Active Directory 複寫錯誤8453:複寫存取遭到拒絕

本文說明如何疑難排解 Active Directory 複寫失敗的問題,並產生錯誤8453:複寫存取遭到拒絕。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   2022387

注意

家庭使用者: 本文僅適用于技術支援代理商和 IT 專業人員。 如果您正在尋找有關問題的說明,請 諮詢 Microsoft 社區

摘要

此錯誤8453主要原因如下:

  • 目的地網域控制站沒有複製命名內容/分割區所需的許可權。

  • 手動啟動複寫的管理員不具備這麼做的許可權。

    注意

    此條件不會影響定期或排程複寫。

主要原因

針對期間或排程複寫,如果目的地網域控制站是唯讀的網域控制站 (RODC) :

Enterprise Read-Only Domain security group (NC) 上沒有複寫之磁碟分割的根中,不會複製 目錄變更 許可權,而且會傳回錯誤8453。

主要解決方案

在 Rodc 未複製的每個 NC 上,並傳回錯誤8453,將 複製目錄變更 許可權授與樹系根網域的企業唯讀網域控制站安全性群組。

範例:

RODC childdc2.child.contoso.com 不會複製 contoso.com 分割區,而且會傳回錯誤8453。 若要疑難排解此狀況,請遵循下列步驟:

  1. 在網域控制站上開啟 ADSIEDIT。 contoso.com

  2. 開啟與 contoso.com 網域 NC 的連線 (預設命名內容) 。

  3. 開啟 [ dc = contoso,dc = COM NC] 的屬性,然後選取 [ 安全性 ] 索引標籤。

  4. 選取 [ 新增],然後在文字方塊中輸入下列專案:
    Contoso\Enterprise Read-Only 網域控制站

    注意

    這個群組只存在於樹系根域中。

  5. 選取 [ 檢查名稱],然後選取 [確定]

  6. 在 [ Enterprise Read-Only 網域控制站的許可權 ] 對話方塊中,清除自動選取的 [ 允許 ] 核取方塊:

    • 讀取
    • 讀取網域密碼 & 鎖定原則
    • 讀取其他網域參數
  7. 選取 [複製目錄變更] 旁邊的 [允許] 方塊,然後選取 [確定]

如果這些步驟無法解決問題,請參閱本文的其餘部分。

徵狀

發生此問題時,您會遇到下列一或多個徵兆:

  • DCDIAG 複寫測試 (DCDIAG /TEST:NCSecDesc) 報告已測試的網域控制站 失敗測試副本 ,且狀態為8453:已拒絕複寫存取:

    開始測試:複製
    [複製檢查,<目的地網域控制站]最近的複寫嘗試失敗:
    從 <source DC> <目的地 DC
    命名內容:
    複寫產生錯誤 (8453) :
    拒絕複寫存取。
    發生失敗 <date> <time> 。
    上次成功發生于 <date> <time> 。
    自上次成功之後發生% #% 失敗。
    目的地的機器帳戶 <destination DC> 。
    未正確設定。
    檢查 [userAccountControl] 欄位。
    Kerberos 錯誤。
    電腦帳戶不存在,或不符合。
    目的地、來源或 KDC 伺服器。
    驗證 KDC 的網域磁碟分割與其他企業的同步處理。
    工具 repadmin/syncall 可用於此目的。
    ......................... <DC tested by DCDIAG> 失敗的測試複製

  • DCDIAG NCSecDesc test (DCDIAG /TEST:NCSecDes) 報告由 dcdiag 所測試的網域控制站 無法測試 NCSecDec ,以及已測試的網域控制站上一個或多個目錄磁碟分割的 NC 頭上,有一個或多個許可權已被 dcdiag 所測試:

