Отношения доверия для леса
Отношения доверия в лесу помогают управлять сегментированными инфраструктурами AD DS и поддерживают доступ к ресурсам и другим объектам в нескольких лесах. Доверие леса полезно для поставщиков услуг, организаций в процессе слияния или поглощения, совместных деловых экстрасетей и компаний, которым необходимо решение для автономного управления.
С помощью отношений доверия лесов можно связать два леса, чтобы сформировать одностороннее или двустороннее транзитивное отношение доверия. Доверие лесов позволяет администраторам подключать два леса AD DS с одним отношением доверия для обеспечения эффективной проверки подлинности и авторизации в этих лесах.
Доверие лесов можно создать только между корневым доменом леса в одном лесу и корневым доменом леса в другом лесу. Отношения доверия лесов могут быть созданы только между двумя лесами и не могут быть неявно расширены на третий лес. Такими образом, если между лесом 1 и лесом 2 создано одно отношение доверия лесов, а между лесом 2 и лесом 3 — другое, лес 1 не имеет неявного отношения доверия с лесом 3.
На следующей схеме показаны два отдельных отношения доверия лесов между тремя лесами AD DS в одной организации.
В этом примере конфигурации предоставляется следующий доступ:
- пользователи в лесу 2 могут получать доступ к ресурсам в любом домене леса 1 и леса 3;
- пользователи в лесу 3 могут получать доступ к ресурсам в любом домене леса 2;
- пользователи в лесу 1 могут получать доступ к ресурсам в любом домене леса 2.
Эта конфигурация не позволяет пользователям леса 1 получить доступ к ресурсам в лесу 3 и наоборот. Чтобы разрешить пользователям в лесу 1 и лесу 3 общий доступ к ресурсам, необходимо создать двустороннее транзитивное отношение доверия между этими двумя лесами.
Если между двумя лесами создается одностороннее доверие лесов, члены доверенного леса могут использовать ресурсы, расположенные в доверяющем лесу. Однако доверие действует только в одном направлении.
Например, при создании одностороннего отношения доверия между лесом 1 (доверенный лес) и лесом 2 (доверяющий лес) справедливо следующее:
- члены леса 1 могут получить доступ к ресурсам, расположенным в лесу 2;
- члены леса 2 не могут получить доступ к ресурсам, расположенным в лесу 1, используя то же отношение доверия.
Важно!
Лес ресурсов доменных служб Azure AD поддерживает односторонние отношения доверия лесов с локальной службой Active Directory.
Требования к доверию лесов
Чтобы можно было создать доверие лесов, необходимо убедиться в наличии правильной инфраструктуры службы доменных имен (DNS). Отношения доверия лесов можно создавать только при наличии одной из следующих конфигураций DNS:
Единственный корневой DNS-сервер — это корневой DNS-сервер для обоих пространств имен DNS леса
Корневая зона содержит делегирования для каждого пространства имен DNS, а корневые указания всех DNS-серверов включают корневой DNS-сервер.
Если общий корневой DNS-сервер и корневые DNS-серверы для каждого из пространств имен DNS леса отсутствуют, используйте серверы условной пересылки для каждого из пространств имен DNS, чтобы маршрутизировать запросы имен к другому пространству имен.
Важно!
Именно эта конфигурация DNS должна использоваться для леса ресурсов доменных служб Azure AD. Размещение пространства имен DNS, отличного от пространства имен DNS леса ресурсов, не является компонентом доменных служб Azure AD
Серверы условной пересылки — это правильная конфигурация.
Если общий корневой DNS-сервер и корневые DNS-серверы для каждого из пространств имен DNS леса отсутствуют, используют дополнительные зоны DNS, настроенные в каждом из пространств имен DNS, для маршрутизации запросов имен к другому пространству имен.
Чтобы создать отношение доверия лесов, необходимо быть членом группы «Администраторы домена» (в корневом домене леса) или группы «Администраторы предприятия» в Active Directory. Каждому отношению доверия назначается пароль, который должен быть известен администраторам в обоих лесах. Участники группы «Администраторы предприятия» в обоих лесах могут создавать отношения доверия в обоих лесах одновременно. В этом случае для обоих лесов автоматически создается и записывается криптографически случайный пароль.
Лес ресурсов управляемого домена поддерживает до 5 односторонних исходящих отношений доверия с локальными лесами. Исходящее отношение доверия лесов для доменных служб Azure AD создается на портале Azure. Вы не создаете вручную отношение доверия с самим управляемым доменом. Входящее отношение доверия лесов должно быть настроено пользователем с привилегиями, которые ранее были указаны в локальной службе Active Directory.
