Не пройдена проверка systemlog

Тестирование подключения и устранение неполадок

Не пройдена проверка systemlog

Поиск

Удалить поисковый запрос

Закрыть поиск

Приложения Google

Главное меню

Эта функция доступна в пакетах G Suite Enterprise, Cloud Identity Premium, G Suite Enterprise for Education и G Suite for Education.

Перед подключением LDAP-клиента к сервису Secure LDAP рекомендуется провести быстрый тест подключения с помощью простых инструментов, например ldapsearch, ADSI или ldp.exe. Их также можно использовать для устранения неполадок, если при подключении LDAP-клиента к сервису возникла ошибка.

Описанные в этой статье тесты позволяют выявлять ошибки конфигурации на стороне клиента. Кроме того, в ней приведены стандартные сообщения об ошибках и рекомендации по их устранению.

Статья состоит из следующих разделов:

Примечание. Если во время тестирования вам нужно связаться со службой поддержки G Suite или Cloud Identity Premium, сохраните выходные данные команд. Прежде чем отправлять их специалистам службы поддержки, удалите из них информацию, позволяющую идентифицировать личность.

Как проверить подключение и отправить запрос LDAP

Настроив сервис Secure LDAP в консоли администратора Google, вы можете проверить подключение к нему с помощью любого из трех простых инструментов: ldapsearch, ADSI или ldp.exe. Подробную информацию и инструкции вы найдете ниже.

ldapsearch

Чтобы отправить базовый запрос LDAP, запустите утилиту ldapsearch из командной строки. Положительный результат запроса LDAP указывает на то, что LDAP-клиент и соответствующие сеанс TLS и подключение по протоколу TCP работают в нормальном режиме.

Как проверить подключение с помощью ldapsearch

  1. Создайте конфигурацию LDAP и скачайте сертификат, следуя этим инструкциям.

    Примечание. Чтобы упростить среду тестирования, убедитесь, что в организационное подразделение, к которому разрешен доступ LDAP-клиенту, добавлен хотя бы один пользователь.

     

  2. Выполните запрос LDAP.

    Ниже приведен пример команды, которая позволяет отправить запрос об определенном пользователе с помощью инструмента командной строки ldapsearch (подробные сведения приведены в руководстве по OpenLDAP). 

     

    LDAPTLS_CERT={файл_сертификата} LDAPTLS_KEY={файл_ключа} ldapsearch -H ldaps://ldap.google.com:636 -b dc={домен},dc={домен} '(mail={адрес_пользователя})'

    Замените следующие метки-заполнители:

    {файл_сертификата} – название CRT-файла.

    {файл_ключа} – название KEY-файла.
    {домен} – все части доменного имени, например «dc=example,dc=com» для example.com.
    {адрес_пользователя} – основной адрес электронной почты пользователя в домене.

Как использовать инструмент ldapsearch с программой stunnel

Если для развертывания требуется программа stunnel, воспользуйтесь следующими командами:

ldapsearch -H ldap://{stunnel_host}:{stunnel_port} -b
dc={domain},dc={domain} '(mail={user_email})'

Замените следующие метки-заполнители для stunnel:
{хост_stunnel} – IP-адрес или имя хоста компьютера в вашей сети, на котором запущена программа stunnel.
{порт_stunnel} – порт, на котором запущена программа stunnel (проверьте ее конфигурацию).

Успешное применение команды ldapsearch

В результате успешного применения команды ldapsearch пользователь и его адрес электронной почты, добавленный при создании LDAP-клиента, будут указаны в формате LDIF.