    開始測試: NCSecDesc
    錯誤 NT AUTHORITY\ENTERPRISE 網域控制站沒有
    複製目錄變更 <-遺失存取清單
    複寫同步處理 < 每個管理複寫拓撲所需的許可權 < 安全性群組可能會不同
    在篩選的 Set < 中複製目錄變更-視遺失
    命名內容的存取權限:在您的環境中 <-右
    DC=contoso,DC=com
    錯誤 CONTOSO\Domain 控制器沒有
    複製目錄全部變更
    命名內容的存取權限:
    DC=contoso,DC=com
    CONTOSO\Enterprise 網域控制站 Read-Only 的錯誤
    複製目錄變更
    命名內容的存取權限:
    DC=contoso,DC=com
    .........................CONTOSO-DC2 失敗的測試 NCSecDesc

  • DCDIAG MachineAccount test (DCDIAG /TEST:MachineAccount) 報告由 DCDIAG 測試的網域控制站 無法測試 MachineAccount ,因為網域控制站電腦帳戶上的 UserAccountControl 屬性缺少 SERVER_TRUST_ACCOUNTTRUSTED_FOR_DELEGATION 旗標:

    開始測試: MachineAccount
    帳戶 CONTOSO-DC2 不受信任以進行委派。 無法
    複製。
    CONTOSO-DC2 的帳戶不是 DC 帳戶。 無法複製。
    警告: CONTOSO-DC2 的屬性 userAccountControl 如下:
    0x288 = ( HOMEDIR_REQUIRED |ENCRYPTED_TEXT_PASSWORD_ALLOWED |NORMAL_ACCOUNT )
    DC 的一般設定為
    0x82000 = ( SERVER_TRUST_ACCOUNT |TRUSTED_FOR_DELEGATION )
    這可能會影響複寫?
    .........................CONTOSO-DC2 失敗的測試 MachineAccount

  • DCDIAG KCC 事件記錄測試指出 Microsoft-Windows ActiveDirectory_DomainService 事件2896的十六進位對應。

    B50 hex = 2896 十進位。 在基礎結構主機的網域控制站上,每60秒會記錄一次此錯誤。

    開始測試: KccEvent
    KCC 事件記錄測試
    發生錯誤事件。 EventID:0xC0000B50
    產生時間: 06/25/2010 07:45:07

    事件字串:
    用戶端對目錄磁碟分割 DirSync LDAP 要求。 由於下列錯誤,存取遭到拒。

    目錄分割區:
    <DN path of directory partition>

    錯誤值:
    8453複寫存取遭到拒絕。

    使用者動作
    用戶端可能沒有此要求的存取權。 如果用戶端需要該用戶端,則應該在有問題的目錄磁碟分割上,將控制存取許可權指派給「複製目錄變更」。

  • REPADMIN.EXE 報告複寫嘗試失敗並傳回8453狀態。

    通常表示8453狀態的 REPADMIN 命令包括但不限於下列。

    • REPADMIN /KCC

    • REPADMIN /REHOST

    • REPADMIN /REPLICATE

    • REPADMIN /REPLSUM

    • REPADMIN /SHOWREPL

    • REPADMIN /SHOWREPS

    • REPADMIN /SHOWUTDVEC

    • REPADMIN /SYNCALL

      REPADMIN /SHOWREPS顯示從 contoso-DC2 的輸入複寫到 contoso-DC1 失敗並傳回復寫 存取遭到拒絕 錯誤的範例輸出如下:

      Default-First-Site-Name\CONTOSO-DC1
      DSA 選項: IS_GC
      網站選項: (無)
      DSA 物件 GUID:
      DSA invocationID:
      DC=contoso,DC=com
      透過 RPC Default-First-Site-Name\CONTOSO-DC2
      DSA 物件 GUID: 74fbe06c-932c-46b5-831b-af9e31f496b2
      上次嘗試 @ <date> <time> 失敗,結果 8453 (0x2105) :
      拒絕複寫存取。
      < # > 連續失敗 (s) 。
      上次成功 @ <date> <time> 。

  • [Active Directory 網站和服務] 中的 [ 立即 複寫] 命令 (DSSITE。MSC) 傳回「複寫 存取遭到拒絕 」錯誤。

    在來源網域控制站中,以滑鼠右鍵按一下 connection 物件,然後選取 [ 立即 複寫] 失敗。 而且傳回「複寫 存取遭到拒絕 」錯誤。 會顯示下列錯誤訊息:

