- Remove From My Forums
-
Question
-
Anyone know what is going on here? I’ve seen the error above twice in the last 2 days. It happened once on a Server 2019 VM and once on a Server 2016 VM, both in different client environments, one in VMware, one in Hyper-V.
The machine did not fail to join the domain. Test-Computersecurechannel returns TRUE. I logon to the domain and can access shares, run gpupdate, change my PW, etc, without error. The computer object exists in AD. There are
zero errors in the netstup.log.
-=Chris
Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того, доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные события не регистрируются на контроллерах домена AD.
Для снижения рисков, администраторы могут изменить имя стандартной локальной учетной записи администратора Windows (Administrator). Для регулярной смены пароля локального администратора на всех компьютерах в домене можно использовать MS LAPS (Local Administrator Password Solution). Но этими решениями не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.
Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить сетевой доступ к компьютеру.
В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности (Well-known group) с известными SID. Одна включает в себя всех локальных пользователей, а вторая всех локальных администраторов.
| S-1-5-113 | NT AUTHORITYLocal account | Все локальные учетная запись |
| S-1-5-114 | NT AUTHORITYLocal account and member of Administrators group | Все локальные учетные записи с правами администратора |
Теперь для ограничения доступа локальным учетным записям не нужно перечислять все возможные варианты SID локальных учёток, а использовать их общий SID.
Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.
Чтобы убедится, что в Windows 10/Windows Server 2016 локальной учетной записи присвоены две новый группы
NT AUTHORITYLocal account (SID S-1-5-113)
и
NT AUTHORITYLocal account and member of Administrators group (SID S-1-5-114)
, выполните команду:
whoami /all
Эти встроенные группы безопасности можно исопльзовать и в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012, установив обновление KB 2871997 ( обновление от июня 2014 г.).
Проверить, имеются ли данные группы безопасности в вашей Windows можно по их SID так:
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
Если скрипт возвращает NT AuthorityLocal account, значит данная локальная группа (с этим SID) имеется.
Чтобы запретить сетевой доступ под локальным учетным записями, с этими SID-ами в токене, можно воспользоваться политиками из раздела GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Запрет на вход через RDP для локальных пользователей и администратора
Политика Deny log on through Remote Desktop Services (Запретить вход в систему через службу с удаленного рабочего стола) позволяет указать пользователей и группы, которым явно запрещен удаленный вход на компьютер через RDP. Вы можете запретить RDP доступ к компьютеру для локальных или доменных учетных записей.
По умолчанию RDP доступ в Windows разрешён администраторам и членам локальной группы Remote Desktop Users.
Если вы хотите запретить RDP подключения только локальных пользователей (в том числе локальных администраторов), откройте локальной редактор GPO gpedit.msc (если вы хотите применить эти настройка на компьютерах в домене AD, используйте редактор доменных политик –
gpmc.msc
). Перейдите в указанную выше секцию GPO и отредактируйте политику Deny log on through Remote Desktop Services.
Добавьте в политику встроенные локальные группу безопасности Local account and member of Administrators group и Local account. Обновите настройки локальных политик с помощью команды: gpupdate /force.
Запрещающая политика имеет приоритет над политикой Allow log on through Remote Desktop Services (Разрешить вход в систему через службу удаленных рабочих столов). Если пользователь или группа будет добавлен в обоих политиках, RDP доступ для него будет запрещен.
Теперь, если вы попытаетесь подключиться к компьютеру по RDP, появится ошибка:
To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.
Запрет сетевого доступа к компьютеру по сети
Вы можете запретить сетевой доступ к компьютеру под локальными учетными данными с помощью политики Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети).
Добавьте в политику Deny access to this computer from the network локальные группы Local account и Local account and member of Administrators group. Также стоит всегда запрещать анонимный доступ и доступ под гостевым аккаунтом.
Для доменной среды рекомендуется с помощью этой политики полностью запретить доступ к рабочим станциям и рядовым серверам домена под учетными записями из групп Domain Admins и Enterprise Administrators. Эти аккаунты должны использоваться только для доступа к контроллерам доменам. Тем самым вы уменьшите риски перехвата хэша административных аккаунтов и эскалации привилегий.
После применения политики вы не сможете удаленно подключиться к этому компьютеру по сети под любой локальной учетной записью. При попытке подключиться к сетевой папке или подключить сетевой диск с этого компьютера под локальной учетной записью, появится ошибка:
Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.
При попытке установить RDP сессию под учетной записью локального администратора (.administrator) появится сообщение об ошибке.
The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.
Важно. Если вы примените эту политику к компьютеру, который находится в рабочей группе (не присоединен к домену Active Directory), вы сможете войти на такой компьютер только локально.
Запретить локальный вход в Windows
С помощью политики Deny log on locally (Запретить локальных вход) вы можете запретить и интерактивный вход на компьютер/сервер под локальными учетными записями. Перейдите в секцию GPO User Rights Assignment, отредактируйте политику Deny log on locally. Добавьте в нее нужную локальную группу безопасности.
Будьте особо внимательны с запрещающими политиками. При некорректной настройке, вы можете потерять доступ к компьютерам. В крайнем случае сбросить настройки локальной GPO можно так.
Теперь, если пользователь или администратор попытается авторизоваться на компьютере под локальной учетной записью, появится сообщение.
The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.
Этот метод входа запрещено использовать. Для получения дополнительных сведений обратитесь к администратору своей сети.
Таким образом, вы можете ограничить доступ под локальными учетными записями на компьютеры и сервера домена, увеличить защищенность корпоративной сети.