Связь сайтов
Связи сайтов — это Active Directory объекты, которые представляют логические пути, используемые КСС для установления соединения для репликации Active Directory. Объект связи сайтов представляет собой набор сайтов, которые могут обмениваться данными с одинаковыми затратами через указанный межсайтовый транспорт.
Все сайты, содержащиеся в связи сайтов, считаются подключенными посредством одного типа сети. Сайты должны быть связаны с другими сайтами вручную с помощью связей сайтов, чтобы контроллеры домена на одном сайте могли реплицировать изменения каталога с контроллеров домена на другом сайте. Поскольку связи сайтов не соответствуют фактическому пути, принятому сетевыми пакетами в физической сети во время репликации, вам не нужно создавать избыточные связи сайтов для повышения эффективности репликации Active Directory.
При соединении двух сайтов с помощью связи сайтов система репликации автоматически создает подключения между конкретными контроллерами домена на каждом сайте, который называется серверами-плацдармами. в Windows Server 2008 все контроллеры домена на сайте, где размещается один и тот же раздел каталога, являются кандидатами для выбора в качестве серверов-плацдармов. Подключения репликации, созданные KCC, случайным образом распределяются между всеми потенциальными серверами-плацдармами на сайте для совместного использования рабочей нагрузки репликации. По умолчанию процесс случайного выбора выполняется только один раз, когда объекты соединения впервые добавляются на сайт.
Очистка кэшированных паролей
Механизм очистки кэшированных паролей данного пользователя на RODC отсутствует. Если требуется очистить пароль, хранящийся в RODC, администратор должен сбросить его на узловом сайте. В этом случае кэшированный в подразделении пароль станет недействительным для доступа к ресурсам узлового сайта или других подразделений. В случае нарушения защиты RODC переустановите пароли, которые кэшированы на данный момент, а затем перестройте RODC.
Вот так вот просто производится настройка контроллера домена Active Directory для чтения RODC в Windows Server 2008R2.
Материал сайта pyatilistnik.org
Для кого предназначена эта возможность
Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:
- сравнительно небольшое количество пользователей;
- низкий уровень физической безопасности;
- сравнительно низкая пропускная способность соединения с узловым сайтом;
- плохое знание информационных технологий сотрудниками.
Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00
Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01
Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003
В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004
Далее.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005
Выбираем существующий лес, Добавить контроллер домена в существующий лес.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006
Выбираем имя домена и учетные данные у которых есть права на установку.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007
Я указываю данные администратора домена.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008
Далее.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009
Выбираем домен для добавления DC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010
Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011
Снимаем галку Глобальный каталог и ставим RODC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012
Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013
Я для этого в ADUC создаю группу безопасности под именем Rodc_admin
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14
Задаем эту группу
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16
Задаем место хранения каталогов и БД
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17
Задаем пароль администратора восстановления каталогов
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18
Смотрим сводные данные и жмем далее.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19
Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20
После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.
Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21
Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.
Материал сайта pyatilistnik.org
Регистрация записей ресурсов DNS
Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите зарегистрировать записи ресурсов DNS немедленно, можно принудительно выполнить регистрацию вручную с помощью следующей процедуры. Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, необходимые для того, чтобы контроллер домена находился в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).
To register DNS resource records manually
- Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск.
- В поле Начать поиск введите Командная строка.
- В верхней части меню Пуск щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить.
- Чтобы вручную инициировать регистрацию записей ресурсов локатора контроллеров домена на исходном контроллере домена, в командной строке введите следующую команду и нажмите клавишу ВВОД:
- Чтобы инициировать регистрацию записи ресурса узла (A) вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД:
- At the command prompt, type the following command, and then press ENTER: Замените различающееся имя, имя NetBIOS или DNS-имя контроллера домена для < DCName > . Проверьте выходные данные теста, чтобы убедиться, что тесты DNS пройдены. Если IPv6 не включен на контроллере домена, следует рассчитывать на сбой записи ресурса узла (AAAA) в тесте, что является нормальным условием, когда IPv6 не включен.
Установка роли AD DS
Открываем Диспетчер серверов
Нажимаем Управление — Добавить роли и компоненты:
Если откроется окно с приветствием, просто нажимаем Далее. В следующем окне оставляем Установка ролей и компонентов и нажимаем Далее:
Выбираем сервер, на который будет установлена роль контроллера домена (по умолчанию выбран локальный сервер) и нажимаем Далее:
Среди всех ролей выбираем следующие:
- DHCP-сервер
- DNS-сервер
- Доменные службы Active Directory
* на самом деле, для работы роли контроллера домена не обязательна установка первых двух. Они могут быть настроены на других серверах.
