Erreur de réplication Active Directory 8453 : l’accès à la réplication a été refusé

Cet article explique comment résoudre un problème où la réplication Active Directory échoue et génère une erreur 8453 (l’accès à la réplication a été refusé).

Version du produit d’origine :   Windows Server 2012 R2
Numéro de la base de connaissances initiale :   2022387

Notes

Utilisateurs à domicile : Cet article est destiné uniquement aux agents de support technique et aux professionnels de l’informatique. Si vous avez besoin d’aide pour résoudre un problème, Posez la question à la communauté Microsoft.

Résumé

Cette erreur 8453 a les causes principales suivantes :

  • Le contrôleur de domaine de destination ne dispose pas des autorisations requises pour répliquer le contexte/la partition de nommage.

  • L’administrateur qui a initié manuellement la réplication ne dispose pas des autorisations nécessaires pour effectuer cette opération.

    Notes

    Cette condition n’affecte pas la réplication périodique ou planifiée.

Cause principale

Pour la réplication par période ou planifiée, si le contrôleur de domaine de destination est un contrôleur de domaine en lecture seule (RODC) :

Le groupe de sécurité des contrôleurs de domaine de l’entreprise Read-Only ne dispose pas des autorisations de réplication de l’annuaire à la racine du contexte de nommage de la partition qui n’est pas répliquée et renvoie l’erreur 8453.

Solution principale

Sur chaque contexte de nommage que RODC ne réplique pas et qui renvoie l’erreur 8453, accordez les autorisations de réplication des changements de répertoire au groupe de sécurité des contrôleurs de domaine Enterprise en lecture seule du domaine racine de la forêt.

Exemple :

Un RODC childdc2.child.contoso.com ne réplique pas la contoso.com partition et renvoie l’erreur 8453. Pour résoudre ce problème, procédez comme suit :

  1. Ouvrez Adsiedit. msc sur un contoso.com contrôleur de domaine.

  2. Ouvrez une connexion au contexte de nommage du contoso.com domaine (contexte d’attribution de noms par défaut).

  3. Ouvrez les propriétés du DC = contoso, DC = com NCet sélectionnez l’onglet sécurité .

  4. Cliquez sur Ajouter, puis entrez les informations suivantes dans la zone de texte :
    Contrôleurs de domaine Contoso\Enterprise Read-Only

    Notes

    Ce groupe existe uniquement dans le domaine racine de la forêt.

  5. Sélectionnez vérifier les noms, puis cliquez sur OK.

  6. Dans la boîte de dialogue autorisations pour les contrôleurs de domaine des Read-Only d’entreprise , désactivez les cases à cocher autoriser automatiquement sélectionnées :

    • Lecture
    • Lire le mot de passe de domaine & stratégies de verrouillage
    • Lire les autres paramètres de domaine
  7. Activez la case à cocher autoriser en regard de réplication des modifications de répertoire, puis sélectionnez OK.

Si cette procédure ne résout pas le problème, reportez-vous à la suite de cet article.

Symptômes

Lorsque ce problème se produit, vous pouvez observer un ou plusieurs des symptômes suivants :

  • Le test de réplication DCDIAG ( DCDIAG /TEST:NCSecDesc ) signale que le contrôleur de domaine testé a échoué aux tests de réplication et présente l’État 8453 : l’accès à la réplication a été refusé :

    Test de démarrage : réplications
    [Vérification des réplications, <contrôleur de domaine de destination] Une tentative de réplication récente a échoué :
    De <source DC> vers <DC de destination
    Contexte d’appellation :
    La réplication a généré une erreur (8453) :
    L’accès à la réplication a été refusé.
    L’échec s’est produit à <date> <time> .
    La dernière réussite s’est produite à <date> <time> .
    % #% de défaillances ont eu lieu depuis la dernière réussite.
    Le compte d’ordinateur pour la destination <destination DC> .
    n’est pas configuré correctement.
    Vérifiez le champ userAccountControl.
    Erreur Kerberos.
    Le compte de l’ordinateur n’est pas présent ou ne correspond pas au.
    serveurs de destination, de source ou KDC.
    Vérifier que la partition de domaine du KDC est synchronisée avec le reste de l’entreprise.
    L’outil repadmin/syncall peut être utilisé à cette fin.
    ......................... <DC tested by DCDIAG> échecs de réplication de test