- Remove From My Forums
-
Вопрос
-
Доброго времени суток, дамы и господа! Ну удаётся создать сетевую папку в windows server 2016 ни через консоль, ни в powershell; все попытки тщетно заканчиваются ошибкой 1332: «Системная ошибка 1332.
Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.»
пример синтаксиса команд: net share Public=C:old /GRANT:Everyone,FULL»Everyone»
Все ответы
-
из гуя не пробовали сделать тоже самое?
The opinion expressed by me is not an official position of Microsoft
-
я это должен сделать дистанционно, поэтому к самому серверу подключаюсь через psexec вызывая сессию cmd или powershell. Это часть программы автоматизации, поэтому ручных действий и RDP не предусматривается
-
Sunny
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com -
Обратите внимание: поскольку веб-сайт не принадлежит Microsoft, ссылка может быть изменена без предварительного уведомления.
Это как?
Сегодня она указывает на справочный контент по исправлению ошибки, а завтра по ней вымогатель от REvil какой-нибудь скачается. И кому? Кто за инфраструктуру из сотен серверов отвечает? Товарищи из Шанхая! Что Вы вообще здесь
делаете?- Изменено
8 июня 2021 г. 6:56
- Изменено
-
Привет,
Просто хочу подтвердить текущую ситуацию.
Пожалуйста, дайте нам знать, если вам понадобится дополнительная помощь.
Наилучшие пожелания,
Sunny
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com -
Привет,
Просто хочу подтвердить текущую ситуацию.
Послушай, друг. Это форум для IT-профессионалов. П р о ф е с с и о н а л о в. Они знают, что делать.
Ваш роботизированный мусор в обсуждении совершенно лишний.
I have small application that attempts to get SID for a given user on Windows 7 64 bit. The application is compiled as 64 bit.
PSID Sid;
DWORD cbReferencedDomainName, cbSid;
LPTSTR ReferencedDomainName;
SID_NAME_USE eUse;
DWORD dwRc = 0;
printf("Lookup %sn",lpszAccountName);
cbReferencedDomainName = cbSid = 0;
if (LookupAccountName(NULL, lpszAccountName, 0, &cbSid,
0, &cbReferencedDomainName, &eUse)) {
printf("LookupAccountName passedn");
return 0;
}
dwRc = GetLastError();
printf("LookupAccountName RC (%d)n",dwRc);
I am passing the user name in uid@hostname format. The API fails for every user that’s present on the machine with GetLastError returning 1332 — «No mapping between account names and security IDs was done.». Please help.
asked Mar 13, 2014 at 9:17
5
A colleague and myself revisited this problem. We found that the problem was due to the Character Set used in the Visual Studio Project Settings. Visual Studio by default, sets character set to Use Unicode Character Set. However our application needs to use ASCII character set as our application needs to read input from command line. So the input read from command line was ASCII but we were passing that input to Wide character version of LookupAccountName API i.e. LookupAccountNameW. This caused API to return 1332 error code.
So we changed the Character Set to «Not Set» and recompiled the application. This ensured that correct form of the API, LookupAccountNamA, is used. This resolved the problem. I believe setting Character Set to «» will also solve the problem.
Hope this will be useful.
answered Mar 9, 2016 at 11:08
ShashiShashi
14.8k2 gold badges32 silver badges50 bronze badges
I have small application that attempts to get SID for a given user on Windows 7 64 bit. The application is compiled as 64 bit.
PSID Sid;
DWORD cbReferencedDomainName, cbSid;
LPTSTR ReferencedDomainName;
SID_NAME_USE eUse;
DWORD dwRc = 0;
printf("Lookup %sn",lpszAccountName);
cbReferencedDomainName = cbSid = 0;
if (LookupAccountName(NULL, lpszAccountName, 0, &cbSid,
0, &cbReferencedDomainName, &eUse)) {
printf("LookupAccountName passedn");
return 0;
}
dwRc = GetLastError();
printf("LookupAccountName RC (%d)n",dwRc);
I am passing the user name in uid@hostname format. The API fails for every user that’s present on the machine with GetLastError returning 1332 — «No mapping between account names and security IDs was done.». Please help.
asked Mar 13, 2014 at 9:17
5
A colleague and myself revisited this problem. We found that the problem was due to the Character Set used in the Visual Studio Project Settings. Visual Studio by default, sets character set to Use Unicode Character Set. However our application needs to use ASCII character set as our application needs to read input from command line. So the input read from command line was ASCII but we were passing that input to Wide character version of LookupAccountName API i.e. LookupAccountNameW. This caused API to return 1332 error code.
So we changed the Character Set to «Not Set» and recompiled the application. This ensured that correct form of the API, LookupAccountNamA, is used. This resolved the problem. I believe setting Character Set to «» will also solve the problem.
Hope this will be useful.
answered Mar 9, 2016 at 11:08
ShashiShashi
14.8k2 gold badges32 silver badges50 bronze badges
Вопрос:
У меня небольшое приложение, которое пытается получить SID для данного пользователя на 64-разрядной версии Windows 7. Приложение скомпилировано как 64 бит.
PSID Sid;
DWORD cbReferencedDomainName, cbSid;
LPTSTR ReferencedDomainName;
SID_NAME_USE eUse;
DWORD dwRc = 0;
printf("Lookup %sn",lpszAccountName);
cbReferencedDomainName = cbSid = 0;
if (LookupAccountName(NULL, lpszAccountName, 0, &cbSid,
0, &cbReferencedDomainName, &eUse)) {
printf("LookupAccountName passedn");
return 0;
}
dwRc = GetLastError();
printf("LookupAccountName RC (%d)n",dwRc);
Я передаю имя пользователя в формате uid @hostname. API терпит неудачу для каждого пользователя, присутствующего на машине, с возвратом GetLastError 1332 – “Не было сопоставления между именами учетных записей и идентификаторами безопасности”. Пожалуйста помоги.
