The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

網域控制站執行 DCDiag 發現 NCSecDesc 測試失敗的解法

今天因為公司有需求必須架設壹台 唯讀網域控制站 (RODC) 起來,由於我公司裡有兩台 DC,基本上運作沒啥問題,不疑有他的直接開始安裝,不過安裝過程實在是非常的不順利,問了幾個人都說 RODC 很簡單,也從來沒有人遇過有裝不起來的狀況(突然驚覺我經常遇到這種很背的事),不過還好後來還是解決了,特別記錄一下解決問題的過程筆記。

安裝第一部 RODC 之前,您必須先執行 adprep /rodcprep 命令。RODC 必須從執行 Windows Server 2008 的網域控制站複寫網域資料。因此,在決定 RODC 位置時,複寫乃是最重要的考量。

基本上我在 Windows Server 2008 的完整安裝上安裝 RODC,相關步驟請參考【部署 RODC 的步驟】,但是安裝到最後一步時卻發生以下錯誤:

這個問題實在讓我覺得莫名其妙,難道我的 AD 又髒掉了嗎?前幾天才剛設定好壹台 DC 並沒有發生任何複寫問題,而我用 Repadmin 也查不出問題,且 adprop /rodcprep 也都執行過了,AD 物件與權限照理說應該都妥當設定才對,不過當我用 網域控制站診斷工具 (DCDiag) 檢查後才發現真正的問題:

要解決這個問題,就必須靠 adsiedit.msc 工具來協助設定。以上圖為例,我一開始也看不太懂這句話的意思,後來才理解出這四行描述所表達的意思:<Domain>\Enterprise Read-only Domain Controllers 這個物件在 CN=Configuration,DC=<domain>,DC=<name>,DC=<name> 這個節點沒有 Replicating Directory Changes 的存取權。其設定的方式如下:

記得要選取 Configuration 這項,因為錯誤訊息所表示的就是這個 naming context

以下是中文版的畫面:

最後我們新增這個 <domain>\Enterprise Read-only Domain Controllers 群組進來,並將 Replicating Directory Changes 權限勾選「允許」,再按下確定即可。

 

以下是中文版畫面:

如此一來就大功告成!

雖然 RODC 安裝的問題已解決,但唯一無解的是為什麼我的 AD 就是比其他人少了這項權限呢? Orz

相關連結