  • Le test NCSecDesc DCDIAG ( DCDIAG /TEST:NCSecDes ) signale que le contrôleur de domaine testé par Dcdiag a échoué NCSecDec de test et qu’une ou plusieurs autorisations manquent sur la tête NC d’une ou de plusieurs partitions d’annuaire sur le contrôleur de domaine testé qui a été testé par Dcdiag :

    Test de démarrage : NCSecDesc
    Erreur les CONTRÔLEurs de domaine NT AUTHORITY\ENTERPRISE n’ont pas
    Réplication des modifications de répertoire <-liste des accès manquants
    Synchronisation de la réplication <-droits requis pour chaque < la topologie de réplication peut varier en fonction du groupe de sécurité.
    Réplication des modifications d’annuaire dans un ensemble filtré <-en fonction de l’absence
    droits d’accès pour le contexte d’appellation : <-Right dans votre environnement
    DC = contoso, DC = com
    Erreur les contrôleurs CONTOSO\Domain n’ont pas
    Réplication des modifications de l’annuaire
    droits d’accès pour le contexte d’appellation :
    DC = contoso, DC = com
    Erreur CONTOSO\Enterprise Read-Only les contrôleurs de domaine n’ont pas
    Réplication des modifications de répertoire
    droits d’accès pour le contexte d’appellation :
    DC = contoso, DC = com
    ......................... Échec du test NCSecDesc de CONTOSO-DC2

  • Le test MachineAccount DCDIAG ( DCDIAG /TEST:MachineAccount ) signale que le contrôleur de domaine qui a été testé par Dcdiag a échoué MachineAccount , car l’attribut UserAccountControl du compte d’ordinateur DCS ne dispose pas des indicateurs SERVER_TRUST_ACCOUNT ou TRUSTED_FOR_DELEGATION :

    Test de démarrage : MachineAccount
    Le compte CONTOSO-DC2 n’est pas approuvé pour la délégation. Il ne peut pas
    copié.
    Le compte CONTOSO-DC2 n’est pas un compte de contrôleur de site. Il ne peut pas être répliqué.
    AVERTISSEMENT : attribut userAccountControl de CONTOSO-DC2 :
    0x288 = (HOMEDIR_REQUIRED | ENCRYPTED_TEXT_PASSWORD_ALLOWED | NORMAL_ACCOUNT)
    Le paramètre par défaut d’un contrôleur de contexte est
    0x82000 = (SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION)
    Cela peut-il avoir une incidence sur la réplication ?
    ......................... Échec du test MachineAccount de CONTOSO-DC2

  • Le test du journal des événements KCC DCDIAG indique l’équivalent hexadécimal de l’événement Microsoft-Windows-ActiveDirectory_DomainService 2896 :

    B50 hex = 2896 décimal. Cette erreur peut être enregistrée toutes les 60 secondes sur le contrôleur de domaine maître d’infrastructure.

    Test de démarrage : KccEvent
    Test du journal des événements KCC
    Un événement d’erreur s’est produit. EventID : 0xC0000B50
    Heure de génération : 06/25/2010 07:45:07

    Chaîne d’événement :
    Un client a effectué une demande LDAP de DirSync pour une partition d’annuaire. L’accès a été refusé en raison de l’erreur suivante.

    Partition d’annuaire :
    <DN path of directory partition>

    Valeur de l’erreur :
    8453 l’accès à la réplication a été refusé.

    Action de l'utilisateur
    Le client peut ne pas avoir accès à cette demande. Si le client l’exige, il doit se voir attribuer le droit d’accès au contrôle « réplication des modifications de répertoire » sur la partition d’annuaire en question.

  • REPADMIN.EXE signale qu’une tentative de réplication a échoué et a renvoyé un État 8453.

    Les commandes REPADMIN qui indiquent couramment le statut 8453 incluent, mais ne sont pas limitées à ce qui suit.

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      Un exemple de résultat de REPADMIN /SHOWREPS l’affichage de la réplication entrante de contoso-DC2 vers contoso-DC1 qui échoue et renvoie l’erreur accès de la réplication a été refusé est comme suit :

      Default-First-Site-Name\CONTOSO-DC1
      Options DSA : IS_GC
      Options de site : (aucune)
      GUID de l’objet DSA :
      Invocation DSA :
      DC = contoso, DC = com
      Default-First-Site-Name\CONTOSO-DC2 via RPC
      GUID de l’objet DSA : 74fbe06c-932C-46b5-831b-af9e31f496b2
      La dernière tentative @ <date> <time> a échoué, résultat 8453 (0x2105) :
      L’accès à la réplication a été refusé.
      < # > défaillances consécutives.
      Dernière réussite @ <date> <time> .