Лучший ответ:
Мы с коллегой пересмотрели эту проблему. Мы обнаружили, что проблема связана с набором символов, который используется в настройках проекта Visual Studio. Visual Studio по умолчанию устанавливает набор символов для Use Unicode Character Set набора Use Unicode Character Set. Однако нашему приложению необходимо использовать набор символов ASCII, поскольку нашему приложению необходимо прочитать ввод из командной строки. Таким образом, вход считывается из командной строки был ASCII, но мы проходили этот вход Wide версии символьного LookupAccountName API т.е. LookupAccountNameW. Это заставило API вернуть код ошибки 1332.
Поэтому мы изменили набор символов на “Не задано” и перекомпилировали приложение. Это обеспечило правильную форму API, LookupAccountNamA. Это решило проблему. Я считаю, что установка Character Set на “” также решит проблему.
Надеюсь, это будет полезно.
Если вы недавно изменили имя пользователя своей учетной записи Windows и начали получать сообщение об ошибке, в котором говорится, что сопоставление между именами учетных записей и идентификаторами безопасности не выполнено, это руководство будет вам полезно. Вы можете решить эту проблему с изменением имени пользователя на компьютере с Windows 11/10 с помощью этого пошагового руководства.
Эта ошибка возникает в основном, когда вы неправильно изменили имя пользователя. Хотя изменить имя пользователя легко, есть некоторые последствия. Время от времени ваша система может не соответствовать изменению, которое является обязательным для продолжения использования обычного пользовательского интерфейса. Однако некоторые неправильные настройки могут быть причиной этой ошибки на вашем компьютере с Windows 11/10.
Примечание. Будет очень полезно, если вы запишите SID, упомянутый в сообщении об ошибке. Хотя это и не обязательно, запись SID позволит вам сэкономить время, которое вы будете изучать в будущем.
Сопоставление между именами учетных записей и идентификаторами безопасности не выполнялось.
Чтобы исправить Сопоставление между именами учетных записей и идентификаторами безопасности не выполнялось. ошибка на вашем компьютере с Windows, выполните следующие действия:
- Измените значение ExtensionDebugLevel.
- Подтвердите имя пользователя в редакторе реестра
- Создать новый профиль пользователя
Чтобы узнать больше об этих шагах, продолжайте читать.
1]Измените значение ExtensionDebugLevel.
ExtensionDebugLevel помогает контролировать уровень ведения журнала на управляемых компьютерах. По умолчанию он установлен в 0. Однако, если он изменится на что-то другое, есть вероятность получить такую ошибку на вашем компьютере. Поэтому вам необходимо проверить правильность данных Value или нет. Для этого сделайте следующее:
Нажмите Win + R, чтобы открыть окно «Выполнить».
Введите regedit> нажмите кнопку «Ввод»> выберите вариант «Да».
Перейдите по этому пути:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
Дважды щелкните значение REG_DWORD ExtensionDebugLevel.
Установите значение данных как 0.
Нажмите кнопку ОК.
Затем перезагрузите компьютер и проверьте, решает ли он проблему или нет.
2]Проверьте имя пользователя в редакторе реестра.
Если вы измените имя пользователя с Учетные записи пользователей панель, вы можете получить эту вышеупомянутую ошибку на своем компьютере с Windows 11/10. Иногда ваша система не обновляет имя пользователя в редакторе реестра, что является обязательным. В противном случае вы не сможете пользоваться папками Библиотеки (Документы, Музыка, Видео и т.д.) и получите такую ошибку.
Прежде чем начать, вам нужно знать SID, о котором мы говорили ранее. Если вы записали SID, вы можете перейти к следующей части. В противном случае выполните следующие действия, чтобы найти SID вашего профиля пользователя:
- Откройте окно командной строки или терминала Windows с повышенными привилегиями.
- Введите эту команду: список учетных записей пользователей wmic заполнен
- Найдите SID соответствующего профиля.
Выполните следующие шаги, чтобы проверить имя пользователя в редакторе реестра:
Найдите regedit в поле поиска на панели задач.
Нажмите на отдельный результат поиска.
Нажмите кнопку «Да», чтобы открыть редактор реестра.
Перейдите по этому пути:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
Нажмите на SID, который вы получили ранее.
Дважды щелкните значение расширяемой строки ProfileImagePath.
Введите новое имя пользователя и нажмите кнопку ОК.
Перезагрузите компьютер.
3]Создайте новый профиль пользователя
Это последнее, что вы, возможно, захотите сделать, если ни одно из вышеупомянутых решений не помогло вам решить проблему. Вы можете использовать ручной метод или использовать сторонний инструмент, такой как Transwiz. Хотя это помогает вам перенести свой профиль с одного компьютера на другой, вы можете использовать то же самое для клонирования профиля.
Как исправить Не было сопоставления между именами учетных записей и идентификаторами безопасности?
Чтобы исправить ошибку «Как исправить, не было сопоставления между именами учетных записей и идентификаторами безопасности»; вам необходимо проверить правильность имени пользователя в файлах реестра. После этого вы можете изменить данные значения ExtensionDebugLevel в том же окне. Однако, если ничего не помогает, вам может потребоваться создать новый профиль пользователя.
Что означает Без сопоставления?
Отсутствие сопоставления означает, что в параметре объекта групповой политики указано неправильное имя пользователя. Это может произойти, если вы часто меняете имя пользователя на своем компьютере. Однако вы можете решить проблему, следуя вышеупомянутым решениям.
