Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = dc1
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: yis6DC1
Запуск проверки: Connectivity
……………………. DC1 — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: yis6DC1
Запуск проверки: Advertising
……………………. DC1 — пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. DC1 — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
……………………. DC1 — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. DC1 — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. DC1 — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. DC1 — пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. DC1 — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=fgup-ycct6,DC=firm
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=fgup-ycct6,DC=firm
……………………. DC1 — не пройдена проверка NCSecDesc
Запуск проверки: NetLogons
……………………. DC1 — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. DC1 — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
……………………. DC1 — пройдена проверка Replications
Запуск проверки: RidManager
……………………. DC1 — пройдена проверка RidManager
Запуск проверки: Services
……………………. DC1 — пройдена проверка Services
Запуск проверки: SystemLog
……………………. DC1 — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. DC1 — пройдена проверка VerifyReferences
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: fgup-ycct6
Запуск проверки: CheckSDRefDom
……………………. fgup-ycct6 — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. fgup-ycct6 — пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: fgup-ycct6.firm
Запуск проверки: LocatorCheck
……………………. fgup-ycct6.firm — пройдена проверка
LocatorCheck
Запуск проверки: Intersite
……………………. fgup-ycct6.firm — пройдена проверка
Intersite
Что эта ошибка означает? Помогите разобраться.
When running: «DCDiag /test:NCSecDesc» I get the following.
Doing primary tests
Testing server: DomainDC1
Starting test: NCSecDesc
Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn’t have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=Domain,DC=com
……………………. <DC1> failed test NCSecDesc
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : Domain
Running enterprise tests on : Domain.com
I recently just added two windows 2012 R2 DC’s into the environment, one of thoses holds the FSMO roles as well as the NTP server information, below is the ADPREP change information taken from ADSI.
Schema Version
69
ForestPrep Version
15
RODCPrep Version
2
DomainPrep Version
10
So besides running «ADPrep /rodcprep» is there any other way to fix this issue? What am I missing?
Note: Replication, DNS, sysvol, etc. all come back good, this is the only error. Also the «enterprise domain controllers» group has full control set for «this object only»
- Edited by
Thursday, June 18, 2015 4:53 PM
Added more information
Запуск проверки: NCSecDesc
* Security Permissions check for all NC’s on DC PDC.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* Проверка разрешений безопасности для
DC=ForestDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
DC=DomainDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
(Schema,Version 3)
* Проверка разрешений безопасности для
CN=Configuration,DC=DOMAIN,DC=Local
(Configuration,Version 3)
* Проверка разрешений безопасности для
DC=DOMAIN,DC=Local
(Domain,Version 3)
……………………. PDC — не пройдена проверка NCSecDesc
This was a real pain and we ended up having to call Microsoft and spend several hours to resolve what seem to be a simple issue. When running dcdiag you get an error that the NCSecDesc test failed with:
Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn’t have Replicating Directory Changes In Filtered Set access rights for the naming context: DC=cosgro,DC=com
Normally running adprep /rodcprep at the command line would correct the issues but in this case we kept getting the same response when running adprep.
Adprep detected the operation on partition DC=ForestDnsZones,DC=cosgro,DC=com has been performed. Skipping to next partition. ============================================================================== Adprep detected the operation on partition DC=DomainDnsZones,DC=cosgro,DC=com has been performed. Skipping to next partition. ============================================================================== Adprep detected the operation on partition DC=cosgro,DC=com has been performe d. Skipping to next partition. ============================================================================== Adprep completed without errors. All partitions are updated. See the ADPrep.log in directory C:Windowsdebugadpreplogs20130213141646 for more information.
And when we re ran DCDiag we would still get the same error. All the online documents say this should of resolved the issues but it had not.
The problem was not the ADPrep /rodcprep but the permissions were seen to be to “open” for the Enterprise Domain Controllers Group. The security permissions for this group was set to “full” on the main domain partition. This set of permissions needed to be more restrictive for the group. To fix we needed to open ADSI Edit and reset the permissions on the domain partition.
The picture below shows you where the domain partition resides, right click the partition and select properties.
Then on the pop up windows select the security tab. In the Groups and Users box find the “Enterprise Domain Controllers” group and then uncheck all permissions.
Now re-add only the list below to the allow column.
- Manage replication topology
- Replicating Directory Changes
- Replicating Directory Changes All
- Replicating Directory Changes In Filtered Set
- Replication Synchronization
Apply the changes and rerun DCDiag to verify that the changes are working.
Thats it.
Enjoy Cubert 😎
Запуск проверки: NCSecDesc
* Security Permissions check for all NC’s on DC PDC.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* Проверка разрешений безопасности для
DC=ForestDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
DC=DomainDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
(Schema,Version 3)
* Проверка разрешений безопасности для
CN=Configuration,DC=DOMAIN,DC=Local
(Configuration,Version 3)
* Проверка разрешений безопасности для
DC=DOMAIN,DC=Local
(Domain,Version 3)
……………………. PDC — не пройдена проверка NCSecDesc
При проверке состояния КД командой
dcdiag /e /v /q
вылезло сообщение об ошибке
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет Replicating Directory Changes In Filtered Set прав доступа для контекста именования: DC=ForestDnsZones,DC=company,DC=local
Решение, которое убирает ошибку:
выполнить adprep /rodcprep.
Adprep можно найти на диске установщика Windows Server 2008 R2 в папке support.
НО!!!
Настораживает найденный топик. Человек выполнил эту команду и получил неожиданные
последствия: не может добавить никакого КД, кроме RODC.
Оказалось, что у него имя домена однословное (single-label).
Tags: windows, microsoft, ошибка, косяки, server2008r2, 2017год