  • La commande répliquer maintenant dans sites et services Active Directory (DSSITE. MSC) renvoie une erreur de refus d’accès de réplication .

    Le fait de cliquer avec le bouton droit sur l’objet Connection à partir d’un contrôleur de domaine source, puis de sélectionner répliquer maintenant échoue, et renvoie une erreur de refus d’accès de réplication . Le message d’erreur suivant s’affiche :

    Texte du titre de la boîte de dialogue : répliquer maintenant
    Texte du message de boîte de dialogue : l’erreur suivante s’est produite lors de la tentative de synchronisation du contexte d’appellation <% nom de partition d’annuaire% > du contrôleur de domaine <Source DC> au contrôleur de domaine <Destination DC> :
    L’accès à la réplication a été refusé

    L’opération ne se poursuit pas.
    Boutons de la boîte de dialogue : OK

    Capture d’écran du message d’erreur

  • Les événements KCC NTDS, NTDS général ou Microsoft-Windows-ActiveDirectory_DomainService qui ont le statut 8453 sont consignés dans le journal des événements des services de directives Active Directory (AD DS).

Les événements Active Directory qui indiquent communément l’État 8453 incluent, mais ne sont pas limités aux événements suivants :

Source de l'événement ID de l'événement Chaîne d’événement
Microsoft-Windows-ActiveDirectory_DomainService 1699 Ce service d’annuaire n’a pas pu récupérer les modifications demandées pour la partition d’annuaire suivante. Par conséquent, il n’a pas été en mesure d’envoyer des demandes de modification au service d’annuaire à l’adresse réseau suivante.
Microsoft-Windows-ActiveDirectory_DomainService 2896 Un client a effectué une demande LDAP de DirSync pour une partition d’annuaire. L’accès a été refusé en raison de l’erreur suivante.
NTDS général 1655 Active Directory a tenté de communiquer avec le catalogue global suivant et les tentatives ont échoué.
KCC NTDS 1265 La tentative d’établissement d’un lien de réplication avec des paramètres
GPT <partition DN path>
Nom unique DSA source : <DN of source DC NTDS Settings object>
Adresse DSA source : <source DCs fully qualified CNAME>
Transport inter-site (le cas échéant) : <dn path>
échec avec l’état suivant :
KCC NTDS 1925 Échec de la tentative d’établissement d’un lien de réplication pour la partition d’annuaire inscriptible suivante.

Cause

L’erreur 8453 (l’accès de réplication a été refusé) a plusieurs causes racines, notamment les suivantes :

  • L’attribut UserAccountControl du compte d’ordinateur du contrôleur de domaine de destination ne dispose pas de l’indicateur SERVER_TRUST_ACCOUNT ou TRUSTED_FOR_DELEGATION .

  • Les autorisations par défaut n’existent pas sur une ou plusieurs partitions d’annuaire pour permettre à la réplication planifiée de se produire dans le contexte de sécurité du système d’exploitation.

  • Les autorisations par défaut ou personnalisées n’existent pas sur une ou plusieurs partitions d’annuaire pour permettre aux utilisateurs de déclencher une réplication ad hoc ou immédiate à l’aide de DSSITE. MSC répliquer maintenant,, repadmin /replicate repadmin /syncall ou des commandes similaires.

  • Les autorisations requises pour déclencher la réplication ad hoc sont définies correctement sur les partitions d’annuaire appropriées. Toutefois, l’utilisateur n’est pas membre d’un groupe de sécurité auquel l’autorisation changements de répertoire de réplication a été octroyée.

  • L’utilisateur qui déclenche la réplication ad hoc est membre des groupes de sécurité requis, et ces groupes de sécurité ont reçu l’autorisation répliquer les changements de répertoire . Toutefois, l’appartenance au groupe qui accorde l’autorisation modifications de répertoire de réplication est supprimée du jeton de sécurité de l’utilisateur par le contrôle de compte d’utilisateur (jeton d’accès utilisateur fractionné) qui a été introduit dans Windows Vista et windows Server 2008.