Это все! Надеюсь, это помогло.
Читать: Мастер профилей пользователей позволяет перенести полный профиль домена.
- Remove From My Forums
-
Вопрос
-
Добрый день,
коллеги помогите найти проблему не могу добавить компьютер из филиала в головной офис.
Трафик разрешен…
На ПК в событиях netjoin 4097 ошибки с кодами 1332 и 5
Подскажите куда посмотреть что проверить…
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
-
Изменен тип
21 мая 2018 г. 7:28
-
Изменен тип
Vector BCOModerator
21 мая 2018 г. 16:35
найден ответ
-
Изменен тип
Ответы
-
Тему можно закрыть.
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
в чём была проблема?
Проблема была в том что нужной группе не делегировали права на OU Computers
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
-
Помечено в качестве ответа
Vector BCOModerator
21 мая 2018 г. 16:35
-
Помечено в качестве ответа
Я пытаюсь использовать IIS Express с Visual Studio 2010 SP1.
Я следую за этим учебник. Когда я запускаю эту команду.
netsh http add urlacl url=https://Melnibone:443/ user=everyone
Я получаю это сообщение:
Create SDDL failed, Error: 1332
что происходит?
765
4
4 ответов:
Ну, я нашел проблему.
Я запускаю Windows 7 на испанском языке, поэтому правильная команда:
netsh http add urlacl url=https://Melnibone:443/ user=todosсмешно, не правда ли?
обновление:
Если вы хотите, вы можете добавить комментарий к этому вопросу, говоря нам, как это на вашем языке.
Не могу комментировать, поэтому я должен anser здесь:
на немецком языке пользователь=jeder
для меня эта проблема была вызвана тем, что уже было резервирование HTTP для адреса и порта, который я использовал при попытке добавить резервирование HTTPS.
я узнал, что происходит, когда я побежал
NETSH HTTP SHOW URLACLи увидел, что адрес уже зарезервирован с другим протоколом.
недавно я столкнулся с этой проблемой. Решение для меня было запустить командную строку от имени администратора.
Описание неисправности:
В домене два контроллера домена, и вторичный контроллер домена не может синхронизировать SYSVOL. После перехода на более раннюю версию вторичного контроллера домена он удаляется из домена, присоединяется к домену и затем переходит на контроллер домена, но по-прежнему не может синхронизировать SYSVOL.
Используйте команду NET SHARE для диагностики двух контроллеров домена:
Результат основного постоянного тока:
Общее имя Ресурсы Примечания
——————————————————————————-
C $ C: C: общий доступ по умолчанию
IPC $ удаленный IPC удаленный IPC
ADMIN $ C: Удаленное управление Windows
NETLOGON C:WindowsSYSVOLsysvolacertwp.comSCRIPTS
Logon server share
SYSVOL C:WindowsSYSVOLsysvol Logon server share
Команда успешно выполнена.
Результаты вторичного постоянного тока:
Общее имя Ресурсы Примечания
——————————————————————————-
C $ C: C: общий доступ по умолчанию
IPC $ удаленный IPC удаленный IPC
ADMIN $ C: Удаленное управление Windows
Команда успешно выполнена.
Используйте команду DCDIAG / V для диагностики двух машин
Результат основного постоянного тока: (Показывать только те товары, которые не прошли проверку)
Требуемый тест инициализации в процессе
Начать тестирование: DFSREvent
The DFS Replication Event Log.
В течение последних 24 часов после предоставления доступа к SYSVOL произошло предупреждение или ошибка. Сбой репликации SYSVOL может вызвать проблемы с групповой политикой. Чтобы
Произошло предупреждающее событие. EventID: 0x800008A5
Время генерации: 15.08.2014 14:32:51
Строка события:
Служба репликации DFS остановила репликацию на томе C :. Это может произойти, если база данных DFSR JET не выключена полностью и автоматическое восстановление отключено. Чтобы решить эту проблему, создайте резервную копию файлов в затронутой реплицированной папке, а затем используйте метод WMI ResumeReplication для возобновления репликации.
Дополнительная информация:
Объем: C:
GUID: FEFC5799-E59A-40A8-83B3-6966FB3F9E46
Шаги восстановления
1. Создайте резервную копию всех файлов в скопированной папке на томе. Если эта операция не будет выполнена успешно, данные могут быть потеряны из-за ненормального разрешения конфликтов во время восстановления реплицированной папки.
2. Чтобы возобновить репликацию этого тома, используйте WMI-метод ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду:
wmic /namespace:\rootmicrosoftdfs path dfsrVolumeConfig where volumeGuid=»FEFC5799-E59A-40A8-83B3-6966FB3F9E46″ call ResumeReplication
Подробнее см.http://support.microsoft.com/kb/2663685。
Произошло предупреждающее событие. EventID: 0x800008A4
Время генерации: 15.08.2014 14:48:43
Строка события:
Служба репликации DFS обнаружила аварийное завершение работы тома C :. Это может произойти, если служба завершается ненормально (например, из-за сбоя питания) или возникает ошибка тома. Сервис автоматически запустил процесс восстановления. Если служба определяет, что базу данных нельзя надежно восстановить, она восстановит базу данных. От пользователя не потребуется никаких действий.
Дополнительная информация:
Объем: C:
GUID: FEFC5799-E59A-40A8-83B3-6966FB3F9E46
Произошла ошибка. EventID: 0xC0000FAC
Время генерации: 15.08.2014 14:48:44
Строка события:
Служба репликации DFS прекратила репликацию в следующей папке локального пути: C: Windows SYSVOL domain. Сервер был отключен от других партнеров на 140 дней, что превышает время, разрешенное параметром MaxOfflineTimeInDays (60). Таким образом, репликация DFS обрабатывает данные в этой папке как устаревшие, и сервер не будет реплицировать эту папку, пока эта ошибка не будет исправлена.