Примеры:

# extended LDIF # # LDAPv3 # base with scope subtree # filter: (objectclass=*) # requesting: ALL

#

# example.com dn: dc=example,dc=com objectClass: top objectClass: domain objectClass: dcObject

dc: example

# admin-group, Groups, example.com dn: cn=admin-group,ou=Groups,dc=example,dc=com objectClass: top objectClass: groupOfNames objectClass: posixGroup cn: admin-group displayName: admin-group description: gidNumber: 12345 member: uid=admin,ou=Users,dc=example,dc=com memberUid: admin

googleAdminCreated: FALSE

# example-user, Users, example.com dn: uid=example-user,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount uid: example-user googleUid: example-user posixUid: example-user cn: example-user cn: FirstName LastName sn: FirstName displayName: FirstName LastName givenName: FirstName mail: [email protected] uidNumber: 12345 gidNumber: 12345 homeDirectory: /home/example-user loginShell: /bin/bash

gecos:

Возможные ошибки

  • Клиент и/или библиотека OpenLDAP скомпилированы без поддержки SNILDAP-клиент (в этом сценарии OpenLDAP) должен поддерживать SNI (Server Name Indication). В противном случае может появиться ошибка следующего характера:SASL/EXTERNAL authentication startedldap_sasl_interactive_bind_s: Unknown authentication method (-6)  additional info: SASL(-4): no mechanism available: Советы
    • При работе с MacOS аутентификация SASL по умолчанию включена. Чтобы ее не использовать, укажите параметр -x.
    • Добавьте в команду ldapsearch параметр -d5 и проверьте выходные данные для следующей строки: TLS certificate verification: depth: 0, err: 18, subject: /OU=No SNI provided; please fix your client.  
  • Команда ldapsearch возвращает статус 0 (success), но в результатах не указаны пользователи

    При использовании параметра ldapsearch -x (аутентификация SASL) с сертификатами клиента аутентификация выполняется успешно, но пользователи домена не указываются.

    Рекомендация. Удалите параметр -x и повторите попытку.

ADSI Edit (Windows)

  1. Выполните шаги 1–11 в программе ldp.exe (Windows), чтобы установить сертификаты клиента.
  2. Выберите Action (Действия) > Connect to… (Подключиться к…).
  3. Укажите следующие параметры подключения:

    Name (Название): введите название подключения, например Google LDAP.

    Connection Point (Точка подключения): нажмите Select or type a Distinguished Name or Naming Context (Выберите или введите уникальное имя или контекст имени).
    Укажите доменное имя в формате DN. Например, example.com следует записать как dc=example,dc=com.

    Computer (Компьютер): нажмите Select or type a domain or server (Выберите или введите домен или сервер).

    ldap.google.com

    Use SSL-based Encryption (Использовать шифрование на базе SSL): установите флажок.

     

  4. Нажмите Advanced… (Расширенные…) и введите следующие данные:

    Specify credentials (Указать учетные данные): установите флажок.

    Username (Имя пользователя): имя пользователя для доступа из консоли администратора.
    Password (Пароль): пароль для доступа из консоли администратора.
    Port Number (Номер порта): 636.
    Protocol (Протокол): LDAP.
    Simple bind authentication (Аутентификация посредством простой привязки): установите флажок.
     

  5. Нажмите кнопку ОК, а затем снова ОК.
  6. Если подключение установлено, на правой панели появятся данные каталога, указанные в базовом уникальном имени.

ldp.exe (Windows)

  1. Установите OpenSSL.
  2. Преобразуйте сертификат и ключи в один файл формата PKCS12. В командной строке введите следующую команду:

    openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12

    Введите пароль, чтобы зашифровать файл выходных данных.

  3. Откройте панель управления.
  4. В окне поиска выполните поиск по запросу «сертификат» и нажмите Управление сертификатами пользователей.
  5. Выберите Действие > Все задачи > Импорт…
  6. Нажмите Текущий пользователь, а затем Далее.
  7. Нажмите Обзор…
  8. В раскрывающемся списке тип файла в правом нижнем углу диалогового окна выберите Файлы обмена личной информацией (*.pfx;*.p12).
  9. Выберите файл ldap-client.p12 из шага 2, нажмите Открыть, а затем Далее.
  10. Введите пароль из шага 2 и нажмите Далее.
  11. Выберите личное хранилище сертификатов, нажмите Далее, а затем Готово.
  12. Запустите файл Ldp.exe.
  13. Выберите Connection (Подключение) > Connect… (Подключиться…).
  14. Введите следующие параметры подключения:

    Server (Сервер): ldap.google.com.

