Ошибка «Доступ запрещен» при попытке создать объект параметров NTDS
DNS-серверу не удалось инициализировать интерфейсы безопасности Active Directory. Убедитесь, что Active Directory функционирует нормально и перезапустите DNS-сервер. Данные о событии содержат сведения об ошибке.
DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера. В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации. Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки. Как только соответствующие события перестанут регистрироваться в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок. Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923. Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.
C:\Users\Administrator>repadmin /showreplRepadmin: выполнение команды /showrepl контроллере домена localhost с полным доступомDefault-First-Site-Name\WIN-REL6DOIQ12AПараметры DSA: IS_GCПараметры сайта: (none)DSA - GUID объекта: f5dbd125-a1d7-4598-b020-7627c8651a8bDSA - код вызова: 71cefeca-926a-4184-879c-c85452f45738==== ВХОДЯЩИЕ СОСЕДИ ======================================DC=base,DC=ru Default-First-Site-Name\CENTAURUS через RPC DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59 Последняя попытка @ 2019-03-04 15:21:48 успешна.CN=Configuration,DC=base,DC=ru Default-First-Site-Name\CENTAURUS через RPC DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59 Последняя попытка @ 2019-03-04 15:21:48 успешна.CN=Schema,CN=Configuration,DC=base,DC=ru Default-First-Site-Name\CENTAURUS через RPC DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59 Последняя попытка @ 2019-03-04 15:21:48 успешна.DC=DomainDnsZones,DC=base,DC=ru Default-First-Site-Name\CENTAURUS через RPC DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59 Последняя попытка @ 2019-03-04 15:21:48 успешна.DC=ForestDnsZones,DC=base,DC=ru Default-First-Site-Name\CENTAURUS через RPC DSA - GUID объекта: 88903454-b4d9-4e0d-8eef-e01891d3db59 Последняя попытка @ 2019-03-04 15:21:48 успешна.
# samba-tool drs showreplDefault-First-Site-Name\CENTAURUSDSA Options: 0x00000001DSA object GUID: 88903454-b4d9-4e0d-8eef-e01891d3db59DSA invocationId: f4227fc5-01c3-41b1-82ea-245a85b02255==== INBOUND NEIGHBORS ====DC=base,DC=ru Default-First-Site-Name\WIN-REL6DOIQ12A via RPC DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b Last attempt @ Mon Mar 4 15:24:41 2019 +05 was successful 0 consecutive failure(s). Last success @ Mon Mar 4 15:24:41 2019 +05CN=Schema,CN=Configuration,DC=base,DC=ru Default-First-Site-Name\WIN-REL6DOIQ12A via RPC DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b Last attempt @ Mon Mar 4 15:24:41 2019 +05 was successful 0 consecutive failure(s). Last success @ Mon Mar 4 15:24:41 2019 +05DC=DomainDnsZones,DC=base,DC=ru Default-First-Site-Name\WIN-REL6DOIQ12A via RPC DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b Last attempt @ Mon Mar 4 15:24:41 2019 +05 was successful 0 consecutive failure(s). Last success @ Mon Mar 4 15:24:41 2019 +05CN=Configuration,DC=base,DC=ru Default-First-Site-Name\WIN-REL6DOIQ12A via RPC DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b Last attempt @ Mon Mar 4 15:24:41 2019 +05 was successful 0 consecutive failure(s). Last success @ Mon Mar 4 15:24:41 2019 +05DC=ForestDnsZones,DC=base,DC=ru Default-First-Site-Name\WIN-REL6DOIQ12A via RPC DSA object GUID: f5dbd125-a1d7-4598-b020-7627c8651a8b Last attempt @ Mon Mar 4 15:24:41 2019 +05 was successful 0 consecutive failure(s). Last success @ Mon Mar 4 15:24:41 2019 +05==== OUTBOUND NEIGHBORS ======== KCC CONNECTION OBJECTS ====Connection -- Connection name: 310d4b84-6ab4-4322-87f9-f1fa66c872cb Enabled : TRUE Server DNS name : WIN-REL6DOIQ12A.base.ru Server DN name : CN=NTDS Settings,CN=WIN-REL6DOIQ12A,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=base,DC=ru TransportType: RPC options: 0x00000001Warning: No NC replicated for Connection!
Только почему-то репликация всё равно не работает...
