Аудит Active Directory: цели, недостатки штатной системы аудита и пути их преодоления. Журнал событий контроллера домена

Устранение неполадок групповой политики с помощью журналов событий

Published on Март 11, 2009 by Support   ·   Комментариев нет

Понимание того, каким образом следует производить диагностику и устранять неполадки групповой политики, является очень важным вопросом поддержания корпоративных стандартов. Безопасность и управляемость сетей, а также снижение стоимости их эксплуатации во многом зависят от надежной работы групповой политики. Иногда ИТ-администраторам необходимо определить причину, по которой групповая политика не была применена для того или иного пользователя или компьютера. Понимание того, где следует искать всю необходимую информацию и как ею пользоваться, может превратить возможные часы простоя системы лишь в небольшую временную задержку. В этом руководстве Вы ознакомитесь с главными принципами устранения неполадок групповой политики Windows Vista и узнаете следующее:

• Как находить новые сведения об устранении неполадок.
• Как с помощью программы просмотра событий выбирать только определенные сведения о групповой политике.
• Как работать с данными данные журналов событий и интерпретировать их.
• Как использовать правильные методы нахождения точек сбоя.

Предварительные условия

Это руководство рассчитано на ИТ-специалистов, обладающих базовыми знаниями о механизмах работы групповой политики. Кроме того, Вы должны иметь ясное представление о процессе развертывания, настройки, использования и управления групповой политикой и ее сопутствующими компонентами в Вашей организации.

Усовершенствованный журнал событий групповой политики

Windows Vista предоставляет в Ваше распоряжение новую, централизованную систему регистрации событий, а также существенно переработанную программу просмотра событий. Такие функции, как поиск в нескольких журналах событий, интеграция с планировщиком задач и настраиваемый способ отображения результатов поиска делают программу Просмотр событий идеальным инструментом для отслеживания состояний системы и групповой политики. Более ранние версии групповой политики использовали имя источника события «Userenv». Jordans UK For Sale В предыдущих версиях ОС Windows это же имя использовалось и другими компонентами системы, вследствие чего было трудно выделить события групповой политики из общего набора событий данного источника. Кроме того, содержащаяся в журнале событий диагностическая информация не была достаточно полезной. В операционной системе Windows Vista вся информация о событиях групповой политики записывается в журнал программы Просмотр событий, а именем источника события является «Group Policy». Это упрощает поиск событий групповой политики. Еще одним усовершенствованием является более детальная информация о каждом событии. Эта информация включает в себя подробное описание события, возможные причины возникновения, а также рекомендации по дальнейшим действиям. События групповой политики Вы можете найти в журнале системных событий, а также в операционном журнале групповой политики.

Запуск программы просмотра событий

Журнал системных событий Журнал системных событий используется для просмотра событий, зарегистрированных ОС Windows и ее службами. Все события подразделяются на три категории: Ошибка, Предупреждение и Сведения. События управления службы групповой политики записываются в журнал системных событий и помогают Вам определить состояние обработки групповой политики. В предыдущих версиях ОС Windows эти события записывались в журнал приложений.

	Для запуска программы просмотра событий выполните следующие действия:
	Откройте меню Пуск. Выберите пункт Панель управления. Перейдите по ссылке Система и ее обслуживание. Перейдите по ссылке Администрирование. Дважды щелкните значок Просмотр событий.

Операционный журнал групповой политики Операционный журнал групповой политики позволяет Вам увидеть работу службы групповой политики, производимую до и во время обработки групповой политики. Предыдущие версии Windows предоставляли подобную функциональность, используя регистрацию событий Userenv. Тем не менее, другие компоненты системы также записывали события в этот журнал, тем самым делая его непригодным для выявления событий групповой политики. Кроме того, информация в файлах этого журнала была неоднозначной, запутанной и требовала от ИТ-специалиста достаточно хорошего понимания принципов работы групповой политики. Операционный журнал групповой политики в Windows Vista заменяет журнал событий «Userenv» и, в отличие от своего предшественника, предоставляет всестороннее, детальное описание события.

	Для просмотра операционного журнала групповой политики выполните следующие действия:
	Запустите программу Просмотр событий. Раскройте узел Журналы приложений и служб — Microsoft — Windows — Group Policy. Откройте журнал Operational.

Устранение неполадок групповой политики с помощью журналов событий Использование программы просмотра событий Вы можете использовать программу Просмотр событий для локализации причин большинства неисправностей в работе групповой политики. Программа Просмотр событий, входящая в состав Windows Vista, обладает новым пользовательским интерфейсом. Вам следует хорошо ознакомиться с новым интерфейсом и запомнить, где размещается информация, относящаяся к обработке групповой политики. Ниже перечислены элементы интерфейса просмотрщика событий, содержащие всю информацию, необходимую для диагностирования работы групповой политики. Вкладка «Общие»

Рисунок 1 – Вид вкладки «Общие» в программе просмотра событий Описание. Содержит текст, описывающий произошедшее событие. События групповой политики обычно содержат описание события, информацию о возможных причинах его возникновения, а также возможные варианты дальнейших действий. Подача. Название программного обеспечения, зарегистрировавшего событие. Для событий групповой политики это поле всегда имеет значение «GroupPolicy». Код события. Отображает цифровой код (ID) типа зарегистрированного события. Эти коды используются для событий управления в журнале системных событий и в операционном журнале групповой политики. Дополнительную информацию об отдельных событиях групповой политики и их кодах Вы можете найти в приложениях в конце этого документа. Уровень. Определяет степень важности события. Для событий групповой политики используются следующие уровни: Ошибка, Предупреждение и Сведения. Пользователь. Имя учетной записи пользователя, в контексте которой произошло событие. Для регистрации событий обработки групповой политики компьютера используется имя SYSTEM. Для регистрации событий обработки групповой политики пользователя используется имя соответствующей учетной записи пользователя. Дата. Дата и локальное время записи события системой регистрации событий. В ОС Windows Vista имеется возможность довольно частого обновления групповой политики. Поэтому при диагностировании групповой политики убедитесь, что время регистрации просматриваемых событий соответствуют времени, в которое возникла проблема. Компьютер. Имя компьютера, на котором произошло событие. Подробности. Гиперссылка на веб-узел Microsoft TechNet. Перейдя по этой ссылке, Вы сможете получить информацию о событии и возможных причинах его возникновения, а также рекомендации по решению возникшей проблемы в случае, если событие имеет уровень Предупреждение или Ошибка. Вкладка «Подробности» Система регистрации событий ОС Windows Vista записывает каждое событие, используя язык XML. Это позволяет службе групповой политики фиксировать дополнительную информацию о каждом событии. Данная информация может оказаться полезной при диагностировании работы групповой политики, и для ее просмотра Вам необходимо воспользоваться вкладкой Подробности. На этой вкладке существует два режима отображения информации: Режим XML и Понятное представление. В режиме XML дополнительная информация о событии отображается в виде сложного для восприятия XML-текста. В режиме Понятное представление эта же самая информация наглядно отображается в виде иерархической структуры. Для просмотра дополнительной информации о событии используется именно этот режим. Категории System и EventData В режиме Понятное представление вся информация разделена на две категории: System и EventData. Служба групповой политики записывает информацию в обе из этих категорий. Ниже описываются важные параметры, которые используются при диагностировании работы групповой политики.

Рисунок 2 – Вид вкладки «Подробности» в программе просмотра событий System\Correlation:ActivityID Параметр ActivityID содержит идентификатор операции групповой политики. Служба групповой политики создает уникальный код ActivityID каждый раз, когда обновляется групповая политика. Например, в случае, если групповая политика обрабатывается во время загрузки компьютера, служба групповой политики назначает этому экземпляру обработки групповой политики код ActivityID. В дальнейшем все события, зарегистрированные во время работы этого экземпляра, используют тот же идентификатор ActivityID до тех пор, пока обработка групповой политики не будет завершена. Обработка считается завершенной, когда процесс заканчивается успешно либо с ошибками. Групповая политика пользователя обрабатывается при входе пользователя в систему. При этом экземпляру обработки групповой политики пользователя снова назначается уникальный идентификатор ActivityID, который используется до окончания процесса обработки политики. Описанный механизм выполняется для каждого нового экземпляра обработки групповой политики, создаваемого как при автоматическом, так и при принудительном обновлении политики. Идентификатор операции ActivityID отображается для всех событий групповой политики. EventData\PolicyActivityID Этот параметр имеет то же значение, что и параметр ActivityID. Служба групповой политики использует это значение для идентификации экземпляра обработки групповой политики. Параметр PolicyActivityID отображается для всех событий запуска групповой политики (коды событий 4000-4007). EventData\PrincipalSamName Этот параметр содержит имя участника безопасности – имя компьютера, если применяется политика компьютера, или имя пользователя, если применяется политика пользователя. Имя участника безопасности отображается в формате «имя_домена\имя_компьютера» или «имя_домена\имя_пользователя». Параметр PrincipalSamName отображается для событий запуска групповой политики (коды событий 4000-4007), событий получения информации о следующем экземпляре обработки групповой политики (код 5315), событий завершения групповой политики (коды 8000-8007), а также для сценариев событий запуска и завершения (коды событий 4018 и 5018). EventData\IsDomainJoined Если компьютер является членом домена, параметр IsDomainJoined имеет значение «true». В противном случае этот параметр имеет значение «false». Параметр IsDomainJoined отображается для всех событий запуска групповой политики (коды событий 4000-4007). EventData\IsBackgoundProcessing Если параметры групповой политики применяются в фоновом режиме, параметр IsBackgoundProcessing имеет значение «true». В остальных случаях этот параметр имеет значение «false». Если значением параметра IsBackgoundProcessing является «false», и при этом параметр IsAsyncProcessing также имеет значение «false», то параметры групповой политики применяются синхронно в основном режиме. Параметр IsBackgoundProcessing отображается для всех событий запуска групповой политики (коды событий 4000-4007). EventData\IsAsyncProcessing Если параметры групповой политики применяются асинхронно в фоновом режиме, параметр IsAsyncProcessing имеет значение «true». В остальных случаях этот параметр имеет значение «false». Если значением параметра IsAsyncProcessing является «false», и при этом параметр IsBackgoundProcessing также имеет значение «false», то параметры групповой политики применяются синхронно в основном режиме. Параметр IsAsyncProcessing отображается для всех событий запуска групповой политики (коды событий 4000-4007). EventData\PolicyApplicationMode Значение параметра PolicyApplicationMode указывает на тип обработки групповой политики. Этот параметр может принимать три значения:

Значение	Объяснение
0	Обработка в фоновом режиме: в этом режиме происходит обработка вторичного экземпляра групповой политики. Обработка в фоновом режиме происходит при обновлении групповой политики. Например, обновление групповой политики происходит каждые 90 минут.
1	Синхронная обработка в основном режиме: в этом режиме обрабатываются экземпляры групповой политики, создающиеся при загрузке компьютера и при входе пользователя в систему. Синхронная обработка в основном режиме происходит в случаях, когда обработка политики компьютера должна завершиться прежде, чем будет отображено диалоговое окно входа в систему, а также тогда, когда обработка политики пользователя во время его входа в систему должна завершиться прежде, чем пользователь увидит свой рабочий стол.
2	Асинхронная обработка в основном режиме: в этом режиме обрабатываются экземпляры групповой политики, создающиеся при загрузке компьютера и при входе пользователя в систему. Однако в случае асинхронной обработки Windows отображает диалоговое окно входа в систему, не дожидаясь завершения обработки политики компьютера. Кроме того Windows отображает рабочий стол пользователя, также не дожидаясь завершения обработки политики пользователя.

EventData\PolicyProcessingMode Параметр PolicyProcessingMode используется для того, чтобы определить, выполняется ли обработка замыкания на себя, или нет. Также этот параметр используется для определения того, выполняется ли замыкание на себя в режиме замены или в режиме объединения.

Значение	Объяснение
0	Нормальный режим: замыкание на себя не выполняется.
1	Замыкание на себя в режиме объединения: выполняется замыкание на себя, при этом служба групповой политики объединяет параметры пользователя, областью действия которых является пользователь, и параметры пользователя, областью действия которых является компьютер.
2	Замыкание на себя в режиме замены: выполняется замыкание на себя, при этом служба групповой политики замещает параметры пользователя, областью действия которых является пользователь, параметрами пользователя, областью действия которых является компьютер.

EventData\ProcessingTimeInMilliseconds Параметр ProcessingTimeInMilliseconds используется для определения интервала времени, выраженного в миллисекундах, за который было завершено выполнение операции в описываемом событии.

	Примечание
	1 миллисекунда – это 1/1000 секунды. Для того чтобы определить количество прошедших секунд, разделите значение параметра ProcessingTimeInMilliseconds на 1000. Например, значение параметра ProcessingTimeInMilliseconds 12’747 эквивалентно 12,74 секундам.

EventData\DCName Значением параметра DCName является имя контроллера домена, который используется службой групповой политики для взаимодействия со службой каталогов Active Directory. EventData\ErrorCode и EventData\ErrorDescription Эти два параметра отображаются для событий, имеющих статус Ошибка. Параметр ErrorCode содержит десятичный код, описывающий проблему, приведшую к возникновению события. Параметр ErrorDescription содержит краткое описание возникшей проблемы. С чего начать Усовершенствования службы групповой политики сделали процесс диагностирования неполадок более систематизированным по сравнению с предыдущими операционными системами. Если Вы столкнулись с неполадками групповой политики в Windows Vista, начните работу по их устранению с выполнения следующих шагов. Использование журнала системных событий для устранения неполадок групповой политики

• Начните работу по устранению неполадок с использования журнала системных событий. Служба групповой политики записывает события управления в журнал системных событий. Статус событий службы групповой политики имеет следующие уровни:
  • Сведения: служба групповой политики работает правильно.
  • Предупреждение: служба групповой политики работает правильно, но в работе других зависимых служб могли произойти ошибки.
  • Ошибка: в работе службы групповой политики произошла ошибка.

Если Вы столкнулись с такими событиями, прочтите их описания. В большинстве случаев описание предоставляет Вам информацию о событии, о причинах, которые могли привести к наступлению этого события, а также предложения по решению проблемы.

• Ссылка Подробности на вкладке Общие. Если Вам необходима дополнительная информация по устранению проблемы, щелкните ссылку Подробности на вкладке Общие. Эта ссылка ведет на веб-узел Microsoft TechNet, содержащий информацию о данном событии. Тут же Вы можете получить основную информацию, которая может помочь в диагностировании и решении проблемы.
• Операционный журнал групповой политики. Правильная работы службы групповой политики также зависит и от других компонентов системы. Часто проблемы в работе зависимых компонентов отображаются в журнале системных событий как события групповой политики. Такие ситуации требуют рассмотрения последовательности применения политики компьютера или пользователя с использованием операционного журнала групповой политики. Используйте для этого процедуры, описанные в следующем разделе «Устранение неполадок с использованием операционного журнала групповой политики».

Устранение неполадок с использованием операционного журнала групповой политики Определение экземпляра обработки групповой политики Перед просмотром операционного журнала групповой политики Вы должны определить экземпляр обработки групповой политики, в работе которого возникла ошибка. Определение экземпляра обработки групповой политики

Для определения экземпляра обработки групповой политики выполните следующие действия:

Запустите программу Просмотр событий. Раскройте узел Просмотр событий (Локальный) — Журналы Windows и выберите журнал Система. Дважды щелкните на диагностируемом событии со статусом Ошибка или Предупреждение. Перейдите на вкладку Подробности и выберите режим просмотра Понятное представление. Раскройте узел System. В раскрывшемся списке найдите параметр ActivityID. Позже Вы будете использовать значение этого параметра (без скобок) в Вашем запросе. Скопируйте это значение в программу Блокнот и нажмите кнопку Закрыть.

Создание настраиваемого представления экземпляра групповой политики Часто на компьютере одновременно выполняются или обрабатываются несколько экземпляров групповой политики. Например, это происходит на серверах терминалов с запущенными службами терминалов. По этой причине важно выделить в операционном журнале групповой политики в отдельную группу все события, относящиеся к определенному экземпляру групповой политики, с которым Вы работаете. В программе Просмотр событий выполните следующий запрос, с помощью которого создается настраиваемое представление операционного журнала групповой политики для определенного экземпляра обработки групповой политики.

	Для создания настраиваемого представления экземпляра групповой политики выполните следующие действия:
	Запустите программу Просмотр событий. Правой кнопкой мыши щелкните на узле Настраиваемые представления и в контекстном меню выберите команду Создать настраиваемое представление. Перейдите на вкладку XML и установите флажок Изменить запрос вручную. Вы увидите диалоговое окно с сообщением о том, что если Вы выберете изменение запроса вручную, то в дальнейшем не сможете изменять запрос с помощью элементов управления вкладки Фильтр. Нажмите кнопку Да. Скопируйте следующий текст в буфер обмена и вставьте его в окне запроса программы Просмотр событий: *[System/Correlation/@ActivityID='{ВСТАВЬТЕ СЮДА ИДЕНТИФИКАТОР ОПЕРАЦИИ}'] Скопируйте в буфер обмена идентификатор операции ActivityID, который Вы записали во время выполнения процедуры «Определение экземпляра обработки групповой политики». В окне запроса программы Просмотр событий выделите текст «ВСТАВЬТЕ СЮДА ИДЕНТИФИКАТОР ОПЕРАЦИИ» и замените его содержимым буфера обмена, нажав комбинацию клавиш CTRL+V. Примечание Убедитесь, что Вы не затерли скобки ({ }), в которые должен быть заключен идентификатор операции. Эти скобки должны присутствовать для правильного выполнения запроса. В диалоговом окне Сохранить фильтр в настраиваемое представление введите имя и описание создаваемого представления и нажмите кнопку OK. Созданное представление будет отображаться под заданным именем в узле Настраиваемые представления. Щелкните на имени созданного представления для отображения всех его событий в окне просмотра событий.
	Важно
	Помните о том, что служба групповой политики назначает уникальный идентификатор операции каждому экземпляру обработки групповой политики. Например, при обработке политики пользователя во время его входа в систему, экземпляру обработки назначается уникальный код ActivityID. При обновлении групповой политики, экземпляру обработки, отвечающему за это обновление, назначается другой уникальный код ActivityID.

Чтение событий Операционный журнал групповой политики содержит диапазоны числовых кодов, относящихся к определенным событиям. В следующей сводной таблице перечислены все диапазоны кодов событий и их описания.

Диапазон кодов событий	Описание
4000–4007	События запуска групповой политики. Эти события с уровнем Сведения регистрируются в журнале событий в момент начала обработки экземпляра групповой политики.
4016–4299	События запуска компонентов. Эти события с уровнем Сведения регистрируются в журнале событий в тот момент, когда компонент обработки групповой политики запускает задачу, описанную в событии.
5000–5299	События успешного завершения работы компонентов. Эти события с уровнем Сведения регистрируются в журнале событий в тот момент, когда компонент обработки групповой политики успешно завершает выполнение задачи, описанной в событии.
5300–5999	Информационные события. Эти события с уровнем Сведения регистрируются в журнале событий на протяжении всего процесса обработки экземпляра групповой политики и предоставляют дополнительную информацию о текущем экземпляре.
6000–6007	Предупреждения групповой политики. Эти события с уровнем Предупреждение регистрируются в журнале событий, если обработка экземпляра групповой политики завершается с ошибками.
6017–6299	Предупреждения компонентов. Эти события с уровнем Предупреждение регистрируются в журнале событий, если компонент обработки групповой политики завершает выполнение задачи, описанной в событии, с ошибками.
6300–6999	Информационные предупреждения. Эти события с уровнем Предупреждение регистрируются в журнале событий и предоставляют дополнительную информацию о возможном возникновении ошибок в процессе работы описываемой задачи.
7000–7007	Ошибки групповой политики. Эти события с уровнем Ошибка регистрируются в журнале событий, если обработка экземпляра групповой политики оказывается незавершенной.
7017–7299	Ошибки компонентов. Эти события с уровнем Ошибка регистрируются в журнале событий, если компонент обработки групповой политики не завершает выполнение задачи, описанной в событии.
7300–7999	Информационные сообщения об ошибках. Эти события с уровнем Ошибка регистрируются в журнале событий и предоставляют дополнительную информацию об ошибках, возникших в процессе работы описываемой задачи.
8000–8007	События успешного завершения обработки групповой политики. Эти события с уровнем Сведения регистрируются в журнале событий в момент успешного завершения обработки экземпляра групповой политики.

Большинство событий регистрируются в операционном журнале групповой политики попарно. Каждому событию запуска сопоставлено регистрируемое в журнале событие завершения работы. События завершения могут содержать информацию об успешном завершении работы, предупреждения или сообщения об ошибках. Обычно последние две цифры кодов этих событий одинаковы. Например, событие с кодом 4017 говорит о том, что компонент групповой политики запустил определенную задачу. Если эта задача завершилась успешно, в журнале регистрируется событие с кодом 5017. Если задача завершилась с ошибками, либо ее запуск не удался, то в журнале регистрируется событие с кодом 6017 или 7017 соответственно. Та же схема нумерации используется для сообщений из диапазона 8000-8007. Эти сведения помогут Вам быстро выявлять в операционном журнале групповой политики предупреждения и сообщения об ошибках.

Анализ событий в программе просмотра событий

Самым лучшим способом диагностирования неполадок групповой политики является разделение процесса обработки групповой политики на три стадии. На каждой стадии обработки групповой политики существует ряд подпроцессов, которые последовательно выполняются по мере перехода к следующей стадии. Ниже перечислены три стадии обработки групповой политики:

• Стадия предварительной обработки. Определяет начало обработки экземпляра групповой политики и собирает информацию, необходимую для обработки групповой политики.
• Стадия обработки. Передает полученную на предыдущей стадии информацию каждому расширению групповой политики, применяющему параметры политики к пользователю или компьютеру.
• Стадия постобработки. Определяет завершение обработки экземпляра групповой политики и записывает информацию о результате. Обработка может завершиться успешно, содержать предупреждения, либо окончиться неудачей.

В этом разделе содержится информация о каждой стадии обработки групповой политики, а также описаны подпроцессы, выполняющиеся на каждой стадии. Стадия предварительной обработки групповой политики Обработка экземпляра групповой политики начинается со стадии предварительной обработки. На этой начальной стадии служба групповой политики собирает всю необходимую информацию. Сбор информации осуществляется путем выполнения программных сценариев (представляющих собой последовательность определенных процессов), которые выполняются на каждой из трех стадий обработки групповой политики. Сценарий «Начало обработки политики» Windows Vista создает экземпляр обработки групповой политики во время загрузки операционной системы, во время входа пользователя в систему, во время периодических или ручных обновлений групповой политики, а также при изменениях сетевых интерфейсов. Создание каждого экземпляра групповой политики начинается с события запуска – события с уровнем Сведения и кодом из диапазона 4000-4007. В следующей таблице перечислены различные типы событий запуска групповой политики.

Код события	Тип события запуска
4000	Загрузка компьютера
4001	Вход пользователя в систему
4002	Обработка политики компьютера при изменении параметров сети
4003	Обработка политики пользователя при изменении параметров сети
4004	Ручное обновление политики компьютера
4005	Ручное обновление политики пользователя
4006	Периодическое обновление политики компьютера
4007	Периодическое обновление политики пользователя

События с кодами из диапазона 4000-4007 регистрируются в операционном журнале групповой политики при создании экземпляра групповой политики. Эти события содержат идентификатор операции ActivityID, который идентифицирует экземпляр обработки групповой политики. Ниже приведены примеры сценария начала обработки политики. timberland boots sale

12:41:16.472 4000 Starting computer boot policy processing for CONTOSO\MSTEPVISTA$. ActivityID: {89824640-B13A-4C67-B2EE-9DEB948182F9} 14:15:55.708 4001 Starting user logon Policy processing for CONTOSO\user. ActivityID: {6A64962C-6C32-4C8A-8E89-C53FB71A7A67}

Сценарий «Сбор информации об учетной записи» Перед применением групповой политики служба групповой политики должна определить расположение объекта пользователя или компьютера в иерархии службы каталогов Active Directory. Сценарий определения объектов групповой политики использует эту информацию для того чтобы определить, какие объекты групповой политики действуют на данный компьютер или на данного пользователя. В сценарий сбора информации об учетной записи входят события, перечисленные ниже. Код события 5320: Сведения о взаимодействии Это событие регистрируется службой групповой политики и несет в себе информацию об ожидаемом или успешно завершившемся взаимодействии с зависимым компонентом. Многократное появление этого события в операционном журнале групповой политики является нормальным явлением. В зависимости от результата взаимодействия служба групповой политики может зарегистрировать в журнале одно из трех различных событий, перечисленных в следующей таблице.

