When running: «DCDiag /test:NCSecDesc» I get the following.
Doing primary tests
Testing server: DomainDC1
Starting test: NCSecDesc
Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn’t have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=Domain,DC=com
……………………. <DC1> failed test NCSecDesc
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : Domain
Running enterprise tests on : Domain.com
I recently just added two windows 2012 R2 DC’s into the environment, one of thoses holds the FSMO roles as well as the NTP server information, below is the ADPREP change information taken from ADSI.
Schema Version
69
ForestPrep Version
15
RODCPrep Version
2
DomainPrep Version
10
So besides running «ADPrep /rodcprep» is there any other way to fix this issue? What am I missing?
Note: Replication, DNS, sysvol, etc. all come back good, this is the only error. Also the «enterprise domain controllers» group has full control set for «this object only»
- Edited by
Thursday, June 18, 2015 4:53 PM
Added more information
Запуск проверки: NCSecDesc
* Security Permissions check for all NC’s on DC PDC.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* Проверка разрешений безопасности для
DC=ForestDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
DC=DomainDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
(Schema,Version 3)
* Проверка разрешений безопасности для
CN=Configuration,DC=DOMAIN,DC=Local
(Configuration,Version 3)
* Проверка разрешений безопасности для
DC=DOMAIN,DC=Local
(Domain,Version 3)
……………………. PDC — не пройдена проверка NCSecDesc
This was a real pain and we ended up having to call Microsoft and spend several hours to resolve what seem to be a simple issue. When running dcdiag you get an error that the NCSecDesc test failed with:
Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn’t have Replicating Directory Changes In Filtered Set access rights for the naming context: DC=cosgro,DC=com
Normally running adprep /rodcprep at the command line would correct the issues but in this case we kept getting the same response when running adprep.
Adprep detected the operation on partition DC=ForestDnsZones,DC=cosgro,DC=com has been performed. Skipping to next partition. ============================================================================== Adprep detected the operation on partition DC=DomainDnsZones,DC=cosgro,DC=com has been performed. Skipping to next partition. ============================================================================== Adprep detected the operation on partition DC=cosgro,DC=com has been performe d. Skipping to next partition. ============================================================================== Adprep completed without errors. All partitions are updated. See the ADPrep.log in directory C:Windowsdebugadpreplogs20130213141646 for more information.
And when we re ran DCDiag we would still get the same error. All the online documents say this should of resolved the issues but it had not.
The problem was not the ADPrep /rodcprep but the permissions were seen to be to “open” for the Enterprise Domain Controllers Group. The security permissions for this group was set to “full” on the main domain partition. This set of permissions needed to be more restrictive for the group. To fix we needed to open ADSI Edit and reset the permissions on the domain partition.
The picture below shows you where the domain partition resides, right click the partition and select properties.
Then on the pop up windows select the security tab. In the Groups and Users box find the “Enterprise Domain Controllers” group and then uncheck all permissions.
Now re-add only the list below to the allow column.
- Manage replication topology
- Replicating Directory Changes
- Replicating Directory Changes All
- Replicating Directory Changes In Filtered Set
- Replication Synchronization
Apply the changes and rerun DCDiag to verify that the changes are working.
Thats it.
Enjoy Cubert 😎
Запуск проверки: NCSecDesc
* Security Permissions check for all NC’s on DC PDC.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* Проверка разрешений безопасности для
DC=ForestDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
DC=DomainDnsZones,DC=DOMAIN,DC=Local
(NDNC,Version 3)
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=DOMAIN,DC=Local
* Проверка разрешений безопасности для
CN=Schema,CN=Configuration,DC=DOMAIN,DC=Local
(Schema,Version 3)
* Проверка разрешений безопасности для
CN=Configuration,DC=DOMAIN,DC=Local
(Configuration,Version 3)
* Проверка разрешений безопасности для
DC=DOMAIN,DC=Local
(Domain,Version 3)
……………………. PDC — не пройдена проверка NCSecDesc
При проверке состояния КД командой
dcdiag /e /v /q
вылезло сообщение об ошибке
Ошибка — NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет Replicating Directory Changes In Filtered Set прав доступа для контекста именования: DC=ForestDnsZones,DC=company,DC=local
Решение, которое убирает ошибку:
выполнить adprep /rodcprep.
Adprep можно найти на диске установщика Windows Server 2008 R2 в папке support.
НО!!!