    對話方塊標題文字:立即複製
    對話方塊訊息文字:嘗試同步處理命名內容 <% directory 磁碟分割名稱% > (從網域控制站 <Source DC> 到網域控制站)時發生下列錯誤 <Destination DC> :
    拒絕複寫存取

    作業不會繼續
    對話方塊中的按鈕:確定

    錯誤訊息的螢幕擷取畫面

  • 具有8453狀態的 NTDS KCC、NTDS 一般或 Microsoft Windows ActiveDirectory_DomainService 事件都記錄在 Active Directory 指令服務 (AD DS) 事件記錄檔中。

通常表示8453狀態的 Active Directory 事件包括但不限於下列事件:

Event Source 事件識別碼 事件字串
Microsoft-Windows-ActiveDirectory_DomainService 1699 這個目錄服務無法取得下列目錄磁碟分割要求的變更。 因此,無法將變更要求傳送至下列網路位址的目錄服務。
Microsoft-Windows-ActiveDirectory_DomainService 2896 用戶端對目錄磁碟分割 DirSync LDAP 要求。 由於下列錯誤,存取遭到拒。
NTDS 一般 1655 Active Directory 嘗試與下列通用類別目錄進行通訊,但嘗試失敗。
NTDS KCC 1265 嘗試建立具有參數的複寫連結
分區: <partition DN path>
來源 DSA DN: <DN of source DC NTDS Settings object>
來源 DSA 位址: <source DCs fully qualified CNAME>
任何) 的網站間傳輸 (: <dn path>
失敗且狀態如下:
NTDS KCC 1925 嘗試為下列可寫入的目錄分割區建立複寫連結失敗。

原因

錯誤 8453 (拒絕複寫存取) 有多種根本原因,包括:

  • 目的地網域控制站電腦帳戶上的 UserAccountControl 屬性缺失下列任一種旗標:
    SERVER_TRUST_ACCOUNTTRUSTED_FOR_DELEGATION

  • 預設許可權不存在於一或多個目錄磁碟分割上,允許在作業系統的安全性內容中進行排程複寫。

  • 預設或自訂許可權不存在於一或多個目錄磁碟分割上,允許使用者使用 DSSITE 觸發臨時或立即複寫。MSC 立即 複寫、 repadmin /replicaterepadmin /syncall 或類似的命令。

  • 在相關目錄磁碟分割上正確定義觸發臨時複寫所需的許可權。 不過,使用者不是授與「複寫目錄變更」許可權的任何安全性群組的成員。

  • 觸發臨時複寫的使用者是必要安全性群組的成員,而且已將「複寫 目錄變更 」許可權授與那些安全性群組。 不過, 使用者帳戶控制 分割使用者存取權杖功能會從使用者的安全性權杖中移除授與「複製目錄變更」許可權之群組中的成員資格。 這項功能已引進 Windows Vista 和 Windows Server 2008。

    注意

    請勿將 Vista 和 Windows Server 2008 中引進的使用者帳戶控制分割權杖安全性功能與 Active Directory 服務儲存的網域控制站角色電腦帳戶上所定義的 UserAccountControl 屬性進行混淆。

  • 若目的地網域控制站是 RODC,RODCPREP 未在目前主控唯讀網域控制站的網域中執行,或是 Enterprise Read-Only 網域控制站群組沒有複製的磁碟分割的複寫 目錄變更 許可權。

  • 已將執行新作業系統版本的 Dc 新增至已安裝 Office Communication Server 的現有樹系中。

  • 您有輕量目錄服務 (LDS) 實例。 而受影響的實例的 NTDS 設定 物件會從 ld 設定容器中遺失。 例如,您會看到下列專案:

    CN = NtDs 設定,CN = Server1 $ ADAMINST1,CN = Server,CN = Default-First-Site-Name,CN = Sites,CN=Configuration,CN = {A560B9B8-6B05-4000-9A1F-9A853DB6615A}