Код события	Объяснение
5320	Успешное завершение взаимодействия. Описываемое в событии взаимодействие завершилось успешно.
6320	Предупреждение. Описываемое в событии взаимодействие завершилось с одной или несколькими ошибками.
7320	Ошибка взаимодействия. Описываемое в событии взаимодействие не было завершено.

Ниже приведен пример события с кодом 5320, зарегистрированного в процессе сбора информации об учетной записи.

12:41:16.632 5320 Attempting to retrieve the account information.

Код события 4017: Начало системного вызова Это событие регистрируется службой групповой политики перед выполнением системного вызова. Часто служба групповой политики использует различные функции Windows для сбора информации, необходимой для обработки групповой политики. Когда один компонент Windows обращается к другому компоненту Windows для выполнения определенной задачи и получения информации, это называется системным вызовом. Служба групповой политики выполняет системные вызовы на всем протяжении работы экземпляра обработки групповой политики, поэтому многократное появление этого события в операционном журнале групповой политики является нормальным явлением. Событие с кодом 4017, которое иногда называют событием трассировки, фиксирует начало системного вызова. Для каждого события с кодом 4017 должно регистрироваться одно из трех событий завершения соответствующего системного вызова. Эти события перечислены в следующей таблице.

Код события	Объяснение
5017	Успешное завершение системного вызова. Описываемый в событии системный вызов завершился успешно.
6017	Предупреждение. Описываемый в событии системный вызов завершился с одной или несколькими ошибками.
7017	Ошибка системного вызова. Описываемый в событии системный вызов не был завершен.

События с кодами 5017, 6017 и 7017 содержат информацию о времени выполнения системного вызова. Кроме этого, события с кодами 6017 и 7017 содержат информацию о возникших ошибках, доступную для просмотра на вкладке Подробности. Ниже приведен пример событий начала и успешного завершения системного вызова, зарегистрированных в процессе сбора информации об учетной записи.

2006-09-14 12:41:16.632 4017 Making system call to get account information. 2006-09-14 12:41:17.022 5017 The system call to get account information completed. CN=MSTEPVISTA,CN=Computers,DC=contoso,DC=com The call completed in 390 milliseconds.

Примечание

Большинство событий завершения, независимо от их статуса, отображают в миллисекундах время, прошедшее с момента начала события. Например, события завершения обработки групповой политики (коды событий 8000-8007) показывают, сколько времени ушло на обработку групповой политики. События трассировки (коды событий, оканчивающиеся на 017) показывают, сколько времени ушло на выполнение системного вызова. Вы можете использовать эти значения для определения того, происходит ли запаздывание обработки групповой политики при загрузке компьютера или входе пользователя в систему.

Сценарий «Определение контроллера домена» Поскольку служба групповой политики работает с объектами групповой политики Active Directory, ей необходимо выполнить обнаружение контроллера домена. Код события 4326: Начало процесса обнаружения контроллера домена Это событие фиксирует начало процесса обнаружения контроллера домена. Вслед за этим событием регистрируется событие с кодом 5320, которое записывает информацию о начале взаимодействия службы групповой политики с остальными компонентами операционной системы.

12:41:17.022 4326 Group Policy is trying to discover the Domain Controller information. 12:41:17.022 5320 Retrieving Domain Controller details.

Далее регистрируется событие начала системного вызова, содержащее информацию об обнаруженном службой групповой политики контроллере домена, а также одно из трех событий завершения системного вызова, перечисленных в следующей таблице.

Код события	Объяснение
5017	Успешное завершение системного вызова. Описываемый в событии системный вызов завершился успешно.
6017	Предупреждение. Описываемый в событии системный вызов завершился с одной или несколькими ошибками.
7017	Ошибка системного вызова. Описываемый в событии системный вызов не был завершен.

12:41:19.376 5017 The LDAP call to connect and bind to Active Directory completed. hq-con-srv-01.contoso.com The call completed after 171 milliseconds.

После этого регистрируется событие завершения связи с контроллером домена. Код события 5308: Установления связи с контроллером домена События с кодами 5308, 6308 и 7308 содержат информацию о результатах установления связи между компонентами системы в процессе определения контроллера домена. Результатом может быть успешное установление связи, предупреждение или сообщение об ошибке. Каждое из этих событий также содержит дополнительную информацию, которая зависит от полученных результатов.

Код события	Объяснение
5308	Успешное установление связи с контроллером домена. Связь с контроллером домена была успешно установлена.
6308	Предупреждение. adidas tubular invader femme Связь с контроллером домена была установлена с одной или несколькими ошибками.
7308	Ошибка установления связи с контроллером домена. Связь с контроллером домена не была установлена.

Событие об успешном установлении связи с контроллером домена содержит информацию, полученную от контроллера домена – имя в формате UNC и IP-адрес контроллера домена. Предупреждения и сообщения об ошибках содержат в описании события код ошибки, который можно посмотреть на вкладке Подробности.

Примечание

Обычно перед регистрацией события установления связи с контроллером домена регистрируются события начала и завершения системного вызова. Кроме этого, коды событий завершения системного вызова и событий установления связи с контроллером домена, как правило, начинаются с одинаковой цифры. Например, код события успешного завершения системного вызова начинается с цифры 5, следовательно, первой цифрой кода установления связи с контроллером домена также будет цифра 5. Ниже приведен пример события успешного установления связи с контроллером домена, зарегистрированного в процессе определения контроллера домена.

12:41:19.376 5308 Domain Controller details: Domain Controller Name: \\hq-con-srv-01.contoso.com Domain Controller IP Address : \\192.168.0.1

Код события 5326: Завершение связи с контроллером домена По окончании процесса обнаружения контроллера домена служба групповой политики регистрирует событие завершения связи. Это событие содержит информацию о результатах попытки обнаружения контроллера домена. Как и в случае с большинством других событий, результатом может быть успешное завершение связи, предупреждение или сообщение об ошибке.

Код события	Объяснение
5326	Успешное обнаружение контроллера домена. Процесс обнаружения контроллера домена завершился успешно.
6326	Предупреждение. Процесс обнаружения контроллера домена завершился с одной или несколькими ошибками.
7326	Ошибка обнаружения контроллера домена. Процесс обнаружения контроллера домена не был завершен.

Каждое из этих событий содержит информацию о времени взаимодействия службы групповой политики с контроллером домена. Ниже приведен пример всех событий, зарегистрированных в процессе определения контроллера домена.

12:41:17.022 4326 Group Policy is trying to discover the Domain Controller information. 12:41:17.022 5320 Retrieving Domain Controller details. 12:41:19.206 4017 Making LDAP calls to connect and bind to Active Directory. hq-con-srv-01.contoso.com 12:41:19.376 5017 The LDAP call to connect and bind to Active Directory completed. hq-con-srv-01.contoso.com The call completed after 171 milliseconds. 12:41:19.376 5308 Domain Controller details: Domain Controller Name : \\hq-con-srv-01.contoso.com Domain Controller IP Address : \\192.168.0.1 12:41:19.376 5326 Group Policy successfully discovered the Domain Controller in 2354 milliseconds.

Сценарий «Определение роли компьютера» В этом сценарии служба групповой политики определяет роль компьютера, на основании чего определяется информация о том, является ли компьютер:

• изолированной рабочей станцией или изолированным сервером;
• членом домена, поддерживающим службы каталогов;
• контроллером домена;
• членом домена, не поддерживающим службы каталогов.

Данная информация необходима для применения групповой политики на основании роли компьютера. Код события 5309: Получение информации о компьютере После попытки определения роли компьютера регистрируется одно из трех событий.

Код события	Объяснение
5309	Успешное получение информации о компьютере. Процесс получения информации о компьютере завершился успешно.
6309	Предупреждение. Процесс получения информации о компьютере завершился с одной или несколькими ошибками.
7309	Ошибка получения информации о компьютере. Процесс получения информации о компьютере не был завершен.

Событие успешного получения информации содержит числовой код роли компьютера и имя сети. Вы можете определить роль компьютера на основании ее кода с помощью следующей таблицы.

Код роли компьютера	Объяснение
0	Текущий компьютер не является членом домена, а является изолированной рабочей станцией либо изолированным сервером.
1	Текущий компьютер является членом домена, не поддерживающим службы каталогов.
2	Текущий компьютер является членом домена, поддерживающим службы каталогов.
3	Текущий компьютер является контроллером домена.

Ниже приведен пример события, зарегистрированного в процессе определения роли компьютера.

12:41:19.416 5309 Computer details: Computer role : 2 Network name :

Сценарий «Определение участника безопасности» Групповая политика может применяться к компьютерам и к пользователям. В качестве объекта применения групповой политики система безопасности Windows определяет либо пользователя, либо компьютер. Для применения правильных параметров служба групповой политики должна знать, является ли участник безопасности пользователем, или же он является компьютером. Код события 5310: Получение информации об участнике безопасности После попытки определения текущего участника безопасности, которым может являться компьютер или пользователь, регистрируется одно из трех событий.

Код события	Объяснение
5310	Успешное получение информации об участнике безопасности. Процесс получения информации об участнике безопасности завершился успешно.
6310	Предупреждение. Процесс получения информации об участнике безопасности завершился с одной или несколькими ошибками.
7310	Ошибка получения информации об участнике безопасности. Процесс получения информации об участнике безопасности не был завершен.

События с кодами 5310 и 6310 содержат следующую информацию об участнике безопасности:

• Различающееся имя учетной записи участника безопасности.
• Имя домена, содержащего учетную запись.
• Имя контроллера домена, использовавшегося для определения сведений об учетной записи.
• Имя домена, которому принадлежит контроллер домена.

Ниже приведен пример события, зарегистрированного в процессе определения участника безопасности.

12:41:19.416 5310 Account details: Account Name:CN=MSTEPVISTA,CN=Computers,DC=contoso,DC=com Account Domain Name : contoso.com DC Name : \\hq-con-srv-01.contoso.com DC Domain Name : contoso.com

Сценарий «Определение режима обработки замыкания на себя» Обработка групповой политики в режиме замыкания на себя изменяет способ применения политик пользователя. При обычной обработке политик пользователя считываются параметры объектов GPO, областью действия которых является пользователь. При обработке групповой политики в режиме замыкания на себя параметры пользователя, областью действия которых является пользователь, объединяются (режим объединения) либо замещаются (режим замены) параметрами пользователя, областью действия которых является компьютер. Код события 5311: Определение режима обработки замыкания на себя После попытки определения режима обработки замыкания на себя регистрируется одно из трех событий.

Код события	Объяснение
5311	Успешное определение режима обработки замыкания на себя. Определение режима обработки замыкания на себя завершилось успешно.
6311	Предупреждение. Определение режима обработки замыкания на себя завершилось с одной или несколькими ошибками.
7311	Ошибка определения режима обработки замыкания на себя. Определение режима обработки замыкания на себя не было завершено.

Данные события содержат текстовое описание режима обработки замыкания на себя.

• Режим без замыкания на себя: обработка на себя не выполняется.
• Слияние: выполняется обработка на себя в режиме объединения. Служба групповой политики объединяет параметры пользователя, областью действия которых является пользователь, и параметры пользователя, областью действия которых является компьютер.
• Замена: выполняется обработка на себя в режиме замены. Служба групповой политики замещает параметры пользователя, областью действия которых является пользователь, параметрами пользователя, областью действия которых является компьютер.

Ниже приведен пример события, зарегистрированного в процессе определения режима обработки замыкания на себя.

12:41:19.486 5311 The loopback policy processing mode is «No loopback mode».

Сценарий «Определение объектов групповой политики» Служба групповой политики определяет список объектов GPO, применяемых к компьютеру или пользователю. После того, как список объектов GPO определен, служба групповой политики проверяет доступность каждого объекта, считывая файл gpt.ini, расположенный в системном разделе ранее определенного контроллера домена. В результате этой проверки в операционном журнале групповой политики регистрируется ряд событий начала и завершения системных вызовов (событий трассировки), в процессе которых считываются файлы gpt.ini. Событие начала системного вызова имеет код 4017. В зависимости от результата чтения файла gpt.ini, для каждого события начала системного вызова регистрируется одно из трех событий завершения соответствующего системного вызова. Эти события перечислены в следующей таблице.

Код события	Объяснение
5017	Успешное завершение системного вызова. Описываемый в событии системный вызов завершился успешно.
6017	Предупреждение. Описываемый в событии системный вызов завершился с одной или несколькими ошибками.
7017	Ошибка системного вызова. Описываемый в событии системный вызов не был завершен.

Ниже приведен пример событий начала и завершения системного вызова, зарегистрированных в процессе определения объектов групповой политики.

12:41:19.636 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini 12:41:20.307 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini The call completed in 671 milliseconds.

В процессе дальнейшего выполнения сценария регистрируется событие определения списка примененных объектов GPO. Код события 5312: Определение списка примененных объектов групповой политики После проверки файлов gpt.ini каждого объекта GPO регистрируется одно из трех событий, перечисленных в следующей таблице. Событие с кодом 5312 содержит имена объектов GPO, применяемых к компьютеру или пользователю.

Код события	Объяснение
5312	Успешное определение списка применяемых объектов GPO. Определение списка применяемых объектов GPO завершено успешно.
6312	Предупреждение. Определение списка применяемых объектов GPO завершено с одной или несколькими ошибками.
7312	Ошибка определения списка применяемых объектов GPO. Определение списка применяемых объектов GPO не было завершено.

Ниже приведен пример события успешного определения списка примененных объектов GPO.

12:41:20.958 5312 List of applicable Group Policy objects: Removable Devices Policy Power Management Policy Folder Redirection Policy Default Domain Policy

В процессе дальнейшего выполнения сценария регистрируется событие определения списка отфильтрованных объектов GPO. Код события 5313: Определение списка отфильтрованных объектов групповой политики На последней стадии определения объектов GPO регистрируется одно из трех событий, перечисленных в следующей таблице. Событие с кодом 5313 содержит имена отфильтрованных объектов GPO. Служба групповой политики не применяет эти объекты GPO к компьютеру или пользователю.

Код события	Объяснение
5313	Успешное определение списка отфильтрованных объектов GPO. Определение списка отфильтрованных объектов GPO завершено успешно
6313	Предупреждение. Определение списка отфильтрованных объектов GPO завершено с одной или несколькими ошибками.
7313	Ошибка определения списка отфильтрованных объектов GPO. Определение списка отфильтрованных объектов GPO не было завершено.

Ниже приведен пример всех событий, зарегистрированных в процессе определения объектов групповой политики.

12:41:19.636 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini 12:41:20.307 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{9F1DE622-0635-4F10-8A0B-4AEAEB5C3B79}\gpt.ini The call completed in 671 milliseconds. 12:41:20.307 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{1AAEB8CD-E71C-4D7F-A658-A5331ED8FEF0}\gpt.ini 12:41:20.598 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{1AAEB8CD-E71C-4D7F-A658-A5331ED8FEF0}\gpt.ini The call completed in 290 milliseconds. 12:41:20.598 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{898264CC-84A5-4A77-95F6-402B30778048}\gpt.ini 12:41:20.648 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{898264CC-84A5-4A77-95F6-402B30778048}\gpt.ini The call completed in 51 milliseconds. 12:41:20.648 4017 Making system calls to access specified file. \\contoso.com\SysVol\contoso.com\Policies\{CBBCB787-7FE6-45B3-89D3-38D74D658BA3}\gpt.ini 12:41:20.668 5017 The system calls to access specified file completed. \\contoso.com\SysVol\contoso.com\Policies\{CBBCB787-7FE6-45B3-89D3-38D74D658BA3}\gpt.ini The call completed in 20 milliseconds. 12:41:20.668 4017 Making system calls to access specified file. \\contoso.com\sysvol\contoso.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini 12:41:20.848 5017 The system calls to access specified file completed. \\contoso.com\sysvol\contoso.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini The call completed in 180 milliseconds. 12:41:20.958 5312 List of applicable Group Policy objects: Removable Devices Policy Power Management Policy Folder Redirection Policy Default Domain Policy 12:41:20.958 5313 The following Group Policy objects were not applicable because they were filtered out : Local Group Policy Not Applied (Empty) Shell Restriction Policy Not Applied (Empty)

Сценарий «Определение медленных подключений» Для работы некоторых компонентов групповой политики требуется быстрое подключение к сети. Однако иногда быстрое сетевое подключение оказывается недоступным. Служба групповой политики ответственна за определение и оценку пропускной способности соединения между компьютером и контроллером домена. Служба групповой политики сравнивает полученное значение пропускной способности с заданным групповой политикой пороговым значением, соответствующим медленному подключению. Если значение, полученное при оценке пропускной способности, оказывается ниже порогового значения, служба групповой политики помечает сетевое подключение как медленное. Служба групповой политики обменивается данной информацией со всеми клиентскими расширениями групповой политики. Для каждого из них предусмотрен особый режим работы, который включается по умолчанию при обнаружении медленного подключения. Например, расширения безопасности обрабатывают параметры групповой политики даже при медленном подключении, однако параметры перенаправления папок не будут обрабатываться на клиентских компьютерах в случае обнаружения медленного подключения. Код события 5327: Оценка пропускной способности подключения По завершении оценки пропускной способности сетевого подключения регистрируется одно из трех событий, перечисленных в следующей таблице.

Код события	Объяснение
5327	Успешная оценка пропускной способности. Оценка пропускной способности сетевого подключения завершена успешно.
6327	Предупреждение. Оценка пропускной способности сетевого подключения завершена с одной или несколькими ошибками.
7327	Ошибка оценки пропускной способности. Оценка пропускной способности сетевого подключения не была завершена.

События с кодами 5327 и 6327 содержат информацию о скорости подключения, выраженной в килобитах в секунду (кбит/с).

	Важно
	Для определения скорости сетевого подключения служба групповой политики использует все доступные сетевые интерфейсы. Важно помнить об этом, когда Вы производите диагностику групповой политики на компьютерах с несколькими сетевыми интерфейсами. Ниже приведен пример события успешной оценки пропускной способности.

12:41:22.991 5327 Estimated network bandwidth on one of the connections: 1408 kbps.

По завершении оценки пропускной способности служба групповой политики регистрирует событие с информацией о состоянии сетевого подключения. Код события 5314: Информация о состоянии сетевого подключения По завершении оценки пропускной способности сетевого подключения регистрируется одно из трех событий, перечисленных в следующей таблице. События с кодами 5314 и 6314 содержат следующую информацию:

• Статус подключения (быстрое или медленное).
• Скорость подключения, выраженная в килобитах в секунду.
• Пороговое значение пропускной способности, соответствующее медленному подключению, также выраженное в килобитах в секунду.

Код события	Объяснение
5314	Успешное получение информации о состоянии сетевого подключения. Получение информации о состоянии сетевого подключения завершено успешно.
6314	Предупреждение. Получение информации о состоянии сетевого подключения завершено с одной или несколькими ошибками.
7314	Ошибка получения информации о состоянии сетевого подключения.

Смотрите также:

Tags: bandwidth, bind, dns, domain, ldap, quote, redirect, Windows Vista

faqman.ru

цели, недостатки штатной системы аудита и пути их преодоления / Блог компании Netwrix / Хабрахабр

Дорогие хабровчане, Предлагаем вашему вниманию переведенный на русский язык фрагмент книги Дон Джонса, MVP, титулованного специалиста и просто очень популярного в США автора.

Существует три “А” безопасности Active Directory (AD) – аутентификация, авторизация, аудит. В этом посте мы приведем фрагмент перевода из книги Don Jones “Active Directory Troubleshooting, Auditing, and Best Practices”, посвященный аудиту AD.

Цели штатных инструментов аудита

Цель аудита довольно тривиальна: отслеживать все, что кто-либо делает. В контексте AD это означает, что нужно отслеживать использования всех привилегий, таких как изменения членства в группах или разблокировка учетных записей пользователей. Также это означает, что необходимо фиксировать действия пользователей, такие как успешные и неудачные входы в систему. Посмотрим шире – и для Windows это означает, что аудит включает еще и доступ к файлам и папкам, равно как и изменения разрешений доступа к файлам. Ваша цель при осуществлении аудита может отличаться от тех, которые достигаются в рамках архитектуры аудита операционной системы. Помните, что система аудита, используемая в Windows – включая AD, которая представляет собой копию архитектуры файловой системы, пришла к нам из ранних 90-х, когда появилась Windows NT. В то же время, в Microsoft тогда не могли предположить, что будут существовать организации с тысячами файловых серверов, сотнями контроллеров доменов и тысячами других серверов, на которых работают Exchange, SQL Server, SharePoint и другие бизнес-платформы. Мы будем рассматривать ниже то, что штатные инструменты аудита Windows не всегда масштабируемы в крупных инфраструктурах или даже для компаний среднего размера. Может быть, Вы хотели бы, чтобы каждое событие в ИТ-инфраструктуре фиксировалось системой аудита, однако это может создать проблемы в производительности, управлении и даже логистике. Поэтому давайте предположим, что Ваша цель – аудит всего, что происходит в ИТ-инфраструктуре, и посмотрим, чего можно добиться штатными средствами.

Штатная система аудита

Разрешения применяются к списку разграничительного контроля доступа (DACL). Каждый DACL состоит из одного или более элементов управления доступом (ACE). Каждый такой элемент содержит разрешение или запрет определенного набора разрешений по отношению к пользователю или группе. DACL представляет собой часть “авторизации” в модели трех А: AD аутентифицирует вас и дает маркер безопасности (security token), содержащий уникальный идентификатор безопасности (SID). Такой SID сравнивается с ACE в списке разграничительного контроля доступа (DACL), чтобы определить, какими разрешениями Вы обладаете при доступе к данным ресурсам. Аудит работает схожим образом. Список управления доступом к объектам (SACL) состоит из одной или нескольких записей. Каждая запись обозначает определенное действие для определенной активности, совершенной пользователем или группой. SACL привязан к определенному ресурсу, такому как файл или объект директории, и когда осуществляется определенное действие с ресурсом, оно фиксируется в журнале. По умолчанию, существует возможность записывать в журнал действия типа “успех” и/или “отказ”. Это значит, что Вы можете выбрать, чтобы в журнале фиксировалась запись, когда кто-то успешно использовал свои разрешения или когда он пытался это сделать и ему было в этом отказано. На рисунке 1 показана конфигурация SACL для AD. Как Вы можете видеть, этот ресурс – Контроллеры доменов подразделения – настроен так, что фиксируются некоторые виды успешных действий членов группы “Everyone”. То есть, когда кто-нибудь успешно осуществляет эти действия, создается запись в журнале.

Рис.1: SACL в AD.

Какие действия подлежат аудиту зависит от того, с какими ресурсами Вы работаете. Например, рисунок 2 показывает SACL файловой системы, и Вы можете видеть, что доступны различные виды действий.

Рис.2: SACL файловой системы.

Здесь Вы можете выбрать, что подлежит аудиту, например, создание папок, чтение атрибутов, удаление файлов и тому подобное. Таким образом, каждый ресурс, может иметь свой собственный SACL. На практике, большинство из нас назначает SACL на достаточно высоком уровне иерархии и тем самым позволяет этим настройкам распространиться на объекты более низкого уровня через наследование. Поэтому управление SACL осуществляется в относительно небольшом количестве мест. Но мы все равно должны конфигурировать их хотя бы по одному на каждый сервер и на главную систему. Что это значит: каждому серверу нужен будет свой список управления доступа к объектам хотя бы в корне каждого логического диска, нам нужен будет отдельный список в корне AD и так и далее. Другие продукты могут подпадать под эту схему. А могут и не подпадать. Например, Exchange Server используется подобную структуру для аудита, а вот SQL Server и SharePoint – нет. Однако здесь мы рассматриваем исключительно AD. Когда действие, на которое настроен аудит, происходит, Windows генерирует запись аудита. Все подобные записи хранятся в журнале событий безопасности, который показан на рисунке 3. Проблема с подобным журналом заключается в том, что туда попадает каждое событие. Хотя это вроде бы и неплохо, чтобы все события хранились в одном месте, проблема заключается в том, что когда из него необходимо извлечь отдельные записи, то это становиться проблематичным. Еще раз, это происходит вследствие того, что у Microsoft довольно узкий взгляд на систему аудита Active Directory.

Рис. 3: Журнал событий безопасности.

На каждом Windows сервере находятся свои журналы событий безопасности (security event logs), включая контроллеры доменов. Хотя списки управления доступа к объектам в AD могут быть настроены на любом контроллере домена и в дальнейшем реплицированы на остальные, только контроллер домен, который обрабатывает данное действие, создаст о нем запись в журнале. В результате: есть централизованно сконфигурированная политика аудита, однако журналы аудита сильно рассредоточены. На рисунке 4. показано, как эти записи аудита выглядят. Они часто включают “сырые” идентификаторы безопасности и другую неочевидную информацию. В этом примере показаны успешные подключения доменов, обработанные с помощью штатного протокола Kerberos. Имя пользователя и домена пустые в этом примере, однако обычно они заполнены.

Рис.4: Пример записи аудита.

