none
8453 Доступ к репликации отвергнут RRS feed

  • Общие обсуждения

  • Было два КД на winserver 2008R2

    У них в логах постоянно записывалась ошибка

    Клиент выдал LDAP-запрос DirSync для раздела каталога. В доступе отказано из-за следующей ошибки.
     
    Раздел каталога:
    dc=mall,dc=local
    Значение ошибки:
    8453 Доступ к репликации отвергнут.
     
    Действие пользователя
    Возможно, клиент не имеет доступа к данному запросу.  Если клиенту требуется этот запрос, необходимо  назначить правило управления доступом "Репликация изменений каталога" для раздела каталога в вопросе.

    Было запланировано обновление КД и переход на winserver2012R2, думал обновим и ошибка пропадет

    Железо и ПО пришло, завели новые КД, потом штатными средствами понизили старые КД. Подняли уровень домена до 2012R2 но ошибка не прошла.

    Запрос DirSync по искал во всем лесу, во всех DNSах - результата нет.

    Помогите, пожалуйста, локализовать проблему.

    Спасибо!

    25 декабря 2014 г. 13:23

Все ответы

  • Выложите здесь вывод

    dcdiag /q

    с обоих контроллеров и

    посмотрите статью http://support.microsoft.com/kb/2022387/ru


    Microsoft Certified Doing Nothing Expert

    25 декабря 2014 г. 13:59
  • dcdiag с DC4

    C:\Users\>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = MALL-S-DC4
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: MAINSITE\MALL-S-DC4
          Запуск проверки: Connectivity
             ......................... MALL-S-DC4 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: MAINSITE\MALL-S-DC4
          Запуск проверки: Advertising
             ......................... MALL-S-DC4 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... MALL-S-DC4 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... MALL-S-DC4 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... MALL-S-DC4 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... MALL-S-DC4 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... MALL-S-DC4 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... MALL-S-DC4 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - POKOM\Контроллеры домена предприятия - только чтение не имеет

                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=vpo-mip,DC=ru
             ......................... MALL-S-DC4 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             [MALL-S-DC4] В учетных данных пользователя отсутствует разрешение на
             выполнение данной операции.
             Учетная запись, используемая для этой проверки, должна иметь права на
             вход в сеть
             для домена данного компьютера.
             ......................... MALL-S-DC4 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... MALL-S-DC4 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [Проверка репликации,MALL-S-DC4] Сбой функции
             DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
             "Доступ к репликации отвергнут."
             ......................... MALL-S-DC4 - не пройдена проверка
             Replications
          Запуск проверки: RidManager
             ......................... MALL-S-DC4 - пройдена проверка RidManager
          Запуск проверки: Services
                Не удалось открыть службу NTDS в MALL-S-DC4, ошибка 0x5
                "Отказано в доступе."
             ......................... MALL-S-DC4 - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   16:52:24
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             ......................... MALL-S-DC4 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... MALL-S-DC4 - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: mall
          Запуск проверки: CheckSDRefDom
             ......................... mall - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... mall - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: pokom.ru
          Запуск проверки: LocatorCheck
             ......................... pokom.ru - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... pokom.ru - пройдена проверка Intersite

    dcdiag c DC5

    C:\Users\>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = MALL-S-DC5
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: MAINSITE\MALL-S-DC5
          Запуск проверки: Connectivity
             ......................... MALL-S-DC5 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: MAINSITE\MALL-S-DC5
          Запуск проверки: Advertising
             ......................... MALL-S-DC5 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... MALL-S-DC5 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... MALL-S-DC5 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... MALL-S-DC5 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... MALL-S-DC5 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... MALL-S-DC5 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... MALL-S-DC5 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             ......................... MALL-S-DC5 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             [MALL-S-DC5] В учетных данных пользователя отсутствует разрешение на
             выполнение данной операции.
             Учетная запись, используемая для этой проверки, должна иметь права на
             вход в сеть
             для домена данного компьютера.
             ......................... MALL-S-DC5 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... MALL-S-DC5 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [Проверка репликации,MALL-S-DC5] Сбой функции
             DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
             "Доступ к репликации отвергнут."
             ......................... MALL-S-DC5 - не пройдена проверка
             Replications
          Запуск проверки: RidManager
             ......................... MALL-S-DC5 - пройдена проверка RidManager
          Запуск проверки: Services
                Не удалось открыть службу NTDS в MALL-S-DC5, ошибка 0x5
                "Отказано в доступе."
             ......................... MALL-S-DC5 - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   16:11:55
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   16:21:15
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             ......................... MALL-S-DC5 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... MALL-S-DC5 - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: mall
          Запуск проверки: CheckSDRefDom
             ......................... mall - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... mall - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: pokom.ru
          Запуск проверки: LocatorCheck
             ......................... pokom.ru - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... pokom.ru - пройдена проверка Intersite

    25 декабря 2014 г. 14:06
  • Вы dcdiag запускали "Run as Administrator"?