Чтобы возобновить репликацию этой папки, используйте оснастку «Управление DFS», чтобы удалить этот сервер из группы репликации, а затем добавьте его в эту группу. Это заставляет сервер выполнять начальную задачу синхронизации, которая заменяет устаревшие данные последними данными от других членов группы репликации.
Дополнительная информация:
Ошибка: 9061 (Скопированная папка слишком долго находилась в автономном режиме.)
Имя скопированной папки: SYSVOL Share
ID скопированной папки: FE99FC31-006B-499D-8F78-CB313AFBBC13
Имя группы копирования: Том системы домена
Копировать идентификатор группы: 8F907358-559B-42C3-B95B-04A62441662A
Идентификатор участника: 1A37936D-2B6F-41CC-989F-D411CBA2E7EE
…… DC01V не прошел тест DFSREvent
Начать тестирование: SystemLog
* The System Event log test
Произошла ошибка. EventID: 0x0000168F
Время генерации: 15.08.2014 16:07:00
Строка события:
Не удалось динамически удалить запись DNS «5be38bfc-031d-46a2-8157-0d320deb3b9d._msdcs.acertwp.com. 600 IN CNAME DC02.acertwp.com.» На следующих DNS-серверах:
IP-адрес DNS-сервера: 10.40.94.2
Возвращен код ответа (RCODE): 5
Код состояния возвращен: 9005
Пользовательская операция
Чтобы предотвратить излишнее подключение удаленных компьютеров к контроллеру домена, вручную удалите записи или устраните ошибки, а затем динамически удалите записи. Чтобы узнать больше об отладке DNS, см. «Центр справки и поддержки». Чтобы
Прочие данные
Значение ошибки: операция DNS отклонена.
…… DC01V не прошел тест SystemLog
Результаты вторичного постоянного тока:(Показывать только те товары, которые не прошли проверку)
Выполняется основной тест
Тестовый сервер: CNSZ1 DC03
Начать тестирование: реклама
Предупреждение. Когда мы пытались получить доступ к DC03, DsGetDcName вернул информацию о \ DC01v.acertwp.com.
Сервер не ответил или был признан несоответствующим.
…… DC03 не прошел тест Реклама
Начать тестирование: DFSREvent
The DFS Replication Event Log.
В течение последних 24 часов после предоставления доступа к SYSVOL произошло предупреждение или ошибка. Сбой репликации SYSVOL может вызвать проблемы с групповой политикой. Чтобы
Произошло предупреждающее событие. EventID: 0x80001780
Время генерации: 15.08.2014 17:27:58
Строка события:
Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Сервис будет периодически повторять эту операцию.
Дополнительная информация:
Категория объекта: msDFSR-LocalSettings
Целевой DN: CN = DFSR-LocalSettings, CN = DC03, OU = Контроллеры домена, DC = acertwp, DC = com
Ошибка: 2 (Система не может найти указанный файл.)
Контроллер домена: dc01v.acertwp.com
Цикл опроса: 60
Произошло предупреждающее событие. EventID: 0x80001A94
Время генерации: 15.08.2014 17:27:58
Строка события:
Служба репликации DFS обнаружила, что для системного тома домена группы репликации не настроено подключение. Никаких данных для этой группы репликации не реплицировалось.
Дополнительная информация:
Копировать идентификатор группы: 8F907358-559B-42C3-B95B-04A62441662A
Идентификатор участника: FC61FE0A-88E9-4661-BE3C-C9822AA4DF3A
Произошло предупреждающее событие. EventID: 0x80001206
Время генерации: 15.08.2014 17:28:03
Строка события:
Служба репликации DFS запустила SYSVOL по локальному пути C: Windows SYSVOL domain и ожидает выполнения начальной репликации. Скопированная папка останется в исходном состоянии синхронизации, прежде чем она будет скопирована с партнером DC01v.acertwp.com. Если сервер обновляется до контроллера домена, контроллер домена не будет объявлять или функционировать как контроллер домена, пока проблема не будет решена. Это может произойти, если указанный партнер также находится в этом начальном состоянии синхронизации, или если этот сервер или партнер по синхронизации сталкивается с конфликтом совместного использования. Если это событие происходит во время миграции SYSVOL из службы репликации файлов (RFS) в репликацию DFS, изменения не будут реплицированы, пока проблема не будет решена. Это может вызвать рассинхронизацию папки SYSVOL на этом сервере с другими контроллерами домена.
Дополнительная информация:
Скопируйте имя папки: SYSVOL Share
ID скопированной папки: FE99FC31-006B-499D-8F78-CB313AFBBC13
Имя группы репликации: Том системы домена
Копировать идентификатор группы: 8F907358-559B-42C3-B95B-04A62441662A
Идентификатор участника: FC61FE0A-88E9-4661-BE3C-C9822AA4DF3A
Только чтение: 0
Произошло предупреждающее событие. EventID: 0x80001780
Время генерации: 15.08.2014 17:32:59
Строка события:
Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Сервис будет периодически повторять эту операцию.
Дополнительная информация:
Категория объекта: msDFSR-LocalSettings
Целевой DN: CN = DFSR-LocalSettings, CN = DC03, OU = Контроллеры домена, DC = acertwp, DC = com
Ошибка: 2 (Система не может найти указанный файл.)
