Назад | Перейти на главную страницу

Отказано в доступе к SYSVOL из контроллера домена при использовании пути UNC

Я пытаюсь решить проблему для клиента, но у меня заканчиваются идеи.

Мы обновили все оборудование и серверные ОС. В домене теперь есть два новых DC Server 2019. Старые ДЦ выведены из эксплуатации. Лес был на функциональном уровне 2012 года и был доведен до 2016 года. Кроме того, FRS был обновлен до DFRS непосредственно перед добавлением новых серверов. Я не знаю, имеет ли это какое-либо значение для проблемы.

При входе в DC мы не можем писать в SYSVOL при использовании UNC-пути, такого как \ domain.local \ netlogon. Это дает ошибку Доступ запрещен. Перейдя в c: \ Windows \ SYSVOL \, мы можем писать в папку. Это происходит только при входе в DC. Если вы понижаете тот же DC, он работает.

С одного из двух DC я могу писать в netlogon при использовании \ 192.x.x.x \ netlogon, но это не работает с другим DC.

Ошибки показывают отказано в доступе в журналах сервера SMB, но не дополнительную информацию.

Если я понизу уровень DC, я могу использовать SYSVOL через UNC-путь. Когда я продвигаю его обратно, я снова теряю способность. Кроме того, любой контроллер, не относящийся к домену, может получить доступ к SYSVOL через UNC в обычном режиме.

Я пробовал следующее: - Отключенный брандмауэр - Отключен UAC - Отключена разгрузка подписи SMB на сетевом адаптере - Отключена подпись SMB - Предпочитаю IPv4 поверх IPv6 - Отключен IPv6 - Перенесены роли FSMO и повторно продвинутый контроллер домена - Изменен сетевой адаптер в ESX на VM0003 с e1 -Проверенный объект групповой политики и локальные политики -Перемещен контроллер домена в подразделение «Компьютеры» -Пробован новый аккаунт администратора домена -Очищен DNS

Не могли бы вы отменить все, что вы сделали для устранения неполадок, особенно с отключением IPv6 - это необходимо. И контроллеры домена в подразделении контроллеров домена. Просто отмените все, что вы сделали, включая подпись SMB, брандмауэр и т. Д.

Вы не можете рассматривать DC как любой случайный сервер.

Во-первых, куда вы пытаетесь написать ТО? Netlogon и SYSVOL фактически указывают на разные места внутри sysvol. Они также являются точками соединения на диске - вы не можете просто писать туда в случайные места. https://support.microsoft.com/en-au/help/324175/best-practices-for-sysvol-main maintenance (упоминается ФРС, но структура не изменилась).

Возможно, у вас были настроенные завивки на старых контроллерах домена, и теперь вы пытаетесь сделать что-то, что раньше работало, но не работает с готовыми завивками (что означает, что вам нужно тщательно продумать, что вы пытаетесь сделать и как лучше сделать это надежно).

После реализации DFSR вы проводили тщательные проверки, чтобы убедиться, что репликация работает правильно? Собственно, проверьте эти вещи:

  • Делает repadmin /replsum показать недавнюю репликацию на каждом DC?
  • Показывает ли NET SHARE общий доступ к SYSVOL и NETLOGON на всех контроллерах домена?
  • Бегать dcdiag на каждом DC. Есть ли ошибки? Если есть, ОСТАНОВИТЕСЬ и устраните неисправность!
  • Время на ваших контроллерах домена получено из источника NTP и находятся ли они в пределах 5 минут друг от друга?
  • Есть ли брандмауэры между DC или любым другим клиентом, который вы используете для открытия sysvol?