    Notes

    Ne confondez pas la fonctionnalité de sécurité de jeton scindé de contrôle de compte d’utilisateur qui a été introduite dans Vista et Windows Server 2008 avec l’attribut UserAccountControl qui est défini sur les comptes d’ordinateur de rôle de contrôleur de domaine qui sont stockés par le service Active Directory.

  • Si le contrôleur de domaine de destination est un RODC, RODCPREP n’a pas été exécuté dans les domaines qui hébergent actuellement des contrôleurs de domaine en lecture seule, ou le groupe Enterprise Read-Only Domain Controllers ne dispose pas des autorisations répliquer les changements de répertoire pour la partition qui n’est pas en cours de réplication.

  • Les contrôleurs de service qui exécutent de nouvelles versions de système d’exploitation ont été ajoutés à une forêt existante où Office Communication Server a été installé.

  • Vous avez des instances d’AD LDS et l’objet Paramètres NTDS pour les instances affectées est absent du conteneur de configuration des LDS. Par exemple, l’entrée suivante s’affiche :

    CN = Paramètres NtDs, CN = Serveur1 $ ADAMINST1, CN = serveur, CN = par défaut-premier-site-nom, CN = sites, CN = Configuration, CN = {A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Des erreurs et des événements Active Directory tels que ceux mentionnés dans la section symptômes peuvent également se produire et générer un message d’erreur 5 (accès refusé).

L’application des étapes pour l’erreur 5 ou l’erreur 8453 mentionnée dans la section résolution ne permet pas de résoudre les échecs de la réplication sur les ordinateurs qui échouent actuellement et qui génèrent l’autre message d’erreur.

Les causes principales des opérations Active Directory qui génèrent des messages d’erreur 5 sont les suivantes :

  • Décalage de temps excessif
  • La fragmentation des paquets Kerberos au format UDP par des périphériques intermédiaires sur le réseau ;
  • Absence de droits d’accès à cet ordinateur à partir des droits réseau .
  • Canaux sécurisés ou approbations intra-domaine rompus
  • CrashonAuditFail = 2 entrée dans le registre

Résolution

Pour résoudre ce problème, utilisez les méthodes suivantes.

Exécuter un contrôle d’intégrité à l’aide de DCDIAG + DCDIAG/test : CheckSecurityError

  1. Exécutez DCDIAG sur le contrôleur de destination qui signale l’erreur ou l’événement 8453.
  2. Exécutez DCDIAG sur le contrôleur de domaine source sur lequel le contrôleur de domaine de destination signale que l’erreur ou l’événement 8453 se produit.
  3. S’exécuter DCDIAG /test:CheckSecurityError sur le contrôleur de domaine de destination.
  4. S’exécuter DCDIAG /test:CheckSecurityError sur le contrôleur de contexte source.

Corriger l’UserAccountControl non valide

L’attribut UserAccountControl inclut un masque de réfixe qui définit les fonctionnalités et l’état d’un compte d’utilisateur ou d’ordinateur. Pour plus d’informations sur les indicateurs UserAccountControl , consultez la rubrique User-Account-Control Attribute.

La valeur d’attribut UserAccountControl classique pour un compte d’ordinateur DC accessible en écriture (complète) est 532480 décimale ou 82000 hex. Les valeurs UserAccountControl d’un compte d’ordinateur DC peuvent varier, mais elles doivent contenir les indicateurs SERVER_TRUST_ACCOUNT et TRUSTED_FOR_DELEGATION , comme indiqué dans le tableau suivant.

Indicateur de propriété Valeur hexadécimale Valeur décimale
SERVER_TRUST_ACCOUNT 0 x 2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
Valeur UserAccountControl 0x82000 532480

La valeur d’attribut UserAccountControl classique pour un compte d’ordinateur de contrôleur de domaine en lecture seule est 83890176 décimale ou 5001000 hexadécimale.

Indicateur de propriété Valeur hexadécimale Valeur décimale
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
Valeur UserAccountControl standard pour RODC 0x5001000 83890176
  • L’attribut UserAccountControl du contrôleur de domaine de destination ne dispose pas de l’indicateur SERVER_TRUST_ACCOUNT

    Si le test MachineAccount DCDIAG échoue et renvoie un message d’erreur MachineAcccount de test ayant échoué et que l’attribut UserAccountControl du contrôleur de domaine testé ne dispose pas de l’indicateur SERVER_TRUST_ACCOUNT , ajoutez l’indicateur manquant dans la copie d’Active Directory du contrôleur de domaine testé.