    Port (Порт): 636.
    Connectionless (Без подключения): снимите флажок.
    SSL: установите флажок.
     

  15. Нажмите ОК.
  16. Откройте View (Представление) > Tree (Дерево).
  17. Укажите доменное имя в формате DN. Например, dc=example,dc=com для example.com.
  18. Нажмите ОК.
  19. Если подключение установлено, на правой панели появятся данные каталога, указанные в базовом уникальном имени.

Как провести базовое тестирование подключения

Если проверка подключения и отправка запроса LDAP не дали положительного результата, воспользуйтесь приведенными ниже инструкциями, чтобы протестировать подключение. Если команда ldapsearch не возвращает требуемого пользователя и не содержит указаний на успешное создание сеанса TLS, с помощью клиента OpenSSL убедитесь в правильности работы сетевых уровней, с которыми взаимодействует OpenLDAP.

Как выполнить базовое тестирование подключения

  1. Установите утилиту openssl для своей операционной системы.

    В большинстве пакетов GNU/Linux используется название «openssl». При необходимости ознакомьтесь с инструкциями для других операционных систем.

     

  2.  Подключитесь к сервису Secure LDAP вручную с помощью клиента openssl:

    openssl s_client -connect ldap.google.com:636 Если соединение SSL успешно установлено, в конце файла с выходными данными openssl s_client будет следующая строка: 

    Verify return code: 0 (ok)

Статьи по теме

Эта информация оказалась полезной?Как можно улучшить эту статью?

Поиск по Справочному центру

Источник: https://support.google.com/cloudidentity/answer/9190869?hl=ru

Проверка репликации между серверами в ad

Не пройдена проверка systemlog

Active Directory Replication Status Tool: The AD Utility We … – Active Directory Replication Status Tool. Enter the ADRAP team. A part of the Premier Field Engineering team … There are over 70 replication error messages, and ADREPLSTATUS is designed to make this part of the replication error hunt much easier.

Download Active Directory Replication Status Tool from … – The Active Directory Replication Status Tool (ADREPLSTATUS) analyzes the replication status for domain controllers in an Active Directory domain or forest. Details. Version: 1.1. File Name: adreplstatusInstaller.zip. Date Published: 4/17/2014.

Ask the Directory Services Team – Site … – Hello again, this is guest author Herbert from Germany. If you worked an Active Directory performance issue, you might have noticed a number of AD ……

The Active Directory Replication Status Tool (ADREPLSTATUS) is now LIVE and available for download at the Microsoft Download Center. ADREPLSTATUS helps administrators identify, … The TechNet Article for AD Replication Error 1256 is shown below.

Why is needed Active Directory Sites Nowadays, most companies do business from multiple office locations, which might be spread across a single ……

Downloads Thread, Microsoft AD Replication Status Tool in Links, Downloads and Scripts; … LinkBack. LinkBack URL; About LinkBacks ; Bookmark & Share; … or by dragging one or more column headers to the filter bar. Use one or both options to arrange output by last replication error, …

Microsoft posted a new GUI tool for checking on AD replication just this morning. You can find out about it here: http:… | 7 replies | Active Directory & GPO … AD Replication Status Tool. by Sosipater on Aug 24, 2012 at 9:15 UTC.

DNA replication is the process of producing two identical replicas from one original DNA molecule. This biological process occurs in all living organisms ……

Download and print this document. Read and print without ads; Download to keep your version; Edit, email or read offline; Choose a format:…

I forgot to add, that I use the Replication Status tool, and I it very much. I have one customer with 8 sites previously had numerous replication problems, mainly due to the BASL and admins manually creating zones left and right.

