none
failed test NCSecDesc RRS feed

  • Вопрос

  • Доброго дня!!!

    Подскажите пожал.
    Есть домен с 2-я сайтами, в одном сайте ДК2008, в другом сайте ДК2003. У каждого сайта по ISA2006 - поднят ВПН между сайтами.
    Нп ИСАх между сетями сайта разрешен любой траффик.

    на ДК2008 при выполнение комаманды dcdiag вылазят следующие ошибки


    Starting test: FrsEvent
    There are warning or error events within the last 24 hours after the
    SYSVOL has been shared. Failing SYSVOL replication problems may cause
    Group Policy problems.
    ......................... VM-DC passed test FrsEvent

    Starting test: NCSecDesc
    Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
    Replicating Directory Changes In Filtered Set
    access rights for the naming context:
    DC=DomainDnsZones,DC=rosinf,DC=ru
    Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
    Replicating Directory Changes In Filtered Set
    access rights for the naming context:
    DC=ForestDnsZones,DC=rosinf,DC=ru
    ......................... VM-DC failed test NCSecDesc

    Starting test: NetLogons
    [VM-DC] User credentials does not have permission to perform this
    operation.
    The account used for this test must have network logon privileges
    for this machine's domain.
    ......................... VM-DC failed test NetLogons

    Starting test: Replications
    [Replications Check,VM-DC] DsReplicaGetInfo(PENDING_OPS, NULL) failed,
    error 0x2105 "Win32 Error 8453"
    ......................... VM-DC failed test Replications

    Starting test: Services
    Could not open NTDS Service on VM-DC, error 0x5 "Win32 Error 5"
    ......................... VM-DC failed test Services

    подскажите хоть в какую сторону копать
    спасибо

    • Перемещено Mike Wang (MSCS) 22 апреля 2012 г. 19:46 (От:Windows Server 2008)
    11 августа 2009 г. 12:26

Ответы

  • The account used for this test must have network logon privileges for this machine's domain. - учетная запись должна обладать правами сетевого входа в домене этого компьютера. По факту, на 2008 сервере dcdiag надо выполнять из командной строки, запущенной с повышенными привилегиями (Run As Administrator), даже если вы вошли под учеткой доменного админа. Такая вот фича. То же касается  и прочих команд из командной строки. Чтобы это обойти, можно попробовать включить в локальных политиках безопасности опцию Автоматическое повышение привилегий (точное название с налету не вспомню)

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    • Помечено в качестве ответа Nikita PanovModerator 25 августа 2009 г. 7:59
    17 августа 2009 г. 7:22

Все ответы

  • 11 августа 2009 г. 12:36
  • похоже конечно.
    вы можете мне разъеснить это

    11 августа 2009 г. 13:04
  • Доброго дня!!!

    Подскажите пожал.
    Есть домен с 2-я сайтами, в одном сайте ДК2008, в другом сайте ДК2003. У каждого сайта по ISA2006 - поднят ВПН между сайтами.
    Нп ИСАх между сетями сайта разрешен любой траффик.

    на ДК2008 при выполнение комаманды dcdiag вылазят следующие ошибки


    Starting test: FrsEvent
    There are warning or error events within the last 24 hours after the
    SYSVOL has been shared. Failing SYSVOL replication problems may cause
    Group Policy problems.
    ......................... VM-DC passed test FrsEvent

    Starting test: NCSecDesc
    Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
    Replicating Directory Changes In Filtered Set
    access rights for the naming context:
    DC=DomainDnsZones,DC=rosinf,DC=ru
    Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
    Replicating Directory Changes In Filtered Set
    access rights for the naming context:
    DC=ForestDnsZones,DC=rosinf,DC=ru
    ......................... VM-DC failed test NCSecDesc

    Говорится о том, что если вы не планируете использовать у себя контроллеры домена Read only  можно проигнорировать эту ошибку. 
    если да то необходимо выполнить подготовку adprep /rodcprep

    По остальному - что в логах видно ?

    11 августа 2009 г. 14:12
  • По остальному в логах ничего не видно, по крайней мере за последние 2 дня, ктати на ДК 2003 тока она ошибочка FrsEvent, отстальное проходит хорошо

    подскажите тогда пожал. мне вот по этому

    Starting test: FrsEvent
    There are warning or error events within the last 24 hours after the
    SYSVOL has been shared. Failing SYSVOL replication problems may cause
    Group Policy problems.
    ......................... VM-DC passed test FrsEvent
    Starting test: NetLogons
    [VM-DC] User credentials does not have permission to perform this
    operation.
    The account used for this test must have network logon privileges
    for this machine's domain.
    ......................... VM-DC failed test NetLogons

    Starting test: Replications
    [Replications Check,VM-DC] DsReplicaGetInfo(PENDING_OPS, NULL) failed,
    error 0x2105 "Win32 Error 8453"
    ......................... VM-DC failed test Replications

    Starting test: Services
    Could not open NTDS Service on VM-DC, error 0x5 "Win32 Error 5"
    ......................... VM-DC failed test Services

    и если вам не трудно вот еще что

    2008
    C:\Users\adm_zhuravlev>repadmin/kcc

    Repadmin: running command /kcc against full DC localhost
    Lubertsy
    Current Site Options: (none)
    DsReplicaConsistencyCheck() failed with status 8453 (0x2105):
    Replication access was denied.

    2003
    C:\Documents and Settings\adm_zhuravlev>repadmin/kcc

    repadmin running command /kcc against server localhost

    Consistency check on localhost successful.




    11 августа 2009 г. 15:22
  • Учетная запись контроллера домена располагается в организационной единице Domain Controllers ?

    12 августа 2009 г. 11:40
  • конечно!

    13 августа 2009 г. 16:54
  • The account used for this test must have network logon privileges for this machine's domain. - учетная запись должна обладать правами сетевого входа в домене этого компьютера. По факту, на 2008 сервере dcdiag надо выполнять из командной строки, запущенной с повышенными привилегиями (Run As Administrator), даже если вы вошли под учеткой доменного админа. Такая вот фича. То же касается  и прочих команд из командной строки. Чтобы это обойти, можно попробовать включить в локальных политиках безопасности опцию Автоматическое повышение привилегий (точное название с налету не вспомню)

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    • Помечено в качестве ответа Nikita PanovModerator 25 августа 2009 г. 7:59
    17 августа 2009 г. 7:22
  • вот это пипец! спасибо огрoмное! и правдо сделал как сказали , от имени админа, и ошибки исчезли! Просто получаеться так, почему я догнать не мог, т.к. раньше я запускал НЕ от имени админа и тесты проходили нормально. Вообщем еще раз спасибо
    18 августа 2009 г. 19:14