    1. Démarrez Adsiedit. MSC sur la console du contrôleur de domaine qui ne contient pas le SERVER_TRUST_ACCOUNT , comme indiqué par Dcdiag.
    2. Cliquez avec le bouton droit sur ADSIEdit dans le volet supérieur gauche de Adsiedit. MSC, puis sélectionnez se connecter à.
    3. Dans la boîte de dialogue paramètres de connexion , cliquez sur Sélectionner un contexte d’attribution de noms connu, puis sélectionnez contexte d’attribution de noms par défaut (partition de domaine du compte d’ordinateur).
    4. Cliquez sur Sélectionner ou entrez un domaine ou un serveur, puis sélectionnez le nom du contrôleur de domaine qui ne se trouve pas dans Dcdiag.
    5. Cliquez sur OK.
    6. Dans le contexte d’appellation de domaine, recherchez et cliquez avec le bouton droit sur le compte de l’ordinateur du contrôleur de domaine, puis sélectionnez Propriétés.
    7. Double-cliquez sur l’attribut UserAccountControl , puis enregistrez sa valeur décimale.
    8. Démarrez la calculatrice Windows en mode programmeur (Windows Server 2008 et versions ultérieures).
    9. Entrez la valeur décimale pour UserAccountControl. Convertissez la valeur décimale en son équivalent hexadécimal, ajoutez 0x80000 à la valeur existante, puis appuyez sur le signe égal (=).
    10. Convertissez la nouvelle valeur UserAccountContorl calculée en son équivalent décimal.
    11. Entrez la nouvelle valeur décimale de Windows Calculator à l’attribut UserAccountControl dans Adsiedit. MSC.
    12. Cliquez deux fois sur OK pour enregistrer.
  • L’attribut UserAccountControl du contrôleur de domaine de destination ne dispose pas de l’indicateur TRUSTED_FOR_DELEGATION

    Si le test MachineAccount DCDIAG renvoie un message d’erreur MachineAcccount de test ayant échoué et que l’attribut UserAccountControl du contrôleur de domaine testé ne contient pas l’indicateur de _FOR_DELEGATION approuvé , ajoutez l’indicateur manquant dans la copie d’Active Directory du contrôleur de domaine testé.

    1. Démarrez utilisateurs et ordinateurs Active Directory (DSA. MSC) sur la console du contrôleur de domaine qui a été testé par DCDIAG.

    2. Cliquez avec le bouton droit sur le compte d’ordinateur du contrôleur de domaine.

    3. Cliquez sur l’onglet délégation .

    4. Sur le compte d’ordinateur du contrôleur de domaine, sélectionnez l’option approuvé cet ordinateur pour la délégation à tout service (Kerberos uniquement) .

      Capture d’écran de l’option approuvé par cet ordinateur pour la délégation à tous les services.

Corriger les descripteurs de sécurité par défaut non valides

Les opérations Active Directory ont lieu dans le contexte de sécurité du compte qui a initié l’opération. Les autorisations par défaut sur les partitions Active Directory permettent les opérations suivantes :

  • Les membres du groupe administrateurs d’entreprise peuvent lancer une réplication ad hoc entre n’importe quel contrôleur de domaine de n’importe quel domaine de la même forêt.
  • Les membres du groupe Administrateurs intégré peuvent lancer une réplication ad hoc entre les contrôleurs de domaine dans le même domaine.
  • Les contrôleurs de domaine de la même forêt peuvent lancer la réplication à l’aide de la notification de modification ou de la planification de la réplication.

Les autorisations par défaut sur les partitions Active Directory n’autorisent pas les opérations suivantes par défaut :

  • Les membres du groupe Administrateurs intégrés dans un domaine ne peuvent pas initier une réplication ad hoc vers des contrôleurs de domaine de ce domaine à partir de contrôleurs de domaine dans différents domaines.
  • Les utilisateurs qui ne sont pas membres du groupe Administrateurs intégré ne peuvent pas initier une réplication ad hoc à partir de n’importe quel autre contrôleur de domaine dans le même domaine ou la même forêt.

De par leur conception, ces opérations échouent jusqu’à ce que les autorisations par défaut ou les appartenances aux groupes soient modifiées.