Вот общая информация об установке DC с минимальными изменениями:

C:\>net share netlogon
Share name        NETLOGON
Path              C:\Windows\SYSVOL\sysvol\mydomain.com\SCRIPTS
Remark            Logon server share
Maximum users     No limit
Users
Caching           Manual caching of documents
Permission        Everyone, READ
                BUILTIN\Administrators, FULL


C:\>net share sysvol
Share name        SYSVOL
Path              C:\Windows\SYSVOL\sysvol
Remark            Logon server share
Maximum users     No limit
Users
Caching           Manual caching of documents
Permission        Everyone, READ
                BUILTIN\Administrators, FULL
                NT AUTHORITY\Authenticated Users, FULL

Вот мои разрешения - у вас могут быть дополнения, но не должно быть МЕНЬШЕ - здесь мы специально добавили владельцев-создателей групповой политики, чтобы они могли управлять сценариями входа в систему

C:\>icacls C:\Windows\SYSVOL\sysvol\mydomain.com\SCRIPTS
C:\Windows\SYSVOL\sysvol\mydomain.com\SCRIPTS CREATOR OWNER:(OI)(CI)(IO)(F)
                                            NT AUTHORITY\Authenticated Users:(OI)(CI)(RX)
                                            MYDOMAIN\Group Policy Creator Owners:(OI)(CI)(M)
                                            NT AUTHORITY\SYSTEM:(OI)(CI)(F)
                                            BUILTIN\Administrators:(RX,W,WDAC,WO)
                                            BUILTIN\Administrators:(OI)(CI)(IO)(F)
                                            BUILTIN\Server Operators:(OI)(CI)(RX)

C:\>icacls C:\Windows\SYSVOL\sysvol
C:\Windows\SYSVOL\sysvol NT AUTHORITY\Authenticated Users:(RX)
                        NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(GR,GE)
                        BUILTIN\Server Operators:(RX)
                        BUILTIN\Server Operators:(OI)(CI)(IO)(GR,GE)
                        BUILTIN\Administrators:(RX,W,WDAC,WO)
                        BUILTIN\Administrators:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)
                        NT AUTHORITY\SYSTEM:(F)
                        NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
                        BUILTIN\Administrators:(RX,W,WDAC,WO)
                        CREATOR OWNER:(OI)(CI)(IO)(WDAC,WO,GR,GW,GE)

Если с вашим общим ресурсом SYSVOL что-то не так, это руководство - хорошее место для начала. НЕ пытайтесь «сбросить» пермы с помощью icacls или чего-то еще, если чего-то важного не хватает. Просто воссоздайте SYSVOL. Если вы добавили собственное разрешение, попробуйте удалить его. Учитывая, что происходило с вашим тестированием, я не удивлюсь, если SYSVOL окажется в состоянии грязного завершения работы. https://support.microsoft.com/en-au/help/2958414/dfs-replication-how-to-troubleshoot-missing-sysvol-and-netlogon-shares.

Для получения дополнительной помощи убедитесь, что вы вернули конфигурации DC в надлежащее состояние, что нет ошибок DCDIAG или SYSVOL, времени или репликации, и где вы пытаетесь писать в SYSVOL. Также сделайте whoami /groups чтобы убедиться, что вы действительно находитесь в группе администраторов домена и, если вы вошли на контроллер домена, это показывает, что вы также являетесь участником BUILTIN \ Administrators. И что вы вышли из системы и снова включились (или запустили klist purge) если вы вносите какие-либо изменения - рекомендую скинуть DC. Один за раз. Передача ролей FSMO между ними.

Если у вас есть реальные ошибки в журналах или DCDIAG, дайте текст.

В принципе, вы не должны этого делать. Это защита, обеспечивающая безопасность, чтобы избежать нежелательной модификации очень важных файлов домена. Правильный способ изменить содержимое SYSVOL - через расположение c: \ windows \ system32 \ sysvol на контроллере домена, который вы упомянули в своем сообщении. Изменения будут реплицированы на другие контроллеры домена с нормальной репликацией DFS.

Вы можете увидеть больше информации из повторяющегося вопроса Bizarre - Администратор домена не имеет права изменять каталог сценариев домена

Отключите UAC из реестра. Введите regedit и нажмите ОК. ... Разверните HKEY_LOCAL_MACHINE> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ> Microsoft> Windows> Текущая версия> политики> система. Щелкните правой кнопкой мыши EnableLUA и выберите «Изменить». В поле «Значение» введите 0 и нажмите «ОК».