Ошибка nt authority контроллеры домена предприятия не имеет

Добрый день. Помогите разобраться с ошибкой! В одной из подсетей домена есть два контроллера домена на W2k3 SP2 R2, решено было поставить в эту подсеть еще один контроллер на Windows 2008, с последующей передачей ему ролей и удалением одного из старых контроллеров(Работает с 2000 года, пора на свалку). Домен был подготовлен с помощью ADPREP, все прощло без ошибок. Контроллер на 2008 был введен в домен через DCPROMO тоже без ошибок. Все внешне нормально работает, все со всеми реплицируются ( в сети еще кроме 2008 контроллера 12 контроллеров на w2k3 sp2 r2 в разных подсетях) Но при выдаче dcdiag на 2008 контроллере есть ошибка

Диагностика сервера каталогов

Выполнение начальной настройки:

Выполняется попытка поиска основного сервера…

Основной сервер = dc1

* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: yis6DC1

Запуск проверки: Connectivity

……………………. DC1 — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: yis6DC1

Запуск проверки: Advertising

……………………. DC1 — пройдена проверка Advertising

Запуск проверки: FrsEvent

……………………. DC1 — пройдена проверка FrsEvent

Запуск проверки: DFSREvent

……………………. DC1 — пройдена проверка DFSREvent

Запуск проверки: SysVolCheck

……………………. DC1 — пройдена проверка SysVolCheck

Запуск проверки: KccEvent

……………………. DC1 — пройдена проверка KccEvent

Запуск проверки: KnowsOfRoleHolders

……………………. DC1 — пройдена проверка KnowsOfRoleHolders

Запуск проверки: MachineAccount

……………………. DC1 — пройдена проверка MachineAccount

Запуск проверки: NCSecDesc

Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет

Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:

DC=DomainDnsZones,DC=fgup-ycct6,DC=firm
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет

Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:

DC=ForestDnsZones,DC=fgup-ycct6,DC=firm
……………………. DC1 — не пройдена проверка NCSecDesc

Запуск проверки: NetLogons

……………………. DC1 — пройдена проверка NetLogons

Запуск проверки: ObjectsReplicated

……………………. DC1 — пройдена проверка ObjectsReplicated

Запуск проверки: Replications

……………………. DC1 — пройдена проверка Replications

Запуск проверки: RidManager

……………………. DC1 — пройдена проверка RidManager

Запуск проверки: Services

……………………. DC1 — пройдена проверка Services

Запуск проверки: SystemLog

……………………. DC1 — пройдена проверка SystemLog

Запуск проверки: VerifyReferences

……………………. DC1 — пройдена проверка VerifyReferences

Выполнение проверок разделов на: DomainDnsZones

Запуск проверки: CheckSDRefDom

……………………. DomainDnsZones — пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. DomainDnsZones — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: ForestDnsZones

Запуск проверки: CheckSDRefDom

……………………. ForestDnsZones — пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. ForestDnsZones — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Schema

Запуск проверки: CheckSDRefDom

……………………. Schema — пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Schema — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Configuration

Запуск проверки: CheckSDRefDom

……………………. Configuration — пройдена проверка

CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. Configuration — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: fgup-ycct6

Запуск проверки: CheckSDRefDom

……………………. fgup-ycct6 — пройдена проверка CheckSDRefDom

Запуск проверки: CrossRefValidation

……………………. fgup-ycct6 — пройдена проверка

CrossRefValidation

Выполнение проверок предприятия на: fgup-ycct6.firm

Запуск проверки: LocatorCheck

……………………. fgup-ycct6.firm — пройдена проверка

LocatorCheck

Запуск проверки: Intersite

……………………. fgup-ycct6.firm — пройдена проверка

Intersite

Что эта ошибка означает? Помогите разобраться.

When running: «DCDiag /test:NCSecDesc» I get the following.

