Лучший отвечающий
Ошибка в dcdiag Starting test: NCSecDesc Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS

Вопрос
-
Здравствуйте.
Прошу совета, как решить проблему.
В корпоративной сети есть 2 домен контроллера. Все началось с того, как я пришел в компанию и попробовал решать некоторые задачи с помощью GPO. Дело в том, что политики как-то странно отрабатываются. Вернее отрабатываются не у всех. Стал смотреть, на клиентских ПК с ХР, они работают, на 7-ках тоже, на 8.1 и выше нет. Посмотрел в папку sysvol на DC, сравнил. Клиентские пк с 8.1 и выше, ищут политики на DC02, в то время, как DC02 не реплецирует их с DC01, количество политик в папка не совпадают. Запустил dcdiag и вbжу такeю картину.
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = DC01
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\DC01
Starting test: Connectivity
......................... DC01 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\DC01
Starting test: Advertising
......................... DC01 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... DC01 failed test FrsEvent
Starting test: DFSREvent
......................... DC01 passed test DFSREvent
Starting test: SysVolCheck
......................... DC01 passed test SysVolCheck
Starting test: KccEvent
......................... DC01 passed test KccEvent
Starting test: KnowsOfRoleHolders
......................... DC01 passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... DC01 passed test MachineAccount
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
CN=Schema,CN=Configuration,DC=domen,DC=com
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=domen,DC=com
......................... DC01 failed test NCSecDesc
Starting test: NetLogons
......................... DC01 passed test NetLogons
Starting test: ObjectsReplicated
......................... DC01 passed test ObjectsReplicated
Starting test: Replications
......................... DC01 passed test Replications
Starting test: RidManager
......................... DC01 passed test RidManager
Starting test: Services
......................... DC01 passed test Services
Starting test: SystemLog
......................... DC01 failed test SystemLog
Starting test: VerifyReferences
......................... DC01 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Running partition tests on : domen
Starting test: CheckSDRefDom
......................... domen passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... domen passed test CrossRefValidation
Running enterprise tests on : domen.com
Starting test: LocatorCheck
......................... domen.com passed test LocatorCheck
Starting test: Intersite
......................... domen.com passed test Intersite
netdom query fsmo
Schema master DC01.domen.com
Domain naming master DC01.domen.com
PDC DC01.domen.com
RID pool manager DC01.domen.com
Infrastructure master DC01.domen.com
The command completed successfully.Нашел вот такой ответ по поиску:
OK I resolved it... It was a permissions issue.
The Enterprise Domain Controllers group was set to full control on "dc=domain,dc=com" I removed it and gave it the following permissions to match the rest of the security settings across the board.
Manage replication topology
- Replicating Directory Changes
- Replicating Directory Changes All
- Replicating Directory Changes In Filtered Set
- Replication Synchronization
DCDiag came back as passed.
Но, что и как исправил автор, не понятно, прошу помощи в решении данного вопроса.
28 февраля 2018 г. 4:16
Ответы
-
Та ошибка, которую вы вынесли в заголовок, не является причной вашей проблемы.
Она диагностируется, потому что при обновлении домена до Win2K8 не была выполнена команда adprep /rodcprep. Если RODC не используются и не планируются, то её можно игнорировать. Не хотите или нельзя игнорировать - выполните указанную команду.
На реальные ошибки, препятствующие репликации SYSVOL указывает ошибка теста FrsEvents. Что именно за ошибки - см. в журнале событий File Replication service (в разделе Applications and Servoces logs). Если вам кажется, что там всё в порядке - перезапустите службу File Replication Service: некоторые ошибки фиксируются только один раз после запуска службы. Лучше всего проверить журнал событий FRS сразу на обоих контроллерах - ошибки могут быть взаимосвязаны.
Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 7 марта 2018 г. 8:33
28 февраля 2018 г. 7:12 -
Значит так. Обычно правильные политики живут на PDC Emulator - консоль управления групповой политикой старается создавать/редактировать их там. По косвенным признакам у вас PDC Emulator - DC01, но лучше удостовериться в этом командой netdom query FSMO.
Если это действительно так и если ошибка из предыдущего поста появилась именно на нём (из того поста я не понял, где именно вы её увидели), то для устранения нельзя использовать предлагающееся в тексте события ошибки решение с созданием файла: оно приведёт к потере содержимого SYSVOL на DC01.
Вместо этого вам в этом случае нужно выполнить полномочную (authoritative) синхронизацию FRS на DC01, и затем (или одновременно) - неполномочную (non-authoritative) синхронизацию на DC02.
Полное описание процедур есть в MS Knowledge Base.
Вкратце, нужно проделать следующее:
1. Остановить Cлужбу репликации файлов (NtFrs)
2. Установить в реестре значение HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup / Restore\Process At Startup\BurFlags в шестнадцатеричное значение d4 для полномочной (на DC01) или в d2 - для неполномочной(на DC02) синхронизации.
3. Запустить службу репликации файлов.
PS Перед любыми манипуляциями лучше всего скопировать куда-нибудь содержимое общей папки SYSVOL на DC01 - чтобы его восстановить, если что-то пойдёт не так.
Слава России!