Контроллер домена: dc01v.acertwp.com
Цикл опроса: 60
………… DC03 прошел тест DFSREvent
Начать тестирование: NetLogons
* Network Logons Privileges Check
Не удается подключиться к общей папке NETLOGON! (\ DC03 netlogon)
[DC03] Операция сетевого использования или LsaPolicy завершилась неудачно с ошибкой 67, и не удалось найти имя сети. .
…… DC03 не прошел тест NetLogons
Начать тестирование: SystemLog
* The System Event log test
Произошла ошибка. EventID: 0x00001001
Время генерации: 15.08.2014 16:36:16
Строка события: Компьютер DC03 попытался присоединиться к домену acertwp.com, но неудачно. Код ошибки 1332.
Произошло предупреждающее событие. EventID: 0x00001F53
Время генерации: 15.08.2014 17:05:25
Строка события:
Система не может использовать следующие настройки в качестве сетевых адаптеров
Зарегистрированный хост (A или AAAA) запись ресурса (RR):
Название адаптера: {9EA099E8-32D5-4E53-B71F-050AA708D6E0}
Имя хоста: DC03
Суффикс основного домена: acertwp.com
Список DNS-серверов:
10.40.94.1, 10.40.94.2
Отправьте обновление на сервер: <?>
Айпи адрес:
10.40.94.2
Система не может зарегистрировать эти записи из-за проблем, связанных с безопасностью. Эта проблема может возникнуть из-за того, что (а) ваш компьютер не авторизован для регистрации и обновления определенного DNS-имени домена, установленного для этого адаптера, или (б) может возникнуть проблема при согласовании действительных учетных данных с DNS-сервером во время обработки запроса на обновление.
Вы можете вручную повторить DNS-регистрацию сетевого адаптера и его настроек, набрав «ipconfig / registerdns» в командной строке. Если проблема не исчезнет, обратитесь к своему DNS-серверу или системному администратору сети. Для получения информации о конкретном коде ошибки см. Сведения о событии.
Произошло предупреждающее событие. EventID: 0x000727A5
Время генерации: 15.08.2014 17:05:34
Строка события:
Служба WinRM не прослушивает запросы WS-Management.
Пользовательская операция
Если вы не собирались останавливать службу, используйте следующую команду для просмотра конфигурации WinRM:
winrm enumerate winrm/config/listener
Произошла ошибка. EventID: 0xC004002D
Время генерации: 15.08.2014 17:05:42
Строка события: системе не удалось успешно загрузить драйвер аварийного дампа.
Произошла ошибка. EventID: 0xC004002E
Время генерации: 15.08.2014 17:05:42
Строка события: сбой инициализации дампа
Произошла ошибка. EventID: 0xC004002D
Время генерации: 15.08.2014 17:05:45
Строка события: системе не удалось успешно загрузить драйвер аварийного дампа.
Произошло предупреждающее событие. EventID: 0x000727A5
Время генерации: 15.08.2014 17:21:40
Строка события:
Служба WinRM не прослушивает запросы WS-Management.
Пользовательская операция
Если вы не собирались останавливать службу, используйте следующую команду для просмотра конфигурации WinRM:
winrm enumerate winrm/config/listener
Произошла ошибка. EventID: 0xC004002D
Время генерации: 15.08.2014 17:22:16
Строка события: системе не удалось успешно загрузить драйвер аварийного дампа.
Произошла ошибка. EventID: 0xC004002E
Время генерации: 15.08.2014 17:22:16
Строка события: сбой инициализации дампа
Произошла ошибка. EventID: 0xC004002D
Время генерации: 15.08.2014 17:22:19
Строка события: системе не удалось успешно загрузить драйвер аварийного дампа.
Произошло предупреждающее событие. EventID: 0x80040020
Время генерации: 15.08.2014 17:25:24
Строка события: драйвер обнаруживает, что на устройстве Device Harddisk0 DR0 включен кэш записи, и может произойти повреждение данных.
Произошло предупреждающее событие. EventID: 0x80040020
Время генерации: 15.08.2014 17:25:24
Строка события: драйвер обнаруживает, что на устройстве Device Harddisk0 DR0 включен кэш записи, и может произойти повреждение данных.
Произошло предупреждающее событие. EventID: 0x80040020
Время генерации: 15.08.2014 17:25:24
Строка события: драйвер обнаруживает, что на устройстве Device Harddisk0 DR0 включен кэш записи, и может произойти повреждение данных.
Произошло предупреждающее событие. EventID: 0x000727A5
Время генерации: 15.08.2014 17:26:33
Строка события:
Служба WinRM не прослушивает запросы WS-Management.
Пользовательская операция
Если вы не собирались останавливать службу, используйте следующую команду для просмотра конфигурации WinRM:
winrm enumerate winrm/config/listener
Произошла ошибка. EventID: 0xC004002D
Время генерации: 15.08.2014 17:26:41
Строка события: системе не удалось успешно загрузить драйвер аварийного дампа.
Произошла ошибка. EventID: 0xC004002E
Время генерации: 15.08.2014 17:26:41
Строка события: сбой инициализации дампа
Произошла ошибка. EventID: 0xC004002D
Время генерации: 15.08.2014 17:26:45
Строка события: системе не удалось успешно загрузить драйвер аварийного дампа.
Произошло предупреждающее событие. EventID: 0x80040020
Время генерации: 15.08.2014 17:27:03
Строка события: драйвер обнаруживает, что на устройстве Device Harddisk0 DR0 включен кэш записи, и может произойти повреждение данных.
Произошло предупреждающее событие. EventID: 0x80040020
Время генерации: 15.08.2014 17:27:03
Строка события: драйвер обнаруживает, что на устройстве Device Harddisk0 DR0 включен кэш записи, и может произойти повреждение данных.
