предоставлен необходимый доступ к головному контроллеру каждого раздела каталога.

В следующей таблице показано разрешение по умолчанию, определенное для схемы, конфигурации, домена и приложений DNS в различных версиях Windows.

Тест DCDIAG NcSecDesc может сообщать о ложноположительных ошибках при выполнении в средах со смешанными системными версиями.

Команду DSACLS можно использовать для дампа разрешений в заданном разделе каталога с помощью следующего синтаксиса:
DSACLS

Например, используйте следующую команду:

Команда может быть нацелена на удаленный контроллер домена с помощью синтаксиса:

Будьте осторожны с разрешением DENY для руководителей NC, удаляя разрешения для групп, в которых пользователь, завершившегося сбоем, является непосредственным или вложенным членом.

Добавление отсутствующих необходимых разрешений

Используйте редактор ACL Active Directory в ADSIEDIT. MSC для добавления отсутствующих списков DACLS.

Предоставление разрешений администраторам, не являмся администраторами домена

Предоставьте администраторам без домена следующие разрешения:

• Репликация между контроллерами домена в одном домене для администраторов, не входящего в группу предприятия
• Репликация между контроллерами домена в разных доменах

Разрешения по умолчанию для секций Active Directory не позволяют выполнять следующие операции:

• Члены группы встроенных администраторов в одном домене не могут инициировать нерегламентную репликацию с контроллеров домена в разных доменах.
• Пользователи, которые не являются членами встроенной группы администраторов домена, инициируют нерегламентированное репликацию между контроллерами домена в одном домене или другом домене.

Эти операции завершались сбоем до тех пор, пока не будут изменены разрешения для разделов каталогов.

Чтобы устранить эту проблему, используйте один из следующих методов:

Добавьте пользователей в существующие группы, которым уже предоставлены необходимые разрешения для репликации разделов каталогов. (Добавьте администраторов домена для репликации в том же домене или группу «Администраторы предприятия» для активации нерегламентированной репликации между разными доменами.)

Создайте собственную группу, предоставьте этой группе необходимые разрешения на секции каталогов по всему лесу, а затем добавьте пользователей в эти группы.

Дополнительные сведения см. в статье KB303972. Предоставьте группе безопасности те же разрешения, которые указаны в таблице в разделе » Исправление недопустимых дескрипторов безопасности по умолчанию».

Проверка членства в необходимых группах безопасности

После того как правильные группы безопасности будут предоставлены необходимые разрешения для разделов каталогов, убедитесь, что пользователи, которые запускают репликацию, имеют действующее членство в прямых или вложенных группах безопасности, которым предоставлены разрешения на репликацию. Для этого выполните следующие действия:

Войдите в систему с помощью учетной записи пользователя, в которой нерегламентированное репликация завершается сбоем, и возврат доступа к репликации был запрещен.

В командной строке выполните следующую команду:

Проверьте членство в группах безопасности, которым были предоставлены разрешения на репликацию каталога, для соответствующих разделов каталогов.

Если пользователь был добавлен в разрешенную группу, которая была изменена после последнего входа пользователя, войдите во второй раз, WHOAMI /ALL а затем выполните команду еще раз.

Если эта команда по-прежнему не отображает членство в ожидаемых группах безопасности, WHOAMI /ALL откройте окно командной строки с повышенными привилегиями на локальном компьютере и выполните команду в командной строке.

WHOAMI /ALL Если членство в группе отличается от выходных данных, создаваемых командными строками с повышенными и не повышенными привилегиями, см. статью «При выполнении запроса LDAP к контроллеру домена под управлением Windows Server 2008» вы получите неполный список атрибутов.

Убедитесь, что существуют ожидаемые вложенные членства в группах.

Если пользователь получает разрешения на выполнение нерегламентированной репликации в качестве члена вложенной группы, которая является членом группы, которой были предоставлены разрешения на репликацию напрямую, проверьте вложенную цепочку членства в группе. Мы видели нерегламентированные сбои репликации Active Directory, так как администраторы домена и группы администраторов предприятия были удалены из встроенных групп администраторов.

