none
System Management - не удается пройти проверку на публикацию в AD RRS feed

  • Вопрос

  • Доброго времени суток!

                                                 

    При прохождении проверки условий для установки SCCM2012 не удается пройти требование:

                                                                                  

    The site server might be unable to publish to Active Directory. The computer account for the site server must have Full Control permissions to the System Management container in its Active Directory domain. You can ignore this warning if you have manually verified these permissions. For more information about your options to configure required permissions, see http://go.microsoft.com/fwlink/p/?LinkId=233190.

                                                      

    Описание инфраструктуры:

    Уровень леса : 2003 

    Уровень домена : 2003

    5 Ролей FSMO находятся на одном сервере   [OS WS2008R2 Standart] - Далее FSMO

    Партнёры по репликации : сервера Global Catalog : 10 ШТ  [OS WS2008R2 Standart]

    Сервер SCCM:WS2012R2 with Update x64 Standart,Версия SCCM:2012R2 - Далее SCCM

                                                     

    Воспроизведение проблемы:

    На сайте FSMO модифицирую схему:Создаю контейнер CN=System Management,CN=System,DC=domain,DC=com.

                                                          

    Далее захожу в свойства созданного контейнера CN=System Management,CN=System,DC=domain,DC=com , во вкладке Security добавляю сервер SCCM и даю полный доступ на этот контейнер , захожу во вкладку Advanced и применяю полный доступ к контейнеру System Management и ко всем дочерним контейнерам(во вкладках обьект и свойства везде стоят галочки "Allow")

                                            

    Сохраняю сделанные изменения,перезагружаю сервер sccm,логинюсь на него аккаунтом с правами Domain admin,enterprise admin,schema admin.

                                           

    Запускаю установку SCCM2012,выбираю роли и настройки будущего сайта,когда доходит до проверки требований,проверка публикации в AD не проходит.

                                                                      

    В логах -

    ConfigMgrPrereq.log:

    INFO:CheckMachineAccountHasADAccess <sccm.domain.com>
    ERROR: Site server does not have create child permission on AD 'System Management'
    WARN: Site server does not have delete child permission on AD 'System Management'

    smstsvc.log

    INFO: Domain:<domain.com>, Computer:<sccm$>.
    INFO:ADsOpenObject <LDAP://CN=System Management,CN=System,DC=domain,DC=com>.
    ERROR: ADsOpenObject <LDAP://CN=System Management,CN=System,DC=domain,DC=com> return 0.

                                                               

    PS: Схема расширена(Расширял запуском ExtADSch.exe лог прилагаю):

    Modifying Active Directory Schema - with SMS extensions.

    DS Root:CN=Schema,CN=Configuration,DC=domain,DC=com
    Attribute cn=MS-SMS-Site-Code already exists.
    Attribute cn=mS-SMS-Assignment-Site-Code already exists.
    Attribute cn=MS-SMS-Site-Boundaries already exists.
    Attribute cn=MS-SMS-Roaming-Boundaries already exists.
    Attribute cn=MS-SMS-Default-MP already exists.
    Attribute cn=mS-SMS-Device-Management-Point already exists.
    Attribute cn=MS-SMS-MP-Name already exists.
    Attribute cn=MS-SMS-MP-Address already exists.
    Attribute cn=mS-SMS-Health-State already exists.
    Attribute cn=mS-SMS-Source-Forest already exists.
    Attribute cn=MS-SMS-Ranged-IP-Low already exists.
    Attribute cn=MS-SMS-Ranged-IP-High already exists.
    Attribute cn=mS-SMS-Version already exists.
    Attribute cn=mS-SMS-Capabilities already exists.

    Class cn=MS-SMS-Management-Point already exists.
    Located LDAP://cn=MS-SMS-Management-Point,CN=Schema,CN=Configuration,DC=domain,DC=com
    Successfully updated class LDAP://cn=MS-SMS-Management-Point,CN=Schema,CN=Configuration,DC=domain,DC=com.
    Class cn=MS-SMS-Server-Locator-Point already exists.
    Located LDAP://cn=MS-SMS-Server-Locator-Point,CN=Schema,CN=Configuration,DC=domain,DC=com
    Successfully updated class CN=Schema,CN=Configuration,DC=domain,DC=com.
    Class cn=MS-SMS-Site already exists.
    Located LDAP://cn=MS-SMS-Site,CN=Schema,CN=Configuration,DC=domain,DC=com
    Successfully updated class LDAP://cn=MS-SMS-Site,CN=Schema,CN=Configuration,DC=domain,DC=com.
    Class cn=MS-SMS-Roaming-Boundary-Range already exists.
    Located LDAP://cn=MS-SMS-Roaming-Boundary-Range,CN=Schema,CN=Configuration,DC=domain,DC=com
    Successfully updated class LDAP://cn=MS-SMS-Roaming-Boundary-Range,CN=Schema,CN=Configuration,DC=domain,DC=com.
    Successfully extended the Active Directory schema.

    Please refer to the ConfigMgr documentation for instructions on the manual 
    configuration of access rights in active directory which may still 
    need to be performed.  (Although the AD schema has now be extended, 
    AD must be configured to allow each ConfigMgr Site security rights to 
    publish in each of their domains.)

     

    Так же попробовал дать сайту SCCM полные права на контейнер CN=System,DC=domain,DC=com

    (На сам контейнер и все дочерние) - Всё равно проверка не проходит                                                                      

    Подскажите как разрешить публикацию в AD










    17 декабря 2014 г. 9:30

Ответы

  • добавлю еще, что такое предупреждение появляется если в лесу несколько доменов, при этом проверка прав доступа на контейнер для групп безопасности показывает, что для учетной записи выдан full access. Нет ничего страшного, если у вас при установке сайта не создадутся нужные записи, там раз в час или в полчаса происходит проверка и публикация. 

    Как выше написал Антон, смело идите вперед. После установки просто посмотрите новые записи в контейнере, если их нет, то смотрите hman.log и sitecomp.log, там будет видно, почему публикация не происходит.

    17 декабря 2014 г. 17:12
    Модератор
  • 1. Это уведомление является предупреждением и не препятствует продолжению установки. 

    2. Как правило на стадии проверки условий это предупреждение есть всегда (или ошибка в коде проверки или еще что...). поэтому его можно игнорировать, и если нет уведомлений с уровнем "Ошибка", продолжить установку.

    3. Права на контейнер серверу сайта лучше давать через мастер делегирования. 

    17 декабря 2014 г. 11:04

Все ответы

  • 1. Это уведомление является предупреждением и не препятствует продолжению установки. 

    2. Как правило на стадии проверки условий это предупреждение есть всегда (или ошибка в коде проверки или еще что...). поэтому его можно игнорировать, и если нет уведомлений с уровнем "Ошибка", продолжить установку.

    3. Права на контейнер серверу сайта лучше давать через мастер делегирования. 

    17 декабря 2014 г. 11:04
  • добавлю еще, что такое предупреждение появляется если в лесу несколько доменов, при этом проверка прав доступа на контейнер для групп безопасности показывает, что для учетной записи выдан full access. Нет ничего страшного, если у вас при установке сайта не создадутся нужные записи, там раз в час или в полчаса происходит проверка и публикация. 

    Как выше написал Антон, смело идите вперед. После установки просто посмотрите новые записи в контейнере, если их нет, то смотрите hman.log и sitecomp.log, там будет видно, почему публикация не происходит.

    17 декабря 2014 г. 17:12
    Модератор