none
权限列表无replicating directory changes in filtered set权限项 RRS feed

  • 问题

  • 环境windows 2008 R2 域控制器上进行dcdiag测试时出现如下错误: 

    开始测试: NCSecDesc

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=ForestDnsZones,DC=xxxx,DC=com

    在adsiedit.mscj里编辑  DC=ForestDnsZones,DC=xxxx,DC=com 不小心在安全页-高级-权限-点了还原黙认值,后 ENTERPRISE DOMAIN CONTROLLERS的权限里找不到Replicating Directory Changes In Filtered Set选项了,丢失了。

          如何添加Replicating Directory Changes In Filtered Set的权限项 

     急!

    2020年10月11日 7:46

全部回复

  • 尊敬的客户,您好,

    感谢您的发帖。

    添加Replicating Directory Changes In Filtered Set的权限项,我们可以尝试以下操作:
    1,右击DC=ForestDnsZones,DC=xxxx,DC=com,选择“安全”-“高级”



    2,默认,ENTERPRISE DOMAIN CONTROLLERS的权限里有Replicating Directory Changes In Filtered Set权限的。



    3,点击“Edit”,然后找到Replicating Directory Changes In Filtered Set权限,勾选上。



    4,再次检查下此权限是否已添加上。再次运行dcdiag查看报错是否消失。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月12日 3:19
  • 首先非常感谢你能回复,但问题还是没有解决。

    1、上面我的表述有一个错误,是CN=ConFiguration,DC=xxxx,DC=com,而不是DC=ForestDnsZones,DC=xxxx,DC=com

    2、 ENTERPRISE DOMAIN CONTROLLERS 的权限列表里找不到Replicating Directory Changes In Filtered Set(复制筛选集中的目录更改)。是因为点了“高级-权限-还原默认值-确定“后权限列表中就没有了(没点还原默认值前是有这个选项的,还原默认值后就没有了)。

    3、没点还原默认值前是有这个选项的,还原默认值后就没有了。

    4、权限项目里的“对象”及“属性”也找不着 replicating directory changes in filtered set或“复制筛选集中的目录更改”的相关表述。

    5、dcdiag测试除了这一项没通过,至使Windows 2008 R2 AD 没法进行升级或增加新的域控服务器。(因权限问题,我不能上传图)。


    2020年10月12日 10:08
  • 您好,

    不客气呢。非常感谢您的反馈。

    我们点击还原默认值后,就只有Replicating Directory Changes In Filtered Set这一个权限选项丢失了吗?

    另外在Applies to:这一栏,如果选择This object only,是可以看到Replicating Directory Changes In Filtered Set权限选项的。但是如果选择其他的如Descendant account objects,是没有上述的权限选项的。我们再次确认下是不是选择正确了。





    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月13日 6:52
  • 1、点“还原默认值”后权限项目的用户或组减少到只有 Domain Admins组、system、Authenticated Users三个了(如图所示)。

    2、权限列表中不只有“replicating directory changes in filtered set”权限选项丢失了,还有很多的其它选项也消失了。但其它消失项似乎影响并不大,虽然还原后报了更多的误,通过手动添加用户及设置后逐一解决了,唯独这一项就是找不着,通不过测试。

    3、This object only及Descendant account objects也没有找到Replicating Directory Changes In Filtered Set(仔细的找了,确定没有)



    以下是更详细的过程如下:


    1、域控升级SYSVO的复制方式FRS至DFS成功、Windows server 2019 加入域Windows server 2008 R2成功 ,但提升域控制器失败,报如下错误:ADPrep 执行失败 --> System.ComponentModel.Win32Exception (0x80004005): 连到系统上的设备没有发挥作用。有关详细信息,请检查 C:\WINDOWS\debug\adprep\logs\20201010090240 目录下的日志文件。

    2、Adprep文件记录如下错误:传送到 ldifde 的命令行是 ldifde -i -f "C:\WINDOWS\system32\adprep\sch75.ldf" -s "pc03.zxdl.com" -h -j "C:\WINDOWS\debug\adprep\logs\20201010090240" -$ "C:\WINDOWS\system32\adprep\schupgrade.cat" -b "administrator" "XXXX" ******


