nikitos435
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Есть лес доменов, в нем 5 доменов.
Я администратор только одного домена, имею права domain admins.
В моем домене два КД: dc6, dc7
dc6 владелей ролей FSMO: PDC, Диспетчер пула RID, Хозяин инфраструктуры
На dc6 первый днс указан dc7, второй dc6
На dc7 первый днс указан dc6, второй dc7
Оба КД пингуются и отдают свои IP адреса.
nslookup так же верно отдает имена по указанным IP адресам
Шара sysvol доступна
Команда repadmin /replsummary работает корректно и по моим КД все ОК, без ошибок
Команда repadmin /syncall выдает результат по всем строкам - успешно
Команда repadmin /queue показывает, что очереди нет.
Пользователи логинятся корректно. внутренние ресурсы все доступны.
Проблема:
На dc7 результат команды
PS C:\Windows\system32> Test-ComputerSecureChannel -Verbose
ПОДРОБНО: Выполнение операции "Test-ComputerSecureChannel" над целевым объектом "dc7".
True
ПОДРОБНО: Безопасный канал между локальным компьютером и доменом ll.local находится в хорошем состоянии.
На dc6 результат другой:
PS C:\Windows\system32> Test-ComputerSecureChannel -Verbose
ПОДРОБНО: Выполнение операции "Test-ComputerSecureChannel" над целевым объектом "dc6".
Test-ComputerSecureChannel : Не удается проверить безопасный канал для локального компьютера. Произошел сбой операции со следующим исключением: Указанный домен не существует или к нему невозможно подключиться.
строка:1 знак:1
+ Test-ComputerSecureChannel -Verbose
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (dc6:String) [Test-ComputerSecureChannel], InvalidOperationException
+ FullyQualifiedErrorId : FailToTestSecureChannel,Microsoft.PowerShell.Commands.TestComputerSecureChannelCommand
Что пытался сделать для устранения проблемы:
DC6
net stop KDC
sc config KDC start= disabled
restart dc6
klist purge
DC7
netdom resetpwd /server:mall-s-dc6 /userd:ll\llmaster /passwordd:*
restart dc6
restart dc7
на dc6 repadmin /syncall
sc config KDC start= auto
net start KDC
Не помогло.
При этом результат команды
PS C:\Windows\system32> get-adcomputer -Identity dc6 -Properties passwordlastset
DistinguishedName : CN=DC6,OU=Domain Controllers,DC=ll,DC=local
DNSHostName : dc6.ll.local
Enabled : True
Name : DC6
ObjectClass : computer
ObjectGUID : 5070b300-561a-4de2-b9f3-94a392e55ff1
PasswordLastSet : 23.10.2023 9:07:27
SamAccountName : DC6$
SID : S-1-5-21-3938084241-2381963257-1294222501-14552
UserPrincipalName :
Результат команды ниже одинаков и на dc6 и на dc7
PS C:\Windows\system32> nltest /sc_verify:ll.local
Ошибка в I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Пробовал сбрасывать пароль контролледра командой Test-ComputerSecureChannel –Repair –Credential (Get-Credential), смущает ответ
PS C:\Windows\system32> test-computersecurechannel -repair -credential (get-credential)
Командлет Get-Credential в конвейере команд в позиции 1
Укажите значения для следующих параметров:
Credential
False
Так и должно быть? Учетные данные укаазывал и домен админа и локального администратора
При выполнении dcdiag проверку проходят все тесты, кроме:
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DC6 - не пройдена проверка DFSREvent
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x80000025
Время создания: 10/23/2023 09:07:18
Строка события:
Центр распространения ключей (KDC) при обработке запроса для другого билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет. Это не позволило выполнить проверки безопасности и могло создать уязвимости для системы безопасности. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2173051.
Возникло предупреждение. Код события (EventID): 0x00001795
Время создания: 10/23/2023 09:15:41
Строка события:
Программе "svchost.exe", которой присвоен идентификатор процесса "1004", не удалось выполнить локальную проверку подлинности, используя имя "RPCSS/fe80::f058:33e0:293e:cf57" для конечного объекта. Имя конечного объекта недопустимо. Имя конечного объекта должно указывать на имя одного из локальных компьютеров, например DNS-имя хоста.
......................... DC6 - не пройдена проверка SystemLog
Все остальное успешно.
Что еще можно сделать для восстановления работы безопасного канала у контроллера домена.
Заранее спасибо!
|