Active Directory (AD) is a directory service that Microsoft developed for Windows domain networks and is included in most Windows Server operating systems ……

To identify the AD replication problems, you can run the AD Replication Status Tool from your administration workstation in the forest’s root domain. … AD replication error 8606 and Directory Service event 1988 are good indicators of lingering objects.

Veeam Endpoint Backup FREE Beta. Register to get access to the BETA: free Windows backup for desktops and laptops. Register now…

If you encounter this error, please download the tool again … You can also post feature requests at http://social.technet.microsoft.com/wiki/contents/articles/12707.active-directory-replication-status-tool … Have you ever tried using Dynamic AD replication Checker Tool from …

Microsoft has released a new Active Directory replication diagnostics tool called ADREPLSTATUS. … Use one or both options to arrange output by last replication error, last replication success date, … Take a little time and check the AD replication status before you proceed .

… “access is denied” listed below WILL NOT resolve replication failures on computers are currently failing replication with error status 8453: … “Access Denied” Error Message When You Use the Active Directory Sites and Services Tool

How to reply to craigslist postings. 1. Click “Reply.” 2. A window with response options will appear. To use your default mail program, click the blue ……

показывает состояние репликации для контроллера домена

сводка репликации для всех DC леса

Запускает репликацию между DC и партнерами по репликации

Для более глубокого анализа можно задействовать команду: REPADMIN *

(звездочка вместо использования имени DC).

Утилита FRSDiag

Диагностика с помощью утилиты FRSdiag.exe: в центре загрузки Microsoft есть утилиты «Windows 2003 support tools». Среди этих утилит (а возможно и отдельно от них) есть утилита «File Replication Service Diagnostics Tool» — FRSdiag.exe. Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать «GO». Утилита произведет диагностику и выдаст массу информации.

Восстановление репликации между контроллерами домена

Если по каким-то причинам один из контроллеров домена не работал более 60 дней, то прекращается синхронизация между контроллерами домена. Появляются разные сообщения об ошибках в логах. Чтобы восстановить синхронизацию, необходимо произвести несколько действий:

  1. провести диагностику с помощью утилиты FRSdiag.exe;
  2. удалить объекты, которые различаются на контроллерах домена. Обычно это устаревшие и уже давно удаленные объекты;
  3. разрешить репликацию с серверами, которых давно не было в сети;
  4. произвести репликацию, убедиться, что она успешная, и снова запретить репликацию с серверами, которых давно не было в сети.

1. Диагностика с помощью утилиты FRSdiag.exe

Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать «GO». Утилита произведет диагностику и выдаст массу информации. Если там будут следующие строки, переходите к следующим пунктам:

  • «Error 2042 It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime.»
  • «Use the «repadmin /removelingeringobjects» tool to remove inconsistent deleted objects and then resume replication.»

2. Удаление объектов, которые различаются на контроллерах домена

для этого служит команда:

Не торопитесь ее выполнять! Там масса других параметров. Описание здесь:http://support.microsoft.com/kb/870695/en-us НО! там тоже описано далеко не все! Вот более точная инструкция:

http://blogs.technet.com/b/glennl/archive/2007/07/26/clean-that-active-directory-forest-of-lingering-objects.aspx Что необходимо сделать: сначала надо «очистить» один из контроллеров домена, а потом будем использовать его в качестве эталона. Для этого сначала проводим инспекцию (что надо удалить).

RebelAdmin

С этой целью используется опция /advisory_mode:

где: Destination_domain_controller — имя контроллера, который будем «чистить». Source_domain_controller_GUID — идентификатор контроллера, который будет использоваться в качестве «образца» для чистки.

Directory_partition — это разделы Active Directory (их можно посмотреть с помощью adsiedit.msc).