Les autorisations sont définies en haut de chaque partition d’annuaire (NC Head) et sont héritées dans l’arborescence de partition. Vérifiez que les groupes explicites (groupes dont l’utilisateur est directement membre) et les groupes implicites (groupes dont les groupes explicites ont l’appartenance imbriquée) disposent des autorisations requises. Vérifiez également que les autorisations refuser affectées à des groupes implicites ou explicites ne sont pas prioritaires sur les autorisations requises. Pour plus d’informations sur les partitions d’annuaire par défaut, voir sécurité par défaut de la partition d’annuaire de configuration.

  • Vérifier qu’il existe des autorisations par défaut dans la partie supérieure de chaque partition d’annuaire défectueuse et que le renvoi de l’accès à la réplication a été refusé

    Si la réplication ad hoc échoue entre les contrôleurs de domaine dans des domaines différents ou entre les contrôleurs de domaine dans le même domaine pour les administrateurs autres que les administrateurs de domaine, consultez la section accorder des autorisations autres que les administrateurs de domaine.

    Si la réplication ad hoc échoue pour les membres du groupe administrateurs d’entreprise, concentrez-vous sur les autorisations en-tête du contexte de nommage qui sont accordées au groupe administrateurs d’entreprise.

    Si la réplication ad hoc échoue pour les membres d’un groupe administrateurs de domaine, concentrez-vous sur les autorisations qui sont accordées au groupe de sécurité Administrateurs intégré.

    Si une réplication planifiée initiée par des contrôleurs de domaine dans une forêt échoue et renvoie l’erreur 8453, concentrez-vous sur les autorisations pour les groupes de sécurité contrôleurs de domaine de l’entreprise et contrôleurs de domaine de l’entreprise Read-Only.

    Si une réplication planifiée est lancée par des contrôleurs de domaine sur un contrôleur de domaine en lecture seule (RODC) échoue et retournant l’erreur 8453, vérifiez que le groupe de sécurité contrôleurs de domaine de l’entreprise Read-Only dispose de l’accès requis sur la tête CN de chaque partition d’annuaire.

    Le tableau suivant montre l’autorisation par défaut définie sur le schéma, la configuration, le domaine et les applications DNS par différentes versions de Windows.

    DACL requis sur chaque partition d’annuaire Windows Server 2008 et versions ultérieures
    Gérer la topologie de réplication X
    Réplication des modifications de répertoire X
    Synchronisation de la réplication X
    Réplication des modifications de l’annuaire X
    Réplication des modifications dans le jeu de filtres X

    Notes

    Le test NcSecDesc DCDIAG peut signaler des erreurs fausses lorsqu’il est exécuté dans des environnements qui comportent des versions système mixtes.

    La commande DSACLS peut être utilisée pour vider les autorisations sur une partition d’annuaire donnée à l’aide de la syntaxe suivante :
    DSACLS <DN path of directory partition>

    Par exemple, utilisez la commande suivante :

    C:\>dsacls dc=contoso,dc=com
    

    La commande peut être ciblée vers un contrôleur de domaine distant à l’aide de la syntaxe suivante :

    c:\>dsacls \\contoso-dc2\dc=contoso,dc=com
    

    Méfiez-vous des autorisations refuser sur les têtes NC en supprimant les autorisations pour les groupes dont l’utilisateur ayant échoué est un membre direct ou imbriqué.

Ajouter les autorisations requises manquantes

Utilisez l’éditeur ACL Active Directory dans Adsiedit. MSC pour ajouter les DACL manquants.

Accorder des autorisations autres que les administrateurs de domaine

Accorder aux administrateurs de non-domaine des autorisations de réplication entre les contrôleurs de domaine dans le même domaine pour les administrateurs non-entreprise et la réplication entre les contrôleurs de domaine dans différents domaines

Les autorisations par défaut sur les partitions Active Directory n’autorisent pas les opérations suivantes :

  • Les membres du groupe Administrateurs intégrés dans un domaine ne peuvent pas initier une réplication ad hoc à partir de contrôleurs de domaine dans différents domaines.
  • Les utilisateurs qui ne sont pas membres du groupe d’administrateurs de domaine intégré pour lancer une réplication ad hoc entre les contrôleurs de domaine dans le même domaine ou dans un domaine différent.

Ces opérations échouent jusqu’à ce que les autorisations sur les partitions d’annuaire soient modifiées.

Pour résoudre ce problème, appliquez l’une des méthodes suivantes :

  • Ajoutez des utilisateurs à des groupes existants qui ont déjà reçu les autorisations requises pour répliquer les partitions d’annuaire. (Ajoutez les administrateurs de domaine pour la réplication dans le même domaine ou le groupe administrateurs d’entreprise pour déclencher une réplication ad hoc entre différents domaines.)

