none
Ошибка в dcdiag Starting test: NCSecDesc Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS RRS feed

  • Вопрос

  • Здравствуйте.

    Прошу совета, как решить проблему.

    В корпоративной сети есть 2 домен контроллера. Все началось с того, как я пришел в компанию и попробовал решать некоторые задачи с помощью GPO. Дело в том, что политики как-то странно отрабатываются. Вернее отрабатываются не у всех. Стал смотреть, на клиентских ПК с ХР, они работают, на 7-ках тоже, на 8.1 и выше нет. Посмотрел в папку sysvol на DC, сравнил. Клиентские пк с 8.1 и выше, ищут политики на DC02, в то время, как DC02 не реплецирует их с DC01, количество политик в папка не совпадают. Запустил dcdiag и вbжу такeю картину.

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = DC01
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DC01
          Starting test: Connectivity
             ......................... DC01 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DC01
          Starting test: Advertising
             ......................... DC01 passed test Advertising
          Starting test: FrsEvent
             There are warning or error events within the last 24 hours after the
             SYSVOL has been shared.  Failing SYSVOL replication problems may cause
             Group Policy problems.
             ......................... DC01 failed test FrsEvent
          Starting test: DFSREvent
             ......................... DC01 passed test DFSREvent
          Starting test: SysVolCheck
             ......................... DC01 passed test SysVolCheck
          Starting test: KccEvent
             ......................... DC01 passed test KccEvent
          Starting test: KnowsOfRoleHolders
             ......................... DC01 passed test KnowsOfRoleHolders
          Starting test: MachineAccount
             ......................... DC01 passed test MachineAccount
          Starting test: NCSecDesc
             Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
                Replicating Directory Changes In Filtered Set
             access rights for the naming context:
             CN=Schema,CN=Configuration,DC=domen,DC=com
             Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
                Replicating Directory Changes In Filtered Set
             access rights for the naming context:
             DC=domen,DC=com
             ......................... DC01 failed test NCSecDesc
          Starting test: NetLogons
             ......................... DC01 passed test NetLogons
          Starting test: ObjectsReplicated
             ......................... DC01 passed test ObjectsReplicated
          Starting test: Replications
             ......................... DC01 passed test Replications
          Starting test: RidManager
             ......................... DC01 passed test RidManager
          Starting test: Services
             ......................... DC01 passed test Services
          Starting test: SystemLog
             ......................... DC01 failed test SystemLog
          Starting test: VerifyReferences
             ......................... DC01 passed test VerifyReferences


       Running partition tests on : ForestDnsZones
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test
             CrossRefValidation

       Running partition tests on : DomainDnsZones
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test
             CrossRefValidation

       Running partition tests on : Schema
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation

       Running partition tests on : Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation

       Running partition tests on : domen
          Starting test: CheckSDRefDom
             ......................... domen passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... domen passed test CrossRefValidation

       Running enterprise tests on : domen.com
          Starting test: LocatorCheck
             ......................... domen.com passed test LocatorCheck
          Starting test: Intersite
             ......................... domen.com passed test Intersite

    netdom query fsmo

    Schema master               DC01.domen.com
    Domain naming master        DC01.domen.com
    PDC                         DC01.domen.com
    RID pool manager            DC01.domen.com
    Infrastructure master       DC01.domen.com
    The command completed successfully.

    Нашел вот такой ответ по поиску:

    OK I resolved it... It was a permissions issue.

    The Enterprise Domain Controllers group was set to full control on "dc=domain,dc=com" I removed it and gave it the following permissions to match the rest of the security settings across the board.

    Manage replication topology

    • Replicating Directory Changes
    • Replicating Directory Changes All
    • Replicating Directory Changes In Filtered Set
    • Replication Synchronization

    DCDiag came back as passed.

    Но, что и как исправил автор, не понятно, прошу помощи в решении данного вопроса.

    28 февраля 2018 г. 4:16

Ответы

  • Та ошибка, которую вы вынесли в заголовок, не является причной вашей проблемы.

    Она диагностируется, потому что при обновлении домена до Win2K8 не была выполнена команда adprep /rodcprep. Если RODC не используются и не планируются, то её можно игнорировать. Не хотите или нельзя игнорировать - выполните указанную команду.

    На реальные ошибки, препятствующие репликации SYSVOL указывает ошибка теста FrsEvents. Что именно за ошибки - см. в журнале событий File Replication service (в разделе Applications and Servoces logs). Если вам кажется, что там всё в порядке - перезапустите службу File Replication Service: некоторые ошибки фиксируются только один раз после запуска службы. Лучше всего проверить журнал событий FRS сразу на обоих контроллерах - ошибки могут быть взаимосвязаны.


    Слава России!

    28 февраля 2018 г. 7:12
  • Значит так. Обычно правильные политики живут на PDC Emulator - консоль управления групповой политикой старается создавать/редактировать их там. По косвенным признакам у вас PDC Emulator - DC01, но лучше удостовериться в этом командой netdom query FSMO.

    Если это действительно так и если ошибка из предыдущего поста появилась именно на нём (из того поста я не понял, где именно вы её увидели), то для устранения нельзя использовать предлагающееся в тексте события ошибки решение с созданием файла: оно приведёт к потере содержимого SYSVOL на DC01.

    Вместо этого вам в этом случае нужно выполнить полномочную (authoritative) синхронизацию FRS на DC01, и затем (или одновременно) - неполномочную (non-authoritative) синхронизацию на DC02. 

    Полное описание процедур есть в MS Knowledge Base.

    Вкратце, нужно проделать следующее:

    1. Остановить Cлужбу репликации файлов (NtFrs)

    2. Установить в реестре значение HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup / Restore\Process At Startup\BurFlags в шестнадцатеричное значение d4 для полномочной (на DC01) или в d2 - для неполномочной(на DC02)  синхронизации.