Doing primary tests

   Testing server: DomainDC1
      Starting test: NCSecDesc
         Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn’t have
            Replicating Directory Changes In Filtered Set
         access rights for the naming context:
         DC=Domain,DC=com
         ……………………. <DC1> failed test NCSecDesc

   Running partition tests on : ForestDnsZones

   Running partition tests on : DomainDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : Domain

   Running enterprise tests on : Domain.com

I recently just added two windows 2012 R2 DC’s into the environment, one of thoses holds the FSMO roles as well as the NTP server information, below is the ADPREP change information taken from ADSI.

Schema Version
69
ForestPrep Version
15
RODCPrep Version
2
DomainPrep Version
10

So besides running «ADPrep /rodcprep» is there any other way to fix this issue? What am I missing?

Note: Replication, DNS, sysvol, etc. all come back good, this is the only error. Also the «enterprise domain controllers» group has full control set for «this object only»

• Edited by

  Thursday, June 18, 2015 4:53 PM
  Added more information

Запуск проверки: NCSecDesc

* Security Permissions check for all NC’s on DC PDC.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* Проверка разрешений безопасности для

DC=ForestDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет

Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:

DC=ForestDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для

DC=DomainDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет

Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:

DC=DomainDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для

CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
(Schema,Version 3)
* Проверка разрешений безопасности для

CN=Configuration,DC=DOMAIN,DC=Local
(Configuration,Version 3)
* Проверка разрешений безопасности для

DC=DOMAIN,DC=Local
(Domain,Version 3)
……………………. PDC — не пройдена проверка NCSecDesc

This was a real pain and we ended up having to call Microsoft and spend several hours to resolve what seem to be a simple issue.  When running dcdiag you get an error that the NCSecDesc test failed with:

 Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn’t have     Replicating Directory Changes In Filtered Set  access rights for the naming context:  DC=cosgro,DC=com

Normally running adprep /rodcprep at the command line would correct the issues but in this case we kept getting the same response when running adprep.

Adprep detected the operation on partition DC=ForestDnsZones,DC=cosgro,DC=com  has been performed. Skipping to next partition. ============================================================================== Adprep detected the operation on partition DC=DomainDnsZones,DC=cosgro,DC=com  has been performed. Skipping to next partition. ============================================================================== Adprep detected the operation on partition DC=cosgro,DC=com has been performe d. Skipping to next partition. ============================================================================== Adprep completed without errors. All partitions are updated. See the ADPrep.log in directory C:Windowsdebugadpreplogs20130213141646 for more information.

And when we re ran DCDiag we would still get the same error. All the online documents say this should of resolved the issues but it had not.

The problem was not the ADPrep /rodcprep but the permissions were seen  to be to “open” for the Enterprise Domain Controllers Group. The security permissions for this group was set to “full” on the main domain partition.  This set of permissions needed to be more restrictive for the group.  To fix we needed to open ADSI Edit and reset the permissions on the domain partition.

The picture below shows you where the domain partition resides, right click the partition and select properties.

Then on the pop up windows select the security tab. In the Groups and Users box find the “Enterprise Domain Controllers” group and then uncheck all permissions.

Now  re-add only the list below to the allow column.

1. Manage replication topology
2. Replicating Directory Changes
3. Replicating Directory Changes All
4. Replicating Directory Changes In Filtered Set
5. Replication Synchronization

Apply the changes and rerun DCDiag to verify that the changes are working.

Thats it.

Enjoy  Cubert  😎

Запуск проверки: NCSecDesc

* Security Permissions check for all NC’s on DC PDC.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* Проверка разрешений безопасности для

DC=ForestDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет

Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:

DC=ForestDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для

DC=DomainDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет

Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:

DC=DomainDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для

CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
(Schema,Version 3)
* Проверка разрешений безопасности для

CN=Configuration,DC=DOMAIN,DC=Local
(Configuration,Version 3)
* Проверка разрешений безопасности для

DC=DOMAIN,DC=Local
(Domain,Version 3)
……………………. PDC — не пройдена проверка NCSecDesc

Tags: windows, microsoft, ошибка, косяки, server2008r2, 2017год