DCDIAG – диагностика здоровья AD одной утилитой

[Slipeer]

Про лирическое отступление — очень интересно!

утилита выдавала ошибки в части проверок — например sysvolchek

Нет ли возможности показать что выдала утилита? (под рукой нет пары доменов с доверием, а посмотреть интересно)

[Goblinoid]

К сожалению, сегодня нет- уже дома! Если дождетесь — завтра приложу картинки! :)

[Slipeer]

Дождусь непременно — интересно ведь ;)

[Goblinoid]

Как и обещал — выкладываю:

Ситуация №1: Запуск на рабочей станции другого домена, связанного с диагностируемым доверительными отношениями. Запуск осуществляется в сеансе локального администратора рабочей станции. В качестве имени пользователя – имя администратора домена. Команда запуска:
dcdiag /s:dc01-local /u:local\user19 /p:Password /test:sysvolcheck
Вывод:

Диагностика сервера каталогов

Выполнение начальной настройки:
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: LOCAL\DC01-LOCAL
      Запуск проверки: Connectivity
         ......................... DC01-LOCAL - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: LOCAL\DC01-LOCAL
      Запуск проверки: SysVolCheck
         ......................... DC01-LOCAL - не пройдена проверка SysVolCheck

   Выполнение проверок разделов на: Schema

   Выполнение проверок разделов на: Configuration

   Выполнение проверок разделов на: Local

   Выполнение проверок предприятия на: Local.local

Ситуация №2: На той же рабочей станции сеанс cmd запущен от имени администратора исследуемого домена (user19 в предыдущем примере), и после этого дана следующая команда:
dcdiag /s:dc01-local /test:sysvolcheck

Здесь имя пользователя и пароль уже нет необходимости задавать – потому что мы уже работаем от этого пользователя.
Вывод команды:

Диагностика сервера каталогов

Выполнение начальной настройки:
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: LOCAL\DC01-LOCAL
      Запуск проверки: Connectivity
         ......................... DC01-LOCAL - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: LOCAL\DC01-LOCAL
      Запуск проверки: SysVolCheck
         .........................DC01-LOCAL - пройдена проверка SysVolCheck


   Выполнение проверок разделов на: Schema

   Выполнение проверок разделов на: Configuration

   Выполнение проверок разделов на: Local

   Выполнение проверок предприятия на: Local.local

Как видно – в первом случае диагностика говорит о проблемах, во втором – все хорошо. Как мне кажется, это из-за способа диагностики происходит.

[Slipeer]

Это нехватка прав доступа. Объяснение простое:
Здесь написано, что SysvolCheck читает на контроллере в реестре значение SysVolReady

HKEY_Local_Machine\System\CurrentControlSet\Services\Netlogon\Parameters 
SysvolReady=1

Если находит там единицу — тест пройден.
Вашу учётку просто не пускает к реестру удалённого DC.

Чтобы проверить это объяснение — попробуйте в тех же условиях запустить редактор реестра и повторить тест вручную (открыть указанную ветку реестра с DC другого домена).

[Goblinoid]

Понятно — что не хватает прав доступа! но по идее должно хватать — с ключами то /u и /p. :)

[Slipeer]

Домены в одном лесу?
Уровни доменов какие?
Версия ОС ПК с которого запущена проверка и на целевом DC?
Как вариант помешать прохождению этой проверки мог работающий UAC.

[Goblinoid]

да я думаю нет смысла выяснять — опять же по причине рекомендаций производителя запускать dcdiag на контролере домена! :) а так понятно что и домены не в одном лесу и уровни у них разные и операционнки! да и UAC включен! :)

[TerAnYu]

Эта неделя получилась неделей работы с Active Directory :)
Спасибо, надеюсь будет полезна в будущем.