    3、主域控上进行dcdiag.exe测试时报如下三个错误(其它都测试通过)
       开始测试: NCSecDesc
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=ForestDnsZones,DC=xxx,DC=com

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=DomainDnsZones,DC=xxx,DC=com

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             CN=ConFiguration,DC=xxxx,DC=com

    4、用adsiedit.msc编辑ForestDnsZones,DomainDnsZones的权限,在没有点权限“还原默认值”之前怎么设置都消除不了错误。点了“还原默认值”后出现了更多的错误,通过手动添加用户及设置后逐一解决了,也没有了Replicating Directory Changes In Filtered Set这项,但测试通过了。(我确定点还原前是有这个选项的,还原后就没有了)

    5、用adsiedit.msc编辑ConFiguration如上说的一样设置权限,但一直提示需要Replicating Directory Changes In Filtered Set的权限,但权限列表中没有这项了。

    6、再次查找一遍ForestDnsZones、DomainDnsZones、ConFiguration、schema下的ENTERPRISE DOMAIN CONTROLLERS用户都没有这个权限选项。“管理复制拓扑、 复制目录更改、 复制目录更改全部、复制同步”这些都还在,唯独没有:复制过滤集中的目录更改 replicating directory changes in filtered set,丢失了。似乎只有ConFiguration需要这个权限,其它没有这个权限测试是通过的。

    7、域控是从Win2000建立 - 升级为Win2003 - 升级为Win2008 R2 期间一直都很顺利。


    还里有图片:https://zhidao.baidu.com/question/2210154969128419548.html
    2020年10月13日 10:27
  • 您好,

    非常感谢您的反馈。

    针对Dcdiag.exe在运行NCSecDesc测试时返回错误的报错,我们搜索到相关资料可以尝试去解决问题。但是因为我们操作过“还原默认值”,现在Replicating Directory Changes In Filtered Set权限丢失了。所以我们不确认资料中提到的解决方式是否有所帮忙。我们可以尝试看看是否可以解决此问题。

    1,根据此官方文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754463(v=ws.10)?redirectedfrom=MSDN

    "如果尚未运行adprep / rodcprep命令,则Dcdiag.exe在运行NCSecDesc测试时将返回错误。此测试检查命名上下文头上的安全描述符是否具有适当的复制权限。该错误表明Enterprise Domain Controllers组对DNS应用程序目录分区没有“在过滤集中复制目录更改”访问权限。如果您不打算将RODC添加到目录林中,则可以忽略此错误。如果计划将RODC添加到林中,则必须运行adprep / rodcprep。"

    2,另外Configuration下的ENTERPRISE DOMAIN CONTROLLERS权限只能设置以下5项:

    Manage replication topology
    Replicating Directory Changes
    Replicating Directory Changes All
    Replicating Directory Changes In Filtered Set
    Replication Synchronization

    如果权限过大的话,根据我的搜索,也会出现NCSecDesc测试时返回错误的报错。

    3,“ForestDnsZones、DomainDnsZones、ConFiguration、schema下的ENTERPRISE DOMAIN CONTROLLERS用户都没有这个权限选项。” 其他的用户例如SYSTEM,Domain Admins有这个权限选项吗?

    感谢您的支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年10月14日 3:28
  •     1、在主域上执行运行adprep / rodcprep命令后日志文件如下:(提示有错误,但不知道是个什么错误,如何解决)

    [2020/10/14:12:17:29.888]

    Adprep 在 C:\Windows\debug\adprep\logs\20201014121729 目录下创建了日志文件 ADPrep.log。

    [2020/10/14:12:17:32.400]

    Adprep 已连接到域 FSMO pc03.zxdl.com。

    [2020/10/14:12:17:32.400]

