Réplication AD - l’accès à la réplication a été refusé (Erreur 8453)

Envoyer Imprimer PDF

Dernièrement, j’ai eu un problème de réplication sur une de mes maquettes. L’erreur remontée par l’outil « repadmin » portait le code erreur « 8453 ». Le message indiquait que « L’accès à la réplication a été refusé ».

 

Fait étrange, une seule partition était concernée. En l’occurrence, il s’agissait de la partition de domaine. La partition de configuration et de schéma se répliquait correctement.

Afin de solutionner mon problème, je me suis référé à la KB Microsoft 2022387 (http://support.microsoft.com/kb/2022387). Hormis un problème de droits avec le compte utilisateur (peu probable étant administrateur du domaine), l’accès refusé pouvait provenir soir d’un problème sur l’attribut « userAccountControl » du compte ordinateur d’un des contrôleurs de domaine incriminé, soit d’un problème de droits sur la partition de domaine.

Le problème sur l’attribut « userAccountControl » ne semblait pas être la cause sachant que certaines partitions se répliquaient correctement. Par acquis de conscience, j’ai toutefois vérifié à l’aide de la commande « dcdiag /test:machineaccount ».

 

J’ai ensuite continué le diagnostic en testant les accès sur l’ensemble de mes partitions Active Directory à l’aide de la commande « dcdiag /test:ncssecdesc ».

BINGO !

 

Le test est particulièrement utile car il permet de lister l’ensemble des droits manquants. On pourrait d’ailleurs confirmer le résultat à l’aide de la commande « dsacls <PARTITION DN> » (distinguishedName de la partition concernée).

 

Clairement, les droits d'accès par défaut doivent être mis à jour sur la partition de domaine. Pour cela, le plus simple est d’utiliser l’outil « ADSIEDIT ».

 

Dans mon exemple, je me connecte donc à la partition de domaine « default naming context ». Dans votre cas, il pourrait peut-être s’agir de la partition de configuration, de schéma ou autre…

 

Il me suffit d’accéder aux propriétés de ma partition, et, depuis l’onglet « Sécurité », rajouter les droits manquants et lister par DCDIAG.

 

 

 

 

 

 

 

 

 

Le cas échéant, on relance le test « dcdiag /test:ncsecdesc » pour valider que nous n’avons rien oublié.

 

La réplication devrait être de nouveau opérationnelle !

 

Pour votre information, Microsoft liste les droits par défaut pour les trois partitions par défaut d'une forêt:

Mise à jour le Mercredi, 23 Avril 2014 10:40