При запуске DCDIAG на наших контроллерах домена Windows Server 2008R2 Enterprise я обнаружил следующее сообщение об ошибке на обоих контроллерах домена.
Эти контроллеры домена были перенесены с Windows Server 2003 на Windows Server 2008R2, а SYSVOL был успешно перенесен с FRS на DFSR более года назад.
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL_DFSR\sysvol\xxx.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL_DFSR\sysvol Logon server share
The command completed successfully.
Более двух месяцев назад был добавлен контроллер домена только для чтения, но только сейчас было обнаружено это сообщение об ошибке.
Virtual Domain Controller
Starting test: VerifyReferences
Some objects relating to the DC EDISON-DC0 have problems:
[1] Problem: Missing Expected Value
Base Object: CN=EDISON-DC0,OU=Domain_ControllersOU_(WSUS_Notify),OU=Domain Controllers,DC=xxx,DC=local
Base Object Description: "DC Account Object"
Value Object Attribute Name: frsComputerReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862
......................... EDISON-DC0 failed test VerifyReferences
Physical Domain Controller
Starting test: VerifyReferences
Some objects relating to the DC BABBAGE have problems:
[1] Problem: Missing Expected Value
Base Object: CN=BABBAGE,OU=Domain_ControllersOU_(WSUS_Notify),OU=Domain Controllers,DC=xxx,DC=local
Base Object Description: "DC Account Object"
Value Object Attribute Name: frsComputerReferenceBL
Value Object Description: "SYSVOL FRS Member Object"
Recommended Action: See Knowledge Base Article: Q312862
......................... BABBAGE failed test VerifyReferences
Стандартный контроллер домена только для чтения Windows Server 2012
Windows PowerShell Авторские права (C) 2012 Microsoft Corporation. Все права защищены.
PS C: \ Windows \ system32> dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки: попытка найти домашний сервер ... Домашний сервер = xxx-RODC0 * Идентифицированный лес AD. Сбор исходной информации завершен.
Выполнение начальных обязательных тестов
Тестовый сервер: xxx \ xxx-RODC0 Запуск теста: подключение ......................... xxx-RODC0 прошел тест Подключение
Проведение первичных тестов
Сервер тестирования: xxx \ xxx-RODC0 Запуск теста: Advertising ......................... xxx-RODC0 - пройден тест Advertising Запуск теста: FrsEvent ... ...................... xxx-RODC0 - пройдена проверка FrsEvent Запуск проверки: DFSREvent .................. ....... xxx-RODC0 прошел тест DFSREvent Запуск теста: SysVolCheck ......................... xxx-RODC0 прошел тест SysVolCheck Запуск теста : KccEvent ......................... xxx-RODC0 - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ............. ............ xxx-RODC0 пройден тест KnowsOfRoleHolders Запуск теста: MachineAccount ......................... xxx-RODC0 пройден тест MachineAccount Запуск теста: NCSecDesc ......................... xxx-RODC0 пройден тест NCSecDesc Запуск теста: NetLogons ........ ................. xxx-RODC0 - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ....................... .. xxx-RODC0 - пройден тест Объекты Репликация Запуск теста: Репликации ......................... xxx-RODC0 пройден тест Replications Sta rting test: Services ......................... xxx-RODC0 прошел тест Services Запуск теста: SystemLog ........... .............. xxx-RODC0 - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... xxx -RODC0 - пройдена проверка VerifyReferences
Выполнение тестов разделов на: ForestDnsZones Запуск теста: CheckSDRefDom ......................... ForestDnsZones - пройденный тест CheckSDRefDom Запуск теста: CrossRefValidation ....... .................. ForestDnsZones прошел тест CrossRefValidation
Запуск тестов разделов на: DomainDnsZones Запуск теста: CheckSDRefDom ......................... DomainDnsZones прошел тест CheckSDRefDom Запуск теста: CrossRefValidation ....... .................. DomainDnsZones - пройдена проверка CrossRefValidation
Запуск тестов разделов на: Схема Запуск теста: CheckSDRefDom ......................... Схема прошла тест CheckSDRefDom Запуск теста: CrossRefValidation ....... .................. Схема прошла тест CrossRefValidation
Выполнение тестов разделов: Конфигурация Запуск теста: CheckSDRefDom ......................... Конфигурация прошла тест CheckSDRefDom Запуск теста: CrossRefValidation ....... .................. Конфигурация прошла тест CrossRefValidation
Выполнение тестов разделов на: xxx Запуск теста: CheckSDRefDom ......................... xxx пройден тест CheckSDRefDom Запуск теста: CrossRefValidation ....... .................. xxx - пройдена проверка CrossRefValidation
Запуск корпоративных тестов на: xxx.local Запуск теста: LocatorCheck ......................... xxx.local пройден тест LocatorCheck Запуск теста: Intersite ... ...................... xxx.local прошел тест Intersite PS C: \ Windows \ system32>
Сообщение об ошибке появляется только на контроллерах домена Windows Server 2008R2.
Поэтому я решил удалить BABBAGE и EDISON-DC0 из OU Domain_ControllersOU_ (WSUS_Notify) и поместить их обратно в OU контроллеров домена и повторно запустить команду DCDIAG. На этот раз проблем с неудачным тестом VerifyReferences на BABBAGE или EDISON-DC0 не было.
Проблема, похоже, связана с использованием дополнительных подразделений внутри подразделения контроллеров домена для настройки WSUS для контроллеров домена.
У меня было два подразделения в подразделении контроллеров домена
Контроллеры_доменаOU_ (WSUS_Notify) - BABBAGE & EDISON-DC0 Контроллеры_доменаOU_ (WSUS_Schedule) - RODC
Будем признательны за любые мысли о том, как решить эту проблему, чтобы я мог использовать две отдельные политики WSUS для исправления контроллеров домена вручную и контроллера домена только для чтения по расписанию @ 03:00.
Это известная ошибка RODC 2008 R2 и соответствующее исправление. находится здесь.
После повышения RODC не может создать объект параметров DFSR для своей учетной записи компьютера (поскольку он доступен только для чтения), поэтому ему приходится запрашивать его у другого DC.
Если контроллер домена только для чтения впоследствии пытается записать значение атрибута во вновь созданный объект, но (используя бессерверную привязку) подключается к другому доступному для записи DC, который еще не реплицировал вновь созданный объект параметров DFSR с первого доступного для записи DC, вы получите несоответствия, например отсутствуют обратные ссылки.