- Изменено M.V.V. _ 1 марта 2018 г. 13:22
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 7 марта 2018 г. 8:33
1 марта 2018 г. 12:23
Все ответы
-
Та ошибка, которую вы вынесли в заголовок, не является причной вашей проблемы.
Она диагностируется, потому что при обновлении домена до Win2K8 не была выполнена команда adprep /rodcprep. Если RODC не используются и не планируются, то её можно игнорировать. Не хотите или нельзя игнорировать - выполните указанную команду.
На реальные ошибки, препятствующие репликации SYSVOL указывает ошибка теста FrsEvents. Что именно за ошибки - см. в журнале событий File Replication service (в разделе Applications and Servoces logs). Если вам кажется, что там всё в порядке - перезапустите службу File Replication Service: некоторые ошибки фиксируются только один раз после запуска службы. Лучше всего проверить журнал событий FRS сразу на обоих контроллерах - ошибки могут быть взаимосвязаны.
Слава России!
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 7 марта 2018 г. 8:33
28 февраля 2018 г. 7:12 -
Перезапустил File Replication service.
Вот такая ошибка появилась в разделе Applications and Servoces logs:
The File Replication Service has detected that the replica root path has changed from "c:\windows\sysvol\domain" to "c:\windows\sysvol\domain". If this is an intentional move then a file with the name NTFRS_CMD_FILE_MOVE_ROOT needs to be created under the new root path. This was detected for the following replica set: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
я работаю недавно в этой компании и в силу сложившихся обстоятельств только стал вникать во все. Пролистал выше упомянутый журнал, эта ошибка в нем с 2014 года )))
Я стал смотреть, что там с папками, так как до этого плотно не занимался GPO, возможно я что-то не так понял, приведу путь где хранятся GPO
На DC01 C:\Windows\SYSVOL\sysvol\mydomain.com\Policies
На DC02 C:\Windows\SYSVOL\sysvol\mydomain.com\Policies
Если я правильно понял, то путь не правильный? И количество политик на DC01, гораздо больше, чем на DC02
Так же на обоих серверах, есть вот такой путь C:\Windows\SYSVOL\staging areas и на DC01, есть папка помеченная типа как ярлычок и называется mydomain.com, если перейти по ней, внутри ничего нет. Однако, на DC02, по этому пути C:\Windows\SYSVOL\staging areas при переходе на папку-ярлык mydomain.com, выпадает ошибка, которая ругается на отсутствие прав доступа.
Прикладываю скрин с DC01, политики в папке Policies одинаковые с политиками в нижней папке полисес. (скрин не прикладывается)
Теперь скрин с DC02, как видно на скрине, политики не синхронизируются и как исправить это не совсем понятно.
Скрин, не прикладывается.
прошу содействия в решении данного вопроса.
1 марта 2018 г. 11:30 -
Значит так. Обычно правильные политики живут на PDC Emulator - консоль управления групповой политикой старается создавать/редактировать их там. По косвенным признакам у вас PDC Emulator - DC01, но лучше удостовериться в этом командой netdom query FSMO.
Если это действительно так и если ошибка из предыдущего поста появилась именно на нём (из того поста я не понял, где именно вы её увидели), то для устранения нельзя использовать предлагающееся в тексте события ошибки решение с созданием файла: оно приведёт к потере содержимого SYSVOL на DC01.
Вместо этого вам в этом случае нужно выполнить полномочную (authoritative) синхронизацию FRS на DC01, и затем (или одновременно) - неполномочную (non-authoritative) синхронизацию на DC02.
Полное описание процедур есть в MS Knowledge Base.
Вкратце, нужно проделать следующее:
1. Остановить Cлужбу репликации файлов (NtFrs)
2. Установить в реестре значение HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup / Restore\Process At Startup\BurFlags в шестнадцатеричное значение d4 для полномочной (на DC01) или в d2 - для неполномочной(на DC02) синхронизации.
3. Запустить службу репликации файлов.
PS Перед любыми манипуляциями лучше всего скопировать куда-нибудь содержимое общей папки SYSVOL на DC01 - чтобы его восстановить, если что-то пойдёт не так.
Слава России!
- Изменено M.V.V. _ 1 марта 2018 г. 13:22
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 7 марта 2018 г. 8:33
1 марта 2018 г. 12:23 -
Спасибо за ответ.
Заметил вот такую вещь на клиентском ПК:
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:
Ошибка при обработке групповой политики. Попытка чтения файла "\\mydomain.com\SysVol\mydomain.com\Policies\{945A107B-0579-46BB-8381-111B28C3CB69}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).Я запустил
netdom query fsmo на обоих DC, результат ниже:
Schema master DC01.mydomain.com
Domain naming master DC01.mydomain.com
PDC DC01.mydomain.com
RID pool manager DC01.mydomain.com
Infrastructure master DC01.mydomain.com
The command completed successfully.Однако, когда я попытался перейти по пути указанном в ошибке: \\mydomain.com\SysVol\mydomain.com\Policies\{945A107B-0579-46BB-8381-111B28C3CB69}\gpt.ini , путь не найден, тогда я ввел только \\mydomain.com\SysVol\mydomain.com\Policies\ и меня перекинуло на DC02
Завтра попробую Вашу рекомендацию.
1 марта 2018 г. 13:05