Со временем в Microsoft стали решать проблемы, связанные с наличием лишь одного журнала, в котором находится так много информации. В Windows Vista и Windows Server 2008 были представлена параллельная архитектура журнала событий, которая делала проще процесс ведения собственного журнала для каждого продукта или технологии. Это всегда было возможно – журналы приложений, системы и безопасности дополнялись, например, журналами службы каталогов. Но эта новая архитектура стала более целостной по ряду причин. На рисунке 5 показаны старые и новые журналы.

Рис.5: Новые и старые журналы.

В отличие от списка разграничительного контроля доступа (DACL) список управления доступа к объектам (SACL) не сразу же используется операционной системой. SACL просто обозначает, какие действия подлежат аудиту; система аудита сама по себе также должна быть включена для того, чтобы события записывались в журналы. На рисунке 6 показано, где это обычно конфигурируется в объекте групповых политик. Большинство организаций будет конфигурировать аудит в высокоуровневых объектах групповых политик, таких, которые применяются ко всем контроллерам доменов или даже ко всем серверам в домене. Обозначенный объект групповых политик относится к настройке политики аудита, которая включает в себя включение аудита для события входа в систему/подключений, действия по управлению учетными записями, доступ к AD и так и далее. Политика аудита, так же как и ресурсов SACL, должна быть настроена для того, чтобы генерировались желаемые события аудита.

Рис. 6: Настройка аудита в объекте групповых политик.

Здесь нужно быть внимательным. Не думаю, что Вы хотите включить аудит всех событий, не приняв во внимание последствия. Контроллер домена может генерировать тысячи событий о подключениях каждую минуту (например, когда утром все заходят на свои компьютеры), а создание такого количества событий требует вычислительной мощности. Если аудит всех этих событий действительно нужен, то Вам нужно будет увеличить размер контроллера домена, чтобы справиться с нагрузкой. То же самое нужно сделать и для файловых серверов: если в журнал будут заноситься все события об успешном доступе к файлам, нужно увеличить вычислительную мощность, чтобы справиться с нагрузкой. Создание такого количества событий может довольно серьезно “забить” журнал событий. Как показано на рисунке 7, Вы наверняка захотите совместить политику аудита с хорошо спланированной политикой журнала событий, настройкой размеров журналов событий, действиям по откату и другими настройками, чтобы обеспечить согласованность нагрузки на работу системы.

Рис.7: Конфигурирование журнала событий в объекте групповых политик.

В отличие от журнала приложений, с которым Вы можете быть спокойны, когда он перезаписывается по мере заполнения, в журнале безопасности такого допустить нельзя, так как важная информация может быть потеряна. Поэтому Вы должны задать подходящий размер журнала и настроить процедуры регулярного архивирования и очищения журнала – в зависимости от нагрузки на журнал. За что обычно критикуют штатные журналы событий Windows, так это за то, что они сильно рассредоточены. Например, администратор может изменить членство в группах на одном контроллере домена, подключиться ко второму контроллеру домена, чтобы использовать учетную запись в этой группе, и подключить к третьему контроллеру, чтобы сбросить это членство в группах. Все три события будут записаны в трех различных журналах событий безопасности, что усложняет процесс установления взаимосвязи между этими событиями. Решение, которое Microsoft предложил этой проблеме в Windows Server 2008, стала переадресация журнала событий (event log forwarding). На рисунке 8 обозначено, как отдельные серверы пересылают события на центральный сервер, который собирает все события в свой собственный журнал.

Рис. 8: Переадресация журнала событий.

Как обозначено, эта функция может быть сконфигурирована в групповых политиках, что делает ее централизованно контролируемой. Этот подход все равно имеет существенные недостатки, которые мы будем обсуждать далее. Вот таким образом построена штатная система аудита. Давайте теперь поговорим о том, как организации хотят использовать эту систему, и где им необходимы усовершенствованные функции.

Общие цели бизнеса для аудита изменений

В отличие от 90-х, когда была разработана Windows NT, большинство компаний сегодня являются объектами определенных политик безопасности. Во многих случаях, когда политика безопасности подразумевает еще и выполнение требований нормативов и законодательных актов. Эти требования могут включать обязанность осуществлять аудит всех успешных и неудачных действий, происходящий в ИТ-инфраструктуре, и генерируют значительное количество трафика. Также важно, чтобы те пользователи (включая администраторов), действия которые фиксируются в записях аудита, не могли удалить записи из журнала событий. Организации также хотят, чтобы присутствовала возможность поиска, фильтрации и формирования отчетов по записям в журнале событий. Например, аудитор захотел увидеть запись аудита, которая соответствует изменению конфигурации политики аудита AD, а затем соотнести эти события с одобренными действиями. Что позволяет ему видеть, что в AD только те изменения, которые были согласованы и документированы. Организациям также надо использовать штатные инструменты аудита для разрешения проблем. Когда что-то пошло не так в IT-инфраструктуре, ответ на вопрос: “А что изменилось?” позволяет быстро решить проблему – и журналы аудита должны помогать в поиске ответа на этот вопрос быстро и эффективно. Так в чем же проявляются недостатки штатных инструментов аудита?

Недостатки штатных инструментов аудита

К сожалению, штатная система аудита не слишком хорошо себя зарекомендовала. В конечном счете, это не вина Microsoft – в конце концов, их работа не состоит в том, чтобы предугадывать любую потребность бизнеса, а скорее предоставлять платформу, на основе которой другие компании могут разрабатывать ПО, которое может удовлетворять специфические потребности бизнеса. Именно это они и сделали. Штатная система аудита представляет собой базовое решение, которое подходит для самых небольших организаций, которые вряд ли могут позволить себе приобрести дополнительные программы. Цель №1 – аудит всех событий – однозначно осуществима с помощью Windows, хотя необходимо принимать во внимание размеры журналов и производительность работы сервера. Штатная архитектура журнала событий не является прозрачной, какой мы хотели бы ее видеть, и запись десятков тысяч событий в час однозначно окажет влияние на работу сервера. Цель №2 – возможность внесения изменений в журнал – узкое место системы. К сожалению, практически невозможно исключить возможность очистки журнала администраторами. Вы можете это сделать, тонко настроив привилегии, создав специальные учетные записи для работы с журналами и так и далее, однако это сложно и для многих организаций непрактично. Предположим, что Вы сделали это. Перед Вами встает цель №3 – централизованное формирование отчетов, оповещений и фильтрация событий. Переадресация журналов событий, даже если она происходит, не осуществляется в режиме реального времени, возможны существенные задержки. Но даже если Вы осуществляете переадресацию журнала событий, то вся информация сваливается в одно место, откуда ее можно вытащить с помощью примитивного Event Viewer. На рисунке 9 показаны возможности фильтрации штатных инструментов, и они, конечно же, примитивны.

Рис.9: Штатные инструменты фильтрации журнала событий.

Как показано на рисунке, Вы можете осуществлять фильтрацию по типам событий или по специальному тексту в описании событий, равно как и по другим критериям. Но возможность установления взаимосвязи между различными связанными событиями отсутствует. Что же касается использования этих событий для решения проблем – что ж, удачи! Это, конечно же, возможно, однако обычно это выглядит так: “посмотрите в журнал, посмотрите, что обозначает идентификатор события, и определите, имеет ли это отношение к настоящей проблеме”. Достаточно сложно, чтобы штатный Event Viewer дал ответ на вопрос “Все изменения в AD за последние 4 часа”. Хотя в журнале будут отображаться события, связанные с этими изменениями – Вы ведь настроили политику аудита, чтобы их фиксировать – журнал событий не предназначен для того, чтобы выполнять задачу управления изменениями или их аудита. Это не аудит изменений в собственном значении этого термина, а аудит того факта, что кто-то сделал изменение. Как показано на рисунке 10, в AD Windows Server 2008 стали фиксироваться значения “до” и “после” каждого изменения, что делает более пригодным для аудита изменений. Однако эта функция не слишком распространена в AD и найти нужные события в большом журнале все равно проблематично.

Рис.10: Улучшенный вид событий в Windows Server 2008.

В большинстве инфраструктур, эффективная политика аудита подразумевает использование решений сторонних разработчиков.

Возможности сторонних решений

Инструменты для аудита сторонних разработчиков имеют ряд преимуществ. Во-первых, они лучше (и быстрее) выполняют сбор информации из различных журналов серверов в централизованном хранилище. Часто такое централизованное хранилище является базой данных SQL сервера, хотя отдельные инструменты могут пересылать события в режиме реального времени во внешний механизм ведения журналов, таких как syslog server, как это показано на рисунке 11.

Рис.11: Пересылка событий на syslog server

Суть в том, что события из Windows должны как можно быстрее извлекаться и перемещаться в отдельную систему, где бы они были защищены отличным от журнала событий способом. Базы данных в данном случае довольно популярный выбор, потому что они могут быть защищены и к ним можно обращаться со сложными запросами. Ну и конечно же с их помощью можно формировать отчеты. Поэтому большинство решений для аудита Active Directory собирает события в базу SQL Server, чтобы использовать возможности формирования отчетов через SQL Server Reporting Services. Сторонние решения могут также использовать API, чтобы собирать информацию аудита – в дополнение к (или вместо) штатным журналам событий. Эти API часто дают более детализированную информацию, включая значения “до” и “после”. В некоторых случаях, использование API может даже снизить нагрузку на серверы. Используя централизованное хранение данных, сторонние инструменты могут генерировать оповещения в режиме реального времени, формировать отчеты, архивировать записи о событиях, проводить анализ данных и их сопоставление.

habrahabr.ru

Виртуализированных домена контроллера, устранение неполадок

• 05/31/2017
• Время чтения: 172 мин

В этой статье

Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе приведена подробная методология диагностики компонента виртуализированных контроллеров домена.This topic provides detailed methodology on troubleshooting the virtualized domain controller feature.

ВведениеIntroduction

Самый эффективный способ повышения навыков по диагностике заключается в создании лаборатории тестирования и всестороннем изучении обычных рабочих сценариев.The most important way to improve your troubleshooting skills is build a test lab and rigorously examine normal, working scenarios. Если вы столкнетесь с ошибками, они являются гораздо очевиднее и проще для понимания Благодаря полученным вами знаниям о принципах повышения уровня контроллера домена.If you encounter errors, they are more obvious and easy to understand, since you then have a solid foundation of how domain controller promotion works. Это также позволяет вам выработать навыки обычного анализа анализа и сети.This also allows you to build your analysis and network analysis skills. Это распространяется на все технологии распределенных систем, развертывание не просто виртуализированных контроллеров домена.This goes for all distributed systems technologies, not just virtualized domain controller deployment.

Являются важными аспектами, расширяющими возможности диагностики для конфигурации контроллера домена:The critical elements to advanced troubleshooting of domain controller configuration are:

1. Линейный анализ в сочетании с концентрацией и вниманием к деталям.Linear analysis combined with focus and attention to detail.

2. Общее представление о анализа зафиксированных данных сетиUnderstanding network capture analysis

3. Общее представление о со встроенными журналамиUnderstanding the built-in logs

Первый и второй аспекты выходят за рамки этой статьи, а третий можно разобрать подробнее.The first and second are beyond the scope of this topic, but the third can be explained in some detail. Диагностики виртуализированного контроллера домена требуется логичный и линейный подход.Virtualized domain controller troubleshooting requires a logical and linear method. Ключ — это решение проблемы с использованием имеющихся данных и прибегать к сложным средствам и анализу полно обработав предоставленные выходные данные и ведения журнала.The key is to approach the issue using the data provided and only resort to complex tools and analysis when you have exhausted the provided output and logging.

Устранение неполадок клонировании виртуализированного контроллера доменаTroubleshooting virtualized domain controller cloning

Содержание раздела:This sections covers:

Стратегия диагностики для клонирования виртуализированного контроллера домена имеет следующий формат:The troubleshooting strategy for virtualized domain controller cloning follows this general format:

Средства для диагностикиTools for Troubleshooting

Параметры ведения журналаLogging Options

Встроенные журналы представляют собой наиболее важное средство устранения неполадок, связанных с клонированием контроллера домена.The built-in logs are the most important tool for troubleshooting issues with domain controller cloning. Все эти журналы включены и настроена максимальная степень подробности по умолчанию.All of these logs are enabled and configured for maximum verbosity, by default.

ОперацияOperation	ЖурналLog
КлонированиеCloning	-Просмотр событий\журналы windows\система событий- Event viewer\Windows logs\System-Событие Просмотр событий\журналы приложений и Служб\служба каталогов- Event viewer\Applications and services logs\Directory Service-%systemroot%\debug\dcpromo.log- %systemroot%\debug\dcpromo.log
Повышение ролиPromotion	-%systemroot%\debug\dcpromo.log- %systemroot%\debug\dcpromo.log-Событие Просмотр событий\журналы приложений и Служб\служба каталогов- Event viewer\Applications and services logs\Directory Service-Просмотр событий\журналы windows\система событий- Event viewer\Windows logs\System-Событие Просмотр событий\журналы приложений и служб\Служба репликации- Event viewer\Applications and services logs\File Replication Service-Событие Просмотр событий\журналы приложений и служб\репликация DFS- Event viewer\Applications and services logs\DFS Replication

Средства и команды для диагностики конфигурации контроллера доменаTools and Commands for Troubleshooting Domain Controller Configuration

Чтобы диагностировать не поясненные в журналах проблемы, используйте следующие средства в качестве отправной точки:To troubleshoot issues not explained by the logs, use the following tools as a starting point:

Общая методология диагностики при домена при клонировании контроллераGeneral Methodology for Troubleshooting Domain Controller Cloning

1. Виртуальная машина загружается в режим восстановления службы Каталогов (DSRM)?Is the VM booting into DS Repair Mode (DSRM)? Это указывает на потребность в диагностике.This indicates troubleshooting is necessary. Чтобы войти в режиме DSRM, используйте . \Administrator учетной записи и укажите пароль DSRM.To log on in DSRM, use .\Administrator account and specify the DSRM password.

   1. Изучите Dcpromo.log.Examine the Dcpromo.log.

      1. Были выполнены действия по начальному клонированию, однако сбой повышения роли контроллера домена?Did initial cloning steps succeed but domain controller promotion fail?

      2. Указывают ли ошибки проблемы с локального контроллера домена или в среде AD DS, такие как ошибки, возвращенные из эмулятора PDC?Do errors indicate issues with the local domain controller or with the AD DS environment, such as errors returned from the PDC emulator?

   2. Изучите журналы событий системы и служб каталогов и файл dccloneconfig.xml и CustomDCCloneAllowList.xmlExamine the System and Directory Services event logs and the dccloneconfig.xml and CustomDCCloneAllowList.xml

      1. Нужна ли несовместимое приложение в CustomDCCloneAllowList.xml список разрешенных?Does an incompatible application need to be in the CustomDCCloneAllowList.xml allow list?

      2. Является ли IP адрес или имя компьютера дублированным или недопустимым в dccloneconfig.xml?Is the IP address or computer name either duplicated or invalid in the dccloneconfig.xml?

      3. Является ли сайт Active Directory недопустимым в dccloneconfig.xml?Is the Active Directory site invalid in the dccloneconfig.xml?

      4. IP-адрес не задан в dccloningconfig.xml и DHCP-сервер доступен?Is the IP address not set in the dccloningconfig.xml and there is no DHCP server available?

      5. Включен ли эмулятор PDC и доступен через протокол RPC?Is the PDC emulator online and available through the RPC protocol?

      6. Является членом группы клонируемые контроллеры домена контроллера домена?Is the domain controller a member of the Cloneable Domain Controllers group? Это разрешение, разрешить контроллеру домена клонировать себя в корне домена для этой группы?Is the permission Allow a DC to create a clone of itself set on the domain root for that group?

      7. Содержит ли файл Dccloneconfig.xml ошибки синтаксиса, мешающие правильному анализу?Does the Dccloneconfig.xml file contain syntax errors that prevent correct parsing?

      8. Поддерживается ли низкоуровневая оболочка?Is the hypervisor supported?

      9. Было сбой повышения роли контроллера домена после успешного начала клонирования?Did domain controller promotion fail after cloning began successfully?

      10. Была имена контроллеров домена, автоматически созданный (9999) превышено максимальное количество?Was the maximum number of auto-generated domain controller names (9999) exceeded?

      11. Дублируется ли MAC-адрес?Is the MAC address duplicated?

2. — Имя узла клона так же, как у исходного контроллера домена?Is host name of the clone the same as the source DC?

   1. Существует ли файл Dccloneconfig.xml в одном из разрешенных расположений?Is there a Dccloneconfig.xml file in one of the allowed locations?

3. Виртуальная машина загружается в обычном режиме, клонирование завершается, однако контроллер домена работает неправильно?Is the VM booting into normal mode and cloning completed, but the domain controller is not functioning correctly?

   1. Сначала проверьте, изменено ли имя узла на клоне.First check if the host name is changed on the clone. Если имя узла отличается, клонирование хотя бы частично завершено.If the host name is different, cloning has at least partially completed.

   2. Контроллер домена имеет дублирующийся IP-адрес исходного контроллера домена из dccloneconfig.xml, однако исходный контроллер домена находился в автономном режиме во время клонирования?Does the domain controller have a duplicate IP address of the source domain controller from the dccloneconfig.xml, but the source domain controller was offline during cloning?

   3. Если контроллер домена рассылает объявления, устраняйте проблему, как любую обычную проблему после повышения уровня, которая возникла без клонирования.If the domain controller is advertising, treat the issue as any normal post-promotion issue you would have without cloning.

   4. Если контроллер домена не отправляет объявления, изучите журналы событий службы каталогов, системы, приложений, репликации файлов и репликации DFS для поиска ошибок после повышения уровня.If the domain controller is not advertising, examine the Directory Service, System, Application, File Replication and DFS Replication event logs for post-promotion errors.

Отключение загрузки DSRMDisabling DSRM Boot

После загрузки в режиме DSRM в связи с возникновением ошибки диагностики причину ошибки и если в dcpromo.log не указано, что попытку клонирования нельзя повторить, устраните причину ошибки и выполните сброс флага DSRM.Once booted into DSRM due to any error, diagnose the cause for failure and if the dcpromo.log does not indicate that cloning cannot be retried, fix the cause for failure and reset the DSRM flag. Со сбоем клон не возвращается в обычный режим самостоятельно при следующей перезагрузке; необходимо удалить флаг загрузки режима восстановления служб Каталогов, чтобы повторить попытку клонирования.A failed clone does not return to normal mode on its own on the next reboot; you must remove the DS Restore Mode boot flag in order to try cloning again. Все эти действия требуется с правами администратора с повышенными привилегиями.All of these steps require running as an elevated administrator.

Удаление DSRM с помощью Msconfig.exeRemoving DSRM with Msconfig.exe

Чтобы выключить загрузку DSRM с помощью графического интерфейса пользователя, используйте средство конфигурации системы:To turn DSRM boot off using a GUI, use the System Configuration tool:

1. Запустите msconfig.exe.Run msconfig.exe

2. На загрузки в разделе параметры загрузки, снимите флажок безопасной загрузки (он уже выделен с параметром исправление Active Directory включена)On the Boot tab, under Boot Options, de-select Safe boot (it is already selected with the option Active Directory repair enabled)

3. Нажмите кнопку ОК затем выполните перезагрузкуClick OK and restart when prompted

Удаление DSRM с помощью Bcdedit.exeRemoving DSRM with Bcdedit.exe

Чтобы выключить загрузку DSRM из командной строки, используйте редактор хранилище данных конфигурации загрузки:To turn DSRM boot off from the command-line, use the Boot Configuration Data Store Editor:

1. Откройте Командную строку и выполните следующую команду:Open a CMD prompt and run:

   Bcdedit.exe /deletevalue safeboot

2. Перезагрузите компьютер с помощью команды:Restart the computer with:

   Shutdown.exe /t /0 /r

Примечание

Bcdedit.exe также работает в консоли Windows PowerShell.Bcdedit.exe also works in a Windows PowerShell console. Команды, существует:The commands there are:

Bcdedit.exe/deletevalue safebootBcdedit.exe /deletevalue safeboot

Перезагрузка компьютераRestart-computer

Основные серверные компоненты и журнал событийServer Core and the Event Log

Журналы событий содержат множество полезной информации об операциях клонирования контроллера домена виртуализированных.The event logs contain much of the useful information about virtualized domain controller cloning operations. По умолчанию установку на компьютере Windows Server 2012 является установки основных серверных компонентов, это означает, что есть графический интерфейс отсутствует и поэтому нельзя запустить локальную оснастку просмотра событий.By default, a Windows Server 2012 computer installation is a Server Core installation, which means there is no graphical interface and therefore, no way to run the local Event Viewer snap-in.

Для просмотра журналов событий на сервере, выполняющем установку основных серверных компонентов:To review the event logs on a server running a Server Core installation:

• Запустите средство Wevtutil.exe локальноRun the Wevtutil.exe tool locally

• Запустите PowerShell cmdlet Get-WinEvent локальноRun PowerShell cmdlet Get-WinEvent locally

• Если вы включили расширенных правилах брандмауэра Windows для групп «Удаленное управление журналом событий» (или аналогичных портах), чтобы разрешить входящий трафик, можно управлять удаленно с помощью Eventvwr.exe, wevtutil.exe или Get-Winevent журнал событий.If you have enabled the Windows Advanced Firewall rules for the "Remote Event Log Management" groups (or equivalent ports) to allow inbound communication, you can manage the event log remotely using Eventvwr.exe, wevtutil.exe, or Get-Winevent. Это можно сделать в установке основных серверных компонентов с помощью NETSH.exe, групповой политики или нового командлета Set-NetFirewallRule в Windows PowerShell 3.0.This can be done on Server Core installation using NETSH.exe, Group Policy, or the new Set-NetFirewallRule cmdlet in Windows PowerShell 3.0.

Предупреждение

Не пытайтесь добавить графической оболочки обратно на компьютер, пока оно находится в режиме восстановления служб Каталогов.Do not attempt to add the graphical shell back to the computer while it is in DSRM. (Модель CBS) стек обслуживания Windows не может работать правильно в безопасном режиме или режиме DSRM.Windows servicing stack (CBS) cannot operate correctly while in Safe Mode or DSRM. Попытки добавить компоненты или роли в режиме DSRM не завершится и оставить компьютер в нестабильное состояние, до его загрузки в обычном режиме.Attempts to add features or roles while in DSRM will not complete and leave the computer in an unstable state until it is booted normally. Поскольку клон виртуализированного домена контроллера в режиме DSRM не удается нормально загрузиться, а не должен загружаться в обычном режиме в большинстве случаев, это невозможно, безопасное Добавление графической оболочки.Since a virtualized domain controller clone in DSRM cannot boot normally, and should not be booted normally under most circumstances, it is impossible to safely add the graphical shell. Это не поддерживается и может привести к нестабильной работе сервера.Doing so is unsupported and may leave you with an unusable server.

Диагностика определенных проблемTroubleshooting Specific Problems

СобытияEvents

Все события клонирования контроллера домена виртуализированных записи в журнал событий служб каталогов виртуальной Машины клонированного контроллера домена.All virtualized domain controller cloning events write to the Directory Services event log of the clone domain controller VM. Журналы событий приложений, службы репликации файлов и репликации DFS также могут содержать ценные диагностические данные по завершившемуся с ошибкой клонированию.The Application, File Replication Service, and DFS Replication event logs may also contain useful troubleshooting information for failed cloning. Ошибки во время вызова RPC в эмуляторе PDC могут быть доступны в журнале событий эмулятора PDC.Failures during the RPC call to the PDC emulator may be available in the event log on the PDC emulator.

Ниже указаны связанные с клонированием события Windows Server 2012 в журнале событий служб каталогов с примечаниями и предлагаемыми способами устранения ошибок.Below are the Windows Server 2012 cloning-specific events in the Directory Services event log, with notes and suggested resolutions for errors.

Журнал событий служб каталоговDirectory Services Event Log

Код событияEvent ID	21602160
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Локальный * * обнаружил файл конфигурации клонирования контроллера домена.The local has found a virtual domain controller cloning configuration file. Файл конфигурации клонирования контроллера домена находится на: %1The virtual domain controller cloning configuration file is found at: %1 Существование виртуального клонирования файл конфигурации контроллера домена указывает, что локальный виртуальный контроллер домена является клоном другого виртуального контроллера домена.The existence of the virtual domain controller cloning configuration file indicates that the local virtual domain controller is a clone of another virtual domain controller. * * Запустит клонирование самого себя.The will start to clone itself.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected. Проверьте рабочий каталог DSA, % systemroot%\ntds и корень всех локальных или съемных дисков на наличие файла dcclconeconfig.xml.Examine the DSA Working Directory, %systemroot%\ntds, and root of any local or removable disks for the dcclconeconfig.xml file.

