Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 9
Про лирическое отступление — очень интересно!
Нет ли возможности показать что выдала утилита? (под рукой нет пары доменов с доверием, а посмотреть интересно)
утилита выдавала ошибки в части проверок — например sysvolchek
Нет ли возможности показать что выдала утилита? (под рукой нет пары доменов с доверием, а посмотреть интересно)
К сожалению, сегодня нет- уже дома! Если дождетесь — завтра приложу картинки! :)
Дождусь непременно — интересно ведь ;)
Как и обещал — выкладываю:
Ситуация №1: Запуск на рабочей станции другого домена, связанного с диагностируемым доверительными отношениями. Запуск осуществляется в сеансе локального администратора рабочей станции. В качестве имени пользователя – имя администратора домена. Команда запуска:
dcdiag /s:dc01-local /u:local\user19 /p:Password /test:sysvolcheck
Вывод:
Ситуация №2: На той же рабочей станции сеанс cmd запущен от имени администратора исследуемого домена (user19 в предыдущем примере), и после этого дана следующая команда:
dcdiag /s:dc01-local /test:sysvolcheck
Здесь имя пользователя и пароль уже нет необходимости задавать – потому что мы уже работаем от этого пользователя.
Вывод команды:
Как видно – в первом случае диагностика говорит о проблемах, во втором – все хорошо. Как мне кажется, это из-за способа диагностики происходит.
Ситуация №1: Запуск на рабочей станции другого домена, связанного с диагностируемым доверительными отношениями. Запуск осуществляется в сеансе локального администратора рабочей станции. В качестве имени пользователя – имя администратора домена. Команда запуска:
dcdiag /s:dc01-local /u:local\user19 /p:Password /test:sysvolcheck
Вывод:
Диагностика сервера каталогов
Выполнение начальной настройки:
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: LOCAL\DC01-LOCAL
Запуск проверки: Connectivity
......................... DC01-LOCAL - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: LOCAL\DC01-LOCAL
Запуск проверки: SysVolCheck
......................... DC01-LOCAL - не пройдена проверка SysVolCheck
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: Local
Выполнение проверок предприятия на: Local.local
Ситуация №2: На той же рабочей станции сеанс cmd запущен от имени администратора исследуемого домена (user19 в предыдущем примере), и после этого дана следующая команда:
dcdiag /s:dc01-local /test:sysvolcheck
Здесь имя пользователя и пароль уже нет необходимости задавать – потому что мы уже работаем от этого пользователя.
Вывод команды:
Диагностика сервера каталогов
Выполнение начальной настройки:
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: LOCAL\DC01-LOCAL
Запуск проверки: Connectivity
......................... DC01-LOCAL - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: LOCAL\DC01-LOCAL
Запуск проверки: SysVolCheck
.........................DC01-LOCAL - пройдена проверка SysVolCheck
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: Local
Выполнение проверок предприятия на: Local.local
Как видно – в первом случае диагностика говорит о проблемах, во втором – все хорошо. Как мне кажется, это из-за способа диагностики происходит.
Это нехватка прав доступа. Объяснение простое:
Здесь написано, что SysvolCheck читает на контроллере в реестре значение SysVolReady
Если находит там единицу — тест пройден.
Вашу учётку просто не пускает к реестру удалённого DC.
Чтобы проверить это объяснение — попробуйте в тех же условиях запустить редактор реестра и повторить тест вручную (открыть указанную ветку реестра с DC другого домена).
Здесь написано, что SysvolCheck читает на контроллере в реестре значение SysVolReady
HKEY_Local_Machine\System\CurrentControlSet\Services\Netlogon\Parameters
SysvolReady=1
Если находит там единицу — тест пройден.
Вашу учётку просто не пускает к реестру удалённого DC.
Чтобы проверить это объяснение — попробуйте в тех же условиях запустить редактор реестра и повторить тест вручную (открыть указанную ветку реестра с DC другого домена).
Эта неделя получилась неделей работы с Active Directory :)
Спасибо, надеюсь будет полезна в будущем.
Спасибо, надеюсь будет полезна в будущем.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
DCDIAG – диагностика здоровья AD одной утилитой