  • Créez votre propre groupe, accordez-lui les autorisations requises sur les partitions d’annuaire sur l’ensemble de la forêt, puis ajoutez des utilisateurs à ces groupes.

KB303972 décrit comment créer un groupe de sécurité, ajouter les membres requis à ces groupes et accorder au groupe les DACL obligatoires sur les partitions Active Directory. Accordez au groupe de sécurité concerné les mêmes autorisations que celles répertoriées dans le tableau de la section corriger les descripteurs de sécurité par défaut non valides de cet article.

Vérifier l’appartenance au groupe dans les groupes de sécurité requis

Une fois que les groupes de sécurité appropriés ont reçu les autorisations requises sur les partitions d’annuaire, la dernière tâche consiste à vérifier que les utilisateurs qui lancent la réplication ont une appartenance effective dans des groupes de sécurité directs ou imbriqués disposant d’autorisations de réplication. Pour cela, procédez comme suit :

  1. Ouvrez une session en utilisant le compte d’utilisateur dans lequel la réplication ad hoc est défectueuse et le renvoi de l’accès à la réplication a été refusé.

  2. À l’invite de commandes, exécutez la commande suivante :

    WHOAMI /ALL
    
  3. Vérifiez que l’appartenance aux groupes de sécurité qui ont reçu le répertoire de réplication a modifié les autorisations sur les partitions d’annuaire appropriées.

    Si l’utilisateur a été ajouté au groupe autorisé qui a été modifié après la dernière ouverture de session de l’utilisateur, ouvrez une deuxième session, puis exécutez de WHOAMI /ALL nouveau la commande.

    Si cette commande n’affiche toujours pas l’appartenance aux groupes de sécurité attendus, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, sur l’ordinateur local, et exécutez- WHOAMI /ALL la à l’invite de commandes.

    Si l’appartenance au groupe diffère entre la WHOAMI /ALL sortie générée par des invites de commandes élevées et non élevées, reportez-vous à la rubrique lorsque vous exécutez une requête LDAP sur un contrôleur de domaine Windows Server 2008, vous obtenez une liste d’attributs partielle.

  4. Vérifiez que les appartenances au groupe imbriqué attendu existent.

    Si un utilisateur obtient des autorisations pour exécuter une réplication ad hoc en tant que membre du groupe imbriqué membre d’un groupe auquel ont été directement octroyées des autorisations de réplication, vérifiez la chaîne d’appartenance au groupe imbriqué. Par exemple, Microsoft CSS a vu l’échec de la réplication ad hoc Active Directory car les administrateurs de domaine et les groupes administrateurs d’entreprise ont été supprimés des groupes d’administrateurs intégrés.

Réplication RODC

Si la réplication initiée par ordinateur échoue sur les RODC, vérifiez que vous avez exécuté ADPREP /RODCPREP et que le groupe contrôleur de domaine du Read-Only Enterprise se voit accorder les modifications de répertoire répliquées directement sur chaque tête de contexte de nommage.

Office Communication Server

Si vous remarquez que les opérations AD échouent et renvoient l’erreur 8453 (l’accès de réplication a été refusé) dans une forêt existante qui exécute soit Office Communications Server 2005, soit Office Communications Server 2007, si cela se produit immédiatement après la promotion ou la mise à niveau vers des contrôleurs de domaine Windows Server 2008 ou Windows Server 2008 R2, reportez-vous à la rubrique Office Communications Server 2007 R2, OCS 2007 ou LCS 2005 ne fonctionne pas correctement après la mise à niveau vers Windows Server 2008 R2.

Objet Paramètres NTDS manquant pour le serveur AD LDS

Dans les services AD LDS (Active Directory Lightweight Directory Services), il est possible de supprimer l’objet (sans nettoyage des métadonnées dans DBDSUTIL). Par conséquent, il s’agit probablement de la cause de ce problème. Pour restaurer l’instance dans le jeu de configuration, vous devez désinstaller l’instance d’AD LDS sur les serveurs affectés, puis exécuter l’Assistant Configuration d’ADAM.

Notes

Si vous avez ajouté la prise en charge de LDAPs pour l’instance, vous devez configurer à nouveau le certificat dans le magasin de service, car la désinstallation de l’instance supprime également l’instance de service.