Код событияEvent ID	21612161
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Локальный * * не удалось найти файл конфигурации клонирования контроллера домена.The local did not find the virtual domain controller cloning configuration file. Локальный компьютер не является клонированным контроллером домена.The local machine is not a cloned DC.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected. Проверьте рабочий каталог DSA, % systemroot%\ntds и корень всех локальных или съемных дисков на наличие файла dcclconeconfig.xml.Examine the DSA Working Directory, %systemroot%\ntds, and root of any local or removable disks for the dcclconeconfig.xml file.

Код событияEvent ID	21622162
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой клонирования виртуального контроллера домена.Virtual domain controller cloning failed. Просмотрите события, записанные в журналах событий системы и %systemroot%\debug\dcpromo.log Дополнительные сведения об ошибках при попытке клонирования контроллера домена.Please check events logged in System event logs and %systemroot%\debug\dcpromo.log for more information on errors that correspond to the virtual domain controller cloning attempt. Код ошибки: %1Error code: %1
Примечания и решениеNotes and resolution	Следуйте инструкциям в сообщении, эта ошибка является общего характера.Follow message instructions, this error is a catchall.

Код событияEvent ID	21632163
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Запущена служба DsRoleSvc для клонирования локального виртуального контроллера домена.DsRoleSvc service was started to clone the local virtual domain controller.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected. Проверьте рабочий каталог DSA, % systemroot%\ntds и корень всех локальных или съемных дисков на наличие файла dcclconeconfig.xml.Examine the DSA Working Directory, %systemroot%\ntds, and root of any local or removable disks for the dcclconeconfig.xml file.

Код событияEvent ID	21642164
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось запустить службу DsRoleSvc для клонирования локального виртуального контроллера домена. failed to start the DsRoleSvc service to clone the local virtual domain controller.
Примечания и решениеNotes and resolution	Изучите параметры службы сервера с ролью DS (DsRoleSvc) и убедитесь, что тип запуска настроено на ручной режим.Examine the service settings for the DS Role Server service (DsRoleSvc) and ensure its start type is set to manual. Проверьте, не программа сторонних разработчиков препятствует запуску данной службы.Validate that no third party program is preventing the start of this service.

Код событияEvent ID	21652165
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось запустить поток в ходе клонирования локального виртуального контроллера домена. failed to start a thread during the cloning of the local virtual domain controller. Код ошибки: % 1Error code:%1 Сообщение об ошибке: % 2Error message:%2 Имя потока: % 3Thread name:%3
Примечания и решениеNotes and resolution	Обратитесь в службу технической поддержки МайкрософтContact Microsoft Product Support

Код событияEvent ID	21662166
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	требуется служба RPCSS, чтобы начать перезагрузку в режиме DSRM. needs RPCSS service to initiate rebooting into DSRM. Ожидании инициализации RPCSS в состоянии выполнения не удалось.Waiting for RPCSS to initialize into a running state failed. Код ошибки: % 1Error code:%1
Примечания и решениеNotes and resolution	Изучите журнал событий системы и параметры службы сервера RPC (Rpcss)Examine the System event log and service settings for the RPC Server service (Rpcss)

Код событияEvent ID	21672167
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось инициализировать виртуальном контроллере домена. could not initialize virtual domain controller knowledge. В разделе предыдущие записи в журнале событий Дополнительные сведения.See previous event log entry for details. Дополнительные данныеAdditional Data Код ошибки: % 1Failure code:%1
Примечания и решениеNotes and resolution	Следуйте инструкциям в сообщении, эта ошибка является общего характера.Follow message instructions, this error is a catchall.

Код событияEvent ID	21682168
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService Контроллер домена запущен на поддерживаемой низкоуровневой оболочке.The DC is running on a supported hypervisor. Обнаружен ИД создания виртуальной Машины.VM Generation ID is detected. Текущее значение ИД создания виртуальной Машины: %1Current value of VM Generation ID: %1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	21692169
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Нет ИД создания виртуальной Машины не обнаружен.There is no VM Generation ID detected. Контроллер домена развернут на физическом компьютере, предыдущей версии Hyper-V или низкоуровневой оболочке, которая не поддерживает ИД создания виртуальной Машины.The DC is hosted on a physical machine, a down-level version of Hyper-V, or a hypervisor that does not support the VM Generation ID. Дополнительные данныеAdditional Data Код ошибки при проверке возвращен виртуальной Машины поколения 1Failure code returned when checking VM Generation ID:%1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если вы не собираетесь выполнить клонирование.This is a success event if not intending to clone. В противном случае просмотрите журнал событий системы и ознакомьтесь с вспомогательной документацией по продукту низкоуровневой оболочки.Otherwise, examine the System event log and review hypervisor product support documentation.

Код событияEvent ID	21702170
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ПредупреждениеWarning
СообщениеMessage	Обнаружено изменение ИД создания.A Generation ID change has been detected. ИД создания в доменных Службах (старое значение): %1Generation ID cached in DS (old value):%1 Текущий ИД создания в виртуальной Машине (новое значение): %2Generation ID currently in VM (new value):%2 ИД создания изменяется после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.The Generation ID change occurs after the application of a virtual machine snapshot, after a virtual machine import operation or after a live migration operation. создаст новый ИД вызова для восстановления контроллера домена. will create a new invocation ID to recover the domain controller. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, созданной с помощью доменных служб Active Directory приложение резервного копирования.The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services aware backup application.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если вы собираетесь выполнить клонирование.This is a success event if intending to clone. В противном случае — проверьте журнал системных событий.Otherwise, examine the System event log.

Код событияEvent ID	21712171
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Обнаружено не изменение ИД создания.No Generation ID change has been detected. ИД создания в доменных Службах (старое значение): %1Generation ID cached in DS (old value):%1 Текущий ИД создания в виртуальной Машине (новое значение): %2Generation ID currently in VM (new value):%2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если вы не собираетесь выполнить клонирование и должно возникать при каждой загрузке виртуализированного контроллера домена.This is a success event if not intending to clone, and should be seen at every reboot of a virtualized DC. В противном случае — проверьте журнал системных событий.Otherwise, examine the System event log.

Код событияEvent ID	21722172
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Прочтите атрибут msDS-GenerationId объекта-компьютера контроллера домена.Read the msDS-GenerationId attribute of the Domain Controller's computer object. значение атрибута msDS-GenerationId: % 1msDS-GenerationId attribute value:%1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если вы собираетесь выполнить клонирование.This is a success event if intending to clone. В противном случае — проверьте журнал системных событий.Otherwise, examine the System event log.

Код событияEvent ID	21732173
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Не удалось прочитать атрибут msDS-GenerationId объекта-компьютера контроллера домена.Failed to read the msDS-GenerationId attribute of the Domain Controller's computer object. Возможно, произошел сбой транзакции базы данных или не удалось найти ИД создания в локальной базе данных.This may be caused by database transaction failure, or the generation id does not exist in the local database. Атрибут msDS-GenerationId отсутствовал во время первой перезагрузки после dcpromo, или контроллер домена не виртуального контроллера домена.The msDS-GenerationId does not exist during the first reboot after dcpromo or the DC is not a virtual domain controller. Дополнительные данныеAdditional Data Код ошибки: % 1Failure code:%1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если вы собираетесь выполнить клонирование; оно указывает первую перезагрузку виртуальной Машины после завершения клонирования.This is a success event if intending to clone and it is the first VM reboot after cloning has completed. Кроме того, его можно игнорировать невиртуальные контроллерах домена.It can also be ignored on non-virtual Domain controllers. В противном случае — проверьте журнал системных событий.Otherwise, examine the System event log.

Код событияEvent ID	21742174
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Контроллер домена не является восстановленные снимком виртуального контроллера домена ни клоном виртуального домена контроллера.The DC is neither a virtual domain controller clone nor a restored virtual domain controller snapshot.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если вы не собираетесь выполнить клонирование.This is a success event if not intending to clone. В противном случае — проверьте журнал системных событий.Otherwise, examine the System event log.

Код событияEvent ID	21752175
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Файл конфигурации клона контроллера домена существует на неподдерживаемой платформе.Virtual domain controller clone configuration file exists on an unsupported platform.
Примечания и решениеNotes and resolution	Это происходит, когда файл dccloneconfig.xml найден, но ИД создания виртуальной Машины — не найден, например, когда файл dccloneconfig.xml найден на физическом компьютере или в низкоуровневой оболочке, которая не поддерживает ИД создания виртуальной Машины.This occurs when a dccloneconfig.xml is found but a VM Generation-ID could not be found, such as when a dccloneconfig.xml file is found on a physical computer or on a hypervisor that does not support VM Generation-ID.

Код событияEvent ID	21762176
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Файл конфигурации клона контроллера домена переименован.Renamed virtual domain controller clone configuration file. Дополнительные данныеAdditional Data Старое имя файла: % 1Old file name:%1 Новое имя файла: % 2New file name:%2
Примечания и решениеNotes and resolution	Переименование ожидается при загрузке резервной копии исходной виртуальной Машины, так как ИД создания виртуальной Машины не изменился.Rename expected when booting a source VM back up, because the VM Generation ID has not changed. Это не позволяет исходному контроллеру домена для клонирования.This prevents the source domain controller from trying to clone.

Код событияEvent ID	21772177
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой переименования файла конфигурации клона виртуального домена контроллера.Renaming virtual domain controller clone configuration file failed. Дополнительные данныеAdditional Data Имя файла: % 1File name:%1 Код ошибки: % 2 %3Failure code:%2 %3
Примечания и решениеNotes and resolution	Попытка переименования ожидается при загрузке резервной копии исходной виртуальной Машины, так как ИД создания виртуальной Машины не изменился.Rename attempt expected when booting a source VM back up, because the VM Generation ID has not changed. Это не позволяет исходному контроллеру домена для клонирования.This prevents the source domain controller from trying to clone. Вручную переименуйте файл и выполните поиск продуктов сторонних разработчиков, которые могли воспрепятствовать переименованию файла.Manually rename the file and investigate installed third party products that may be preventing the file rename.

Код событияEvent ID	21782178
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Обнаружен файл конфигурации клона виртуального домена контроллера, но ИД создания виртуальной Машины не был изменен.Detected virtual domain controller clone configuration file, but VM Generation ID has not been changed. Локальный контроллер домена является клоном исходного контроллера домена.The local DC is the clone source DC. Переименуйте файл конфигурации клона.Rename the clone configuration file.
Примечания и решениеNotes and resolution	Ожидается при загрузке резервной копии исходной виртуальной Машины, так как ИД создания виртуальной Машины не изменился.Expected when booting a source VM back up, because the VM Generation ID has not changed. Это не позволяет исходному контроллеру домена для клонирования.This prevents the source domain controller from trying to clone.

Код событияEvent ID	21792179
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Атрибут msDS-GenerationId объекта-компьютера контроллера домена задан следующий параметр:The msDS-GenerationId attribute of the Domain Controller's computer object has been set to the following parameter: Атрибут GenerationID: % 1GenerationID attribute:%1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	21802180
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ПредупреждениеWarning
СообщениеMessage	Не удалось задать атрибут msDS-GenerationId объекта-компьютера контроллера домена.Failed to set the msDS-GenerationId attribute of the Domain Controller's computer object. Дополнительные данныеAdditional Data Код ошибки: % 1Failure code:%1
Примечания и решениеNotes and resolution	Проверьте журнал системных событий и файл Dcpromo.log.Examine the System event log and Dcpromo.log. Поиск соответствующую ошибку на сайте MS TechNet, базе знаний и блогах корпорации Майкрософт определить ее Обычное значение, а затем устраните неполадки на основе этих результатов.Lookup the specific error in MS TechNet, MS Knowledgebase, and MS blogs to determine its usual meaning, and then troubleshoot based on those results.

Код событияEvent ID	21822182
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Внутреннее событие: служба каталогов поступил запрос на клонирование удаленного DSA:Internal event: The Directory Service has been asked to clone a remote DSA:
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	21832183
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Внутреннее событие: * * выполнил запрос на клонирование удаленного системного агента каталога.Internal event: completed the request to clone the remote Directory System Agent. Исходное имя контроллера домена: % 3Original DC name:%3 Запросить клона имя контроллера домена: % 4Request clone DC name:%4 Сайт клонируемого запросе контроллера домена: % 5Request clone DC site:%5 Дополнительные данныеAdditional Data Значение ошибки: % 1 %2Error value:%1 %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	21842184
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось создать учетную запись контроллера домена для клонированного контроллера домена. failed to create a domain controller account for the cloned DC. Исходное имя контроллера домена: % 1Original DC name:%1 Разрешенное число клонированного контроллеров домена: % 2Allowed number of cloned DC:%2 Ограничение на число учетных записей контроллера домена, которые можно создать путем клонирования * превышено.The limit on the number of domain controller accounts that can be generated by cloning *was exceeded.
Примечания и решениеNotes and resolution	Контроллеры домена не понизить уровень на основе соглашению об именовании отдельное имя исходного домена контроллера можно создать автоматически всего 9999 раз.A single source domain controller name can only automatically generate 9999 times if domain controllers are not demoted, based on the naming convention. Используйте элемент в XML-КОДЕ для создания нового уникального имени или выполните клонирование из контроллера домена другим именем.Use the element in the XML to generate a new unique name or clone from a differently named DC.

Код событияEvent ID	21912191
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Задайте следующий параметр реестра для отключения обновлений DNS. set the following registry value to disable DNS updates. Раздел реестра: % 1Registry Key:%1 Значение реестра: %2Registry Value: %2 Значение параметра реестра: %3Registry Value data: %3 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning. Процесс клонирования DNS вновь включит обновление после завершения клонирования.The cloning process will enable DNS updates again after cloning is completed.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	21922192
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось задать следующий параметр реестра для отключения обновлений DNS. failed to set the following registry value to disable DNS updates. Раздел реестра: % 1Registry Key:%1 Значение реестра: %2Registry Value: %2 Значение параметра реестра: %3Registry Value data: %3 Код ошибки: % 4Error code:%4 Сообщение об ошибке: % 5Error message:%5 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать обновлениям реестра.Investigate third party application that may be blocking registry updates.

Код событияEvent ID	21932193
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Установите следующее значение реестра для включения обновлений DNS. set the following registry value to enable DNS updates. Раздел реестра: % 1Registry Key:%1 Значение реестра: %2Registry Value: %2 Значение параметра реестра: %3Registry Value data: %3 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	21942194
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось задать следующий параметр реестра для включения обновлений DNS. failed to set the following registry value to enable DNS updates. Раздел реестра: % 1Registry Key:%1 Значение реестра: %2Registry Value: %2 Значение параметра реестра: %3Registry Value data: %3 Код ошибки: % 4Error code:%4 Сообщение об ошибке: % 5Error message:%5 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать обновлениям реестра.Investigate third party application that may be blocking registry updates.

Код событияEvent ID	21952195
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Не удалось задать режим загрузки DSRM.Failed to set DSRM boot. Код ошибки: % 1Error code:%1 Сообщение об ошибке: % 2Error message:%2 При клонировании виртуального контроллера домена не удалось или файл конфигурации клона виртуального домена контроллера отображается на неподдерживаемой низкоуровневой оболочке, локальный компьютер будет перезагружен в режиме DSRM для устранения неполадок.When virtual domain controller cloning failed or virtual domain controller clone configuration file appears on a non-supported hypervisor, the local machine will reboot into DSRM for troubleshooting. Сбой установки режима загрузки DSRM.Setting DSRM boot failed.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать обновлениям реестра.Investigate third party application that may be blocking registry updates.

Код событияEvent ID	21962196
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Не удалось включить привилегию завершения работы.Failed to enable shutdown privilege. Код ошибки: % 1Error code:%1 Сообщение об ошибке: % 2Error message:%2 При клонировании виртуального контроллера домена не удалось или файл конфигурации клона виртуального домена контроллера отображается на неподдерживаемой низкоуровневой оболочке, локальный компьютер будет перезагружен в режиме DSRM для устранения неполадок.When virtual domain controller cloning failed or virtual domain controller clone configuration file appears on a non-supported hypervisor, the local machine will reboot into DSRM for troubleshooting. Не удалось включить привилегию завершения работы.Enabling shutdown privilege failed.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать использованию привилегий.Investigate third party application that may be blocking privilege usage.

Код событияEvent ID	21972197
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Не удалось инициировать завершение работы системы.Failed to initiate system shutdown. Код ошибки: % 1Error code:%1 Сообщение об ошибке: % 2Error message:%2 При клонировании виртуального контроллера домена не удалось или файл конфигурации клона виртуального домена контроллера отображается на неподдерживаемой низкоуровневой оболочке, локальный компьютер будет перезагружен в режиме DSRM для устранения неполадок.When virtual domain controller cloning failed or virtual domain controller clone configuration file appears on a non-supported hypervisor, the local machine will reboot into DSRM for troubleshooting. Сбой инициализации завершения работы системы.Initiating system shutdown failed.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать использованию привилегий.Investigate third party application that may be blocking privilege usage.

Код событияEvent ID	21982198
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось создать или изменить следующий объект клонированного контроллера домена. failed to create or modify the following cloned DC object. Дополнительные данные:Additional data: Объект:Object: %1%1 Значение ошибки: %2Error value: %2 %3%3
Примечания и решениеNotes and resolution	Поиск соответствующую ошибку на сайте MS TechNet, базе знаний и блогах корпорации Майкрософт определить ее Обычное значение, а затем устраните неполадки на основе этих результатов.Lookup the specific error in MS TechNet, MS Knowledgebase, and MS blogs to determine its usual meaning, and then troubleshoot based on those results.

Код событияEvent ID	21992199
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось создать следующий объект клонированного контроллера домена, так как объект уже существует. failed to create the following cloned DC object because the object already exists. Дополнительные данные:Additional data: Исходный контроллер домена:Source DC: %1%1 Объект:Object: %2%2
Примечания и решениеNotes and resolution	Проверьте файл dccloneconfig.xml не был указан существующего контроллера домена, или что копии dccloneconfig.xml используются на нескольких клонах без изменения имени.Validate the dccloneconfig.xml did not specify an existing domain controller or that copies of the dccloneconfig.xml have been used on multiple clones without editing the name. Если конфликт остается неожиданным, определите, какой администратор повысил его; уровень связаться с ними, чтобы обсудить следует понизить уровень контроллера домена, очистить метаданные существующего контроллера домена или если клона должен использовать другое имя.If the collision is still unexpected, determine which administrator promoted it; contact them to discuss if the existing domain controller should be demoted, the existing domain controller metadata cleaned, or if the clone should use a different name.

Код событияEvent ID	22032203
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой последнего клонирования виртуального контроллера домена.Last virtual domain controller cloning failed. Это первая перезагрузка после сбоя, и поэтому должно быть перезапущено клонирования.This is the first reboot since then so this should be a re-try of the cloning. Тем не менее, ни файл конфигурации клона контроллера домена не существует, а обнаружено изменение ИД создания виртуальной машины.However, neither virtual domain controller clone configuration file exists nor virtual machine generation ID change is detected. Загрузку в режиме DSRM.Boot into DSRM. Сбой последнего клонирования виртуального контроллера домена: %1Last virtual domain controller cloning failed:%1 Файл конфигурации клона контроллера домена существует: %2Virtual domain controller clone configuration file exists:%2 Обнаружено изменение ИД создания виртуальной машины: %3Virtual machine generation ID change is detected:%3
Примечания и решениеNotes and resolution	Ожидается, если сбой клонирования ранее, связи с отсутствующим или недопустимым файлом dccloneconfig.xmlExpected if cloning failed previously, due to missing or invalid dccloneconfig.xml

Код событияEvent ID	22102210
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось создать объекты для клонированного контроллера домена.failed to create objects for clone domain controller. Дополнительные данные:Additional data: ИД клона: %6Clone Id: %6 Имя клонированного контроллера домена: %1Clone domain controller name: %1 Число повторных попыток: %2Retry loop: %2 Значение исключения: %3Exception value: %3 Значение ошибки: %4Error value: %4 DSID: %5DSID: %5
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и служб каталогов, а также dcpromo.log для получения сведений о причинах сбоя клонирования.Review the System and Directory Services event logs and the dcpromo.log for further details on why cloning failed.

Код событияEvent ID	22112211
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создал объекты для клонированного контроллера домена.has created objects for clone domain controller. Дополнительные данные:Additional data: ИД клона: %3Clone Id: %3 Имя клонированного контроллера домена: %1Clone domain controller name: %1 Число повторных попыток: %2Retry loop: %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22122212
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	начал создавать объекты для клонированного контроллера домена.started to create objects for the clone domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Имя клона: %2Clone name: %2 Сайт клона: %3Clone site: %3 RODC клона: %4Clone RODC: %4
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22132213
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создать новый объект KrbTgt для клонирования контроллера домена только для чтения.created a new KrbTgt object for Read-Only domain controller cloning. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Guid нового объекта KrbTgt: %2New KrbTgt Object Guid: %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22142214
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создаст объект-компьютер для клонированного контроллера домена.will create a computer object for the clone domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Исходный контроллер домена: %2Original domain controller: %2 Клонированный контроллер домена: %3Clone domain controller: %3
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22152215
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	добавит клонированный контроллер домена в следующий сайт.will add the clone domain controller in the following site. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Узел: %2Site: %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22162216
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создаст контейнер серверов для клонированного контроллера домена.will create a servers container for the clone domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Контейнер серверов: %2Servers Container: %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22172217
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создаст объект-сервер для клонированного контроллера домена.will create a server object for the clone domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Объект-сервер: %2Server Object: %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22182218
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Создает объект параметров NTDS для клонированного контроллера домена.will create a NTDS Settings object for the clone domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Объект: %2Object: %2
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22192219
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создаст объекты подключения для клонированного контроллера домена только для чтения.will create connection objects for the clone Read-Only domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22202220
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	создаст объекты SYSVOL для клонированного контроллера домена только для чтения.will create SYSVOL objects for the clone Read-Only domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22212221
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось создать случайный пароль для клонированного контроллера домена.failed to generate a random password for the cloned domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Имя клонированного контроллера домена: %2Clone domain controller name: %2 Ошибка: %3 %4Error: %3 %4
Примечания и решениеNotes and resolution	Изучите журнал событий системы для получения сведений о почему не удается создать пароль учетной записи компьютера.Examine the system event log for further details on why the machine account password could not be created.

Код событияEvent ID	22222222
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось задать пароль для клонированного контроллера домена.failed to set password for the cloned domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Имя клонированного контроллера домена: %2Clone domain controller name: %2 Ошибка: %3 %4Error: %3 %4
Примечания и решениеNotes and resolution	Изучите журнал событий системы для получения сведений о том, почему не удается задать пароль учетной записи компьютера.Examine the system event log for further details on why the machine account password could not be set.

Код событияEvent ID	22232223
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	успешно установлены пароль учетной записи компьютера для клонированного контроллера домена.successfully set machine account password for the cloned domain controller. Дополнительные данные:Additional data: ИД клона: %1Clone Id: %1 Имя клонированного контроллера домена: %2Clone domain controller name: %2 Общее число повторных попыток: %3Total retry times: %3
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22242224
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой клонирования виртуального контроллера домена.Virtual domain controller cloning failed. Следующие %1 на клонируемом компьютере есть управляемые учетные записи служб:The following %1 Managed Service Account(s) exist on the cloned machine: %2%2 Для успешного клонирования удалите все управляемые учетные записи служб.For cloning to succeed, all Managed Service Accounts must be removed. Это можно сделать с помощью командлета PowerShell Remove-ADComputerServiceAccount.This can be done using the Remove-ADComputerServiceAccount PowerShell cmdlet.
Примечания и решениеNotes and resolution	Ожидается при использовании автономных управляемых учетных записей служб (не групповых MSA).Expected when using standalone MSAs (not group MSA). Выполните не следуйте содержащейся в сообщении для удаления учетной записи — она неправильная.Do not follow the event advice to remove the account - it is incorrectly written. Используйте Uninstall-AdServiceAccount - https://technet.microsoft.com/library/hh852310.Use Uninstall-AdServiceAccount - https://technet.microsoft.com/library/hh852310. Автономные управляемые учетные записи служб, - впервые появились в Windows Server 2008 R2 - в Windows Server 2012 с помощью группы, управляемые учетные записи служб (gMSA) были заменены.Standalone MSAs - first released in Windows Server 2008 R2 - were replaced in Windows Server 2012 with group MSAs (gMSA). Gmsa поддерживают клонирование.GMSAs support cloning.