В следующем окне Выбор компонентов просто нажимаем Далее.
Досчелкиваем Далее до конца и нажимаем Установить:
Те же действия можно выполнить командой Powershell:
Install-WindowsFeature -Name DNS, DHCP, AD-Domain-Services -IncludeManagementTools
Устранение неполадок при сборе данных
Для сбора данных пакету решения для контроля состояния репликации AD требуется, чтобы к рабочей области Log Analytics был подключен по крайней мере один контроллер домена. Пока вы не подключите контроллер домена, будет отображаться сообщение о том, что сбор данных по-прежнему выполняется.
Если вам требуется помощь при подключении одного из контроллеров домена, ознакомьтесь с документацией по подключению компьютеров Windows к Azure Monitor. Кроме того, если ваш контроллер домена уже подключен к существующей среде System Center Operations Manager, вы можете ознакомиться с документацией по подключению System Center Operations Manager к Azure Monitor.
Если не требуется подключать контроллеры домена напрямую к Azure Monitor или System Center Operations Manager, см. дополнительные сведения в разделе .
Рекомендации
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Чтобы настроить запись реестра Burflags, используйте следующие рекомендации:
-
Если вы запустите FRS с записью реестра Burflags с набором D4, то ФРС сначала рассматривает файлы и папки в локальной копии дерева SYSVOL как авторитетные для набора реплик. Только один член набора реплик FRS должен быть инициализирован с параметром D4.
-
Если вы запустите FRS с записью реестра Burflags с набором D2, frS выполняет полную синхронизацию файлов и папок от прямого или транзитного партнера репликации, который принимает авторитарную копию файлов и папок в наборе реплик.
-
При запуске FRS с записью реестра Burflags с набором D4 конфигурация называется «авторитетным восстановлением» для содержимого набора реплик FRS, хотя фактического восстановления состояния системы не произошло. Думайте о параметре D4 как о восстановлении части FRS первого контроллера домена в новом домене.
-
При запуске FRS с записью реестра Burflags, задаваемой D2, конфигурация называется неавтетизационным восстановлением, несмотря на отсутствие восстановления состояния системы. Думайте о параметре D2 как о восстановлении части FRS контроллера домена реплики, как если бы контроллер домена был новым.
-
После завершения инициализации каждого из авторитетных или неавтуальных восстановленных компьютеров frS становится мультимастерской.
-
Если вы установите burflags d4 на одном контроллере домена и установите Burflags d2 на всех других контроллерах домена в этом домене, можно восстановить дерево SYSVOL в этом домене. Этот процесс массовой перестроения известен как перезапуск центра, филиала или массовой ФРС.
В следующем разделе перечислены допустимые виды использования массовой перезапуска реплики SYSVOL:
-
Члены набора реплик FRS, которые в настоящее время несовместимы, могут выполнять полную синхронизацию всех файлов и папок в дереве SYSVOL быстрее, чем участники могут обрабатывать невыполнение изменений, которые находятся в исходяющих журналах партнеров репликации вверх по течению.
-
Большинство участников в наборе реплик FRS имеют ошибки, такие как journal_wrap ошибки. Дополнительные сведения об ошибках journal_wrap см. в journal_wrap наборах реплик Sysvol и DFS.
-
В таблице ID большинства членов набора реплик содержится неполное описание файлов, которые должны быть размещены в наборе реплик.
-
Файлы баз данных FRS скомпрометированы из-за случайного удаления, ошибок файловой системы или ошибок файлов базы данных, в том числе из-за порчи, выявленной средствами проверки базы данных JET.
-
Большинство участников в наборе реплики FRS не могут реплицировать файлы и папки, а основная конфигурация D4 или D2 — это способ повторной реинитиализации всех участников в качестве новых членов.
Примечание
- Если frS находится в состоянии ошибки на одном члене, можно установить BurFlags в D2 только на этом одном члене.
- При восстановлении дерева SYSVOL из-за экологических проблем или если проблематическая топология повлияла на согласованность файлов и папок в наборе реплик FRS, вы можете увидеть только временные преимущества. Например, этот сценарий возникает, когда существует слишком много партнеров в даунстриме или происходят чрезмерные изменения в реплицированный контент. В этом случае рекомендуется обратиться к первопричине любой основной проблемы. В противном случае проблемы, которые сначала привели к восстановлению дерева SYSVOL, могут повториться.