Настораживает найденный топик. Человек выполнил эту команду и получил неожиданные
последствия: не может добавить никакого КД, кроме RODC.
Оказалось, что у него имя домена однословное (single-label).
Tags: windows, microsoft, ошибка, косяки, server2008r2, 2017год
Здравтсвуйте,помогите разобраться,достался мне офис,ситуация такая,2 сервера ,основной «Serv» win2008Std sp1 x64 и резервный «Server» 2003Std sp2 x32,в логах 2008 вот такие сообщения :
Служба репликации файлов просматривает данные на системном томе. Компьютер SERV не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL. Для проверки ресурса SYSVOL введите в командной строке: net share Когда служба репликации файлов завершит процесс сканирования, на экране появится общий ресурс SYSVOL. Инициализация системного тома может занять некоторое время. Это время зависит от объема системного тома.
Serv являетмся хозяином схемы
C:>netdom query fsmo Хозяин схемы serv.Agriko.local Хозяин именования доменов serv.Agriko.local PDC serv.Agriko.local Диспетчер пула RID serv.Agriko.local Хозяин инфраструктуры serv.Agriko.local Команда успешно выполнена.
Ipconfig
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : serv
Основной DNS-суффикс . . . . . . : Agriko.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : Agriko.local
Ethernet adapter inet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-30-48-B8-5A-61
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::9ca8:e042:eb94:872%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 1xx.92.240.139(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз. . . . . . . . . : 1xx.92.240.137
DNS-серверы. . . . . . . . . . . : ::1
127.0.0.1
1xx.92.240.34
1xx.92.241.2
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter local:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration
Физический адрес. . . . . . . . . : 00-30-48-B8-5A-60
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::51ec:df55:2654:520f%10(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
192.168.0.3
NetBios через TCP/IP. . . . . . . . : Включен
DCDIAG
C:>dcdiag /q
Ошибка - NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=Agriko,DC=local
Ошибка - NT AUTHORITYКОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=Agriko,DC=local
......................... SERV - не пройдена проверка NCSecDesc
Не удается подключиться к общему ресурсу NETLOGON. (\SERVnetlogon)
[SERV] Сбой операции net use или LsaPolicy с ошибкой 67,
Не найдено сетевое имя..
......................... SERV - не пройдена проверка NetLogons
Возникло событие Error. Код события (EventID): 0xC0004724
Время создания: 03/10/2010 00:09:25
Строка события:
Неправильный дескриптор безопасности По умолчанию Запуск и активация
на уровне машины. Он содержит элементы управления доступом Access Control с неп
равильными разрешениями. Поэтому запрошенное действие не выполнено. Это разрешен
ие можно исправить с помощью средства администрирования Component Services.
Возникло событие Error. Код события (EventID): 0xC0004724
......................... SERV - не пройдена проверка SystemLog
А вот ipconfig И dcdiag с server
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : Agriko.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : Agriko.local
Local Area Connection - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 00-18-F3-EB-D9-0E
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.3
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1
192.168.0.3
C:WINDOWSProfilesAdministrator.AGRIKO>dcdiag /q There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... SERVER failed test frsevent An Error Event occured. EventID: 0x00000457 Time Generated: 03/09/2010 22:53:33 (Event String could not be retrieved) An Error Event occured. EventID: 0x00000457 Time Generated: 03/09/2010 22:53:34 (Event String could not be retrieved) ......................... SERVER failed test systemlog Some objects relating to the DC SERVER have problems: [1] Problem: Missing Expected Value Base Object: CN=SERVER,OU=Domain Controllers,DC=Agriko,DC=local Base Object Description: "DC Account Object" Value Object Attribute Name: frsComputerReferenceBL Value Object Description: "SYSVOL FRS Member Object" Recommended Action: See Knowledge Base Article: Q312862 [1] Problem: Missing Expected Value Base Object: CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=Agriko,DC=local Base Object Description: "DSA Object" Value Object Attribute Name: serverReferenceBL Value Object Description: "SYSVOL FRS Member Object" Recommended Action: See Knowledge Base Article: Q312862 ......................... SERVER failed test VerifyReferences
Самое печальное что если не чего не трогать то домен работает,но как только падает Server ,АД на Serv тоже перестаёт работать ,битый час пытаюсь найти решение ,как заставить отдать netlogon и sysvol
-
Перемещено
22 апреля 2012 г. 17:03
(От:Windows Server 2008)