Код событияEvent ID	22252225
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Кэшированные секреты следующего субъекта безопасности были успешно удалены с локального контроллера домена:The cached secrets of the following security principal have been successfully removed from local domain controller: %1%1 После клонирования контроллера домена только для чтения, секреты, кэшированные на клонирования исходный контроллер домена только для чтения будут удалены на клонированный контроллер домена.After cloning a read-only domain controller, secrets which were previously cached on the cloning source read-only domain controller will be removed on the cloned domain controller.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	22262226
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Не удалось удалить кэшированные секреты следующего субъекта безопасности с локального контроллера домена:Failed to remove cached secrets of the following security principal from local domain controller: %1%1 Ошибка: %2 (%3)Error: %2 (%3) После клонирования контроллера домена только для чтения, секреты, кэшированные на нем исходного домена только для чтения контроллера, необходимо удалить с клона, чтобы снизить риск, что злоумышленник может получить учетные данные с украденного или скомпрометированного клона.After cloning a read-only domain controller, secrets which were previously cached on the cloning source read-only domain controller need to be removed on the clone in order to decrease the risk that an attacker can obtain those credentials from stolen or compromised clone. Если субъект безопасности является учетной записью высоким уровнем привилегий и должны быть защищены от этого, пожалуйста помощью операции rODCPurgeAccount в rootDSE вручную очистите секреты на локальном контроллере домена.If the security principal is a highly privileged account and should be protected against this, please use rootDSE operation rODCPurgeAccount to manually clear its secrets on local domain controller.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и служб каталогов для получения дополнительных сведений.Examine the System and Directory Services event logs for further information.

Код событияEvent ID	22272227
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Возникло исключение при попытке удалить кэшированные секреты с локального контроллера домена.Exception is raised while trying to remove cached secrets from local domain controller. Дополнительные данные:Additional data: Значение исключения: %1Exception value: %1 Значение ошибки: %2Error value: %2 DSID: %3DSID: %3 После клонирования контроллера домена только для чтения, секреты, кэшированные на нем исходного домена только для чтения контроллера, необходимо удалить с клона, чтобы снизить риск, что злоумышленник может получить учетные данные с украденного или скомпрометированного клона.After cloning a read-only domain controller, secrets which were previously cached on the cloning source read-only domain controller need to be removed on the clone in order to decrease the risk that an attacker can obtain those credentials from stolen or compromised clone. Если какие-либо из этих субъектов безопасности является учетной записью высоким уровнем привилегий, должны быть защищены от этого Пожалуйста помощью операции rODCPurgeAccount в rootDSE вручную очистите секреты на локальном контроллере домена.If any of these security principals is a highly privileged account and should be protected against this, please use rootDSE operation rODCPurgeAccount to manually clear its secrets on local domain controller.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и служб каталогов для получения дополнительных сведений.Examine the System and Directory Services event logs for further information.

Код событияEvent ID	22282228
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	ИД создания виртуальной машины в базе данных Active Directory этого контроллера домена отличается от секущего значения этой виртуальной машины.The Virtual machine generation ID in the Active Directory database of this domain controller is different from the current value of this virtual machine. Однако файл конфигурации клона виртуального домена контроллера (DCCloneConfig.xml) не удалось найти, поэтому клонирование контроллера домена не выполнялась.However, a virtual domain controller clone configuration file (DCCloneConfig.xml) could not be located so domain controller cloning was not attempted. Если операция клонирования контроллера домена предполагалась, убедитесь, что файл DCCloneConfig.xml предоставлен в любом из поддерживаемых расположений.If a domain controller cloning operation was intended, please ensure that a DCCloneConfig.xml is provided in any one of the supported locations. Кроме того IP-адрес этого контроллера домена конфликтует с IP-адресом другого контроллера домена.In addition, the IP address of this domain controller conflicts with another domain controller's IP address. Для обеспечения бесперебойного службы, контроллер домена был настроен на загрузку в режиме восстановления служб Каталогов.To ensure no disruptions in service occur, the domain controller has been configured to boot into DSRM. Дополнительные данные:Additional data: Повторяющийся IP-адрес: %1The duplicate IP address: %1
Примечания и решениеNotes and resolution	Этот защитный механизм останавливает дублирующиеся контроллеры домена, когда это возможно (не при использовании он делает DHCP, например).This protection mechanism stops duplicate domain controllers when possible (it will not when using DHCP, for example). Добавьте допустимый файл DcCloneConfig.xml, удалите флаг DSRM и повторите попытку клонирования.Add a valid DcCloneConfig.xml file, remove the DSRM flag, and re-attempt cloning

Код событияEvent ID	2921829218
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой клонирования виртуального контроллера домена.Virtual domain controller cloning failed. Не удалось выполнить операцию клонирования и клонированный контроллер домена был перезагружен в режиме восстановления служб каталогов (DSRM).The cloning operation could not be completed and the cloned domain controller was rebooted into Directory Services Restore Mode (DSRM). Пожалуйста проверки зарегистрированных ранее события и %systemroot%\debug\dcpromo.log Дополнительные сведения об ошибках для клонирования виртуального контроллера домена попытка и ли этот образ клонирования можно использовать повторно.Please check previously logged events and %systemroot%\debug\dcpromo.log for more information on errors that correspond to the virtual domain controller cloning attempt and whether or not this clone image can be reused. Если один или несколько записей журнала указывают на то, что клонирования нельзя повторить, образ необходимо безопасно уничтожить.If one or more log entries indicate that the cloning process cannot be retried, the image must be securely destroyed. В противном случае может устранить ошибки, снять флаг загрузки DSRM и перезагрузите обычно; После перезагрузки будет повтор операции клонирования.Otherwise you may fix the errors, clear the DSRM boot flag, and reboot normally; upon reboot, the cloning operation will be retried.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и служб каталогов, а также dcpromo.log для получения сведений о причинах сбоя клонирования.Review the System and Directory Services event logs and the dcpromo.log for further details on why cloning failed.

Код событияEvent ID	2921929219
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Клонирование виртуального контроллера домена успешно завершено.Virtual domain controller cloning succeeded.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции неполадкой только если Непредвиденная.This is a success event and only an issue if unexpected.

Код событияEvent ID	2924829248
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена не удалось получить уведомление Winlogon.Virtual domain controller cloning failed to obtain Winlogon Notification. Возвращен код ошибки: %1 (%2).The returned error code is %1 (%2). Дополнительные сведения об этой ошибке просмотрите %systemroot%\debug\dcpromo.log ошибок, которые соответствуют виртуального контроллера домена попытка клонирования.For more information on this error, please review %systemroot%\debug\dcpromo.log for errors that correspond to the virtual domain controller cloning attempt.
Примечания и решениеNotes and resolution	Обратитесь в службу технической поддержки МайкрософтContact Microsoft Product Support

Код событияEvent ID	2924929249
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена не удалось проанализировать файл конфигурации контроллера домена.Virtual domain controller cloning failed to parse virtual domain controller configuration file. Возвращен код HRESULT: %1.The returned HRESULT code is %1. Файл конфигурации: %2The configuration file is:%2 Исправьте ошибки в файле конфигурации и повторите операцию клонирования.Please fix the errors in the configuration file and retry the cloning operation. Дополнительные сведения об этой ошибке см. в разделе % systemroot%\debug\dcpromo.log.For more information about this error, please see %systemroot%\debug\dcpromo.log.
Примечания и решениеNotes and resolution	Просмотрите файл dclconeconfig.xml для ошибок синтаксиса с помощью редактора XML и файла схемы DCCloneConfigSchema.xsd.Examine the dclconeconfig.xml file for syntax errors using an XML editor and the DCCloneConfigSchema.xsd schema file.

Код событияEvent ID	2925029250
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой клонирования виртуального контроллера домена.Virtual domain controller cloning failed. Есть включенные программы или службы, сейчас включена на клонируемом виртуальном контроллере домена, отсутствуют в списке разрешенных приложений для клонирования виртуального контроллера домена.There are software or services currently enabled on the cloned virtual domain controller that are not present in the allowed application list for virtual domain controller cloning. Ниже приведены отсутствующие записи.Following are the missing entries: %2%2 %1 (при наличии) использовано как определенный список включения.%1 (if any) was used as the defined inclusion list. Не удается выполнить клонирование, если установлены приложения, не подлежащие клонированию.The cloning operation cannot be completed if there are non-cloneable applications installed. Запустите Active Directory PowerShell командлет Get-ADDCCloningExcludedApplicationList, чтобы проверить, какие приложения установлены на клонируемом компьютере, но не включены в список разрешенных и добавить их в список разрешенных, если они совместимы с клонированием виртуального контроллера домена.Please run Active Directory PowerShell Cmdlet Get-ADDCCloningExcludedApplicationList to check which applications are installed on the cloned machine, but not included in the allow list, and add them to the allow list if they are compatible with virtual domain controller cloning. Если какие-либо из этих приложений несовместимы с клонирования виртуального контроллера домена, удалите их, затем повторите попытку клонирования.If any of these applications are not compatible with virtual domain controller cloning, please uninstall them before re-trying the cloning operation. Клонирования виртуального контроллера домена ищет процесс разрешенных файл списка приложений, CustomDCCloneAllowList.xml, в следующем порядке поиска; первый найденный файл используется, и все остальные игнорируются:The virtual domain controller cloning process searches for the allowed application list file, CustomDCCloneAllowList.xml, based on the following search order; the first file found is used and all others are ignored: 1. имя параметра реестра: HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters\AllowListFolder1. The registry value name: HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters\AllowListFolder 2. в том же каталоге, в котором находится рабочая папка DSA2. The same directory where the DSA Working Directory folder resides 3. %windir%\NTDS3. %windir%\NTDS 4. съемных чтения и записи мультимедиа в порядке букв в корне диска4. Removable read/write media in order of drive letter at the root of the drive
Примечания и решениеNotes and resolution	Следуйте инструкциям в сообщении.Follow the message instructions

Код событияEvent ID	2925129251
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена не удалось сбросить IP-адреса клонированного компьютера.Virtual domain controller cloning failed to reset the IP addresses of the clone machine. Возвращен код ошибки: %1 (%2).The returned error code is %1 (%2). Эта ошибка может быть вызвано неправильной конфигурацией в разделах конфигурации сети в файле конфигурации контроллера домена.This error might be caused by misconfiguration in network configuration sections in the virtual domain controller configuration file. См. в разделе %systemroot%\debug\dcpromo.log Дополнительные сведения об ошибках, которые соответствуют сброса во время попытки клонирования виртуального контроллера домена IP-адресов.Please see %systemroot%\debug\dcpromo.log for more information about errors that correspond to IP addresses resetting during virtual domain controller cloning attempts. Сведения о сбросе IP-адресов на клонируемом компьютере можно найти на https://go.microsoft.com/fwlink/?LinkId=208030Details on resetting machine IP addresses on the cloned machine can be found at https://go.microsoft.com/fwlink/?LinkId=208030
Примечания и решениеNotes and resolution	Проверьте параметры IP, в файле dccloneconfig.xml заданы является допустимым и не дублировать изначального исходного компьютера.Verify the IP information set in the dccloneconfig.xml is valid and does not duplicate the original source machine.

Код событияEvent ID	2925329253
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой клонирования виртуального контроллера домена.Virtual domain controller cloning failed. Клонированный контроллер домена не удалось обнаружить хозяина операций контроллера основного домена в домашнем домене клонируемого компьютера клонированного компьютера.The clone domain controller was unable to locate the primary domain controller (PDC) operations master in the cloned computer's home domain of the cloned machine. Возвращен код ошибки: %1 (%2).The returned error code is %1 (%2). Убедитесь, что основной контроллер домена в домашнем домене клонируемого компьютера назначен действующему контроллеру домена, находится в оперативном режиме и работает.Please verify that the primary domain controller in the home domain of the cloned machine is assigned to a live domain controller, is online, and is operational. Убедитесь, что на клонируемом компьютере имеется подключение LDAP/RPC к основному контроллеру домена через требуемые порты и протоколы.Verify that the cloned machine has LDAP/RPC connectivity to the primary domain controller over the required ports and protocols.
Примечания и решениеNotes and resolution	Проверьте контроллер домена клонированного IP-адресов и задать сведения о DNS-сервера.Validate the cloned domain controller IP and DNS information is set. Использовать Dcdiag.exe /test:locatorcheck для проверки работы pdce, используйте Nltest.exe/Server:* * /dclist:* * для проверки RPC, получите зафиксированные сети из PDCE сбоя клонирования и проанализируйте трафик.Use Dcdiag.exe /test:locatorcheck to validate if the PDCE is online, use Nltest.exe /server: /dclist: to valid RPC, obtain a network capture from the PDCE while cloning fails and analyze the traffic.

Код событияEvent ID	2925429254
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена не удалось выполнить привязку на основном контроллере домена %1.Virtual domain controller cloning failed to bind to the primary domain controller %1. Возвращен код ошибки: %2 (%3).The returned error code is %2 (%3). Убедитесь, что основной контроллер домена %1 находится в оперативном режиме и работает.Please verify that the primary domain controller %1 is online and is operational. Убедитесь, что на клонируемом компьютере имеется подключение LDAP/RPC к основному контроллеру домена через требуемые порты и протоколы.Verify that the cloned machine has LDAP/RPC connectivity to the primary domain controller over the required ports and protocols.
Примечания и решениеNotes and resolution	Проверьте контроллер домена клонированного IP-адресов и задать сведения о DNS-сервера.Validate the cloned domain controller IP and DNS information is set. Использовать Dcdiag.exe /test:locatorcheck для проверки работы pdce, используйте Nltest.exe/Server:* * /dclist:* * для проверки RPC, получите зафиксированные сети из PDCE сбоя клонирования и проанализируйте трафик.Use Dcdiag.exe /test:locatorcheck to validate if the PDCE is online, use Nltest.exe /server: /dclist: to valid RPC, obtain a network capture from the PDCE while cloning fails and analyze the traffic.

Код событияEvent ID	2925529255
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Сбой клонирования виртуального контроллера домена.Virtual domain controller cloning failed. При попытке создать объекты на основном контроллере домена %1 для клонирования образа, возвращена ошибка %2 (%3).An attempt to create objects on the primary domain controller %1 required for the image being cloned returned error %2 (%3). Убедитесь, что клонированный контроллер домена имеет право на клонирование самого себя.Please verify that the cloned domain controller has privilege to clone itself. Проверьте наличие связанных событий в журнал событий службы каталогов для основного контроллера домена %1.Check for related events in the Directory Service event log on primary domain controller %1.
Примечания и решениеNotes and resolution	Поиск соответствующую ошибку на сайте MS TechNet, базе знаний и блогах корпорации Майкрософт определить ее Обычное значение, а затем устраните неполадки на основе этих результатов.Lookup the specific error in MS TechNet, MS Knowledgebase, and MS blogs to determine its typical meaning, and then troubleshoot based on those results.

Код событияEvent ID	2925629256
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Чтобы задать режим загрузки в режиме восстановления служб каталогов флаг ошибка с кодом ошибки %1.An attempt to set the Boot into Directory Services Restore Mode flag failed with error code %1. См. в разделе %systemroot%\debug\dcpromo.log Дополнительные сведения об ошибках.Please see %systemroot%\debug\dcpromo.log for more information about errors.
Примечания и решениеNotes and resolution	Просмотрите журнал службы каталогов и файл dcpromo.log подробные сведения.Examine the Directory Services log and dcpromo.log for details. Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать использованию привилегий.Investigate third party application that may be blocking privilege usage.

Код событияEvent ID	2925729257
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена выполнено.Virtual domain controller cloning has done. Перезагрузка компьютера ошибка с кодом ошибки %1.An attempt to reboot the machine failed with error code %1. Перезагрузите компьютер для завершения операции клонирования.Please reboot the machine to finish the cloning operation.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать использованию привилегий.Investigate third party application that may be blocking privilege usage.

Код событияEvent ID	2926429264
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Снимите флажок загрузки в режиме восстановления служб каталогов флаг ошибка с кодом ошибки %1.An attempt to clear the Boot into Directory Services Restore Mode flag failed with error code %1. См. в разделе %systemroot%\debug\dcpromo.log Дополнительные сведения об ошибках.Please see %systemroot%\debug\dcpromo.log for more information about errors.
Примечания и решениеNotes and resolution	Просмотрите журнал службы каталогов и файл dcpromo.log подробные сведения.Examine the Directory Services log and dcpromo.log for details. Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать использованию привилегий.Investigate third party application that may be blocking privilege usage.

Код событияEvent ID	2926529265
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Клонирование виртуального контроллера домена успешно завершено.Virtual domain controller cloning succeeded. Файл виртуального контроллера домена клонирования конфигурации %1 был переименован в %2.The virtual domain controller cloning configuration file %1 has been renamed to %2.
Примечания и решениеNotes and resolution	Н/д, это событие успешного выполнения операции.N/A, this is a success event.

Код событияEvent ID	2926629266
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена успешно завершено.Virtual domain controller cloning succeeded. При попытке переименовать файл виртуального контроллера домена клонирования конфигурации %1 сбой с кодом ошибки %2 (%3).The attempt to rename virtual domain controller cloning configuration file %1 failed with error code %2 (%3).
Примечания и решениеNotes and resolution	Вручную переименуйте файл dccloneconfig.xml.Manually rename the dccloneconfig.xml file.

Код событияEvent ID	2926729267
ИсточникSource	Microsoft-Windows-DirectoryServices-DSROLE-ServerMicrosoft-Windows-DirectoryServices-DSROLE-Server
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Клонирование виртуального контроллера домена не удалось проверить клонирования виртуального контроллера домена список разрешенных приложений.Virtual domain controller cloning failed to check the virtual domain controller cloning allowed application list. Возвращен код ошибки: %1 (%2).The returned error code is %1 (%2). Это могло быть вызвано синтаксической ошибкой в клона файле списка разрешений (проверяемый файл в настоящее время является: %3).This error might be caused by a syntax error in the clone allow list file (The file currently being checked is: %3). Дополнительные сведения об этой ошибке см. в разделе % systemroot%\debug\dcpromo.log.For more information about this error, please see %systemroot%\debug\dcpromo.log.
Примечания и решениеNotes and resolution	Следуйте инструкциям для событияFollow the event instructions

Сообщения об ошибкахError Messages

Не прямой интерактивные ошибки для сбоя клонирования виртуализированного контроллера домена; Вся информация о клонировании в системе и служб каталогов и входа повышения роли контроллера домена в файле dcpromo.log.There are no direct interactive errors for failed virtualized domain controller cloning; all cloning information logs in the System and Directory Services logs and the domain controller promotion logs in dcpromo.log. Тем не менее при загрузке сервера в режиме восстановления служб Каталогов, проверьте сразу же, как произошел сбой повышения уровня или клонирования.However, if the server boots into DS Restore Mode, investigate immediately, as promotion or cloning failed.

Файл dcpromo.log это первое место, чтобы проверить наличие ошибки клонирования.The dcpromo.log is the first place to check for cloning failure. В зависимости от указанного сбоя может потребоваться просмотреть журналы системы для проведения дальнейшей диагностики и служб каталогов.Depending on the failure listed, it may be necessary to subsequently review Directory Services and System logs for further diagnosis.

Известные проблемы и сценарии поддержкиKnown Issues and Support Scenarios

Ниже приведены распространенные проблемы, возникающие в процессе разработки Windows Server 2012.The following are common issues seen during the Windows Server 2012 development process. Все эти проблемы «по проектированию» и имеется либо обходной, либо иная методика во избежание их в первую очередь.All of these issues are "by design" and have either a valid workaround or more appropriate technique to avoid them in the first place. Некоторые из них будут устранены в последующих выпусках Windows Server 2012.Some may be resolved in later releases of Windows Server 2012.

ПроблемаIssue	Дополнительные аренды IP-адресов при использовании DHCP для клонированияExtra IP leases when using DHCP to clone
СимптомыSymptoms	После успешного клонирования контроллера домена и использования DHCP первая загрузка клона осуществляет аренду DHCP.After successfully cloning a DC and using DHCP, the first boot of the clone takes a DHCP lease. После переименования сервера и его перезапуска в качестве контроллера домена он осуществляет вторую аренду DHCP.Then when the server is renamed and restarted as a DC, it takes a second DHCP lease. Первый IP-адрес не освобождается, и вы получаете «фантомную» аренду.The first IP address is not released and you end up with a "phantom" lease
Решение и примечанияResolution and Notes	Вручную удалите неиспользуемую аренду адреса в DHCP или дождитесь истечения ее срока.Manually delete the unused address lease in DHCP or allow it to expire normally. Описанные в КБ 2742836.Described in KB 2742836.

ПроблемаIssue	Клонирование в режиме DSRM завершается со сбоем после очень длинной задержкиCloning fails into DSRM after very long delay
СимптомыSymptoms	Клонирования отображается на шаге «клонирование контроллера домена находится на X % завершения» для от 8 до 15 минут.Cloning appears to pause at "Domain controller cloning is at X% completion" for between 8 and 15 minutes. После этого клонирование завершается сбоем и загружается в режиме DSRM.After this, the cloning fails and boots into DSRM.
Решение и примечанияResolution and Notes	Клонированного компьютера не может получить динамический IP-адрес от DHCP или SLAAC, используется повторяющийся IP-адрес или не удается найти PDC.The cloned computer cannot get a dynamic IP address from DHCP or SLAAC, or is using a duplicate IP address, or cannot find the PDC. Несколько попыток путем клонирования приводит к задержке.Multiple retry attempts performed by cloning lead to the delay. Устраните проблемы в сети, чтобы выполнить клонирование.Resolve the networking issue to allow cloning. Описанные в KB 2742844.Described in KB 2742844.

ПроблемаIssue	Процесс клонирования не воссоздает все имена участников-службCloning does not recreate all service principal names
СимптомыSymptoms	Если набор трех частей имена участников-служб (SPN) включает в себя как имя NetBIOS с портом, так и идентичное имя NetBIOS без порта, запись без порта не воссоздается с новым именем компьютера.If a set of three-part service principal names (SPN) includes both a NetBIOS name with a port and an otherwise identical NetBIOS name without a port, the non-port entry is not recreated with the new computer name. Например:For example: customspn / DC1: 200 / app1 INVALID USE OF SYMBOLS это воссоздается с новым именем компьютераcustomspn/DC1:200/app1 INVALID USE OF SYMBOLS this is recreated with the new computer name customspn/DC1/app1 INVALID USE OF SYMBOLS это не воссоздается с новым именем компьютераcustomspn/DC1/app1 INVALID USE OF SYMBOLS this is not recreated with the new computer name Полные имена воссоздаются, а имена субъектов-служб без трех частей воссоздаются независимо от портов.Fully qualified names are recreated and SPNs without three parts are recreated, regardless of ports. Например эти элементы успешно воссоздаются на клоне:For example, these are recreated successfully on the clone: customspn / DC1: 202 INVALID USE OF SYMBOLS это воссоздаетсяcustomspn/DC1:202 INVALID USE OF SYMBOLS this is recreated customspn/DC1 INVALID USE OF SYMBOLS это воссоздаетсяcustomspn/DC1 INVALID USE OF SYMBOLS this is recreated customspn/DC1.corp.contoso.com:202 INVALID USE OF SYMBOLS это воссозданное имяcustomspn/DC1.corp.contoso.com:202 INVALID USE OF SYMBOLS this is recreated name customspn/DC1.corp.contoso.com INVALID USE OF SYMBOLS это воссоздаетсяcustomspn/DC1.corp.contoso.com INVALID USE OF SYMBOLS this is recreated
Решение и примечанияResolution and Notes	Это ограничение всего процесса переименования контроллеров домена в Windows, а не только копирования.This is a limitation of the domain controller rename process in Windows, not just in cloning. Имена участников-СЛУЖБ для трех частей обрабатываются такой логической схемой переименования при любом сценарии.Three-part SPNS are not handled by the renaming logic in any scenario. Большинство служб Windows не подвержены влиянию это, как они воссоздают все отсутствующие имена субъектов-служб по мере необходимости.Most included Windows services are unaffected by this, as they recreate any missing SPNs as needed. Другие приложения может потребоваться вручную ввести имя участника-службы для устранения проблемы.Other applications may require manually entering the SPN to resolve the issue. Описанные в КБ 2742874.Described in KB 2742874.