C:\Users\administrator>dcdiagДиагностика сервера каталоговВыполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = DC2 * Идентифицирован лес AD. Сбор начальных данных завершен.Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity ......................... DC2 - пройдена проверка ConnectivityВыполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Advertising Внимание: DsGetDcName вернул сведения для \\dc1.base.ru при попытке получения доступа к DC2. СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ. ......................... DC2 - не пройдена проверка Advertising Запуск проверки: FrsEvent ......................... DC2 - пройдена проверка FrsEvent Запуск проверки: DFSREvent ......................... DC2 - пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... DC2 - пройдена проверка SysVolCheck Запуск проверки: KccEvent ......................... DC2 - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... DC2 - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... DC2 - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... DC2 - пройдена проверка NCSecDesc Запуск проверки: NetLogons Не удается подключиться к общему ресурсу NETLOGON. (\\DC2\netlogon) [DC2] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя.. ......................... DC2 - не пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... DC2 - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... DC2 - пройдена проверка Replications Запуск проверки: RidManager ......................... DC2 - пройдена проверка RidManager Запуск проверки: Services ......................... DC2 - пройдена проверка Services Запуск проверки: SystemLog Возникло предупреждение. Код события (EventID): 0x000003F6 Время создания: 03/05/2019 12:09:48 Строка события: Разрешение имен для имени base.ru истекло после отсутствия ответа от настроенных серверов DNS. ......................... DC2 - пройдена проверка SystemLog Запуск проверки: VerifyReferences Проблемы у некоторых объектов, относящихся к DC DC2: [1] Проблема: Отсутствует ожидаемое значение Базовый объект: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=base,DC=ru Описание базового объекта: "Объект DSA" Имя атрибута объекта значения: serverReferenceBL Описание объекта значения: "Объект члена SYSVOL FRS" Рекомендуемое действие: См. статью базы знаний: Q312862 [1] Проблема: Отсутствует ожидаемое значение Базовый объект: CN=DC2,OU=Domain Controllers,DC=base,DC=ru Описание базового объекта: "Объект учетной записи DC" Имя атрибута объекта значения: frsComputerReferenceBL Описание объекта значения: "Объект члена SYSVOL FRS" Рекомендуемое действие: См. статью базы знаний: Q312862 ......................... DC2 - не пройдена проверка VerifyReferences Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom В разделе каталога приложений DC=ForestDnsZones,DC=base,DC=ru отсутствует домен ссылок дескрипторов безопасности. Администратор должен задать для атрибута msDS-SD-Reference-Domain объекта перекрестной ссылки CN=493c74fe-c326-40e7-8a7e-107b2fbe71b7,CN=Partitions,CN=Configuration,DC=base,DC=ru значение DN домена. ......................... ForestDnsZones - не пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom В разделе каталога приложений DC=DomainDnsZones,DC=base,DC=ru отсутствует домен ссылок дескрипторов безопасности. Администратор должен задать для атрибута msDS-SD-Reference-Domain объекта перекрестной ссылки CN=a018ba96-2db0-432c-9543-a903297091a6,CN=Partitions,CN=Configuration,DC=base,DC=ru значение DN домена. ......................... DomainDnsZones - не пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок разделов на: base Запуск проверки: CheckSDRefDom ......................... base - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... base - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: base.ru Запуск проверки: LocatorCheck ......................... base.ru - пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... base.ru - пройдена проверка Intersite
http://www.bubnov.su/stati/ustanovka-samba4-ad-kontrollera-domena-cast-1https://social.technet.microsoft.com/Forums/ru-RU/fcfc4c28-bb1c-4539-8d0d-f9a425d1e6cf/10551088108610731083107710841099-1089-dcforestdnszones?forum=ws2008r2ruhttps://lists.samba.org/archive/samba/2015-September/194326.html
partition management: set nc reference domain DC=DomainDNSZones,DC=base,DC=ru DC=base,DC=ruldap_modify_ext_sW ошибка 0xa(10 (Ссылки).Расширенное сообщение об ошибке LDAP 0000202B: RefErr: DSID-030A0B09, data 0, 1 access points ref 1: 'bb71adc7-db53-42d7-a7f4-ff986d795828._msdcs.base.ru'Возвращенная ошибка Win32 0x202b(Сервер возвратил ссылку.))
https://habr.com/ru/post/450572/ - вот тут вроде толково всё описано.
ту же ошибку
Только почему-то репликация всё равно не работает...В журнале на Windows такие ошибки есть:Цитировать (выделенное) DNS-серверу не удалось инициализировать интерфейсы безопасности Active Directory. Убедитесь, что Active Directory функционирует нормально и перезапустите DNS-сервер. Данные о событии содержат сведения об ошибке.Цитировать (выделенное) DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.Цитировать (выделенное) Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера. В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации. Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки. Как только соответствующие события перестанут регистрироваться в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок. Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923. Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.
Вот эти ошибки. Вы оставляли некоторые ссылки, но с оговорками, что всё равно ничего не помогло...