none
RODC - Доступ к репликации отвергнут RRS feed

  • Вопрос

  • Добрый день.

    Есть 2 DC - dc01 и dc02, уровень леса и домена 2008. Появилась необходимость поднять RODC, развернут сервер с ОС Windows Server 2008 R2, добавлена роль AD DS, после прохождения всех шагов dcpromo начинается репликация, в процессе появляется сообщение и запрашиваются учетные данные

    "Операция не выполнена по следующей причине: Доменным службам Active Directory не удаётся реплицировать раздел каталога DC=domain,DC=net с удалённого контроллера домена Active Directory dc01.domain.net. Доступ к репликации отвергнут"

    В чем может быть проблема?

    5 февраля 2013 г. 10:17

Ответы


  •       Запуск проверки: NCSecDesc
             Ошибка - domain\Контроллеры домена предприятия - только чтение не имеет
                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=domain,DC=net
             ......................... DC01 - не пройдена проверка NCSecDesc

    Ага, это оно - нет нужных разрешений для RODC на репликацию.

    Лечится командой adprep /rodcprep


    Слава России!

    • Помечено в качестве ответа Gabalino 6 февраля 2013 г. 4:27
    5 февраля 2013 г. 13:18
  • Можно попробовать добавить эти разрешения на указанные разделы вручную, с помощью adsiedit.msc

    Полезная статья - http://support.microsoft.com/kb/2022387/en-us

    RODC Replication

    1. If computer initiated replication is failing on RODCs, verify that you have run ADPREP /RODCPREP as specified in MSKB 967482 AND that the Enterprise Read-only domain controllers group has been granted "replicate directory changes" right on each NC head.


    http://www.ereality.ru/reg184541.html


    • Изменено NTFrs 5 февраля 2013 г. 15:49
    • Помечено в качестве ответа Gabalino 6 февраля 2013 г. 4:14
    5 февраля 2013 г. 15:44

Все ответы

  • dcdiag с DC01 покажите, пожалуйста. Интересует, прежде всего, наличие разрешений для RODC на репликацию соответствующего набора атрибутов (при обновлении AD от предыдущих версий этих разрешений может не быть) и работоспособность репликации между dc01 и dc02.

    dcdiag все это покажет.


    Слава России!

    5 февраля 2013 г. 12:14
  • Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Site01\DC01
          Запуск проверки: Connectivity
             ......................... DC01 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Site01\DC01
          Запуск проверки: Advertising
             ......................... DC01 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... DC01 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... DC01 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC01 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC01 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - domain\Контроллеры домена предприятия - только чтение не имеет
                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=domain,DC=net
             ......................... DC01 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC01 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... DC01 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC01 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC01 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   15:44:11
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникла ошибка. Код события (EventID): 0xC0000010
                Время создания: 02/05/2013   15:45:42
                Строка события:
                При обработке TGS-запроса для конечного сервера cifs/srvdomain-060v.domain
    .net обнаружено, что учетная запись yyy@domain.NET не имеет подходящего ключа дл
    я создания билета Kerberos (код недостающего ключа - 8). Запрошенные E-типы - 18
      17  23  24  -135. Доступные E-типы учетных записей - 23  -133  -128  18  17. С
    мена или повторный ввод пароля alfrescocifs создаст правильный ключ.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   15:46:57
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   15:56:15
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникла ошибка. Код события (EventID): 0xC0000010
                Время создания: 02/05/2013   15:57:31
                Строка события:
                При обработке TGS-запроса для конечного сервера cifs/srvdomain-060v.domain
    .net обнаружено, что учетная запись xxx@domain.NET не имеет подходящего ключа дл
    я создания билета Kerberos (код недостающего ключа - 8). Запрошенные E-типы - 18
      17  23  24  -135. Доступные E-типы учетных записей - 23  -133  -128  18  17. С
    мена или повторный ввод пароля alfrescocifs создаст правильный ключ.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:00:53
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:01:29
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:11:17
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:15:17
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:17:13
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:19:52
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:23:17
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:29:40
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   16:41:24
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             ......................... DC01 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC01 - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: domain
          Запуск проверки: CheckSDRefDom
             ......................... domain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domain - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: domain.net
          Запуск проверки: LocatorCheck
    5 февраля 2013 г. 12:59
  • rodcprep делали?
    5 февраля 2013 г. 13:14
    Отвечающий

  •       Запуск проверки: NCSecDesc
             Ошибка - domain\Контроллеры домена предприятия - только чтение не имеет
                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=domain,DC=net
             ......................... DC01 - не пройдена проверка NCSecDesc

    Ага, это оно - нет нужных разрешений для RODC на репликацию.

    Лечится командой adprep /rodcprep


    Слава России!

    • Помечено в качестве ответа Gabalino 6 февраля 2013 г. 4:27
    5 февраля 2013 г. 13:18
  • Не помогло к сожалению

    Z:\support\adprep>adprep /rodcprep
    Программа Adprep подключена к FSMO домена: dc02.domain.net.