    Adprep 正要调用以下 LDAP API。ldap_search_s()。要开始搜索的基项目为 (null)。

    [2020/10/14:12:17:32.400]
    LDAP API ldap_search_s() 完成,返回代码为 0x0 

    [2020/10/14:12:17:32.400]
    Adprep 已从本地 Active Directory 域服务中成功检索到信息。

    [2020/10/14:12:17:32.509]

    Adprep 成功初始化全局变量。

    [状态/结果]

    Adprep 正在继续。

    [2020/10/14:12:17:32.509]

    Adprep 正要调用以下 LDAP API。ldap_search_s()。要开始搜索的基项目为

    CN=Partitions,CN=Configuration,DC=zxdl,DC=com。

    [2020/10/14:12:17:32.509]

    LDAP API ldap_search_s 完成,返回代码为 0x0 

    [2020/10/14:12:17:32.524]

    Adprep 检测到已在分区 DC=DomainDnsZones,DC=zxdl,DC=com 上执行该操作。跳到下一个分区。

    ==============================================================================

    [2020/10/14:12:17:32.556]

    Adprep 检测到已在分区 DC=ForestDnsZones,DC=zxdl,DC=com 上执行该操作。跳到下一个分区。

    ==============================================================================
    [2020/10/14:12:17:32.571]

    Adprep 检测到已在分区 DC=zxdl,DC=com 上执行该操作。跳到下一个分区。

    ==============================================================================
    [2020/10/14:12:17:32.571]

    Adprep 正要调用以下 LDAP API。ldap_add_s()。要添加的项目为

    CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。

    [2020/10/14:12:17:32.571]

    LDAP API ldap_add_s() 完成,返回代码为 0x44 

    [2020/10/14:12:17:32.571]

    Adprep 尝试过创建 Active Directory 域服务对象

    CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。

    [状态/结果]

    该对象存在,因此 Adprep 未尝试重新运行此操作而继续操作。

    [2020/10/14:12:17:32.680]

    Adprep 正要调用以下 LDAP API。ldap_modify_s()。要修改的项目为

    CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。

    [2020/10/14:12:17:32.712]

    LDAP API ldap_modify_ext_s() 完成,返回代码为 0x0 

    [2020/10/14:12:17:32.712]

    Adprep 正要调用以下 LDAP API。ldap_modify_s()。要修改的项目为

    CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。

    [2020/10/14:12:17:32.712]

    LDAP API ldap_modify_s() 完成,返回代码为 0x0 

    [2020/10/14:12:17:32.712]

    Adprep 成功将对象 CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com 上的林更新版本属性设置为 2。

    [状态/结果]

    Adprep 更新了林更新版本属性以便将林标记为准备就绪。Adprep 继续并且现在将准备林。

    [2020/10/14:12:17:32.727]

    Adprep 已完成,但有错误。已更新所有分区。有关详细信息,请参阅目录

    :\Windows\debug\adprep\logs\20201014121729 中的 ADPrep.log。

    2、执行上述命后Configuration下的ENTERPRISE DOMAIN CONTROLLERS权限还是只这4项可设:

      Manage replication topology
      Replicating Directory Changes
      Replicating Directory Changes All
      Replication Synchronization


    3、“ForestDnsZones、DomainDnsZones、ConFiguration、schema下的其他的用户如SYSTEM,Domain Admins都没有这个权限选项了,点还原前有些是有的。

    4、图片的地址:https://zhidao.baidu.com/question/1868027137799570147.html
    2020年10月14日 5:11
  • 您好,

    非常感谢您的反馈。

    目前的情况下,点击了“还原默认值”后Replicating Directory Changes In Filtered Set这一权限丢失了。任何用户下都没有了这个权限选项了。dcdiag测试这一项不能通过,以致AD现在无法升级或者增加新的DC。

    关于Replicating Directory Changes In Filtered Set这一权限丢失,可能需要查看更多的信息并收集一些日志。如果情况紧急的话,我建议您联系Microsoft客户服务和支持以获得更加有效的解决方案。
    https://support.microsoft.com/zh-CN

    感谢您的理解和支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年10月15日 3:34