Репликация RODC

Если инициируемая компьютером репликация завершается сбоем на контроллерах домена, убедитесь, ADPREP /RODCPREP что вы запущены и что группе контроллера домена enterprise Read-Only предоставлены изменения каталога репликации прямо на каждом головном контроллере контроллера домена.

Отсутствует объект параметров NTDS для сервера LDS

В службах active Directory Lightweight Directory (LDS) объект можно удалить без очистки метаданных в DBDSUTIL. Это может вызвать эту проблему. Чтобы восстановить экземпляр в наборе конфигураций, необходимо удалить экземпляр LDS на затронутых серверах, а затем запустить мастер настройки ADAM.

Если вы добавили поддержку LDAPS для экземпляра, необходимо снова настроить сертификат в хранилище служб, так как при удалении экземпляра также удаляется экземпляр службы.

Источник

Replication Access Was Denied is an Active Directory Error that a user faces. The error is basically an active directory replication error. Users have encountered this in a number of scenarios, which includes using the repadmin /showreps command to check the status of ADC. The error has also been seen while using the Sharepoint 2010 or the Synchroziation service manager. There are multiple causes of this issue, which include issues related to required permission; that is, if your destination domain controller doesn’t have sufficient permissions in order to replicate context/partition, you get this error. Furthermore, the error may also occur if the administrator itself doesn’t have permission to initiate the replication. Let’s go through more of its causes.

Causes of Replication Access Was Denied Error Problem:

In the introductory part, we have already seen a few of its causes. The Error 0x2105 Replication Access Was Denied Sharepoint 2010 error occurs if your destination domain controller has only read-only permission for a period or scheduled replication. Furthermore, it can also happen if you are executing any command without the administrator privileges.

• The domain controller has only read-only permission
• Lack of Administrator privileges
• Administrator itself doesn’t have permission to initiate the replication
• Domain controller doesn’t have sufficient permissions

Similar Types of Replication Access Was Denied Error Issue:

• 8453 replication access was denied 2016
• 0x2105
• Active Directory replication error 8453
• Dfs replication access is denied
• Rpc error 8453
• 8453 fim
• Dcdiag replication error 0x2105
• Get-adreplaccount

To fix Error 0x2105 Replication Access Was Denied Sharepoint 2010 Error we have gathered some troubleshooting method that has been found to be working. The following are the method that we will be demonstrating. In the first method, we will make sure that you are using the admin account for executing any sort of command or making any changes.

1. Use the Administrator Account –

Most of the users get this Error 0x2105 Replication Access Was Denied Sharepoint 2010 error because while executing any important command or making any changes to the active directory or similar, they do not use the administrator account or forget to use the admin account. The first thing you can do is to execute the important command.

• STEP 1. In the Start menu type cmd, right-click on cmd and choose Run as Administrator
• STEP 2. Now type the following command followed by an Enter

repadmin /showreps 

2. Providing Access Rights to the Service Account –

In this method, we will allow the Replicating Directory Changes Permission to the Service account. This is one of the major causes of this error. Follow the steps to fix the Error 0x2105 Replication Access Was Denied SharePoint 2010 issue.

• STEP 1. The first thing you need to do is to log in to your Active Directory Server
• STEP 2. Now Navigate to the following Path on My Computer

C:WINDOWSsystem32dsa.msc

• STEP 3. Here Open up the Active Directory Users and Computers console
• STEP 4. Now open up the Properties by Right-clicking on to the Domain
• STEP 5. In the Properties window, move to the  Security tab
• STEP 6. Select the specific service account user.
• STEP 7. If you are unable to see the user, click on the “Add” button
• STEP 8. Finally Below the Permissions for Remote Admin
• STEP 9. Locate Replicate Directory Changes permission and Tick on Allow Checkbox

3. Giving Important Rights to Replicate Now Function –

In this method, we will fix the repadmin Replication Access was Denied Sharepoint 2010 issue when using the ‘replicate now’ function or Delegation of Control wizard in the Active Directory. Follow the steps.