    Программа Adprep обнаружила, что операция с разделом DC=DomainDnsZones,DC=domain,DC=net была выполнена. Выполняется переход к следующему разделу.
    ==============================================================================
    Программа Adprep обнаружила, что операция с разделом DC=ForestDnsZones,DC=domain,DC=net была выполнена. Выполняется переход к следующему разделу.
    ==============================================================================
    Программа Adprep обнаружила, что операция с разделом DC=domain,DC=net была выполнена. Выполняется переход к следующему разделу.
    ==============================================================================
    Adprep завершила работу без ошибок. Все разделы были обновлены. Дополнительные сведения см. в файле ADPrep.log в каталоге C:\Windows\debug\adprep\logs\20130205180923.

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = dc01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Site1\dc01
          Запуск проверки: Connectivity
             ......................... dc01 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Site1\dc01
          Запуск проверки: Advertising
             ......................... dc01 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... dc01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... dc01 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... dc01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... dc01 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... dc01 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... dc01 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - domain\Контроллеры домена предприятия - только чтение не имеет
                Replicating Directory Changes
             прав доступа для контекста именования:
             DC=domain,DC=net
             ......................... dc01 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... dc01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... dc01 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... dc01 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... dc01 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... dc01 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0xC0000010
                Время создания: 02/05/2013   17:16:29
                Строка события:
                При обработке TGS-запроса для конечного сервера cifs/srvdomain-060v.domain
    .net обнаружено, что учетная запись rrr@domain.NET не имеет подходящего ключа
     для создания билета Kerberos (код недостающего ключа - 8). Запрошенные E-типы -
     18  17  23  24  -135. Доступные E-типы учетных записей - 23  -133  -128  18  17
    . Смена или повторный ввод пароля alfrescocifs создаст правильный ключ.
             Возникла ошибка. Код события (EventID): 0xC0000010
                Время создания: 02/05/2013   17:50:08
                Строка события:
                При обработке TGS-запроса для конечного сервера cifs/srvdomain-060v.domain
    .net обнаружено, что учетная запись yyy@domain.NET не имеет подходящего ключа дл
    я создания билета Kerberos (код недостающего ключа - 8). Запрошенные E-типы - 18
      17  23  24  -135. Доступные E-типы учетных записей - 23  -133  -128  18  17. С
    мена или повторный ввод пароля alfrescocifs создаст правильный ключ.
             Возникло предупреждение. Код события (EventID): 0x00009015
                Время создания: 02/05/2013   18:02:49
                Строка события:
                При запросе проверки подлинности для клиента этот сервер отправляет
    клиента список надежных центров сертификации. Клиент использует этот список для
    выбора клиентского сертификата, который сервер сочтет надежным. В настоящее врем
    я этот сервер доверяет слишком многим центрам сертификации, поэтому список стал
    слишком длинным. Поэтому список был сокращен. Администратору этого компьютера сл
    едует пересмотреть список надежных центров сертификации, участвующих в проверке
    подлинности клиентов, и удалить те из них, которым доверять не следует.
             ......................... dc01 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... dc01 - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: domain
          Запуск проверки: CheckSDRefDom
             ......................... domain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domain - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: domain.net
          Запуск проверки: LocatorCheck
             ......................... domain.net - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... domain.net - пройдена проверка Intersite

    5 февраля 2013 г. 14:15
  • Обновления внесены на dc02, а смотрите Вы на dc01

    Возможно, репликация просто не успела пройти.


    Слава России!

    5 февраля 2013 г. 14:37
  • Можно попробовать добавить эти разрешения на указанные разделы вручную, с помощью adsiedit.msc

    Полезная статья - http://support.microsoft.com/kb/2022387/en-us

    RODC Replication

    1. If computer initiated replication is failing on RODCs, verify that you have run ADPREP /RODCPREP as specified in MSKB 967482 AND that the Enterprise Read-only domain controllers group has been granted "replicate directory changes" right on each NC head.


    http://www.ereality.ru/reg184541.html


    • Изменено NTFrs 5 февраля 2013 г. 15:49
    • Помечено в качестве ответа Gabalino 6 февраля 2013 г. 4:14
    5 февраля 2013 г. 15:44
  • Команда adprep /rodcprep не отрабатывает, назначил права в консоли adsiedit.msc

    Всем спасибо за помощь.

    Может кому пригодится:

    1. Запускаем adsiedit.msc

    2. Выдираем Редактирование ADSI

    3. Подключение к: Контекст именования по умолчанию

    4. Выбираем DC=xxx,DC=yyy

    5. В свойствах переходим на вкладку Безопасность

    6. Находим Контроллеры домена предприятия - только чтение

    7. Разрешаем Репликацию изменений каталога

    6 февраля 2013 г. 4:27