Введение
У нас пришел новый сотрудник и после настройки всех доступов и входе на его рабочий стол у него не подключились сетевые диски, особо не предав значения сделали всю настройку рабочий станции и только потом заметил что не сработала и другая групповая политика.
Проверив корректность прав на папки зайдя под пользователем по абсолютному пути в подключаемые папки я убедился, что с правами все ок. Посмотрев ошибки особо криминального я ничего не нашел и решил вывести и завести компьютер снова в домен и тут меня ждало фиаско.
На ДНС сервере комп появляется, в ветке computers он тоже был. и решил копать дальше.
Зашел на своем компьютере под другой учеткой и тоже не подключились сетевые диски и стало понятно, что проблемы то с АД
Для начала решил проверить контроллер домена на ошибки утилитой dcdiag и вот тут меня ждал сюрприз)
полный текст ошибки:
C:\Users\Администратор>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = NIBBL
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\NIBBL
Запуск проверки: Connectivity
……………………. NIBBL — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\NIBBL
Запуск проверки: Advertising
……………………. NIBBL — пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. NIBBL — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
……………………. NIBBL — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. NIBBL — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. NIBBL — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. NIBBL — пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
Учетная запись NIBBL не является доверенной для делегирования.
Она не может реплицироваться.
Учетная запись NIBBL не является учетной записью контроллера DC.
Она не может реплицироваться.
Внимание! Атрибут userAccountControl для NIBBL:
0x11000 = ( WORKSTATION_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD )
Типовой параметр для контроллера домена —
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
Это может влиять на репликацию?
……………………. NIBBL — не пройдена проверка
MachineAccount
Запуск проверки: NCSecDesc
……………………. NIBBL — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
……………………. NIBBL — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. NIBBL — пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
……………………. NIBBL — пройдена проверка Replications
Запуск проверки: RidManager
……………………. NIBBL — пройдена проверка RidManager
Запуск проверки: Services
……………………. NIBBL — пройдена проверка Services
Запуск проверки: SystemLog
……………………. NIBBL — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. NIBBL — пройдена проверка
VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: nibbl
Запуск проверки: CheckSDRefDom
……………………. nibbl — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. nibbl — пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: nibbl.lcl
Запуск проверки: LocatorCheck
……………………. nibbl.lcl — пройдена проверка LocatorCheck
Запуск проверки: Intersite
……………………. nibbl.lcl — пройдена проверка Intersite
C:\Users\Администратор>
Свернуть
и тут я немного о***л а именно после этой вот ошибки:
Она не может реплицироваться.
Внимание! Атрибут userAccountControl для NIBBL:
0x11000 = ( WORKSTATION_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD )
Типовой параметр для контроллера домена —
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
Это может влиять на репликацию
если кратко, то это ошибка говорит о следующем: наш контроллер домена из роли контроллера домена перешел в роль обычный компьютер))) Зашибись, да?
Что делать?
Ну для начала просто изменить параметр userAccountControl с 0x1000 на 0x82000
Обозначение параметров:
Обычный пользователь : 0x200 (512)
Контроллер домена : 0x82000 (532480)
Рабочая станция/сервер: 0x1000 (4096)
Как это исправить?
для того что бы исправить ошибки на контроллере домена с userAccountControl делаем след:
Заходим в Редактирование атрибутов Active Directory (ADSI Edit) — для этого зажимаем клавиши win + R и вводим — adsiedit.msc
В открывшемся окне открываем дерево редактора ADSI и открываем OU=Domain Controllers, далее нажимаем правой кнопкой мыши на нашем контроллере и выбираем из выпадающего меню — свойство.
В открывшемся окне ищем параметр userAccountControl