    3. Запустить службу репликации файлов.

    PS Перед любыми манипуляциями лучше всего скопировать куда-нибудь содержимое общей папки SYSVOL на DC01 - чтобы его восстановить, если что-то пойдёт не так.


    Слава России!


    1 марта 2018 г. 12:23

Все ответы

  • Та ошибка, которую вы вынесли в заголовок, не является причной вашей проблемы.

    Она диагностируется, потому что при обновлении домена до Win2K8 не была выполнена команда adprep /rodcprep. Если RODC не используются и не планируются, то её можно игнорировать. Не хотите или нельзя игнорировать - выполните указанную команду.

    На реальные ошибки, препятствующие репликации SYSVOL указывает ошибка теста FrsEvents. Что именно за ошибки - см. в журнале событий File Replication service (в разделе Applications and Servoces logs). Если вам кажется, что там всё в порядке - перезапустите службу File Replication Service: некоторые ошибки фиксируются только один раз после запуска службы. Лучше всего проверить журнал событий FRS сразу на обоих контроллерах - ошибки могут быть взаимосвязаны.


    Слава России!

    28 февраля 2018 г. 7:12
  • Перезапустил File Replication service.

    Вот такая ошибка появилась в разделе Applications and Servoces logs:

    The File Replication Service has detected that the replica root path has changed from "c:\windows\sysvol\domain" to "c:\windows\sysvol\domain". If this is an intentional move then a file with the name NTFRS_CMD_FILE_MOVE_ROOT needs to be created under the new root path.  This was detected for the following replica set:      "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" 

    я работаю недавно в этой компании и в силу сложившихся обстоятельств только стал вникать во все. Пролистал выше упомянутый журнал, эта ошибка в нем с 2014 года )))

    Я стал смотреть, что там с папками, так как до этого плотно не занимался GPO, возможно я что-то не так понял, приведу путь где хранятся GPO

    На DC01 C:\Windows\SYSVOL\sysvol\mydomain.com\Policies

    На DC02 C:\Windows\SYSVOL\sysvol\mydomain.com\Policies

    Если я правильно понял, то путь не правильный? И количество политик на DC01, гораздо больше, чем на DC02

    Так же на обоих серверах, есть вот такой путь C:\Windows\SYSVOL\staging areas и на DC01, есть папка помеченная типа как ярлычок и называется mydomain.com, если перейти по ней, внутри ничего нет. Однако, на DC02, по этому пути C:\Windows\SYSVOL\staging areas при переходе на папку-ярлык mydomain.com, выпадает ошибка, которая ругается на отсутствие прав доступа.

    Прикладываю скрин с DC01, политики в папке Policies одинаковые с политиками в нижней папке полисес. (скрин не прикладывается)

    Теперь скрин с DC02, как видно на скрине, политики не синхронизируются и как исправить это не совсем понятно.

    Скрин, не прикладывается.

    прошу содействия в решении данного вопроса.


    1 марта 2018 г. 11:30
  • Значит так. Обычно правильные политики живут на PDC Emulator - консоль управления групповой политикой старается создавать/редактировать их там. По косвенным признакам у вас PDC Emulator - DC01, но лучше удостовериться в этом командой netdom query FSMO.

    Если это действительно так и если ошибка из предыдущего поста появилась именно на нём (из того поста я не понял, где именно вы её увидели), то для устранения нельзя использовать предлагающееся в тексте события ошибки решение с созданием файла: оно приведёт к потере содержимого SYSVOL на DC01.

    Вместо этого вам в этом случае нужно выполнить полномочную (authoritative) синхронизацию FRS на DC01, и затем (или одновременно) - неполномочную (non-authoritative) синхронизацию на DC02. 

    Полное описание процедур есть в MS Knowledge Base.

    Вкратце, нужно проделать следующее:

    1. Остановить Cлужбу репликации файлов (NtFrs)

    2. Установить в реестре значение HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup / Restore\Process At Startup\BurFlags в шестнадцатеричное значение d4 для полномочной (на DC01) или в d2 - для неполномочной(на DC02)  синхронизации.

    3. Запустить службу репликации файлов.

    PS Перед любыми манипуляциями лучше всего скопировать куда-нибудь содержимое общей папки SYSVOL на DC01 - чтобы его восстановить, если что-то пойдёт не так.


    Слава России!


    1 марта 2018 г. 12:23
  • Спасибо за ответ.

    Заметил вот такую вещь на клиентском ПК:

    Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:
    Ошибка при обработке групповой политики. Попытка чтения файла "\\mydomain.com\SysVol\mydomain.com\Policies\{945A107B-0579-46BB-8381-111B28C3CB69}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
    a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
    b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще реплицирован на текущий контроллер домена).
    c) Отключен клиент распределенной файловой системы (DFS).

    Я запустил 

    netdom query fsmo на обоих DC, результат ниже:

    Schema master               DC01.mydomain.com
    Domain naming master        DC01.mydomain.com
    PDC                         DC01.mydomain.com
    RID pool manager            DC01.mydomain.com
    Infrastructure master       DC01.mydomain.com
    The command completed successfully.

    Однако, когда я попытался перейти по пути указанном в ошибке: \\mydomain.com\SysVol\mydomain.com\Policies\{945A107B-0579-46BB-8381-111B28C3CB69}\gpt.ini , путь не найден, тогда я ввел только \\mydomain.com\SysVol\mydomain.com\Policies\ и меня перекинуло на DC02

    Завтра попробую Вашу рекомендацию.


    1 марта 2018 г. 13:05