Узнать идентификатор контроллера несложно, есть 2 метода:

  1. At a command prompt, type repadmin /showrepl /v name of the authoritative server, and then press ENTER. The object GUID of the domain controller is listed in the DC object GUID field.
  2. Use the Active Directory Sites and Services tool to locate the object GUID of the source domain controller. To do this, follow these steps:
    1. Click Start, point to Administrative Tools, and then click Active Directory Sites and Services.
    2. Expand Sites, expand the site where your authoritative domain controller is located, expand Servers, and then expand the domain controller.
    3. Right-click NTDS Settings, and then click Properties.
    4. View the value in the DNS Alias box. The GUID that appears in front of _msdcs.forest_root_name.com is the object GUID of the domain controller. The Repadmin tool only requires the GUID. Do not include the _msdcs.forest_root_domain_name.com component in the Repadmin syntax.

Разделы Active Directory — как написано в инструкции: ?Domain directory partition (dc=domain_DN) ?Configuration directory partition (cn=Configuration,dc=forest_root_DN) ?Application directory partition or partitions (cn=Application_directory_partition_name,dc=domain_DN) (cn=Application_directory_partition_name,dc=forest_root_DN)

?Schema directory partition (cn=Schema, cn=Configuration,dc=,dc=forest_root_DN)

Итак, пример. У нас есть 3 контроллера домена: DC1, DC2, DC3, домен mydom.com. Сначала мы «почистим» DC1, используя в качестве образцов DC2 и DC3, а потом «почистим» DC2 и DC3, используя в качестве образца DC1: сначала берем «образец» для DC1 с DC2:

потом залезаем в логи (Directory Service, источник NTDS Replication) и смотрим:

«Active Directory has completed the verification … Source domain controller: … Number of objects examined and verified: 0

… «

Если количество объектов не 0, смотрим что это за объекты, и если все ок, грохаем (то же самое, но без advisory_mode):

теперь берем «образец» для DC1 с DC3:

точно так же проверяем и выполняем те же команды, но уже без advisory_mode.

DC1 «очищен». Теперь так же «чистим» DC2 и DC3, но уже в качестве «образца» выступает DC1. Для этого логинимся на DC2 (а потом на DC3) и выполняем:

Сначала с advisory_mode:

А потом то же самое без advisory_mode.

И то же самое повторяем для DC3: логинимся на него, запускаем эти команды с advisory_mode, смотрим логи, а потом запускаем без advisory_mode.

3. Разрешить/запретить репликацию с серверами, которых давно не было в сети

Для этого есть 2 ключа в реестре. Их необходимо выставить на каждом из контроллеров домена, чтобы между ними проходила репликация. После успешной синхронизации/репликации и (желательно неоднократной) проверки того, что все работает, указанные ключи проще всего удалить.

Содержимое REG файла:

После запуска разрешена синхронизация между контроллерами домена. Чтобы проверить, что контроллеры синхронизираются, необходимо на одном из них открыть: «Active Directory Sites and Services» -> Sites -> Default-First-Site-Name -> Servers Теперь по очереди открываем КАЖДЫЙ контроллер домена, у него — NTDS Settings, после чего кликаем правой кнопкой на имени контроллера домена (внутри NTDS Settings) и выбираем Replicate Now. Все должно синхронизироваться.

Теперь удаляем ключи из реестра (на всех контроллерах домена!):

Утилита dcdiag позволяет выполнить до 20 тестов над инфраструктурой Active Directory. Некоторые из тестов предоставляют диагностическую информацию об определенном контроллере домена. Многие тесты предоставляют информацию о конфигурации репликации в пределах леса.

Конкретные тесты, выполняемые этой утилитой, рассматриваются далее.