ПроблемаIssue	Сбой клонирования, загрузка в режиме DSRM, общие ошибки сетиCloning fails, boots into DSRM, general networking errors
СимптомыSymptoms	Клон загружается в режиме восстановления служб каталогов.Clone boots into Directory Services Repair Mode. Имеются общие ошибки сети.There are general networking errors.
Решение и примечанияResolution and Notes	Убедитесь, что у нового клона нет дублирующегося статического MAC-адреса назначенного с исходного контроллера домена; можно увидеть, использует ли виртуальная машина статический MAC-адрес, выполните следующую команду на узле низкоуровневой оболочки как исходный, так и клона виртуальной машины:Ensure that the new clone does not have a duplicate static MAC address assigned from the source domain controller; you can see if a VM uses static MAC addresses by running this command on the hypervisor host for both the source and clone virtual machines: Get-VM - VMName test-vm & #124; Get-VMNetworkAdapter & #124; fl *Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl * Измените MAC-адрес на уникальный статический адрес или переключитесь на использование динамических MAC-адресов.Change the MAC address to a unique static address or switch to using dynamic MAC addresses. Описанные в KB 2742844Described in KB 2742844

ПроблемаIssue	Сбой клонирования, загрузка в режиме DSRM в качестве дубликата исходного контроллера доменаCloning fails, boots into DSRM as a duplicate of the source DC
СимптомыSymptoms	Новый клон загружается без клонирования.A new clone boots up without cloning. Файл dccloneconfig.xml не переименовывается, и сервер запускается в режиме восстановления служб Каталогов.The dccloneconfig.xml is not renamed and the server starts in DS Restore Mode. Журнал событий служб каталогов показывает ошибку 2164:The Directory Services event log shows Error 2164 не удалось запустить службу DsRoleSvc для клонирования локального виртуального контроллера домена. failed to start the DsRoleSvc service to clone the local virtual domain controller.
Решение и примечанияResolution and Notes	Изучите параметры службы сервера с ролью DS (DsRoleSvc) и убедитесь, что тип запуска настроено на ручной режим.Examine the service settings for the DS Role Server service (DsRoleSvc) and ensure its start type is set to Manual. Проверьте, не программа сторонних разработчиков препятствует запуску данной службы.Validate that no third party program is preventing the start of this service. Дополнительные сведения о том, как освободить этот дополнительный контроллер домена, гарантируя, что исходящую репликацию обновлений, см. в статье базы Знаний Майкрософт 2742970.For more information about how to reclaim this secondary DC while ensuring that updates get replicated outbound, see Microsoft KB article 2742970.

ПроблемаIssue	Сбой клонирования, загрузка в режиме DSRM, ошибка 8610Cloning fails, boots into DSRM, error 8610
СимптомыSymptoms	Клон загружается в режиме восстановления служб каталогов.Clone boots into Directory Services Restore Mode. Файл Dcpromo .log показывает ошибку 8610 (ERROR_DS_ROLE_NOT_VERIFIED 8610 или 0x21A2)Dcpromo .log shows 8610 error (which is ERROR_DS_ROLE_NOT_VERIFIED 8610 or 0x21A2)
Решение и примечанияResolution and Notes	Это происходит, когда PDC доступен для обнаружения, но не выполнил достаточный объем репликации взять роль на себя.Will happen if the PDC can be discoverable but it has not performed sufficient replication to allow itself to assume the role. Например, когда клонирование запущено, а другой администратор перемещает роль PDCE FSMO на новый контроллер домена.For example, if cloning is started and another administrator moves the PDCE FSMO role to a new DC. Описанные в КБ 2742916.Described in KB 2742916.

ПроблемаIssue	Сбой клонирования, загрузка в режиме DSRM, общие ошибки сетиCloning fails, boots into DSRM, general networking errors
СимптомыSymptoms	Клон загружается в режиме восстановления служб каталогов.Clone boots into Directory Services Restore Mode. Имеются общие ошибки сети.There are general networking errors.
Решение и примечанияResolution and Notes	Убедитесь, что у нового клона нет дублирующегося статического MAC-адреса назначенного с исходного контроллера домена; можно определить, использует ли виртуальная машина статический MAC-адрес, выполните следующую команду на узле Hyper-V для виртуальных машин как исходный, так и для клонированной:Ensure that the new clone does not have a duplicate static MAC address assigned from the source domain controller; you can see if a VM uses static MAC addresses by running this command on the Hyper-V host for both the source and clone virtual machines: Get-VM - VMName test-vm & #124; Get-VMNetworkAdapter & #124; fl *Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl * Измените MAC-адрес на уникальный статический адрес или переключитесь на использование динамических MAC-адресов.Change the MAC address to a unique static address or switch to using dynamic MAC addresses. Описанные в KB 2742844.Described in KB 2742844.

ПроблемаIssue	Сбой клонирования, загрузка в режиме DSRMCloning fails, boots into DSRM
СимптомыSymptoms	Клон загружается в режиме восстановления служб каталоговClone boots into Directory Services Repair Mode
Решение и примечанияResolution and Notes	Убедитесь, что dccloneconfig.xml содержит определение схемы (см. sampledccloneconfig.xml, строка 2):Ensure that the dccloneconfig.xml contains the schema definition (see sampledccloneconfig.xml, line 2): < d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig» ><d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig"> Описанные в KB 2742844Described in KB 2742844

ПроблемаIssue	Отсутствуют серверы, которые доступны ошибка ведения журнала в режиме DSRMNo logon servers are available error logging into DSRM
СимптомыSymptoms	Клон загружается в режиме восстановления служб каталогов.Clone boots into Directory Services Repair Mode. Вы пытаетесь выполнить вход и получаете ошибку:You attempt to logon and receive error: В настоящее время нет доступных серверов нет входа в систему для обслуживания запроса на вход в системуThere are currently no logon servers are available to service the logon request
Решение и примечанияResolution and Notes	Убедитесь, что вы выполняете вход с использованием учетной записи администратора DSRM, а не учетной записи домена.Ensure you logon with the DSRM administrator account, and not the domain account. Используйте стрелку влево и введите имя пользователя:Use the left arrow and type a user name of: . \administrator.\administrator Описанные в КБ 2742908Described in KB 2742908

ПроблемаIssue	В режиме DSRM, ошибка сбой источника клонированияClone Source fails into DSRM, error
СимптомыSymptoms	Во время клонирования, происходит сбой 8437 «создание объектов клонированного контроллера домена на PDC» (0x20f5)During cloning, fails 8437 "Create clone DC objects on PDC failed" (0x20f5)
Решение и примечанияResolution and Notes	Повторяющееся имя компьютера было задано в DCCloneConfig.xml как исходного контроллера домена или имеющегося контроллера домена.Duplicate computer name was set in DCCloneConfig.xml as the source DC or an existing DC. Имя компьютера также должно быть в формате имени компьютера NetBIOS (15 или меньше символов, не полное доменное имя).The computer name also needs to be in the NetBIOS computer name format (15 characters or fewer, not an FQDN). Исправьте файл dccloneconfig.xml, задав уникальное и допустимое имя.Fix the dccloneconfig.xml file by setting a unique, valid name. Описанные в КБ 2742959Described in KB 2742959

ПроблемаIssue	Новый addccloneconfigfile ошибка «индекс находился вне допустимого диапазона»New-addccloneconfigfile error "index was out of range"
СимптомыSymptoms	При выполнении командлета new-addccloneconfigfile, возникает ошибка:When running the new-addccloneconfigfile cmdlet, you receive error: Индекс находился вне допустимого диапазона.Index was out of range. Должен быть неотрицательным и меньшим, чем размер коллекции.Must be non-negative and less than the size of the collection.
Решение и примечанияResolution and Notes	Необходимо запустить командлет в консоли Windows PowerShell для администратора с повышенными правами.You must run the cmdlet in an administrator-elevated Windows PowerShell console. Эта ошибка вызвана отсутствием членства в группе локальных администраторов на компьютере.This error is caused by lack of local administrator group membership on the computer. Описанные в КБ 2742927Described in KB 2742927

ПроблемаIssue	Сбой клонирование, дублирующийся контроллер доменаCloning fails, duplicate DC
СимптомыSymptoms	Клон загружается без клонирования, дублируется имеющийся исходный контроллер доменаClone boots without cloning, duplicates existing source DC
Решение и примечанияResolution and Notes	Компьютер был скопирован и запущен, но не содержит файл DcCloneConfig.xml в одном из поддерживаемых расположений и не имеет дублирующийся IP-адрес с исходным контроллером домена.The computer was copied and started but does not contain a DcCloneConfig.xml file in any of the supported locations, and did not have a duplicate IP address with the source domain controller. Чтобы избежать потери данных необходимо надлежащим образом удалить контроллер домена.The DC must be correctly removed in order to avoid data loss. Описанные в КБ 2742970Described in KB 2742970

ПроблемаIssue	Сбой New-ADDCCloneConfigFile с сервера не сбои в работе, при проверке того, если исходный контроллер домена является членом группы контроллеры домена клонируемые, если сервер глобального Каталога недоступен.New-ADDCCloneConfigFile fails with The server is not operational error when it checks if the source domain controller is a member of the Cloneable Domain controllers group if a GC is not available.
СимптомыSymptoms	При выполнении New-ADDCCloneConfigFile для создания файла dccloneconfig.xml, возникает ошибка:When running New-ADDCCloneConfigFile to create a dccloneconfig.xml file, you receive error: Код - сервер не работаетCode - The server is not operational
Решение и примечанияResolution and Notes	Проверьте связь с глобальным каталогом с сервера, где выполняется New-ADDCCloneConfigFile и убедитесь, что членство исходного контроллера домена в группе клонируемые контроллеры домена было реплицировано в этот глобальный Каталог.Verify connectivity to a GC from the server where you run New-ADDCCloneConfigFile and verify that the membership of the source domain controller in the Cloneable Domain Controllers group has replicated to that GC. С точки зрения очистке кэша указателя контроллера домена для случаев, когда глобальный Каталог или контроллер домена может переведены в автономный режим недавно, выполните следующую команду:Run the following command as a means of flushing the DC locator cache for cases where a GC or DC may have been taken offline recently: Код - nltest/dsgetdc: /GC/forceCode - nltest /dsgetdc: /GC /FORCE

Дополнительные возможности устранения неполадокAdvanced Troubleshooting

В этом модуле рассматривается расширенная Диагностика с использованием работа журналов в качестве примеров с некоторыми пояснениями возникшей ситуации.This module seeks to teach advanced troubleshooting by using working logs as samples, with some explanation of what occurred. Если вы понимаете, как выглядит успешной работе виртуализированного контроллера домена, легко сможете выявить сбои в своей среде.If you understand what a successful virtualized domain controller operation looks like, failures become obvious in your environment. Эти журналы сгруппированы по источнику, упорядоченные по возрастанию ожидается события (даже если они находятся, предупреждения и ошибки), связанные с клонированным контроллером домена в пределах каждого из журналов.These logs are presented by their source, with the ascending order of expected events (even when they are warnings and errors) related to a cloned domain controller within each log.

Клонирование контроллера доменаCloning a Domain Controller

В данном примере клонированный контроллер домена использует DHCP для получения IP-адреса, реплицирует SYSVOL с помощью FRS или DFSR (при необходимости, обратитесь к соответствующему журналу,) является глобальным каталогом и использует пустой файл dccloneconfig.xml.In this example, the clone domain controller uses DHCP to get an IP address, replicates SYSVOL using FRS or DFSR (see the appropriate log as necessary), is a global catalog, and uses a blank dccloneconfig.xml file.

Журнал событий служб каталоговDirectory Services Event Log

Журнал службы каталогов содержит основную часть на основе событий информации об операциях клонирования.The Directory Services log contains the majority of event-based cloning operational information. Низкоуровневая оболочка изменяет ИД создания Виртуальной машины и службы NTDS регистрирует это, делает пул RID недействительным и изменяет ИД вызова.The hypervisor changes the VM-Generation ID and the NTDS service notes it, then invalidates the RID pool and changes the invocation ID. Задается новый ИД создания Виртуальной машины, и сервер реплицирует входящие данные Active Directory.The new VM-Generation ID is set and the server replicates Active Directory data inbound. Служба DFSR останавливается и его базы данных, где размещается SYSVOL, удаляется, что вызывает непринудительную синхронизацию входящего трафика.The DFSR service is stopped and its database that hosts SYSVOL is deleted, forcing a non-authoritative sync inbound. Выполняется корректировка верхнего предела номера последовательного обновления.The USN high watermark is adjusted.

Код событияEvent ID	ИсточникSource	СообщениеMessage
21602160	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Локальные доменные службы Active Directory обнаружили файл виртуального контроллера домена клонирования конфигурации.The local Active Directory Domain Services has found a virtual domain controller cloning configuration file. Файл клонирования конфигурации контроллера домена находится на:The virtual domain controller cloning configuration file is found at: \DCCloneConfig.XML\DCCloneConfig.xml Существование виртуального клонирования файл конфигурации контроллера домена указывает, что локальный виртуальный контроллер домена является клоном другого виртуального контроллера домена.The existence of the virtual domain controller cloning configuration file indicates that the local virtual domain controller is a clone of another virtual domain controller. В доменных службах Active Directory запустит клонирование самого себя.The Active Directory Domain Services will start to clone itself.
21912191	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory задать следующий параметр реестра для отключения обновлений DNS.Active Directory Domain Services set the following registry value to disable DNS updates. Раздел реестра:Registry Key: SYSTEM\CurrentControlSet\Services\Netlogon\ParametersSYSTEM\CurrentControlSet\Services\Netlogon\Parameters Значение реестра:Registry Value: UseDynamicDnsUseDynamicDns Данные параметра реестра:Registry Value data: 00 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning. Процесс клонирования DNS вновь включит обновление после завершения клонирования.The cloning process will enable DNS updates again after cloning is completed.
21912191	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory задать следующий параметр реестра для отключения обновлений DNS.Active Directory Domain Services set the following registry value to disable DNS updates. Раздел реестра:Registry Key: SYSTEM\CurrentControlSet\Services\Dnscache\ParametersSYSTEM\CurrentControlSet\Services\Dnscache\Parameters Значение реестра:Registry Value: RegistrationEnabledRegistrationEnabled Данные параметра реестра:Registry Value data: 00 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning. Процесс клонирования DNS вновь включит обновление после завершения клонирования.The cloning process will enable DNS updates again after cloning is completed. «Сведения 2/7/2012 3:12:49 PM Microsoft-Windows-ActiveDirectory_DomainService 2191 Internal Configuration» доменные службы Active Directory задать следующий параметр реестра для отключения обновлений DNS."Information 2/7/2012 3:12:49 PM Microsoft-Windows-ActiveDirectory_DomainService 2191 Internal Configuration" Active Directory Domain Services set the following registry value to disable DNS updates. Раздел реестра:Registry Key: SYSTEM\CurrentControlSet\Services\Tcpip\ParametersSYSTEM\CurrentControlSet\Services\Tcpip\Parameters Значение реестра:Registry Value: DisableDynamicUpdateDisableDynamicUpdate Данные параметра реестра:Registry Value data: 11 В ходе клонирования локальный компьютер может иметь именем компьютера клонируемый компьютер на короткое время.During the cloning process, the local machine may have the same computer name as the clone source machine for a short time. DNS A и AAAA регистрации записи отключены в течение этого периода, поэтому клиенты не могут отправлять запросы на локальный компьютер, участвующий в клонировании.DNS A and AAAA record registration are disabled during this period so clients cannot send requests to the local machine undergoing cloning. Процесс клонирования DNS вновь включит обновление после завершения клонирования.The cloning process will enable DNS updates again after cloning is completed.
21722172	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Прочтите атрибут msDS-GenerationId объекта-компьютера контроллера домена.Read the msDS-GenerationId attribute of the Domain Controller's computer object. значение атрибута msDS-GenerationId:msDS-GenerationId attribute value:
21702170	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Обнаружено изменение ИД создания.A Generation ID change has been detected. ИД создания в доменных Службах (старое значение):Generation ID cached in DS (old value): Текущий ИД создания в виртуальной Машине (новое значение):Generation ID currently in VM (new value): ИД создания изменяется после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.The Generation ID change occurs after the application of a virtual machine snapshot, after a virtual machine import operation or after a live migration operation. Доменные службы Active Directory создаст новый ИД вызова для восстановления контроллера домена.Active Directory Domain Services will create a new invocation ID to recover the domain controller. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, созданной с помощью доменных служб Active Directory приложение резервного копирования.The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services aware backup application.
11091109	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Атрибут invocationID для данного сервера каталогов изменен.The invocationID attribute for this directory server has been changed. Наибольший номер последовательного обновления на момент создания резервной копии выглядит следующим образом:The highest update sequence number at the time the backup was created is as follows: Атрибут InvocationID (старое значение):InvocationID attribute (old value): Атрибут InvocationID (новое значение):InvocationID attribute (new value): Номер последовательного обновления:Update sequence number: Атрибут invocationID изменяется при восстановлении сервера каталогов с резервного носителя, настроен для хранения раздела каталога приложений для записи, возобновил моментальный снимок виртуальной машины после установки, после операции импорта виртуальной машины или после операции динамической миграции.The invocationID is changed when a directory server is restored from backup media, is configured to host a writeable application directory partition, has been resumed after a virtual machine snapshot has been applied, after a virtual machine import operation, or after a live migration operation. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, созданной с помощью домен Active Directory поддерживающего службы приложения резервного копирования.The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services-aware backup application.
10001000	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Завершен запуск доменных служб Active Directory корпорации Майкрософт.Microsoft Active Directory Domain Services startup complete.
13941394	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Были устранены все проблемы, мешавшие обновлению базы данных доменных служб Active Directory.All problems preventing updates to the Active Directory Domain Services database have been cleared. Успешно выполняются обновления базы данных доменных служб Active Directory.New updates to the Active Directory Domain Services database are succeeding. Служба сетевого входа в систему перезапущена.The Net Logon service has restarted
21632163	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Запущена служба DsRoleSvc для клонирования локального виртуального контроллера домена.DsRoleSvc service was started to clone the local virtual domain controller.
326326	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядро СУБД присоединило базу данных (1, C:\Windows\NTDS\ntds.dit).NTDS (536) NTDSA: The database engine attached a database (1, C:\Windows\NTDS\ntds.dit). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], [5] 0.000, 0.016 [6], 0.000 [7], [8] 0.000, 0.000 [9], [10] 0.000, 0.000 [11], [12] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.016, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.000, [12] 0.000. Сохраненные кэша: 1Saved Cache: 1
103103	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядром СУБД остановлен экземпляр (0).NTDS (536) NTDSA: The database engine stopped the instance (0). Неправильное отключение: 0Dirty Shutdown: 0 Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], 0.032 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.031 [9], 0.000 [10], 0.000 [11], 0.000 [12], [13] 0.000, 0.000 [14], [15] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.032, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.031, [10] 0.000, [11] 0.000, [12] 0.000, [13] 0.000, [14] 0.000, [15] 0.000.
102102	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядро СУБД (6.02.8225.0000) запускает новый экземпляр (0).NTDS (536) NTDSA: The database engine (6.02.8225.0000) is starting a new instance (0).
105105	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядро СУБД запустило новый экземпляр (0).NTDS (536) NTDSA: The database engine started a new instance (0). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.016 [1], 0.000 [2], 0.015 [3], [4] 0.078, 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.046 [9], 0.000 [10], 0.000 [11].Internal Timing Sequence: [1] 0.016, [2] 0.000, [3] 0.015, [4] 0.078, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.046, [10] 0.000, [11] 0.000.
10041004	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory успешно завершена.Active Directory Domain Services was shut down successfully.
102102	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядро СУБД (6.02.8225.0000) запускает новый экземпляр (0).NTDS (536) NTDSA: The database engine (6.02.8225.0000) is starting a new instance (0).
326326	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядро СУБД присоединило базу данных (1, C:\Windows\NTDS\ntds.dit).NTDS (536) NTDSA: The database engine attached a database (1, C:\Windows\NTDS\ntds.dit). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.015 [2], 0.016 [3], 0.000 [4], [5] 0.031, 0.000 [6], 0.000 [7], [8] 0.000, 0.000 [9], [10] 0.000, 0.000 [11], [12] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.015, [3] 0.016, [4] 0.000, [5] 0.031, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.000, [12] 0.000. Сохраненные кэша: 1Saved Cache: 1
105105	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядро СУБД запустило новый экземпляр (0).NTDS (536) NTDSA: The database engine started a new instance (0). (Время = 1 секунды)(Time=1 seconds) Последовательность внутренней синхронизации: 0.031 [1], 0.000 [2], 0.000 [3], [4] 0.391, 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.031 [9], 0.000 [10], 0.000 [11].Internal Timing Sequence: [1] 0.031, [2] 0.000, [3] 0.000, [4] 0.391, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.031, [10] 0.000, [11] 0.000.
11091109	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Атрибут invocationID для данного сервера каталогов изменен.The invocationID attribute for this directory server has been changed. Наибольший номер последовательного обновления на момент создания резервной копии выглядит следующим образом:The highest update sequence number at the time the backup was created is as follows: Атрибут InvocationID (старое значение):InvocationID attribute (old value): Атрибут InvocationID (новое значение):InvocationID attribute (new value): Номер последовательного обновления:Update sequence number: Атрибут invocationID изменяется при восстановлении сервера каталогов с резервного носителя, настроен для хранения раздела каталога приложений для записи, возобновил моментальный снимок виртуальной машины после установки, после операции импорта виртуальной машины или после операции динамической миграции.The invocationID is changed when a directory server is restored from backup media, is configured to host a writeable application directory partition, has been resumed after a virtual machine snapshot has been applied, after a virtual machine import operation, or after a live migration operation. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, созданной с помощью домен Active Directory поддерживающего службы приложения резервного копирования.The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services-aware backup application.
11681168	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Внутренняя ошибка: произошла ошибка доменных служб Active Directory.Internal error: An Active Directory Domain Services error has occurred. Дополнительные данныеAdditional Data Значение ошибки (десятичное):Error value (decimal): 22 Значение ошибки (шестнадцатеричное):Error value (hexadecimal): 22 Внутренний идентификатор:Internal ID: 70116587011658
11101110	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Повышение роли данного контроллера домена до глобального каталога будет отложено на следующее время.Promotion of this domain controller to a global catalog will be delayed for the following interval. Интервал (мин):Interval (minutes): 55 Эта задержка необходима необходимых разделов каталога могут быть для подготовки к работе в режиме глобального каталога.This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. В реестре можно указать количество секунд ожидания системного агента каталога до повышения роли локального контроллера домена до глобального каталога.In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. Дополнительные сведения о значении реестра Global Catalog Delay Advertisement см. в руководстве распределенных систем ресурса пакетаFor more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide
103103	NTDS ISAMNTDS ISAM	NTDS (536) NTDSA: Ядром СУБД остановлен экземпляр (0).NTDS (536) NTDSA: The database engine stopped the instance (0). Неправильное отключение: 0Dirty Shutdown: 0 Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], 0.047 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.016 [9], 0.000 [10], 0.000 [11], 0.000 [12], [13] 0.000, 0.000 [14], [15] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.047, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.016, [10] 0.000, [11] 0.000, [12] 0.000, [13] 0.000, [14] 0.000, [15] 0.000.
10041004	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory успешно завершена.Active Directory Domain Services was shut down successfully.
15391539	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory не удается отключить программный кэш записи на следующий жесткий диск.Active Directory Domain Services could not disable the software-based disk write cache on the following hard disk. Жесткий диск:Hard disk: c:c: Данные могут быть потеряны во время сбоевData might be lost during system failures
21792179	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Атрибут msDS-GenerationId объекта-компьютера контроллера домена задан следующий параметр:The msDS-GenerationId attribute of the Domain Controller's computer object has been set to the following parameter: Атрибут GenerationID:GenerationID attribute:
21732173	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Не удалось прочитать атрибут msDS-GenerationId объекта-компьютера контроллера домена.Failed to read the msDS-GenerationId attribute of the Domain Controller's computer object. Возможно, произошел сбой транзакции базы данных или не удалось найти ИД создания в локальной базе данных.This may be caused by database transaction failure, or the generation id does not exist in the local database. Атрибут msDS-GenerationId отсутствовал во время первой перезагрузки после dcpromo, или контроллер домена не виртуального контроллера домена.The msDS-GenerationId does not exist during the first reboot after dcpromo or the DC is not a virtual domain controller. Дополнительные данныеAdditional Data Код ошибки:Failure code: 66
10001000	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Завершен запуск доменных служб Active Directory корпорации Майкрософт, версии 6.2.8225.0.Microsoft Active Directory Domain Services startup complete, version 6.2.8225.0
13941394	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Были устранены все проблемы, мешавшие обновлению базы данных доменных служб Active Directory.All problems preventing updates to the Active Directory Domain Services database have been cleared. Успешно выполняются обновления базы данных доменных служб Active Directory.New updates to the Active Directory Domain Services database are succeeding. Перезапуска службы сетевого входа в систему.The Net Logon service has restarted.
11281128	ActiveDirectory_DomainServiceActiveDirectory_DomainService	1128 проверка согласованности знаний «создано подключение репликации из следующих исходный сервер службы каталогов для локальной службы каталогов.1128 Knowledge Consistency Checker "A replication connection was created from the following source directory service to the local directory service. Исходный сервер службы каталогов:Source directory service: CN = NTDS Settings,CN=NTDS Settings, Сервер службы каталогов:Local directory service: CN = NTDS Settings,CN=NTDS Settings, Дополнительные данныеAdditional Data Код причины:Reason Code: 0x20x2 Точка создания внутреннего кода:Creation Point Internal ID: f0a025df0a025d
19991999	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Исходный сервер службы каталогов оптимизировал последовательный номер обновления (USN) предъявленный конечным сервером службы каталогов.The source directory service has optimized the update sequence number (USN) presented by the destination directory service. Исходный и конечный серверы службы каталогов имеют общего партнера репликации.The source and destination directory services have a common replication partner. Конечный сервер службы каталогов синхронизирован с общим партнером репликации, а исходный сервер службы каталогов был восстановлен из архивной копии этого партнера.The destination directory service is up to date with the common replication partner, and the source directory service was installed using a backup of this partner. ИД конечного службы каталогов:Destination directory service ID: ()() ИД общего службы каталогов:Common directory service ID: USN общего свойства:Common property USN: В результате вектор синхронизации конечного сервера службы каталогов имеет следующие параметры.As a result, the up-to-dateness vector of the destination directory service has been configured with the following settings. Предыдущий USN объекта:Previous object USN: 00 Предыдущий USN свойства:Previous property USN: 00 GUID базы данных:Database GUID: USN объекта:Object USN: USN свойства:Property USN:

Журнал системных событийSystem Event Log

Сведения об операциях клонирования указаны в журнале системных событий.The next indications of cloning operations are in the System Event log. Как низкоуровневая оболочка сообщает гостевому компьютеру о том, что он клонировать или восстановлен из моментального снимка, контроллер домена сразу же делает недействительным пул относительных ИДЕНТИФИКАТОРОВ, чтобы предотвратить дублирование субъектов безопасности в дальнейшем.As the hypervisor tells the guest computer that it was cloned or restored from a snapshot, the domain controller immediately invalidates its RID pool to avoid duplicating security principals later. Мере продолжения клонирования выполняются ожидаемые операции и сообщения, главным образом вокруг появятся запуск и остановка служб и ожидаемые ошибок, вызванных это.As cloning proceeds, various expected operations and messages appear, mostly around services starting and stopping and some expected errors caused by this. После завершения журнал событий системы регистрирует успешное выполнение клонирования.When completed the System event log notes overall cloning success.

