none
Проблема с sysvol и netlogon win srv2008 r2 RRS feed

  • Вопрос

  •      Коллеги, пришел на новое место работы. В домене (ур леса win 2008 r2) обнаружилась проблема. При попытке добавить скрипт (домен админ права) Network\Domain*\Sysvol\Domain*\Policies\{31CEAB3E-DB6E-43DB-87D1-ABB6D95996DC}\Machine\Scripts\Startup ОС не дает это сделать выдает ошибку Destination folder access denied (You need  permission to perfom this action). Эффективные права на уч запись  Full. Current Owner  - Domain*\Administrators .  Ну собственно как туда положить файл со скриптом на Powershell ?

    Думаю этот как то связанно

    Вывод команды dcdiag /q

             A warning event occurred.  EventID: 0x8000061E
                Time Generated: 07/11/2017   13:58:05
                Event String:
                All directory servers in the following site that can replicate the directory partition over this transport a
    re currently unavailable.
             An error event occurred.  EventID: 0xC000051F
                Time Generated: 07/11/2017   13:58:05
                Event String:
                The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
             A warning event occurred.  EventID: 0x8000061E
                Time Generated: 07/11/2017   13:58:05
                Event String:
                All directory servers in the following site that can replicate the directory partition over this transport a
    re currently unavailable.
             An error event occurred.  EventID: 0xC000051F
                Time Generated: 07/11/2017   13:58:05
                Event String:
                The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
             A warning event occurred.  EventID: 0x8000061E
                Time Generated: 07/11/2017   13:58:05
                Event String:
                All directory servers in the following site that can replicate the directory partition over this transport a
    re currently unavailable.
             An error event occurred.  EventID: 0xC000051F
                Time Generated: 07/11/2017   13:58:05
                Event String:
                The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
             A warning event occurred.  EventID: 0x8000061E
                Time Generated: 07/11/2017   13:58:05
                Event String:
                All directory servers in the following site that can replicate the directory partition over this transport a
    re currently unavailable.
             An error event occurred.  EventID: 0xC000051F
                Time Generated: 07/11/2017   13:58:05
                Event String:
                The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
             A warning event occurred.  EventID: 0x80000785
                Time Generated: 07/11/2017   13:58:26
                Event String:
                The attempt to establish a replication link for the following writable directory partition failed.
             A warning event occurred.  EventID: 0x80000785
                Time Generated: 07/11/2017   13:58:47
                Event String:
                The attempt to establish a replication link for the following writable directory partition failed.
             ......................... LSERVER6 failed test KccEvent
             Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
                Replicating Directory Changes In Filtered Set
             access rights for the naming context:
             DC=ForestDnsZones,DC=terminal,DC=lft
             Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
                Replicating Directory Changes In Filtered Set
             access rights for the naming context:
             DC=DomainDnsZones,DC=terminal,DC=lft
             ......................... LSERVER6 failed test NCSecDesc
             [LSERVER6] User credentials does not have permission to perform this operation.
             The account used for this test must have network logon privileges
             for this machine's domain.
             ......................... LSERVER6 failed test NetLogons
             [Replications Check,LSERVER6] DsReplicaGetInfo(PENDING_OPS, NULL) failed, error 0x2105
             "Replication access was denied."
             ......................... LSERVER6 failed test Replications
                Could not open NTDS Service on LSERVER6, error 0x5 "Access is denied."
             ......................... LSERVER6 failed test Services
             ......................... LSERVER6 failed test SystemLog

    Буду благодарен за помощь.

    11 июля 2017 г. 11:23

Ответы

  • Прежде всего, разберёмся с UAC, который, как известно по умолчанию не даёт использовать без специальных мер свои права всем администраторам, кроме встроенной учётной записи администратора. 

    1. dcdiag нужно вызывать из командной строки в режиме администратора. Вы это сделали?

    2. Скрипт в папку, куда у пользователя нет доступа, нужно копировать тоже с помощью программы в режиме администратора. Проводник для этого подходит плохо , лучше использовать запущенный в режиме администратора файловый менеджер, типа Far.

    Ну, и ещё у вас там видно (тест KccEvent) наличие в AD отсутствующего (толи вообще, то ли в данный момент) в сети другого контроллера домена. С этим тоже необходимо разобраться.

    Ну, и adprep /rodcprep не выполнен (см. результат теста NcSecDesc), но это можно игнорировать - пока нет не утанавливаете RODC, это ни на что не влияет.


    Слава России!

    • Помечено в качестве ответа Domofgod 11 июля 2017 г. 12:00
    11 июля 2017 г. 11:38

Все ответы

  • Прежде всего, разберёмся с UAC, который, как известно по умолчанию не даёт использовать без специальных мер свои права всем администраторам, кроме встроенной учётной записи администратора. 

    1. dcdiag нужно вызывать из командной строки в режиме администратора. Вы это сделали?

    2. Скрипт в папку, куда у пользователя нет доступа, нужно копировать тоже с помощью программы в режиме администратора. Проводник для этого подходит плохо , лучше использовать запущенный в режиме администратора файловый менеджер, типа Far.

    Ну, и ещё у вас там видно (тест KccEvent) наличие в AD отсутствующего (толи вообще, то ли в данный момент) в сети другого контроллера домена. С этим тоже необходимо разобраться.

    Ну, и adprep /rodcprep не выполнен (см. результат теста NcSecDesc), но это можно игнорировать - пока нет не утанавливаете RODC, это ни на что не влияет.


    Слава России!

    • Помечено в качестве ответа Domofgod 11 июля 2017 г. 12:00
    11 июля 2017 г. 11:38
  •  По UAC отключен был

    1. dcdiag  да от админа запускал

    2. Прошло копирование скрипта. Поставил Тотал и запустил run as Administrator. Только не понятно... Залогинился под Уч записью с правами  Domain Admin... как так то?

    По  контроллеру вы правы один из КД   в другом удаленном офисе отсутствует (проц вылетел)  - это из-за этого KCC  ругается... хм 

    RODC  нету , все КД (как резервный поднимался судя по всему) полноценные , почему так было сделано не понятно. Имеет ли смысл переделывать ... пока не понятно.

    11 июля 2017 г. 12:00
  • Если dcdiag запускалась в режиме администратора, то тогда там есть ещё ошибки, на которые нужно обратить внимание. Прежде всего, проверьте, кому на контроллерах домена предоставлено право доступа по сети: dcdiag как-то подозрительно ругается на его отсутствие. По умолчанию это право предоставлено всем (и так и должно быть, чтобы политики применялись и т.д.), но у вас предыдущие администраторы могли это поменять.

    Слава России!

    11 июля 2017 г. 14:20