Тесты dcdiag

Тест Описание
Advertising Проверяет, правильно ли контроллер домена сообщает о себе и о своей роли хозяина операций. Этот тест завершиться неудачно, если служба NetLogon не запущена
CheckSDRefDom проверяет правильность доменов ссылок дескрипторов безопасности для каждого раздела каталогов программ
Connectivity Проверяет регистрацию DNS для каждого контроллера домена, отправляет тестовый эхо-пакет на каждый контроллер домена и проверяет подключение по протоколам LDAP и RPC к каждому контроллеру домена
CrossRefValidation Проверяет правильность перекрестных ссылок для доменов
RRSSysvol проверяет состояние готовности для FRS SYSVOL
FRSEvent Проверяет ошибки репликации в работе службы репликации файлов, что может означать наличие проблем в репликации SYSVOL и, таким образом, целостности копий объектов групповых политик
FSMOCheck Не проверяет роли хозяев операций, а вместо этого запрашивает сервер глобального каталога, первичный контроллер домена, предпочтительный сервер времени, сервер времени и центр распространения ключей
Intersite Проверяет наличие ошибок, которые могут помешать нормальной репликации между сайтами. Компания Microsoft предупреждает, что иногда результаты этого теста могут оказаться неточными
KCCEvent Проверяет безошибочность создания объектов соединений для репликации между сайтами
KnowsOfRoleHolders Проверяет возможность подключения контроллеров домена ко всем пяти хозяевам операций
MachineAccount Проверяет правильность регистрации учетной записи целевого компьютера и правильность объявлений служб этого компьютера.Если обнаружена ошибка, ее можно исправить с помощью утилиты dcdiag, указав параметры /fixmachineaccount или /recreatemachineaccount
NCSecDesc Проверяет правильность разрешений для репликации в дескрипторах безопасности для заголовков контекста именования
NetLogons Проверяет правильность разрешений регистрации, позволяющих регистрацию, для каждого контроллера домена
ObjectsReplicated Проверяет правильность репликации агента сервера каталогов и объектов учетных записей компьютеров
OutboundSecureChannels Проверяется наличие безопасных каналов между всеми контроллерами домена в интересующем домене
Replications Проверяет возможность репликации между контроллерами домена и сообщает обо всех ошибках при репликации
RidManager Проверяет работоспособность и доступность хозяина относительных идентификаторов
Services Проверяет работоспособность всех служб, необходимых для работы контроллера домена, на указанном контроллере домена
SystemLog Проверяет безошибочность работы системного журнала
VerifyEnterpriseReferences Проверяет действительность системных ссылок службы репликации файлов для всех объектов на всех контроллерах домена в лесу
VerifyReferences Проверяет действительность системных ссылок службы репликации файлов для всех объектов на указанном контроллере домена
VerifyReplicas Проверяет действительность всех разделов каталога приложения на всех серверах, принимающих участие в репликации

Вот синтаксис команды dcdiag:

dcdiag /s: [/n:] [[/u:] [/p:] ] [{/a|/e}{/q|/v}] [/i] [/f:] [/ferr:] [/c [/skip:

Источник: https://steptosleep.ru/ad-replication-status-tool/

Не подключаются сетевые диски через групповые политики

Не пройдена проверка systemlog

» Windows Server » Не подключаются сетевые диски через групповые политики

У нас пришел новый сотрудник и после настройки всех доступов и входе на его рабочий стол у него не подключились сетевые диски, особо не предав значения сделали всю настройку рабочий станции и только потом заметил что не сработала и другая групповая политика.

Проверив корректность прав на папки зайдя под пользователем по абсолютному пути в подключаемые папки я убедился, что с правами все ок. Посмотрев ошибки особо криминального я ничего не нашел и решил вывести и завести компьютер снова в домен и тут меня ждало фиаско.

На ДНС сервере комп появляется, в ветке computers он тоже был. и решил копать дальше.

Зашел на своем компьютере под другой учеткой и тоже не подключились сетевые диски и стало понятно, что проблемы то с АД

Для начала решил проверить контроллер домена на ошибки утилитой dcdiag  и вот тут меня ждал сюрприз)

полный текст ошибки:

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-NameIBBL Запуск проверки: Connectivity

……………………. NIBBL — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-NameIBBL Запуск проверки: Advertising ……………………. NIBBL — пройдена проверка Advertising Запуск проверки: FrsEvent ……………………. NIBBL — пройдена проверка FrsEvent Запуск проверки: DFSREvent ……………………. NIBBL — пройдена проверка DFSREvent Запуск проверки: SysVolCheck ……………………. NIBBL — пройдена проверка SysVolCheck Запуск проверки: KccEvent ……………………. NIBBL — пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders …………………….