    Microsoft Certified Doing Nothing Expert

    25 декабря 2014 г. 14:28
  • Нет, спасибо за подсказку.

    На DC4

    C:\Windows\system32>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = MALL-S-DC4
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: MAINSITE\MALL-S-DC4
          Запуск проверки: Connectivity
             ......................... MALL-S-DC4 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: MAINSITE\MALL-S-DC4
          Запуск проверки: Advertising
             ......................... MALL-S-DC4 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... MALL-S-DC4 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... MALL-S-DC4 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... MALL-S-DC4 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... MALL-S-DC4 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... MALL-S-DC4 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... MALL-S-DC4 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - POKOM\Контроллеры домена предприятия - только чтение не имеет

                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=vpo-mip,DC=ru
             ......................... MALL-S-DC4 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... MALL-S-DC4 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... MALL-S-DC4 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... MALL-S-DC4 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... MALL-S-DC4 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... MALL-S-DC4 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   16:52:24
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   17:28:21
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             ......................... MALL-S-DC4 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... MALL-S-DC4 - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: mall
          Запуск проверки: CheckSDRefDom
             ......................... mall - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... mall - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: pokom.ru
          Запуск проверки: LocatorCheck
             ......................... pokom.ru - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... pokom.ru - пройдена проверка Intersite

    НА DC5

    все хорошо, кроме:

    Запуск проверки: SystemLog
       ......................... MALL-S-DC5 - не пройдена проверка SystemLog


    • Изменено Pogreb 25 декабря 2014 г. 14:33
    25 декабря 2014 г. 14:32
  •       Запуск проверки: NCSecDesc

             Ошибка - POKOM\Контроллеры домена предприятия - только чтение не имеет

                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=vpo-mip,DC=ru
             ......................... MALL-S-DC4 - не пройдена проверка NCSecDesc

         

    Если у вас нет и не планируется контроллеров домена только для чтения (RODC) то ошибку можно просто игнорировать. Если не хотите игнорировать - запустите adprep /rodcprep с дистрибутива Win2012R2

    Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   16:52:24
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 12/25/2014   17:28:21
                Строка события:
                Windows не удалось применить параметры "Internet Explorer Zonemappin
    g". Параметры "Internet Explorer Zonemapping" могут иметь свой собственный файл
    журнала. Щелкните ссылку "Дополнительные сведения".
             ......................... MALL-S-DC4 - пройдена проверка SystemLog

    Не применяется политика определения зон безопасности для IE. На работу AD не влияет.

    Слава России!

    25 декабря 2014 г. 23:23
  • C:\Windows\system32>"E:\support\adprep\adprep.exe" /rodcPrep
    Операция Rodcprep уже успешно выполнена.
    [Состояние/результат]
    Программа Adprep не предпринимала попыток повторить эту операцию.

    Ждать репликации?

    26 декабря 2014 г. 5:51
  • В добавление к ошибке. Почему именно учетка с другого домена записывается в лог?

    26 декабря 2014 г. 5:59
  • В 10.03 ошибка опять записалась!
    26 декабря 2014 г. 7:51
  • Ошибка продолжает регистрироваться.

    В другом домене такая ошибка не регистрируется!

    Что еще можно попробовать?

    26 декабря 2014 г. 14:21
  • Вы о какой ошибке сейчас? О той, которая в первом сообщении, или в предпоследнем?

    Microsoft Certified Doing Nothing Expert

    26 декабря 2014 г. 14:38
  • И о ошибке 8453 Доступ к репликации отвергнут.

    и о ошибке на DC4 после dcdiag

      Запуск проверки: NCSecDesc

             Ошибка - POKOM\Контроллеры домена предприятия - только чтение не имеет

                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=vpo-mip,DC=ru
             ......................... MALL-S-DC4 - не пройдена проверка NCSecDesc

    26 декабря 2014 г. 14:45
  • Значит, это, скорее всего, Lync запрашивает синхронизацию AD.

    Зачем - не знаю.


    Слава России!

    26 декабря 2014 г. 21:19
  • Если он запрашивает синхронизацию AD то почему данная ошибка только в моем домене?

    При чем у нас Линк в облаке, а у них железный!

    27 декабря 2014 г. 5:42
  • Специалисты, есть еще варианты как убрать ошибку из логов?
    29 декабря 2014 г. 8:41
  • Вариант есть и очевидный: дать расширенное разрешение Replicating Directory Changes на раздел домена учётной записи того компьютера, имя которого указано в событии.

    Слава России!

    29 декабря 2014 г. 16:39
  • А можно как нибудь данной учетной записи из другого домена запретить делать данные запросы?
    30 декабря 2014 г. 6:33