Код событияEvent ID	ИсточникSource	СообщениеMessage
1665416654	Directory-Services-SAMDirectory-Services-SAM	Пул идентификаторов учетных записей (относительных идентификаторов) сделан недействительным.A pool of account-identifiers (RIDs) has been invalidated. Это может произойти в следующих ожидаемых случаях:This may occur in the following expected cases: 1. контроллер домена восстановлен из резервной копии.1. A domain controller is restored from backup. 2. контроллер домена работает на виртуальной машине, восстановлен из моментального снимка.2. A domain controller running on a virtual machine is restored from snapshot. 3. администратор вручную сделал пул3. An administrator has manually invalidated the pool
70367036	Диспетчер управления службамиService Control Manager	Служба доменных служб Active Directory запущена.The Active Directory Domain Services service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба центра распространения ключей Kerberos запущена.The Kerberos Key Distribution Center service entered the running state.
30963096	Службы NetlogonNetlogon	Не удалось найти основной контроллер домена для данного домена.The primary Domain Controller for this domain could not be located.
70367036	Диспетчер управления службамиService Control Manager	Служба диспетчера учетных записей безопасности запущена.The Security Accounts Manager service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба сервера запущена.The Server service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба Netlogon запущена.The Netlogon service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба веб-службы Active Directory запущена.The Active Directory Web Services service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба репликации DFS запущена.The DFS Replication service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба репликации файлов запущена.The File Replication Service service entered the running state.
1453314533	Microsoft-Windows-DfsSvcMicrosoft-Windows-DfsSvc	В DFS закончено построение всех пространств имен.DFS has finished building all namespaces.
1453114531	Microsoft-Windows-DfsSvcMicrosoft-Windows-DfsSvc	Сервер DFS закончил инициализацию.DFS server has finished initializing.
70367036	Диспетчер управления службамиService Control Manager	Служба пространства имен DFS запущена.The DFS Namespace service entered the running state.
70237023	Диспетчер управления службамиService Control Manager	Служба межсайтовых сообщений завершена со следующей ошибкой:The Intersite Messaging service terminated with the following error: Указанный сервер не может выполнить запрошенную операцию.The specified server cannot perform the requested operation.
70367036	Диспетчер управления службамиService Control Manager	Служба межсайтовых сообщений находится в режиме остановки.The Intersite Messaging service entered the stopped state.
58065806	Службы NetlogonNetlogon	Динамическое обновление отключено вручную на этом контроллере домена.Dynamic updates have been manually disabled on this domain controller. ДЕЙСТВИЯ ПОЛЬЗОВАТЕЛЯUSER ACTION Перенастроить данный контроллер домена динамическое обновление или вручную добавьте записи DNS из файла «% SystemRoot%\System32\Config\Netlogon.dns» в базе данных DNS».Reconfigure this domain controller to use dynamic updates or manually add the DNS records from the file '%SystemRoot%\System32\Config\Netlogon.dns' to the DNS database."
1665116651	Directory-Services-SAMDirectory-Services-SAM	Не удалось выполнить запрос нового пула идентификаторов учетных записей.The request for a new account-identifier pool failed. Операционная система будет повторять до успешного выполнения запроса.The operation will be retried until the request succeeds. ОшибкаThe error is Ошибка требуемой операции FSMO.The requested FSMO operation failed. Не удается связаться с текущим владельцем FSMO.The current FSMO holder could not be contacted.
70367036	Диспетчер управления службамиService Control Manager	Служба DNS-сервера запущена.The DNS Server service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба сервера с ролью DS запущена.The DS Role Server service entered the running state.
70367036	Диспетчер управления службамиService Control Manager	Служба Netlogon перешла в остановленное состояние.The Netlogon service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба репликации файлов находится в режиме остановки.The File Replication Service service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба центра распространения ключей Kerberos находится в режиме остановки.The Kerberos Key Distribution Center service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба DNS-сервера находится в режиме остановки.The DNS Server service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба доменных служб Active Directory перешла в остановленное состояние.The Active Directory Domain Services service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба Netlogon запущена.The Netlogon service entered the running state.
70407040	Диспетчер управления службамиService Control Manager	Тип запуска службы доменных служб Active Directory был изменен с автоматического на отключенный.The start type of the Active Directory Domain Services service was changed from auto start to disabled.
70367036	Диспетчер управления службамиService Control Manager	Служба Netlogon перешла в остановленное состояние.The Netlogon service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба репликации файлов запущена.The File Replication Service service entered the running state.
2921929219	DirectoryServices-DSROLE-сервераDirectoryServices-DSROLE-Server	Клонирование виртуального контроллера домена успешно завершено.Virtual domain controller cloning succeeded.
2922329223	DirectoryServices-DSROLE-сервераDirectoryServices-DSROLE-Server	Этот сервер теперь является контроллером домена.This server is now a Domain Controller.
2926529265	DirectoryServices-DSROLE-сервераDirectoryServices-DSROLE-Server	Клонирование виртуального контроллера домена успешно завершено.Virtual domain controller cloning succeeded. Виртуального контроллера домена файл C:\Windows\NTDS\DCCloneConfig.xml конфигурации клонирования переименован в C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml.The virtual domain controller cloning configuration file C:\Windows\NTDS\DCCloneConfig.xml has been renamed to C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml.
10741074	User32User32	Процесс C:\Windows\system32\lsass.exe (DC2) инициировал перезапуск DC2 компьютера от имени пользователя NT AUTHORITY\SYSTEM по следующей причине: операционной системы: повторная настройка (Запланированная)The process C:\Windows\system32\lsass.exe (DC2) has initiated the restart of computer DC2 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Reconfiguration (Planned) Код причины: 0x80020004Reason Code: 0x80020004 Тип выключения: перезапускShutdown Type: restart Примечание:»Comment: "

DCPROMO. ЖУРНАЛDCPROMO.LOG

Файл Dcpromo.log содержит повышении уровня во время клонирования, которые журнал событий служб каталогов.The Dcpromo.log contains the actual promotion portion of cloning that the Directory Services event log does not describe. Поскольку журнал не обеспечивают нужный уровень данном приведено слишком пояснений записей журнала событий, в этом разделе модуля приведен дополнительные комментарии.Since the log does not provide the level of explanation that the event log entries impart, this section of the module contains additional annotation.

Процесс повышения уровня означает, что начинается клонирование, контроллер домена теряет текущую конфигурацию и затем повторно повышается с использованием существующей базы данных AD (это очень похоже на повышение IFM), а затем контроллер домена реплицирует входящих изменений для AD Active и SYSVOL, после чего клонирование завершается.The promotion process means that the cloning starts, the DC is scrubbed of its current configuration and re-promoted using the existing AD database (much like an IFM promotion), then the DC replicates inbound change deltas of AD and SYSVOL, and cloning is complete.

Примечание

Журнал был изменен в этом модуле для упрощения восприятия — него удален столбец дат.The log has been modified in this module for readability, by removing the date column.

• Запустите повышение уровня для клонаStart clone-based promotion

• Установите флаг режима восстановления служб каталогов, чтобы сервер не загружал резервную копию обычно качестве исходного клона и причина конфликты именования и службы каталоговSet the Directory Services Restore Mode flag so that the server does not boot back up normally as the original clone and cause naming or Directory Service collisions

• Обновите журнал событий служб каталоговUpdate the Directory Services event log

15:14:01 [INFO] vDC Cloneing: Setting Boot into DSRM flag succeeded. 15:14:01 [WARNING] Cannot get user Token for Format Message: 1725l 15:14:01 [INFO] vDC Cloning: Created vDCCloningUpdate event. 15:14:01 [INFO] vDC Cloning: Created vDCCloningComplete event.

• Остановите службу входа в сеть, чтобы контроллер домена не объявляетStop the NetLogon service so that the domain controller does not advertise

15:14:01 [INFO] Stopping service NETLOGON 15:14:01 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0) 15:14:01 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7 states 15:14:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=3 15:14:02 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=1 15:14:02 [INFO] DsRolepWaitForService: exiting because NETLOGON entered STOPPED state 15:14:02 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service returned 0 15:14:02 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062) 15:14:02 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state 15:14:02 [INFO] StopService on NETLOGON returned 0 15:14:02 [INFO] Configuring service NETLOGON to 1 returned 0 15:14:02 [INFO] Updating service status to 4 15:14:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Просмотрите файл dccloneconfig.xml для настроек, заданным администратором.Examine the dccloneconfig.xml file for administrator-specified customizations.

• В данном примере фал это пустой файл, поэтому все параметры создаются автоматически и автоматическая IP-адресация необходима из сетиIn this sample case it is a blank file, so all settings are automatically generated and automatic IP addressing is required from the network

15:14:02 [INFO] vDC Cloning: Clone config file C:\Windows\NTDS\DCCloneConfig.xml is considered to be a blank file (containing 0 bytes) 15:14:02 [INFO] vDC Cloning: Parsing clone config file C:\Windows\NTDS\DCCloneConfig.xml returned HRESULT 0x0

• Проверьте, что не существует службы или установленные программы, которые не являются частью DefaultDCCloneAllowList.xml или CustomDCCloneAllowList.xmlValidate that there are no services or programs installed that are not part of the DefaultDCCloneAllowList.xml or CustomDCCloneAllowList.xml

15:14:02 [INFO] vDC Cloning: Checking allowed list: 15:14:03 [INFO] vDC Cloning: Completed checking allowed list: 15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Включите DHCP на сетевых адаптерах, поскольку администратор не указал информацию об IPEnable DHCP on the network adapters, since IP information was not specified by the administrator

15:14:03 [INFO] vDC Cloning: Enable DHCP: 15:14:03 [INFO] WMI Instance: Win32_NetworkAdapterConfiguration.Index=12 15:14:03 [INFO] Method: EnableDHCP 15:14:03 [INFO] HRESULT code: 0x0 (0) 15:14:03 [INFO] Return Value: 0x0 (0) 15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:03 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Найдите эмулятор PDCLocate the PDC emulator

• Задайте сайт клона (в данном случае создается автоматически)Set the clone's site (automatically generated in this case)

• Задайте имя клона (в данном случае создается автоматически)Set the clone's name (automatically generated in this case)

15:14:03 [INFO] vDC Cloning: Found PDC. Name: DC1.root.fabrikam.com 15:14:04 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:04 [INFO] vDC Cloning: Winlogon UI Notification #1: Domain Controller cloning is at 5% completion... 15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #2: Domain Controller cloning is at 10% completion... 15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:05 [INFO] Site of the cloned DC: Default-First-Site-Name

• Создайте новый объект-компьютер клонаCreate the new clone computer object

• Переименуйте клон в соответствии с новым именемRename the clone to match the new name

15:14:05 [INFO] vDC Cloning: Clone DC objects are created on PDC. 15:14:05 [INFO] Name of the cloned DC: DC2-CL0001 15:14:05 [INFO] DsRolepSetRegStringValue on System\CurrentControlSet\Services\NTDS\Parameters\CloneMachineName to DC2-CL0001 returned 0 15:14:05 [INFO] vDC Cloning: Save CloneMachineName in registry: 0x0 (0)

• Укажите параметры повышения уровня, на основе предыдущий файл dccloneconfig.xml или правила автоматического созданияProvide the promotion settings, based on previous dccloneconfig.xml or automatic generation rules

15:14:05 [INFO] vDC Cloning: Promotion parameters setting: 15:14:05 [INFO] DNS Domain Name: root.fabrikam.com 15:14:05 [INFO] Replica Partner: \\DC1.root.fabrikam.com 15:14:05 [INFO] Site Name: Default-First-Site-Name 15:14:05 [INFO] DS Database Path: C:\Windows\NTDS 15:14:05 [INFO] DS Log Path: C:\Windows\NTDS 15:14:05 [INFO] SysVol Root Path: C:\Windows\SYSVOL 15:14:05 [INFO] Account: root.fabrikam.com\DC2-CL0001$ 15:14:05 [INFO] Options: DSROLE_DC_CLONING (0x800400)

• Запустите повышение уровняStart promotion

15:14:05 [INFO] Promote DC as a clone 15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #3: Domain Controller cloning is at 15% completion... 15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #4: Domain Controller cloning is at 16% completion... 15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:05 [INFO] Validate supplied paths 15:14:05 [INFO] Validating path C:\Windows\NTDS. 15:14:05 [INFO] Path is a directory 15:14:05 [INFO] Path is on a fixed disk drive. 15:14:05 [INFO] Validating path C:\Windows\NTDS. 15:14:05 [INFO] Path is a directory 15:14:05 [INFO] Path is on a fixed disk drive. 15:14:05 [INFO] Validating path C:\Windows\SYSVOL. 15:14:05 [INFO] Path is on a fixed disk drive. 15:14:05 [INFO] Path is on an NTFS volume 15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #5: Domain Controller cloning is at 17% completion... 15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:05 [INFO] Start the worker task 15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #6: Domain Controller cloning is at 20% completion... 15:14:05 [INFO] Request for promotion returning 0 15:14:05 [INFO] vDC Cloning: Winlogon UI Notification #7: Domain Controller cloning is at 21% completion... 15:14:05 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Остановите и настройте все AD DS-службы, связанные с (NTDS, NTFRS/DFSR, KDC, DNS)Stop and configure all of the AD DS-related services (NTDS, NTFRS/DFSR, KDC, DNS)

Примечание

В данном сценарии ожидается, что требуется много времени для завершения работы службы DNS, как используется зон, интегрированных в AD, которые перестали быть доступны еще до остановки службы NTDS — см. события DNS, описанные ниже в этом разделе модуля.The DNS service taking a long time to shutdown is expected in this scenario, as it is using AD-integrated zones that were no longer available even before the NTDS service stopped - see the DNS events described later in this section of the module.

15:14:15 [INFO] Stopping service NTDS 15:14:15 [INFO] Stopping service NtFrs 15:14:15 [INFO] ControlService(STOP) on NtFrs returned 1(gle=0) 15:14:15 [INFO] DsRolepWaitForService: waiting for NtFrs to enter one of 7 states 15:14:15 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1 (gle=0), SvcStatus.dwCS=3 15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1 (gle=0), SvcStatus.dwCS=1 15:14:16 [INFO] DsRolepWaitForService: exiting because NtFrs entered STOPPED state 15:14:16 [INFO] DsRolepWaitForService(for any end state) on NtFrs service returned 0 15:14:16 [INFO] ControlService(STOP) on NtFrs returned 0(gle=1062) 15:14:16 [INFO] Exiting service-stop loop after service NtFrs entered STOPPED state 15:14:16 [INFO] StopService on NtFrs returned 0 15:14:16 [INFO] Configuring service NtFrs to 1 returned 0 15:14:16 [INFO] Stopping service Kdc 15:14:16 [INFO] ControlService(STOP) on Kdc returned 1(gle=0) 15:14:16 [INFO] DsRolepWaitForService: waiting for Kdc to enter one of 7 states 15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1 (gle=0), SvcStatus.dwCS=3 15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1 (gle=0), SvcStatus.dwCS=1 15:14:17 [INFO] DsRolepWaitForService: exiting because Kdc entered STOPPED state 15:14:17 [INFO] DsRolepWaitForService(for any end state) on Kdc service returned 0 15:14:17 [INFO] ControlService(STOP) on Kdc returned 0(gle=1062) 15:14:17 [INFO] Exiting service-stop loop after service Kdc entered STOPPED state 15:14:17 [INFO] StopService on Kdc returned 0 15:14:17 [INFO] Configuring service Kdc to 1 returned 0 15:14:17 [INFO] Stopping service DNS 15:14:17 [INFO] ControlService(STOP) on DNS returned 1(gle=0) 15:14:17 [INFO] DsRolepWaitForService: waiting for DNS to enter one of 7 states 15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:18 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:19 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:20 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:21 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:22 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:23 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:24 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:25 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:26 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:27 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:28 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:29 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:30 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:31 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:32 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:33 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:34 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:35 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:36 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:37 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:38 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:39 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:40 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:41 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:42 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:43 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:44 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:45 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:46 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:47 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:48 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:49 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:50 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:51 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:52 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:53 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:54 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:55 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:56 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:57 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:58 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:14:59 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=3 15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1 (gle=0), SvcStatus.dwCS=1 15:15:00 [INFO] DsRolepWaitForService: exiting because DNS entered STOPPED state 15:15:00 [INFO] DsRolepWaitForService(for any end state) on DNS service returned 0 15:15:00 [INFO] ControlService(STOP) on DNS returned 0(gle=1062) 15:15:00 [INFO] Exiting service-stop loop after service DNS entered STOPPED state 15:15:00 [INFO] StopService on DNS returned 0 15:15:00 [INFO] Configuring service DNS to 1 returned 0 15:15:00 [INFO] ControlService(STOP) on NTDS returned 1(gle=1062) 15:15:00 [INFO] DsRolepWaitForService: waiting for NTDS to enter one of 7 states 15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1 (gle=0), SvcStatus.dwCS=3 15:15:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1 (gle=0), SvcStatus.dwCS=1 15:15:01 [INFO] DsRolepWaitForService: exiting because NTDS entered STOPPED state 15:15:01 [INFO] DsRolepWaitForService(for any end state) on NTDS service returned 0 15:15:01 [INFO] ControlService(STOP) on NTDS returned 0(gle=1062) 15:15:01 [INFO] Exiting service-stop loop after service NTDS entered STOPPED state 15:15:01 [INFO] StopService on NTDS returned 0 15:15:01 [INFO] Configuring service NTDS to 1 returned 0 15:15:01 [INFO] Configuring service NTDS 15:15:01 [INFO] Configuring service NTDS to 64 returned 0 15:15:01 [INFO] vDC Cloning: Winlogon UI Notification #8: Domain Controller cloning is at 22% completion... 15:15:01 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:01 [INFO] vDC Cloning: Winlogon UI Notification #9: Domain Controller cloning is at 25% completion... 15:15:01 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Принудительно выполните синхронизацию времени NT5DS (NTP) с другим контроллером домена (обычно это PDCE)Force NT5DS (NTP) time synchronization with another domain controller (typically the PDCE)

15:15:02 [INFO] Forcing time sync

• Связаться с контроллером домена, который содержит запись исходного контроллера домена для клонаContact a domain controller that holds the source domain controller account of the clone

• Очистить все имеющиеся билеты KerberosFlush any existing Kerberos tickets

15:15:02 [INFO] Searching for a domain controller for the domain root.fabrikam.com that contains the account DC2$ 15:15:02 [INFO] Located domain controller DC1.root.fabrikam.com for domain root.fabrikam.com 15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #10: Domain Controller cloning is at 26% completion... 15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:02 [INFO] Directing kerberos authentication to DC1.root.fabrikam.com returns 0 15:15:02 [INFO] DsRolepFlushKerberosTicketCache() successfully flushed the Kerberos ticket cache 15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #11: Domain Controller cloning is at 27% completion... 15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:02 [INFO] Using site Default-First-Site-Name for server \\DC1.root.fabrikam.com 15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Остановите службу входа в сеть и задайте для нее тип запускаStop the NetLogon service and set its start type

15:15:02 [INFO] Stopping service NETLOGON 15:15:02 [INFO] Stopping service NETLOGON 15:15:02 [INFO] vDC Cloning: Winlogon UI Notification #12: Domain Controller cloning is at 29% completion... 15:15:02 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0) 15:15:02 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7 states 15:15:02 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=3 15:15:03 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned 1 (gle=0), SvcStatus.dwCS=1 15:15:03 [INFO] DsRolepWaitForService: exiting because NETLOGON entered STOPPED state 15:15:03 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service returned 0 15:15:03 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062) 15:15:03 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state 15:15:03 [INFO] StopService on NETLOGON returned 0 15:15:03 [INFO] Configuring service NETLOGON to 1 returned 0 15:15:03 [INFO] Stopped NETLOGON 15:15:03 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:03 [INFO] vDC Cloning: Winlogon UI Notification #13: Domain Controller cloning is at 30% completion...

• Настройте службы DFSR/NTFRS на автоматический запускConfigure the DFSR/NTFRS services to run automatically

• Удалите их существующие файлы базы данных, чтобы выполнить непринудительную синхронизацию SYSVOL при следующем запуске службыDelete their existing database files to force non-authoritative sync of SYSVOL when the service next starts

15:15:03 [INFO] Configuring service DFSR 15:15:03 [INFO] Configuring service DFSR to 256 returned 0 15:15:03 [INFO] Configuring service NTFRS 15:15:03 [INFO] Configuring service NTFRS to 256 returned 0 15:15:03 [INFO] Removing DFSR Database files for SysVol 15:15:03 [INFO] Removing FRS Database files in C:\Windows\ntfrs\jet 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edb.log 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00001.jrs 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00002.jrs 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbtmp.log 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\ntfrs.jdb 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\sys\edb.chk 15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\temp\tmp.edb 15:15:04 [INFO] Created system volume path 15:15:04 [INFO] Configuring service DFSR 15:15:04 [INFO] Configuring service DFSR to 128 returned 0 15:15:04 [INFO] Configuring service NTFRS 15:15:04 [INFO] Configuring service NTFRS to 128 returned 0 15:15:04 [INFO] vDC Cloning: Winlogon UI Notification #14: Domain Controller cloning is at 40% completion... 15:15:04 [INFO] vDC Cloning: Set vDCCloningUpdate event.

• Запустите процесс повышения, используя имеющийся файл базы данных NTDSStart the promotion process using the existing NTDS database file

• Связаться с хозяином RIDContact the RID Master

Примечание

Служба AD DS здесь не установлены фактически, упомянут устаревший инструментарий в журналеThe AD DS service is not actually installed here, this is legacy instrumentation in the log

15:15:04 [INFO] Installing the Directory Service 15:15:04 [INFO] Calling NtdsInstall for root.fabrikam.com 15:15:04 [INFO] Starting Active Directory Domain Services installation 15:15:04 [INFO] Validating user supplied options 15:15:04 [INFO] Determining a site in which to install 15:15:04 [INFO] Examining an existing forest... 15:15:04 [INFO] Starting a replication cycle between DC1.root.fabrikam.com and the RID operations master (2008r2-01.root.fabrikam.com), so that the new replica will be able to create users, groups, and computer objects... 15:15:04 [INFO] Configuring the local computer to host Active Directory Domain Services 15:15:04 [INFO] EVENTLOG (Warning): NTDS General / Service Control : 1539 Active Directory Domain Services could not disable the software-based disk write cache on the following hard disk. Hard disk: c: Data might be lost during system failures. 15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal Processing : 2041 Duplicate event log entries were suppressed. See the previous event log entry for details. An entry is considered a duplicate if the event code and all of its insertion parameters are identical. The time period for this run of duplicates is from the time of the previous event to the time of this event. Event Code: 80000603 Number of duplicate entries: 2 15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2121 This Active Directory Domain Services server is disabling the Recycle Bin. Deleted objects may not be undeleted at this time.

