Accès refusé

/>
Par conséquent, une erreur Access Denied (Accès refusé) signifie qu’il s’est passé quelque chose qui expose la sécurité entre les partenaires de réplication. L’une des causes racine les plus courantes est une synchronisation de temps incorrecte sur l’un des DC. La réplication elle-même ne dépend pas du temps – mais Kerberos en dépend. Or Kerberos exige une étroite synchronisation de temps entre les DC. Si leurs horloges internes diffèrent de plus de cinq minutes (par défaut), Kerberos échouera et vous recevrez un message d’erreur signalant que l’accès au DC source a été refusé.

Le journal système contiendra des erreurs Kerberos et probablement W32Time. Utilisez la commande Net Time /QuerySNTP pour voir quels serveurs de temps sont configurés pour le DC en question. Un DC est membre d’un domaine par définition ; si un DC n’est pas l’émulateur PDC du domaine racine, sa configuration de serveur de temps devrait être vide, parce que le serveur NTP (Network Time Protocol) par défaut pour un DC non-PDC est le PDC de son domaine. Si le DC en question est dans un domaine enfant, le PDC consulte un DC dans le domaine racine comme source de temps et ces DC à leur tour consultent le PDC de leur domaine parent (généralement le domaine racine) comme la source de temps ayant autorité pour toute la forêt.

Utilisez la commande Net Time /SetSNTP: pour supprimer les références à un serveur de temps explicite. Vous pouvez ensuite utiliser la commande W32tm particulièrement commode pour contrôler les paramètres NTP du DC. Pour forcer le DC à trouver une source de temps et se synchroniser à elle, exécutez la commande W32tm /Resync /Rediscover. Vous pourriez aussi exécuter la commande W32tm /Config /Sync fromflags:DOMHIER pour synchroniser à partir d’un DC dans la hiérarchie de domaines. Pour vérifier les paramètres NTP sur tous les DC du domaine, exécutez la commande W32tm /Monitor. Surveillez l’horloge du plateau système pour savoir quand les changements de temps entrent en vigueur. (Pour plus d’informations sur le mode de fonctionnement de Windows Time, voir les articles Microsoft « How Windows Time Service Works » et « How to configure an authoritative time server in Windows Server 2003 ».

Lorsque le temps a été désynchronisé si longtemps que les tickets Kerberos du DC ont expiré, vous devez désactiver le KDC (Key Distribution Center) sur le DC et réinitialiser. (Pour désactiver le KDC, arrêtez-le dans l’applet Control Panel Services et réglez Startup sur Disabled.) Cette manoeuvre efface les tickets Kerberos et oblige le DC à obtenir de nouveaux tickets de l’un des DC fonctionnels restants.