- Чтобы восстановить дерево SYSVOL, мы рекомендуем всем контроллерам домена на Windows 2000 в домене Windows 2000 Пакет обновления 3 (SP3) или более поздней версии установленного NTFRS.exe файла. Если ваша версия файла NTFRS.exe старше 2000 Windows 2000 Пакет обновления 3, установите последний пакет Windows 2000.
Транзитивность связи сайтов
По умолчанию все связи сайтов являются транзитивными или «моста». Если связи сайтов проходят мост и расписания перекрываются, KCC создает подключения репликации, которые определяют партнеров по репликации контроллеров домена между сайтами, где сайты не подключаются напрямую с помощью связей сайтов, но соединяются через набор общих сайтов. Это означает, что можно подключить любой сайт к любому другому сайту, используя сочетание связей сайтов.
Как правило, для полностью перенаправленной сети нет необходимости создавать мосты связей сайтов, если не требуется управлять потоком изменений репликации. Если сеть не была полностью направляться, необходимо создать мосты связей сайтов, чтобы избежать невозможности попыток репликации. Все связи сайтов для определенного транспорта неявно принадлежат одному мосту связей сайтов для этого транспорта. Мост по умолчанию для связей сайтов происходит автоматически, и ни один объект Active Directory не представляет этот мост. Параметр мост все связи сайтов , который находится в свойствах межсайтовых транспортных контейнеров (IP и SMTP), реализует автоматическую маршрутизацию связей сайтов.
Примечание
Репликация SMTP не будет поддерживаться в будущих версиях AD DS; Поэтому не рекомендуется создавать объекты связей сайтов в контейнере SMTP.
Кэширование членства в универсальных группах
Кэширование членства в универсальных группах позволяет контроллеру домена кэшировать сведения о членстве в универсальных группах для пользователей. контроллеры домена, работающие под управлением Windows Server 2008, можно включить для кэширования членства в универсальных группах с помощью оснастки «сайты и службы Active Directory».
Включение кэширования членства в универсальных группах устраняет потребность в сервере глобального каталога на каждом сайте в домене, что сводит к минимуму использование полосы пропускания сети, поскольку контроллеру домена не требуется реплицировать все объекты, расположенные в лесу. Это также сокращает время входа в систему, так как контроллерам домена, выполняющим аутентификацию, не всегда требуется доступ к глобальному каталогу для получения сведений о членстве в универсальных группах. Дополнительные сведения об использовании кэширования членства в универсальных группах см. в разделе Планирование размещения сервера глобального каталога.
Какие атаки может предотвратить Active Directory?
Как видите, Active Directory — это центральный инструмент для управления рядом функций безопасности бизнеса. Существует ряд распространенных атак, которые могут помочь предотвратить хорошие практики Active Directory:
- Атака передачи хэша: эта атака существует уже более десяти лет. Несмотря на то, что данный тип один из самых известных, ему все же удалось нанести значительный ущерб. Используя атаку передачи хэша, злоумышленник извлекает хэшированные (более короткие значения фиксированной длины) учетные данные пользователя, чтобы перейти на удаленный сервер. Проще говоря, если злоумышленник добьется успеха с помощью тактики передачи хэша, в вашем процессе аутентификации есть слабость.
- Brute-force: простая, но эффективная атака методом «грубой силы», включает в себя перебор случайных имен пользователей и паролей в быстрой последовательности, чтобы получить доступ к вашей системе. Каковы шансы хакера на успех с помощью этого метода? Больше, чем ты думаешь. Злоумышленники, практикующие грубую силу, используют усовершенствованное программирование для создания триллионов комбинаций за считанные секунды.
Решение
-
Проверка работы службы рассылки ключей в контроллере целевого домена
Откройте для себя Центр рассылки ключей Kerberos. Его можно обнаружить с помощью программы захвата пакетов, например Network Monitor 3.4 (Доступно здесь.)
-
Использование сетевого монитора для захвата воспроизведенного сообщения об ошибке. (Может потребоваться сначала остановить клиентскую службу DNS, чтобы увидеть трафик запросов DNS)
-
Просмотрите захват пакета для запроса DNS для KDC: Пример адресных запросов:
_kerberos. tcp. <SiteName> . _sites.dc._msdcs. <Domain> . com
_kerberos._tcp.dc._msdcs. <Domain> . com -
Обзор для любого трафика:
Пример сетевого монитора 3.4 захвата трафика DcLocator. В этом примере 10.0.1.11 — это обнаруженный KDC, а 10.0.1.10 — клиент, запрашивающий билет. Он использует макет столбца сетевого монитора по умолчанию.Frame # Время и дата Смещение времени Исходный IP-адрес Конечный IP-адрес Сведения 42 3/7/2012 3.6455760 10.0.1.10 10.0.1.11 LDAPMessage: Запрос на поиск, messageID: 371 ** Этот пакет является вызовом LDAP UDP для локатора DC, ищущем * Netlogon*** 43 3/7/2012 3.6455760 10.0.1.11 10.0.1.10 NetLogon:LogonSAMPauseResponseEX (SAM Response when Netlogon is paused): 24 (0x18) -
Убедитесь, что KDC и службы 10.10.1.11 запущены.