Active Directory 錯誤和事件(例如「 徵兆 」一節所述)可能也會發生,並產生錯誤5訊息 (拒絕存取) 。

解決 」區段中提及的錯誤5或錯誤8453步驟,不會解決目前失敗複寫之電腦上的複寫失敗,並產生其他錯誤訊息。

產生錯誤5訊息之 Active Directory 作業失敗的常見根本原因包括:

  • 過量的時間歪斜
  • 由網路上的中間裝置所組成之 UDP 格式化 Kerberos 封包的分散功能
  • 遺失 從網路權力存取此電腦
  • 中斷安全通道或網域內信任
  • CrashOnAuditFail = 2 登錄中的專案

解決方案

若要解決此問題,請使用下列方法。

使用 DCDIAG + DCDIAG/test 執行健康情況檢查: CheckSecurityError

  1. 在報告8453錯誤或事件的目的地 DC 上執行 DCDIAG。
  2. 在目的地網域控制站報告8453錯誤或事件的來源網域控制站上執行 DCDIAG。
  3. DCDIAG /test:CheckSecurityError在目的地網域控制站上執行。
  4. DCDIAG /test:CheckSecurityError在來源 DC 上執行。

修正不正確 UserAccountControl

UserAccountControl 屬性包含位元遮罩,可定義使用者或電腦帳戶的功能和狀態。 如需有關 UserAccountControl 旗標的詳細資訊,請參閱 User-Account-Control 屬性

寫入 的 (full) DC 電腦帳戶的一般 UserAccountControl 屬性值為532480十進位或82000十六進位。 DC 電腦帳戶的 UserAccountControl 值可能會不同,但必須包含 SERVER_TRUST_ACCOUNTTRUSTED_FOR_DELEGATION 旗標,如下表所示。

屬性旗標 十六進位值 十進位值
SERVER_TRUST_ACCOUNT 0x2000 8192
TRUSTED_FOR_DELEGATION 0x80000 524288
UserAccountControl 值 0x82000 532480

唯讀網域控制站電腦帳戶的一般 UserAccountControl 屬性值為83890176十進位或5001000十六進位。

屬性旗標 十六進位值 十進位值
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 0x1000000 16777216
PARTIAL_SECRETS_ACCOUNT 0X4000000 67108864
RODC 的一般 UserAccountControl 值 0x5001000 83890176
  • 目的地網域控制站上的 UserAccountControl 屬性遺失 SERVER_TRUST_ACCOUNT 旗標

    如果 DCDIAG MachineAccount 測試失敗並傳回失敗的 測試 MachineAcccount 錯誤訊息,且已測試的網域控制站上的 UserAccountControl 屬性缺少 SERVER_TRUST_ACCOUNT 旗標,請在已測試的網域控制站的 Active Directory 複本中新增遺失的旗標。

    1. 啟動 ADSIEDIT。MSC 的網域控制站主控台中遺失 DCDIAG 所報告的 SERVER_TRUST_ACCOUNT
    2. 在 ADSIEDIT 左上方窗格中,以滑鼠右鍵按一下 [ADSIEDIT]。MSC,然後選取 [連線至]
    3. 在 [連線 設定 ] 對話方塊中,按一下 [ 選取知名的命名內容],然後選取 [ 預設命名內容 (電腦帳戶網域磁碟分割]) 。
    4. 按一下 [ 選取或輸入網域或伺服器]。 並選取在 DCDIAG 失敗的網域控制站名稱。
    5. 選取 [確定]。
    6. 在網域命名內容中,找出並以滑鼠右鍵按一下 [網域控制站電腦帳戶],然後選取 [ 屬性]。
    7. 按兩下 [ UserAccountControl ] 屬性,然後記錄其小數值。
    8. 在 Windows Server 2008 和更新版本) 的程式師模式中啟動 Windows 計算機 (。
    9. 輸入 UserAccountControl 的小數值。 將十進位值轉換成其十六進位對等值,將 0x80000 新增至現有的值,然後按等號 (=) 。
    10. 將新計算的 UserAccountContorl 值轉換成十進位對等值。
    11. 從 [Windows 計算機] 中輸入新的十進位值到 ADSIEDIT 中的 UserAccountControl 屬性。.MSC.
    12. 選取 [確定] 兩次儲存。
  • 目的地網域控制站上的 UserAccountControl 屬性遺失 TRUSTED_FOR_DELEGATION 旗標

