nikitos435
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте! Есть лес доменов, в нем 5 доменов. Я администратор только одного домена, имею права domain admins. В моем домене два КД: dc6, dc7 dc6 владелей ролей FSMO: PDC, Диспетчер пула RID, Хозяин инфраструктуры На dc6 первый днс указан dc7, второй dc6 На dc7 первый днс указан dc6, второй dc7 Оба КД пингуются и отдают свои IP адреса. nslookup так же верно отдает имена по указанным IP адресам Шара sysvol доступна Команда repadmin /replsummary работает корректно и по моим КД все ОК, без ошибок Команда repadmin /syncall выдает результат по всем строкам - успешно Команда repadmin /queue показывает, что очереди нет. Пользователи логинятся корректно. внутренние ресурсы все доступны. Проблема: На dc7 результат команды PS C:\Windows\system32> Test-ComputerSecureChannel -Verbose ПОДРОБНО: Выполнение операции "Test-ComputerSecureChannel" над целевым объектом "dc7". True ПОДРОБНО: Безопасный канал между локальным компьютером и доменом ll.local находится в хорошем состоянии. На dc6 результат другой: PS C:\Windows\system32> Test-ComputerSecureChannel -Verbose ПОДРОБНО: Выполнение операции "Test-ComputerSecureChannel" над целевым объектом "dc6". Test-ComputerSecureChannel : Не удается проверить безопасный канал для локального компьютера. Произошел сбой операции со следующим исключением: Указанный домен не существует или к нему невозможно подключиться. строка:1 знак:1 + Test-ComputerSecureChannel -Verbose + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OperationStopped: (dc6:String) [Test-ComputerSecureChannel], InvalidOperationException + FullyQualifiedErrorId : FailToTestSecureChannel,Microsoft.PowerShell.Commands.TestComputerSecureChannelCommand Что пытался сделать для устранения проблемы: DC6 net stop KDC sc config KDC start= disabled restart dc6 klist purge DC7 netdom resetpwd /server:mall-s-dc6 /userd:ll\llmaster /passwordd:* restart dc6 restart dc7 на dc6 repadmin /syncall sc config KDC start= auto net start KDC Не помогло. При этом результат команды PS C:\Windows\system32> get-adcomputer -Identity dc6 -Properties passwordlastset DistinguishedName : CN=DC6,OU=Domain Controllers,DC=ll,DC=local DNSHostName : dc6.ll.local Enabled : True Name : DC6 ObjectClass : computer ObjectGUID : 5070b300-561a-4de2-b9f3-94a392e55ff1 PasswordLastSet : 23.10.2023 9:07:27 SamAccountName : DC6$ SID : S-1-5-21-3938084241-2381963257-1294222501-14552 UserPrincipalName : Результат команды ниже одинаков и на dc6 и на dc7 PS C:\Windows\system32> nltest /sc_verify:ll.local Ошибка в I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN Пробовал сбрасывать пароль контролледра командой Test-ComputerSecureChannel –Repair –Credential (Get-Credential), смущает ответ PS C:\Windows\system32> test-computersecurechannel -repair -credential (get-credential) Командлет Get-Credential в конвейере команд в позиции 1 Укажите значения для следующих параметров: Credential False Так и должно быть? Учетные данные укаазывал и домен админа и локального администратора При выполнении dcdiag проверку проходят все тесты, кроме: Запуск проверки: DFSREvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... DC6 - не пройдена проверка DFSREvent Запуск проверки: SystemLog Возникла ошибка. Код события (EventID): 0x80000025 Время создания: 10/23/2023 09:07:18 Строка события: Центр распространения ключей (KDC) при обработке запроса для другого билета обнаружил билет, который не содержал сведений об учетной записи, запросившей билет. Это не позволило выполнить проверки безопасности и могло создать уязвимости для системы безопасности. Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2173051. Возникло предупреждение. Код события (EventID): 0x00001795 Время создания: 10/23/2023 09:15:41 Строка события: Программе "svchost.exe", которой присвоен идентификатор процесса "1004", не удалось выполнить локальную проверку подлинности, используя имя "RPCSS/fe80::f058:33e0:293e:cf57" для конечного объекта. Имя конечного объекта недопустимо. Имя конечного объекта должно указывать на имя одного из локальных компьютеров, например DNS-имя хоста. ......................... DC6 - не пройдена проверка SystemLog Все остальное успешно. Что еще можно сделать для восстановления работы безопасного канала у контроллера домена. Заранее спасибо! |