• STEP 1. Firstly Open up Adsiedit

• STEP 2. Now make sure to Connect to the following five partitions
  • DC=ForestDnsZones,DC=domain,DC=tld
  • DC=DomainDnsZones,DC=domain,DC=tld
  • CN=Schema,CN=Configuration,DC=domain,DC=tld
  • CN=Configuration,DC=domain,DC=tld
  • DC=domain,DC=tld

**NOTE: Kindly use an account that has Administrator right for Domain, Enterprise & Schema

• STEP 3. Open up the Properties for each Partition, by Right-Clicking on The root directory
• STEP 4. Go the Security tab then click on the Advanced button > Add
• STEP 5. Put the name of the  group that you want to be delegated then click OK
• STEP 6. Make sure that Apply to is set for This object and all descendant objects
• STEP 7. Now Locate Replication synchronization from the list and select it
• STEP 8. Save all the changes

4. Using Command –

If you are still getting this Error run, a health check command to fix the Error 0x2105 Replication Access Was Denied Sharepoint 2010 issue.

• STEP 1. Open the command prompt, make sure that it is running with the Administrator Privileges.
• STEP 2. Now in the command window enter the following command

**NOTE: Make sure to run the command on both Source & Destination Domain Controller

DCDIAG /test:CheckSecurityError

• STEP 3. After executing the command, your error should be fixed

Conclusion:

With this being the end of the article on Error 0x2105 Replication Access Was Denied Sharepoint 2010 Error. We can conclude that following this troubleshooting, and you will surely get rid of this issue. Furthermore, this article tells us briefly about all the causes of this issue. If you still face any problems, tell us in the comments.

We hope this Error 0x2105 Replication Access Was Denied Sharepoint 2010 article solves your issue. For more troubleshooting guides like this. Follow us. Thank you!

I created a brand new Windows 2008 Enterprise Domain in a VM Environment with all the latest patches. After promoting the Second DC — I started noticing that servers that were joining the domain would not appear in Users and Computers.  I checked the following:

1. TimeSync with NTP (There was a time issue but it is now resolved — all are sync’ing with nist.gov)
2. DNS has valid entries in the domain in the _msdcs folder
3. Ran repadmin to trouble shoot and saw the following:
 for /syncall run —
CALLBACK MESSAGE: The following replication is in progress:
    From: 26a54e69-1984-4e95-9491-f423da334a8d._msdcs.lss.company.com
    To  : 6068dd17-a0fb-4a57-819a-01d8022ddb55._msdcs.lss.company.com
CALLBACK MESSAGE: Error issuing replication: 8453 (0x2105):
    Replication access was denied.
    From: 26a54e69-1984-4e95-9491-f423da334a8d._msdcs.lss.company.com
    To  : 6068dd17-a0fb-4a57-819a-01d8022ddb55._msdcs.lss.company.com
CALLBACK MESSAGE: SyncAll Finished.

SyncAll reported the following errors:
Error issuing replication: 8453 (0x2105):
    Replication access was denied.
    From: 26a54e69-1984-4e95-9491-f423da334a8d._msdcs.lss.company.com
    To  : 6068dd17-a0fb-4a57-819a-01d8022ddb55._msdcs.lss.company.com

for a /showreps —

C:Usersswalsh>repadmin /showreps
Default-First-Site-NameAVAMAR252
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 6068dd17-a0fb-4a57-819a-01d8022ddb55
DSA invocationID: 6068dd17-a0fb-4a57-819a-01d8022ddb55

==== INBOUND NEIGHBORS ======================================

DC=lss,DC=company,DC=com
    Default-First-Site-NameAVAMAR253 via RPC
        DSA object GUID: 26a54e69-1984-4e95-9491-f423da334a8d
        Last attempt @ 2008-10-10 15:04:00 was successful.