В обнаруженном контроллере домена (10.0.1.1.11) проверьте состояние KDC и службы с помощью запроса SCПример : Запрос службы KDC с: «SC Query KDC» и служба с: «Sc Query Netlogon» Эти команды должны возвращать «Состояние: запуск»
-
-
Убедитесь, что контроллер домена назначения — реклама в качестве центра рассылки ключей
Используйте DCDIAG.exe, чтобы убедиться, что контроллер домена назначения является рекламой. Из запроса CMD.exe выполнить следующую команду:Убедитесь, что контроллер домена проходит тесты рекламы и SYSVOLCHeck и является рекламой в качестве центра рассылки ключей и готов. Если сервер не готов, он не сможет рекламироваться в качестве контроллера домена.
-
Убедитесь, что исходный компьютер и целевой компьютер находятся в течение 5 минут друг от друга.
-
Проверка всех сбоев Kerberos
- Включить ведение журнала событий Kerberos на клиентской машине и контроллерах домена на сайте.
- KB: 262177 как включить ведение журнала событий Kerberos
- Устранение неполадок Kerberos
Симптомы
-
REPADMIN.exe сообщает, что попытка репликации не удалась со статусом 1908.
Команды REPADMIN, которые обычно ссылаются на состояние 1908 года, включают, но не ограничиваются:
Пример вывода из команды:
Пример вывода из команды:
-
События репликации NTDS, NTDS с состоянием 1908 регистрируются в журнале событий службы каталогов.
События Active Directory, которые обычно ссылаются на состояние 1908 г., включают, но не ограничиваются:
Источник события Категория события Код события Тип события Строка события NTDS KCC Проверка согласованности знаний 1926 Предупреждение Попытка установить ссылку репликации на раздел каталога только для чтения со следующими параметрами не удалась. NTDS KCC Проверка согласованности знаний 1925 Предупреждение Попытка установить ссылку на репликацию для следующего раздела каталога writable не удалась. Репликация NTDS Репликация 1943 Error Active Directory не удалось удалить все затянутые объекты локального контроллера домена. Однако некоторые затянутые объекты могли быть удалены на этом контроллере домена до того, как эта операция была остановлена. Все объекты были проверены на следующем контроллере домена источника. Репликация NTDS Настройка 1125 Error Мастер установки доменных служб Active Directory (Dcpromo) не смог установить подключение к следующему контроллеру домена. В этих событиях будет содержаться следующее значение ошибки sub:
Дополнительные данные
Значение ошибки:
Не удалось найти контроллер домена для этого домена. 1908 -
При попытке принудительного репликации в консоли Active Directory Sites and Services (dssite.msc) с помощью параметра «Replicate now» мы можем получить ниже ошибку:
-
Продвижение контроллера домена/понижение
Диалоговое окно на Dcpromo.exe сбой:
Текст заголовка диалогового диалога: Мастер установки Active Directory
Текст сообщения диалогового сообщения. Active Directory не мог создать объект NTDS Параметры для этого контроллера домена CN=NTDS Параметры,CN= <DC_Name> ,CN=Servers,CN= <SiteName> ,CN=Sites,CN=Configuration, на контроллере удаления домена <DomainDN> <Remote_DC_FQDN> . Убедитесь, что предоставленные учетные данные сети имеют достаточные разрешения.
Сообщение о сбое. Не удалось найти контроллер домена для этого домена.
Кнопки в диалоговом ок.
Отчеты о файлах DCPromo.log (%windir%\debug\DCPromo.log):
Ошибка . Службы домена Active Directory не могли создать объект NTDS Параметры для этого контроллера домена Active Directory CN=NTDS Параметры,CN=CONTOSO-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com на удаленном AD DC . Убедитесь, что предоставленные учетные данные сети имеют достаточные разрешения. (1908)
NtdsInstall для возвращенного 1908
DsRolepInstallDs возвращено 1908
Не удалось установить службу каталогов (1908 г.)