Произошло предупреждающее событие. EventID: 0x80040020
Время генерации: 15.08.2014 17:27:03
Строка события: драйвер обнаруживает, что на устройстве Device Harddisk0 DR0 включен кэш записи, и может произойти повреждение данных.
…… DC03 не прошел тест SystemLog
Используйте средство просмотра событий для устранения неполадок:
Результат основного постоянного тока:
Имя журнала: репликация DFS
Источник: DFSR
Дата: 15.08.2014 14:32:51
ID события: 2213
Категория задачи: нет
Уровень: Предупреждение
Ключевые слова: классический
Пользователь: недоступен
Компьютер: DC01v.acertwp.com
Описание:
Служба репликации DFS остановила репликацию на томе C :. Это может произойти, если база данных DFSR JET не выключена полностью и автоматическое восстановление отключено. Чтобы решить эту проблему, создайте резервную копию файлов в затронутой реплицированной папке, а затем используйте метод WMI ResumeReplication для возобновления репликации. Чтобы
Дополнительная информация:
Объем: C:
GUID: FEFC5799-E59A-40A8-83B3-6966FB3F9E46
Шаги восстановления
1. Создайте резервную копию файлов во всех скопированных папках на томе. Если эта операция не будет выполнена успешно, данные могут быть потеряны из-за ненормального разрешения конфликтов во время восстановления реплицированной папки. Чтобы
2. Чтобы возобновить репликацию этого тома, используйте WMI-метод ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду:
wmic /namespace:\rootmicrosoftdfs path dfsrVolumeConfig where volumeGuid=»FEFC5799-E59A-40A8-83B3-6966FB3F9E46″ call ResumeReplication
Подробнее см.http://support.microsoft.com/kb/2663685。
Имя журнала: репликация DFS
Источник: DFSR
Дата: 15.08.2014 14:48:43
ID события: 2212
Категория задачи: нет
Уровень: Предупреждение
Ключевые слова: классический
Пользователь: недоступен
Компьютер: DC01v.acertwp.com
Описание:
Служба репликации DFS обнаружила аварийное завершение работы тома C :. Это может произойти, если служба завершается ненормально (например, из-за сбоя питания) или возникает ошибка тома. Сервис автоматически запустил процесс восстановления. Если служба определяет, что базу данных нельзя надежно восстановить, она восстановит базу данных. От пользователя не потребуется никаких действий. Чтобы
Дополнительная информация:
Объем: C:
GUID: FEFC5799-E59A-40A8-83B3-6966FB3F9E46
Имя журнала: репликация DFS
Источник: DFSR
Дата: 15.08.2014 14:48:44
ID события: 4012
Категория задачи: нет
Уровень: ложь
Ключевые слова: классический
Пользователь: недоступен
Компьютер: DC01v.acertwp.com
Описание:
Служба репликации DFS остановила репликацию в следующей папке локального пути: C: Windows SYSVOL domain. Сервер был отключен от других партнеров на 140 дней, что превышает время, разрешенное параметром MaxOfflineTimeInDays (60). Таким образом, репликация DFS обрабатывает данные в этой папке как устаревшие, и сервер не будет реплицировать эту папку, пока эта ошибка не будет исправлена. Чтобы
Чтобы возобновить репликацию папки, используйте оснастку «Управление DFS», чтобы удалить этот сервер из группы репликации, а затем добавьте его в эту группу. Это заставляет сервер выполнять начальную задачу синхронизации, которая заменяет устаревшие данные последними данными от других членов группы репликации. Чтобы
Дополнительная информация:
Ошибка: 9061 (Скопированная папка слишком долго находилась в автономном режиме.)
Имя скопированной папки: SYSVOL Share
ID скопированной папки: FE99FC31-006B-499D-8F78-CB313AFBBC13
Имя группы репликации: Том системы домена
Копировать идентификатор группы: 8F907358-559B-42C3-B95B-04A62441662A
Идентификатор участника: 1A37936D-2B6F-41CC-989F-D411CBA2E7EE
Результаты вторичного постоянного тока:
Имя журнала: репликация DFS
Источник: DFSR
Дата: 15.08.2014 17:27:58
ID события: 6016
Категория задачи: нет
Уровень: Предупреждение
Ключевые слова: классический
Пользователь: недоступен
Компьютер: DC03.acertwp.com
Описание:
Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Сервис будет периодически повторять эту операцию. Чтобы
Дополнительная информация:
Категория объекта: msDFSR-LocalSettings
DN объекта: CN = DFSR-LocalSettings, CN = DC03, OU = Контроллеры домена, DC = acertwp, DC = com
Ошибка: 2 (Система не может найти указанный файл.)
Контроллер домена: dc01v.acertwp.com
Цикл опроса: 60
Имя журнала: репликация DFS
Источник: DFSR
Дата: 15.08.2014 17:27:58
Код события: 6804
Категория задачи: нет
Уровень: Предупреждение
Ключевые слова: классический
Пользователь: недоступен
Компьютер: DC03.acertwp.com
Описание:
Служба репликации DFS обнаружила, что для системного тома домена группы репликации не настроено подключение. Никаких данных для этой группы репликации не реплицировалось. Чтобы
Имя журнала: репликация DFS
Источник: DFSR
Дата: 15.08.2014 17:28:03
Идентификатор события: 4614
Категория задачи: нет
Уровень: Предупреждение
Ключевые слова: классический
Пользователь: недоступен
Компьютер: DC03.acertwp.com
Описание:
Служба репликации DFS запустила SYSVOL по локальному пути C: Windows SYSVOL domain и ожидает выполнения начальной репликации. Скопированная папка останется в исходном состоянии синхронизации, прежде чем она будет скопирована с партнером DC01v.acertwp.com. Если сервер обновляется до контроллера домена, контроллер домена не будет объявлять или функционировать как контроллер домена, пока проблема не будет решена. Это может произойти, если указанный партнер также находится в этом начальном состоянии синхронизации, или если этот сервер или партнер по синхронизации сталкивается с конфликтом совместного использования. Если это событие происходит во время миграции SYSVOL из службы репликации файлов (RFS) в репликацию DFS, изменения не будут реплицированы, пока проблема не будет решена. Это может вызвать рассинхронизацию папки SYSVOL на этом сервере с другими контроллерами домена. Чтобы
результат диагностики:
net share:
Общий доступ к главному DC по умолчанию обычно включен.