NIBBL — пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount Учетная запись NIBBL не является доверенной для делегирования. Она не может реплицироваться. Учетная запись NIBBL не является учетной записью контроллера DC. Она не может реплицироваться. Внимание! Атрибут userAccountControl для NIBBL: 0x11000 = ( WORKSTATION_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD ) Типовой параметр для контроллера домена — 0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION ) Это может влиять на репликацию? …………………….

NIBBL — не пройдена проверка MachineAccount Запуск проверки: NCSecDesc ……………………. NIBBL — пройдена проверка NCSecDesc Запуск проверки: NetLogons ……………………. NIBBL — пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ……………………. NIBBL — пройдена проверка ObjectsReplicated Запуск проверки: Replications ……………………. NIBBL — пройдена проверка Replications Запуск проверки: RidManager ……………………. NIBBL — пройдена проверка RidManager Запуск проверки: Services ……………………. NIBBL — пройдена проверка Services Запуск проверки: SystemLog …………………….

NIBBL — пройдена проверка SystemLog Запуск проверки: VerifyReferences ……………………. NIBBL — пройдена проверка

VerifyReferences

Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ……………………. ForestDnsZones — пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ……………………. ForestDnsZones — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ……………………. DomainDnsZones — пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ……………………. DomainDnsZones — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ……………………. Schema — пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ……………………. Schema — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ……………………. Configuration — пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ……………………. Configuration — пройдена проверка

CrossRefValidation

Выполнение проверок разделов на: nibbl Запуск проверки: CheckSDRefDom ……………………. nibbl — пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ……………………. nibbl — пройдена проверка

CrossRefValidation

Выполнение проверок предприятия на: nibbl.lcl Запуск проверки: LocatorCheck ……………………. nibbl.lcl — пройдена проверка LocatorCheck Запуск проверки: Intersite

……………………. nibbl.lcl — пройдена проверка Intersite

C:\Users\Администратор>

и тут я немного о***л а именно после этой вот ошибки:

Она не может реплицироваться. Внимание! Атрибут userAccountControl для NIBBL: 0x11000 = ( WORKSTATION_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD ) Типовой параметр для контроллера домена — 0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )

Это может влиять на репликацию

если кратко, то это ошибка говорит о следующем: наш контроллер домена из роли контроллера домена перешел в роль обычный компьютер))) Зашибись, да?

Что делать?

Ну для начала просто изменить параметр userAccountControl с 0x1000 на 0x82000

Обозначение параметров:

  • Обычный пользователь : 0x200 (512)
  • Контроллер домена : 0x82000 (532480)
  • Рабочая станция/сервер: 0x1000 (4096)

Как это исправить?

для того что бы исправить ошибки на контроллере домена с userAccountControl делаем след:

  1. Заходим в Редактирование атрибутов Active Directory (ADSI Edit) — для этого зажимаем клавиши win + К и вводим —  adsiedit.msc

  2. В открывшемся окне открываем дерево редактора ADSI и открываем OU=Domain Controllers, далее нажимаем правой кнопкой мыши на нашем контроллере и выбираем из выпадающего меню — свойство.
  3. В открывшемся окне ищем параметр userAccountControl
  4. После перезагружаем контроллер домена и проверяем на ошибки, запустим снова утилиту dcdiag
  5. Радуемся жизни или пишем комментарии если что то не получилось.

вот и все. После этого я ребутнул контроллер домена и все встало на свои места. Вопрос только один остался у меня, как такое могло произойти.

( 1 оценка, среднее 5 из 5 )

Источник: https://www.nibbl.ru/windows-server/ne-podklyuchayutsya-setevye-diski-cherez-gruppovye-politiki.html