none
Ошибка Nltest на контроллере домена, являющийся хозяином всех ролей RRS feed

  • Вопрос

  • Добрый день!

    Имею следующий вопрос.

    Есть лес из одного домена, в нем 2 DC:

    1. Хозяин всех ролей, GC, DNS (ab12srv1.ab12n.local)

    2. Только GC и DNS (ab12srv.ab12n.local)

    При выполнении команды nltest /sc_verify:ab12n.local на 1-ом DC (ab12srv1.ab12n.local) возникает такая ошибка:

    I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

    При выполнении команды nltest /sc_verify:ab12n.local на 2-ом DC (ab12srv.ab12n.local) все хорошо:

    Flags: b0 HAS_IP  HAS_TIMESERV
    Trusted DC Name \\ab12srv1.AB12N.local
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    Trust Verification Status = 0 0x0 NERR_Success
    The command completed successfully

    Репликация работает, в логах всё чисто, DNS в норме.

    Почему возникает эта ошибка на 1 DC?

    Или это нормальное поведение, когда делаешь этот тест с держателя роли PDC для домена?

    27 декабря 2012 г. 7:52

Ответы

  • Да, это нормальное поведение.

    Указанная команда проверяет т.н. "защищенный канал" для домена (он используется для аутентификации по NTLM и ряда других связанных с этим операций). Рядовые члены домена устанавливают защищенный канал с любым КД. КД, не являющиеся PDC (в WinNT, откуда пошла эта архитектура, это были резервные контроллеры домена - BDC) устанавливают защищенный канал с PDC (или PDC emulator на Win2K и выше). PDC (emulator) защищенный канал для своего домена с другими КД не устанавливает.


    Слава России!


    • Изменено M.V.V. _ 29 декабря 2012 г. 11:37
    • Помечено в качестве ответа Rotar MaksimModerator 10 января 2013 г. 9:39
    29 декабря 2012 г. 11:36

Все ответы

  • Добрый день, Максим. Официального подтверждения не видел, но некоторых форумах говорят, что это нормально.. Цитата

    "

    I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
    Это нормальное поведение, когда делаешь этот тест с держателя роли PDC для домена.

    "

    28 декабря 2012 г. 4:11
  • Да, это нормальное поведение.

    Указанная команда проверяет т.н. "защищенный канал" для домена (он используется для аутентификации по NTLM и ряда других связанных с этим операций). Рядовые члены домена устанавливают защищенный канал с любым КД. КД, не являющиеся PDC (в WinNT, откуда пошла эта архитектура, это были резервные контроллеры домена - BDC) устанавливают защищенный канал с PDC (или PDC emulator на Win2K и выше). PDC (emulator) защищенный канал для своего домена с другими КД не устанавливает.


    Слава России!


    • Изменено M.V.V. _ 29 декабря 2012 г. 11:37
    • Помечено в качестве ответа Rotar MaksimModerator 10 января 2013 г. 9:39
    29 декабря 2012 г. 11:36