Дополнительный контроллер домена не синхронизирует две папки C: Windows SYSVOL sysvol acertwp.com SCRIPTS и C: Windows SYSVOL sysvol. Соответствующий общий доступ по умолчанию также не включен.
dcdiag:
Основной контроллер домена не прошел тестовое событие DFSREvent, и проблема указала на репликацию DFS.
Вторичный DC не прошел тестовую рекламу, не прошел тестовые Netlogons и не прошел Systemlog.Поскольку SYSVOL не был правильно реплицирован, вторичный DC не считал себя контроллером домена или не указывал на контроллер домена первичный DC.
Просмотрщик событий:
Событие 2213 первичного контроллера домена, событие 2212, событие 4012, видно, что служба репликации DFS прекратила репликацию SYSVOL. Причина в том, что DFS считает, что DC01 был отключен слишком долго, и рассматривает данные в папке на SYSVOL на основном контроллере домена как просроченные данные Чтобы остановить копирование.
Из события 6026 вторичного контроллера домена, события 6804 и события 4614 можно увидеть, что, хотя служба репликации вторичного контроллера домена работает нормально, поскольку данные первичного контроллера домена партнера по репликации не могут быть синхронизированы, операция синхронизации данных выполняется всегда.
Подход:
Поскольку первичный DC уже является последним DC в домене, первичный DC может использоваться только в качестве полномочного DC для принудительной репликации вторичного DC.
-
На главном ДК разомкнутьADSIEDIT.MSC, Разверните до CN = подписка SYSVOL, CN = системный том домена, CN = DFSR-LocalSettings, CN = <имя сервера>, OU = контроллеры домена, DC = <домен>, гдеDC=<domain>Это переменная доменного имени, для моей среды это DC = acertwp, DC = com;CN=<the server name>Это переменная имени сервера, для моей среды это имя компьютера основного DC CN = DC01v
-
Измените следующие значения
msDFSR-Enabled=FALSE
msDFSR-options=1
-
включить ADSIEDIT.MSC, Разверните до CN = подписка SYSVOL, CN = системный том домена, CN = DFSR-LocalSettings, CN = <имя сервера>, OU = контроллеры домена, DC = <домен>, гдеDC=<domain>Это переменная доменного имени, для моей среды это DC = acertwp, DC = com;CN=<the server name>Это переменная имени сервера, для моей среды это имя компьютера вторичного контроллера домена CN = DC03v
-
Измените следующие значения:
msDFSR-Enabled=FALSE
-
В консоли Active Directory Sites and Services принудительно выполните репликацию AD на всех узлах и обеспечьте успех
-
Включите службу DFSR на полномочном контроллере домена (если не включен)
-
Видно на главном ДКИнцидент 4114Отобразите реплицированные папки по отключенному локальному пути C: Windows SYSVOL domain.
-
В DN, который мы расширили на шаге 1, измените следующие значения
msDFSR-Enabled=TRUE
-
В консоли Active Directory Sites and Services принудительно выполните репликацию AD на всех узлах и обеспечьте успех
-
На полномочном контроллере домена запустите следующий сценарий CMD в режиме администратора.
DFSRDIAG POLLAD
-
ты увидишь Событие 4602Это означает, что служба репликации DFS успешно инициализировала реплицированную папку SYSVOL, расположенную по локальному пути C: Windows SYSVOL domain.
-
Откройте службу DFSR на другом DC (если она не включена). ты увидишь Инцидент 4114Реплицируемая папка по локальному пути C: Windows SYSVOL domain отключена.
-
ВШаг 3В нашем расширенном DN измените следующие значения
msDFSR-Enabled=TRUE
-
На других контроллерах домена запустите следующий сценарий CMD в режиме администратора
DFSRDIAG POLLAD
Справочные материалы:
1. How to force an authoritative and non-authoritative synchronization for DFSR-replicated SYSVOL (like «D4/D2» for FRS)
2. Force Replication Between Domain Controllers
3. Fixing Broken SYSVOL Replication
I know this question was asked a long time ago, but as there is no general answer yet, so i thought i’ll share my approach. There’s an easy way to filter for this with a few batch commands.
for /f "skip=1delims=" %%a in (
'wmic sysaccount where "SID='S-1-1-0'" get name'
) do set "sid=%%a"&goto next
:next
The loop is necessary because the «get name» part gives the whole table with the heading so we filter for the second line. This code then stores the value of the SID according to your locale in the «sid» variable, so you only have to refer to this when you want to use it.
In this case the whole code would look like this:
for /f "skip=1delims=" %%a in (
'wmic sysaccount where "SID='S-1-1-0'" get name'
) do set "sid=%%a"&goto next
:next
netsh http add urlacl url=https://Melnibone:443/ user=%sid%
NOTE: How you filter for the second line is up to you, the real «magic» happens in this line:
wmic sysaccount where "SID='S-1-1-0'" get name