CN=Configuration,DC=lss,DC=company,DC=com
    Default-First-Site-NameAVAMAR253 via RPC
        DSA object GUID: 26a54e69-1984-4e95-9491-f423da334a8d
        Last attempt @ 2008-10-10 14:56:54 was successful.

CN=Schema,CN=Configuration,DC=lss,DC=company,DC=com
    Default-First-Site-NameAVAMAR253 via RPC
        DSA object GUID: 26a54e69-1984-4e95-9491-f423da334a8d
        Last attempt @ 2008-10-10 14:56:54 was successful.

DC=DomainDnsZones,DC=lss,DC=company,DC=com
    Default-First-Site-NameAVAMAR253 via RPC
        DSA object GUID: 26a54e69-1984-4e95-9491-f423da334a8d
        Last attempt @ 2008-10-10 14:56:54 was successful.

DC=ForestDnsZones,DC=lss,DC=company,DC=com
    Default-First-Site-NameAVAMAR253 via RPC
        DSA object GUID: 26a54e69-1984-4e95-9491-f423da334a8d
        Last attempt @ 2008-10-10 14:56:54 was successful.
DsReplicaGetInfo() failed with status 8453 (0x2105):
    Replication access was denied.
DsReplicaGetInfo() failed with status 8453 (0x2105):
    Replication access was denied.

There is also an 4013 error in DNS that I don’t know how to fix and there is no info on Microsoft’s site that I have found:
Event Type:      Warning
Event Source:      DNS
Event Category:      None
Event ID:      4013
Date:            10/10/2008
Time:            2:27:14 PM
User:            N/A
Computer:      AVAMAR252.lss.company.com
Description:
The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed. The DNS server service cannot start until the initial synchronization is complete because critical DNS data might not yet be replicated onto this domain controller. If events in the AD DS event log indicate that there is a problem with DNS name resolution, consider adding the IP address of another DNS server for this domain to the DNS server list in the Internet Protocol properties of this computer. This event will be logged every two minutes until AD DS has signaled that the initial synchronization has successfully completed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

I am unsure if these are interrelated. Any guidance greatly appreciated.

— Steve

Постановка задачи

В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.

Предположим:

• MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
• DC1 — единственный контроллер домена
• DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций

Добавление контроллера домена

После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.

Затем следует проверить насколько гладко новый котроллер вошёл в домен.

C:Windowssystem32>nltest /dclist:mydomain.local
Получить список контроллеров домена в домене "mydomain.local" из "\dc1.mydomain.local".
    dc1.mydomain.local [PDC]  [DS] Сайт: Default-First-Site-Name
    DC2.mydomain.local        [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.

Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:

C:Windowssystem32>dsquery server
"CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
"CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"

Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:

repadmin /replsummary
repadmin /queue
repadmin /showrepl

Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:

repadmin /syncall

Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:Userspnm>netdom query FSMO
Хозяин схемы                dc1.mydomain.local
Хозяин именования доменов   dc1.mydomain.local
PDC                         dc1.mydomain.local
Диспетчер пула RID          dc1.mydomain.local
Хозяин инфраструктуры       dc1.mydomain.local
Команда выполнена успешно. 

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:

C:Userspnm>ntdsutil 
ntdsutil: roles
fsmo maintenance: connections 
server connections: connect to server dc2
Привязка к dc2 ...
Подключен к dc2 с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize naming master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize schema master
quit
quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:Userspnm>netdom query FSMO
Хозяин схемы                dc2.mydomain.local
Хозяин именования доменов   dc2.mydomain.local
PDC                         dc2.mydomain.local
Диспетчер пула RID          dc2.mydomain.local
Хозяин инфраструктуры       dc2.mydomain.local
Команда выполнена успешно. 

Работа над ошибками

Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-NameDC2
    Запуск проверки: Connectivity
       Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
       разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
       Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
       брандмауэра.
       ......................... DC2 - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-NameDC2
      Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

• Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

• Рекомендации по настройке службы DNS на контроллере домена
• DNScmd — консольная утилита для управления DNS сервером (офиц. описание)

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.

См. также

• Active Directory — общая информация