    如果 DCDIAG MachineAccount 測試傳回失敗的 測試 MachineAcccount 錯誤訊息,且已測試的網域控制站上的 UserAccountControl 屬性缺少 [ 信任的 _FOR_DELEGATION ] 旗標,請在已測試的網域控制站的 Active Directory 複本中新增遺失的旗標。

    1. 啟動 Active Directory 使用者和電腦 (DSA。MSC) 在 DCDIAG 所測試的網域控制站主控台上。

    2. 以滑鼠右鍵按一下 [網域控制站電腦] 帳戶。

    3. 選取 [ 委派 ] 索引標籤。

    4. 在 [網域控制站電腦] 帳戶上,選取 [ 信任此電腦以委派任何服務 () Kerberos ]] 選項。

      [信任此電腦以委派任何服務] 選項。

修正不正確預設安全性描述項

Active Directory 作業會在啟動作業之帳戶的安全性內容中進行。 Active Directory 磁碟分割的預設許可權允許下列作業:

  • Enterprise Administrators 群組的成員可以在相同樹系的任何網域中的任何網域控制站之間啟動臨時複寫。
  • 內建管理員群組的成員可以在相同網域中的網域控制站之間啟動特殊複寫。
  • 相同樹系中的網域控制站可以使用變更通知或複寫排程來開始複寫。

根據預設,Active Directory 磁碟分割的預設許可權不允許下列作業:

  • 一個網域中內建管理員群組的成員無法從不同網域中的網域控制站開始對該網域中的網域控制站進行臨時複寫。
  • 不是內建管理員群組成員的使用者,無法在相同網域或樹系中的任何其他網域控制站上啟動臨時複寫。

依照設計,這些作業會在修改預設許可權或群組成員資格之前失敗。

許可權是在每個目錄分割區的頂端定義 (NC 頭) ,而且會在整個分割區樹狀目錄中繼承。 確認明確群組 (群組成員的明確群組) 與隱含群組的成員, (群組具有) 的嵌套成員資格,具有必要的許可權。 此外,請確認指派給隱含或明確群組的 [拒絕] 許可權不會優先于必要的許可權。 如需預設目錄磁碟分割的詳細資訊,請參閱設定 目錄磁碟分割的預設安全性

  • 確認預設許可權存在於每個失敗的目錄磁碟分割上方,且傳回復寫存取遭到拒絕

    若不同網域中的網域控制站或非網域系統管理員的相同網域中的網域控制站之間的特殊複寫失敗,請參閱 授與非網域系統管理員許可權 一節。

    若 Enterprise Administrators 群組的成員的特殊複寫失敗,則會專注于授與 Enterprise Administrators 群組的 NC 頭許可權。

    若 Domain Administrators 群組的成員無法進行特殊複寫,請著重于授與內建系統管理員安全性群組的許可權。

    如果樹系中的網域控制站所啟動的排程複寫失敗,並傳回錯誤8453,請著重于下列安全性群組的許可權:

    • 企業網域控制站
    • 企業 Read-Only 網域控制站

    如果已在唯讀網域控制站上的網域控制站啟動排程複寫 (RODC) 會失敗並傳回錯誤8453,請確認已授與 Enterprise Read-Only Domain controller 安全性群組的要求存取權在每個目錄磁碟分割的 NC 頭上。

    下表顯示各種 Windows 版本在架構、設定、網域和 DNS 應用程式上定義的預設許可權。

    每個目錄磁碟分割所需的 DACL Windows Server 2008 和更新版本
    管理複寫拓撲 X
    複製目錄變更 X
    複寫同步處理 X
    複製目錄全部變更 X
    在篩選集中複製變更 X

    注意

    在具有混合系統版本的環境中執行 DCDIAG NcSecDesc 測試時,可能會報告誤報錯誤。

    使用下列語法,可使用 DSACLS 命令來轉儲指定目錄磁碟分割的許可權:
    DSACLS <DN path of directory partition>

    例如,使用下列命令:

    C:\>dsacls dc=contoso,dc=com
    

    您可以使用下列語法,將命令設為遠端網域控制站的目標:

    c:\>dsacls \\contoso-dc2\dc=contoso,dc=com
    

    請警惕 NC 頭的「拒絕」許可權移除失敗使用者是直接或嵌套成員之群組的許可權。

新增遺失的必要許可權

使用 ADSIEDIT 中的 Active Directory ACL 編輯器。MSC 以新增缺少的 DACL。

授與非網域管理員許可權

授與非網域系統管理員下列許可權:

  • 在非企業系統管理員的相同網域中的網域控制站之間進行複製
  • 在不同網域中的網域控制站之間進行複製

Active Directory 磁碟分割的預設許可權不允許下列作業:

  • 一個網域中內建管理員群組的成員無法在不同網域的網域控制站上啟動臨時複寫。
  • 不是內建網域管理員群組成員的使用者,在相同網域或不同網域中的網域控制站之間啟動特殊複寫。

這些作業會在修改目錄磁碟分割的許可權後失敗。

若要解決此問題,請使用下列其中一種方法:

  • 將使用者新增至現有的群組,但這些群組已被授與複製目錄磁碟分割的必要許可權。 (在相同網域中新增域管理員以進行複寫,或從 Enterprise Administrators 群組中觸發不同網域之間的特殊複寫。 )

  • 建立您自己的群組,授與群組整個樹系中目錄磁碟分割的必要許可權,然後將使用者新增至這些群組。

如需詳細資訊,請參閱 KB303972。 授與「 修正不正確預設安全性描述項 」區段中表格中所列的相同許可權的安全性群組。

驗證所需安全性群組中的群組成員資格

在正確的安全性群組授與目錄分割區的必要許可權之後,請確認啟動複寫的使用者具有授與複寫許可權的直接或嵌套安全性群組中的有效成員資格。 若要這麼做,請遵循下列步驟:

  1. 使用臨時複寫失敗的使用者帳戶登入,並且傳回復寫 存取遭到拒絕

  2. 在命令提示字元中,執行下列命令:

    WHOAMI /ALL
    
  3. 請確認已授與相關目錄磁碟分割的複寫目錄變更許可權的安全性群組中的成員資格。

    如果使用者已新增至允許的群組中最後一次使用者登入時變更,請再次登入,然後再次執行此 WHOAMI /ALL 命令。

    如果此命令仍然不會顯示預期安全性群組中的成員資格,請在本機電腦上開啟提升許可權的命令提示字元視窗,然後在命令提示字元中執行 WHOAMI /ALL

    [!注意] 如果群組成員資格與 WHOAMI /ALL 提升和非提升許可權的命令提示所產生的輸出不同,請參閱 當您針對以 Windows Server 2008 為基礎的網域控制站執行 LDAP 查詢時,您會取得部分屬性清單

  4. 確認預期的嵌套群組成員資格存在。

    如果使用者取得執行特殊複寫的許可權,而該成員是以嵌套群組成員的身分,又是直接授與複寫許可權之群組的成員,請驗證嵌套的群組成員資格鏈。 因為網域管理員和 Enterprise Administrators 群組已從內建的管理員群組中移除,所以我們發現臨時的 Active Directory 複寫失敗。

RODC 複寫

若 Rodc 上的電腦啟動複寫失敗,請確認您已執行, ADPREP /RODCPREP 且企業 Read-Only 的網域控制站群組已授與每個 NC 頭上的「複寫 目錄變更 」許可權。

缺少 LDS 伺服器的 NTDS 設定物件

在 Active Directory 輕型目錄服務 (LDS) 中,您可以在 DBDSUTIL 中刪除沒有中繼資料清除的物件。 這可能會造成此問題。 若要將實例還原至設定集,您必須在受影響的伺服器上卸載該 LDS 實例,然後再執行 ADAM 設定向導。

注意

如果您已新增此實例的 LDAPS 支援,則必須再次設定服務存放區中的憑證,因為卸載此實例也會移除服務實例。