• Измените имеющийся ИД вызова, который присутствовал в базе данных исходных компьютеровChange the existing invocation ID that existed in the source computers database

• Создайте новый объект параметров NTDS для этого клонаCreate a new NTDS Settings object for this clone

• Реплицируйте в AD разность объектов с партнерского контроллера доменаReplicate in AD object delta from the partner domain controller

Примечание

Несмотря на то, что все объекты указаны как реплицированные, это просто метаданные, необходимые для разделения обновлений на категории.Even though all objects are listed as replicated, this is just metadata needed to subsume the updates. Все Неизменившиеся объекты в клонированной базе данных NTDS уже существуют и не требуют повторной репликации, так же, как с повышением на базе IFM.All the unchanged objects in the cloned NTDS database already exist and do not require replication again, just like using IFM-based promotion.

15:15:10 [INFO] EVENTLOG (Informational): NTDS Replication / Replication : 1109 The invocationID attribute for this directory server has been changed. The highest update sequence number at the time the backup was created is as follows: InvocationID attribute (old value): 24e7b22f-4706-402d-9b4f-f2690f730b40 InvocationID attribute (new value): f74cefb2-89c2-442c-b1ba-3234b0ed62f8 Update sequence number: 20520 The invocationID is changed when a directory server is restored from backup media, is configured to host a writeable application directory partition, has been resumed after a virtual machine snapshot has been applied, after a virtual machine import operation, or after a live migration operation. Virtualized domain controllers should not be restored using virtual machine snapshots. The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services-aware backup application. 15:15:10 [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1168 Internal error: An Active Directory Domain Services error has occurred. Additional Data Error value (decimal): 2 Error value (hexadecimal): 2 Internal ID: 7011658 15:15:11 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC1.root.fabrikam.com... 15:15:11 [INFO] Replicating the schema directory partition 15:15:11 [INFO] Replicated the schema container. 15:15:12 [INFO] Active Directory Domain Services updated the schema cache. 15:15:12 [INFO] Replicating the configuration directory partition 15:15:12 [INFO] Replicating data CN=Configuration,DC=root,DC=fabrikam,DC=com: Received 2612 out of approximately 2612 objects and 94 out of approximately 94 distinguished name (DN) values... 15:15:12 [INFO] Replicated the configuration container. 15:15:13 [INFO] Replicating critical domain information... 15:15:13 [INFO] Replicating data DC=root,DC=fabrikam,DC=com: Received 109 out of approximately 109 objects and 35 out of approximately 35 distinguished name (DN) values... 15:15:13 [INFO] Replicated the critical objects in the domain container.

• Заполните разделы глобального Каталога отсутствующими обновлениямиPopulate the GC partitions as needed with any missing updates

• Выполните критически важных Доменных служб Active Directory часть повышенияComplete the critical AD DS portion of the promotion

15:15:13 [INFO] EVENTLOG (Informational): NTDS General / Global Catalog : 1110 Promotion of this domain controller to a global catalog will be delayed for the following interval. Interval (minutes): 5 This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide. 15:15:14 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1000 Microsoft Active Directory Domain Services startup complete, version 6.2.8225.0 15:15:15 [INFO] Creating new domain users, groups, and computer objects 15:15:16 [INFO] Completing Active Directory Domain Services installation 15:15:16 [INFO] NtdsInstall for root.fabrikam.com returned 0 15:15:16 [INFO] DsRolepInstallDs returned 0 15:15:16 [INFO] Installed Directory Service

• Выполните входящую репликацию SYSVOLComplete the inbound replication of SYSVOL

15:15:16 [INFO] vDC Cloning: Winlogon UI Notification #15: Domain Controller cloning is at 60% completion... 15:15:16 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] Completed system volume replication 15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #16: Domain Controller cloning is at 70% completion... 15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] SetProductType to 2 [LanmanNT] returned 0 15:15:18 [INFO] Set the product type 15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #17: Domain Controller cloning is at 71% completion... 15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #18: Domain Controller cloning is at 72% completion... 15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] Set the system volume path for NETLOGON 15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #19: Domain Controller cloning is at 73% completion... 15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] Replicating non critical information 15:15:18 [INFO] User specified to not replicate non-critical data 15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #20: Domain Controller cloning is at 80% completion... 15:15:18 [INFO] Stopped the DS 15:15:18 [INFO] vDC Cloning: Set vDCCloningUpdate event. 15:15:18 [INFO] vDC Cloning: Winlogon UI Notification #21: Domain Controller cloning is at 90% completion... 15:15:18 [INFO] Configuring service NTDS 15:15:18 [INFO] Configuring service NTDS to 16 returned 0

• Включите регистрацию DNS клиентовEnable client DNS registration

15:15:18 [INFO] vDC Cloning: Set DisableDynamicUpdate reg value to 0 to enable dynamic update records registration. 15:15:18 [INFO] vDC Cloning: Set UseDynamicDns reg value to 1 to enable dynamic update records registration. 15:15:18 [INFO] vDC Cloning: Set RegistrationEnabled reg value to 1 to enable dynamic update records registration.

• Запустите модули SYSPREP, указанные в DefaultDCCloneAllowList.xml элемента.Run the SYSPREP modules specified by the DefaultDCCloneAllowList.xml element.

15:15:18 [INFO] vDC Cloning: Running sysprep providers. 15:15:32 [INFO] vDC Cloning: Completed running sysprep providers.

• Повышение уровня клонирования выполненоCloning promotion is complete

• Удалите флаг загрузки DSRM, чтобы обычно следующий раз сервер загрузилсяRemove the DSRM boot flag so the server boots normally next time

• Переименуйте файл dccloneconfig.xml, чтобы не считывался повторно при следующей перезагрузкеRename the dccloneconfig.xml so that it is not read again at next bootup

• Перезагрузите компьютерRestart the computer

15:15:32 [INFO] The attempted domain controller operation has completed 15:15:32 [INFO] Updating service status to 4 15:15:32 [INFO] DsRolepSetOperationDone returned 0 15:15:32 [INFO] vDC Cloning: Set vDCCloningComplete event. 15:15:32 [INFO] vDC Cloneing: Clearing Boot into DSRM flag succeeded. 15:15:32 [INFO] vDC Cloning: Winlogon UI Notification #22: Cloning Domain Controller succeeded. Now rebooting... 15:15:33 [INFO] vDC Cloning: Renamed vDC clone configuration file. 15:15:33 [INFO] vDC Cloning: The old name is: C:\Windows\NTDS\DCCloneConfig.xml 15:15:33 [INFO] vDC Cloning: The new name is: C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml 15:15:34 [INFO] vDC Cloning: Release Ipv4 on interface 'Wired Ethernet Connection 2', result=0. 15:15:34 [INFO] vDC Cloning: Release Ipv6 on interface 'Wired Ethernet Connection 2', result=0. 15:15:34 [INFO] Rebooting machine

Журнал событий веб-служб Active DirectoryActive Directory Web Services Event Log

Во время клонирования, NTDS. Базу данных DIT чаще всего автономном режиме достаточно долгое время.While cloning is occurring, the NTDS.DIT database is often offline for extended periods. ВЕБ-служба регистрирует по крайней мере одно событие для этого.The ADWS service logs at least one event for this. После завершения клонирования веб-служба запускаются, регистрируют отсутствие еще не допустимого сертификата компьютера еще (он может или не может быть, в зависимости от среды развертывания PKI корпорации Майкрософт с автоматической регистрацией или нет) и затем запускают экземпляр для нового контроллера домена.After cloning is complete, the ADWS service starts, notes that there is not yet a valid computer certificate yet (there may or may not be, depending on your environment deploying a Microsoft PKI with auto-enrollment or not) and then starts the instance for the new domain controller.

Код событияEvent ID	ИсточникSource	СообщениеMessage
12021202	События экземпляра веб-службаADWS Instance Events	Этот компьютер теперь расположен указанный каталог экземпляр, но веб-служб Active Directory не удалось обработать его.This computer is now hosting the specified directory instance, but Active Directory Web Services could not service it. Веб-службы Active Directory будут периодически пытаться повторить эту операцию.Active Directory Web Services will retry this operation periodically. Экземпляр Active Directory: NTDSDirectory instance: NTDS LDAP-порт экземпляра Active Directory: 389Directory instance LDAP port: 389 SSL-порт экземпляра Active Directory: 636Directory instance SSL port: 636
10001000	События экземпляра веб-службаADWS Instance Events	Запуск веб-служб Active DirectoryActive Directory Web Services is starting
10081008	События экземпляра веб-службаADWS Instance Events	Веб-службы Active Directory успешно снижены привилегии безопасностиActive Directory Web Services has successfully reduced its security privileges
11001100	События экземпляра веб-службаADWS Instance Events	Значения, указанные в раздела файла конфигурации веб-служб Active Directory, загружены без ошибок.The values specified in the section of the configuration file for Active Directory Web Services have been loaded without errors.
14001400	События экземпляра веб-службаADWS Instance Events	События сертификата «веб-служб Active Directory не удалось найти сертификат сервера с указанным именем.ADWS Certificate Events"Active Directory Web Services could not find a server certificate with the specified certificate name. Сертификат необходим для использования подключений SSL/TLS.A certificate is required to use SSL/TLS connections. Чтобы использовать подключения SSL/TLS, убедитесь, что на компьютере установлен действительный сертификат проверки подлинности из доверенного центра сертификации (ЦС).To use SSL/TLS connections, verify that a valid server authentication certificate from a trusted Certification Authority (CA) is installed on the machine. Имя сертификата:Certificate name:
11001100	События экземпляра веб-службаADWS Instance Events	Значения, указанные в раздела файла конфигурации веб-служб Active Directory, загружены без ошибок.The values specified in the section of the configuration file for Active Directory Web Services have been loaded without errors.
12001200	События экземпляра веб-службаADWS Instance Events	Веб-службы Active Directory перешла экземпляр указанного каталога.Active Directory Web Services is now servicing the specified directory instance. Экземпляр Active Directory: NTDSDirectory instance: NTDS LDAP-порт экземпляра Active Directory: 389Directory instance LDAP port: 389 SSL-порт экземпляра Active Directory: 636Directory instance SSL port: 636

Журнал событий DNS-сервераDNS Server Event Log

Служба DNS будет иметь кратковременные периоды недоступности ожидаемого во время клонирования, как служба DNS все еще выполняется, когда базы данных AD DS находится в автономном режиме.The DNS service will experience brief expected outages while cloning occurs, as the DNS service is still running while the AD DS database is offline. Это происходит, если используется интегрированный DNS Active Directory, но не при использовании основной или дополнительной DNS.This occurs if using Active Directory Integrated DNS, but not if using Standard Primary or Secondary DNS. Эти ошибки регистрируются в журнале несколько раз.These errors log multiple times. После завершения клонирования DNS возвращается в режим нормально.After cloning completes, DNS comes back online normally.

Код событияEvent ID	ИсточникSource	СообщениеMessage
40134013	Служба DNS-сервераDNS-Server-Service	DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала, что первичная Синхронизация каталога завершена.The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed. Служба DNS-сервера не удается запустить до завершения начальной синхронизации, так как критические данные DNS могут не еще реплицироваться на этот контроллер домена.The DNS server service cannot start until the initial synchronization is complete because critical DNS data might not yet be replicated onto this domain controller. Если события в журнал событий AD DS показывает, что существует проблема с разрешением DNS-имя, рассмотрите возможность добавления IP-адреса другого DNS-сервера для данного домена в список DNS-серверов в свойствах протокола IP этого компьютера.If events in the AD DS event log indicate that there is a problem with DNS name resolution, consider adding the IP address of another DNS server for this domain to the DNS server list in the Internet Protocol properties of this computer. Это событие регистрируется каждые две минуты, пока AD DS сообщит об успешного завершения начальной синхронизации.This event will be logged every two minutes until AD DS has signaled that the initial synchronization has successfully completed.
40154015	Служба DNS-сервераDNS-Server-Service	DNS-сервер обнаружил критическую ошибку Active Directory.The DNS server has encountered a critical error from the Active Directory. Проверьте работоспособность Active Directory.Check that the Active Directory is functioning properly. Расширенное сообщение об ошибке отладочная информация (может отсутствовать):»»».The extended error debug information (which may be empty) is """". Данные о событии содержат сведения об ошибке.The event data contains the error.
40004000	Служба DNS-сервераDNS-Server-Service	DNS-серверу не удалось открыть Active Directory.The DNS server was unable to open Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и не удается загрузить зону без него.This DNS server is configured to obtain and use information from the directory for this zone and is unable to load the zone without it. Проверьте работоспособность Active Directory и перезагрузите зону.Check that the Active Directory is functioning properly and reload the zone. Данные о событии является код ошибки.The event data is the error code.
40134013	Служба DNS-сервераDNS-Server-Service	DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала, что первичная Синхронизация каталога завершена.The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed. Служба DNS-сервера не удается запустить до завершения начальной синхронизации, так как критические данные DNS могут не еще реплицироваться на этот контроллер домена.The DNS server service cannot start until the initial synchronization is complete because critical DNS data might not yet be replicated onto this domain controller. Если события в журнал событий AD DS показывает, что существует проблема с разрешением DNS-имя, рассмотрите возможность добавления IP-адреса другого DNS-сервера для данного домена в список DNS-серверов в свойствах протокола IP этого компьютера.If events in the AD DS event log indicate that there is a problem with DNS name resolution, consider adding the IP address of another DNS server for this domain to the DNS server list in the Internet Protocol properties of this computer. Это событие регистрируется каждые две минуты, пока AD DS сообщит об успешного завершения начальной синхронизации.This event will be logged every two minutes until AD DS has signaled that the initial synchronization has successfully completed.
22	Служба DNS-сервераDNS-Server-Service	DNS-сервер запущен.The DNS server has started.
44	Служба DNS-сервераDNS-Server-Service	DNS-сервер завершил фоновую загрузку зон.The DNS server has finished the background loading of zones. Все зоны теперь доступны для обновлений DNS и передачи зон, как их индивидуальной конфигурацией.All zones are now available for DNS updates and zone transfers, as allowed by their individual zone configuration.

Журнал событий службы репликации файловFile Replication Service Event Log

Служба репликации файлов непринудительно синхронизирует от партнера во время операции клонирования.The File Replication Service synchronizes non-authoritatively from a partner during cloning. Клонирование это достигается путем удаления файлов базы данных NTFRS и оставляя содержимое SYSVOL без изменений для использования в качестве данных для предварительного задания начальных значений.Cloning accomplishes this by deleting the NTFRS database files and leaving the contents of SYSVOL untouched, for use as pre-seeded data. Ожидаются две попытки синхронизации.The two attempts to synchronize are expected.

Код событияEvent ID	ИсточникSource	СообщениеMessage
1356213562	NtFrsNtFrs	Ниже следует сводка предупреждений и ошибок, обнаруженных службой репликации файлов, домен контроллера DC2.root.Fabrikam.com репликации FRS сведений конфигурации набора.Following is the summary of warnings and errors encountered by File Replication Service while polling the Domain Controller DC2.root.fabrikam.com for FRS replica set configuration information. Не удалось выполнить привязку к контроллеру домена.Could not bind to a Domain Controller. Попытка будет повторена в следующем цикле опроса.Will try again at next polling cycle
1350213502	NtFrsNtFrs	Остановка службы репликации файлов.The File Replication Service is stopping.
1356513565	NtFrsNtFrs	Служба репликации файлов инициализирует системный том с данными с другого контроллера домена.File Replication Service is initializing the system volume with data from another domain controller. Компьютер DC2 не может стать контроллером домена, до завершения этого процесса.Computer DC2 cannot become a domain controller until this process is complete. Системный том станет общим ресурсом под именем SYSVOL.The system volume will then be shared as SYSVOL. Чтобы проверить наличие общего ресурса SYSVOL, в командной строке введите:To check for the SYSVOL share, at the command prompt, type: команду net sharenet share После завершения процесса инициализации службой репликации файлов, должен появиться общий ресурс SYSVOL.When File Replication Service completes the initialization process, the SYSVOL share will appear. Для инициализации системного тома может занять некоторое время.The initialization of the system volume can take some time. Время зависит от объема системного тома, наличия других контроллеров домена и интервал репликации между контроллерами домена.The time is dependent on the amount of data in the system volume, the availability of other domain controllers, and the replication interval between domain controllers.
1350113501	NtFrsNtFrs	Запуск службы репликации файлов.The File Replication Service is starting
1350213502	NtFrsNtFrs	Остановка службы репликации файлов.The File Replication Service is stopping.
1350313503	NtFrsNtFrs	Служба репликации файлов остановлена.The File Replication Service has stopped.
1356513565	NtFrsNtFrs	Служба репликации файлов инициализирует системный том с данными с другого контроллера домена.File Replication Service is initializing the system volume with data from another domain controller. Компьютер DC2 не может стать контроллером домена, до завершения этого процесса.Computer DC2 cannot become a domain controller until this process is complete. Системный том станет общим ресурсом под именем SYSVOL.The system volume will then be shared as SYSVOL. Чтобы проверить наличие общего ресурса SYSVOL, в командной строке введите:To check for the SYSVOL share, at the command prompt, type: команду net sharenet share После завершения процесса инициализации службой репликации файлов, должен появиться общий ресурс SYSVOL.When File Replication Service completes the initialization process, the SYSVOL share will appear. Для инициализации системного тома может занять некоторое время.The initialization of the system volume can take some time. Время зависит от объема системного тома, наличия других контроллеров домена и интервал репликации между контроллерами домена.The time is dependent on the amount of data in the system volume, the availability of other domain controllers, and the replication interval between domain controllers.
1350113501	NtFrsNtFrs	Запуск службы репликации файлов.The File Replication Service is starting.
1355313553	NtFrsNtFrs	Служба репликации файлов успешно добавила этот компьютер к следующему набору репликации:The File Replication Service successfully added this computer to the following replica set: «СИСТЕМНЫЙ ТОМ ДОМЕНА (ОБЩИЙ РЕСУРС SYSVOL)»"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" Ниже приводится информация, относящаяся к данному событию.Information related to this event is shown below: DNS-имя компьютераComputer DNS name is Имя набора репликации —Replica set member name is Корневой путь набора репликации —Replica set root path is Путь конечной папки репликации —Replica staging directory path is Путь рабочей папки репликации —Replica working directory path is
1352013520	NtFrsNtFrs	Служба репликации файлов переместила ранее существовавшие файлы из для * \NtFrs_PreExisting___See_EventLog.The File Replication Service moved the preexisting files in to *\NtFrs_PreExisting___See_EventLog. Служба репликации файлов может удалить файлы в * \NtFrs_PreExisting___See_EventLog в любой момент.The File Replication Service may delete the files in *\NtFrs_PreExisting___See_EventLog at any time. Файлы можно сохранить от удаления копируя их из * \NtFrs_PreExisting___See_EventLog.Files can be saved from deletion by copying them out of *\NtFrs_PreExisting___See_EventLog. Копирование этих файлов в c:\windows\sysvol\domain может привести к конфликту имен, если эти файлы уже существуют на другие партнером репликации.Copying the files into c:\windows\sysvol\domain may lead to name conflicts if the files already exist on some other replicating partner. В некоторых случаях служба репликации файлов может скопировать файл из * \NtFrs_PreExisting___See_EventLog в * * вместо реплицировать его с другим партнером репликации.In some cases, the File Replication Service may copy a file from *\NtFrs_PreExisting___See_EventLog into instead of replicating the file from some other replicating partner. Можно освободить место на диске в любой момент, удалив файлы в * \NtFrs_PreExisting___See_EventLog.»Space can be recovered at any time by deleting the files in *\NtFrs_PreExisting___See_EventLog."
1350813508	NtFrsNtFrs	он служба репликации файлов не удается разрешить репликацию с * \\ * для * * для * * с помощьюhe File Replication Service is having trouble enabling replication from \\ to for using the DNS name \\.DNS name \\. FRS будет повторять.FRS will keep retrying. Ниже перечислены некоторые причины, по которым может выдаваться это предупреждение.Following are some of the reasons you would see this warning. [1] FFRS не может разрешить DNS-имя * \\ * с этого компьютера.[1] FRS cannot correctly resolve the DNS name \\ from this computer. [2] FRS не запущена на * \\ .[2] FRS is not running on *\\. [3] сведения о топологии в доменных службах Active Directory для этой реплики имеет реплицированы еще не на все контроллеры домена.[3] The topology information in the Active Directory Domain Services for this replica has not yet replicated to all the Domain Controllers. Это сообщение журнала событий будут отображаться только для каждого подключения, после устранения проблемы появится другое сообщение, указывающее на то, что соединение установлено.This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.
1350913509	NtFrsNtFrs	Служба репликации файлов разрешила репликацию с * \\ * для * * для * * после нескольких повторных попыток.The File Replication Service has enabled replication from \\ to for after repeated retries.
1351613516	NtFrsNtFrs	Служба репликации файлов больше не препятствует компьютеру * * стать контроллером домена.The File Replication Service is no longer preventing the computer from becoming a domain controller. Инициализация системного тома и службы Netlogon уведомление о том, что системный том теперь готов к общим ресурсом под именем SYSVOL.The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL. Введите команду «net share», чтобы проверить наличие общего ресурса SYSVOL.»Type "net share" to check for the SYSVOL share."

Журнал событий репликации DFSDFS Replication Event Log

Службы DFSR непринудительно синхронизирует от партнера во время операции клонирования.The DFSR services synchronizes non-authoritatively from a partner during cloning. Клонирование это достигается путем удаления файлов базы данных DFSR и оставляя содержимое SYSVOL без изменений для использования в качестве данных для предварительного задания начальных значений.Cloning accomplishes this by deleting the DFSR database files and leaving the contents of SYSVOL untouched, for use as pre-seeded data. Ожидаются две попытки синхронизации.The two attempts to synchronize are expected.

Код событияEvent ID	ИсточникSource	СообщениеMessage
10041004	DFSRDFSR	Служба репликации DFS запущена.The DFS Replication service has started.
13141314	DFSRDFSR	Служба репликации DFS успешно настроила файлы журнала отладки.The DFS Replication service successfully configured the debug log files. Дополнительные сведения:Additional Information: Путь к файлу журнала отладки: C:\Windows\debugDebug Log File Path: C:\Windows\debug
61026102	DFSRDFSR	Служба репликации DFS успешно зарегистрировала поставщика WMIThe DFS Replication service has successfully registered the WMI provider
12061206	DFSRDFSR	Служба репликации DFS успешно связалась с контроллером домена DC2.corp.contoso.com для получения сведений о конфигурации о.The DFS Replication service successfully contacted domain controller DC2.corp.contoso.com to access configuration information.
12101210	DFSRDFSR	Служба репликации DFS успешно настроила прослушиватель RPC на принятие запросов на репликацию.The DFS Replication service successfully set up an RPC listener for incoming replication requests. Дополнительные сведения:Additional Information: Порт: 0"Port: 0"
46144614	DFSRDFSR	Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации.The DFS Replication service initialized SYSVOL at local path C:\Windows\SYSVOL\domain and is waiting to perform initial replication. Реплицированная папка останется в состоянии начальной синхронизации, до выполнения репликации со своим партнером.The replicated folder will remain in the initial synchronization state until it has replicated with its partner. Сервер не выполняет выдвинут на роль контроллера домена, контроллер домена не объявления и функционировать как контроллер домена, пока эта проблема не будет устранена.If the server was in the process of being promoted to a domain controller, the domain controller will not advertise and function as a domain controller until this issue is resolved. Это может произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации.This can occur if the specified partner is also in the initial synchronization state, or if sharing violations are encountered on this server or the synchronization partner. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться пока эта проблема не будет устранена.If this event occurred during the migration of SYSVOL from File Replication Service (FRS) to DFS Replication, changes will not replicate out until this issue is resolved. Это может привести к папке SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена.This can cause the SYSVOL folder on this server to become out of sync with other domain controllers. Дополнительные сведения:Additional Information: Имя реплицированной папки: Общий ресурс SYSVOLReplicated Folder Name: SYSVOL Share Идентификатор реплицированной папки:Replicated Folder ID: Имя группы репликации: Системный том доменаReplication Group Name: Domain System Volume Идентификатор группы репликации:Replication Group ID: КОД участника:Member ID: Только для чтения: 0Read-Only: 0
46044604	DFSRDFSR	Служба репликации DFS успешно инициализировала реплицированную папку SYSVOL по локальному пути C:\Windows\SYSVOL\domain.The DFS Replication service successfully initialized the SYSVOL replicated folder at local path C:\Windows\SYSVOL\domain. Этот участник завершил начальную синхронизацию SYSVOL с партнером dc1.corp.contoso.com. Чтобы проверить наличие общего ресурса SYSVOL, откройте окно командной строки и введите ««net share».This member has completed initial synchronization of SYSVOL with partner dc1.corp.contoso.com. To check for the presence of the SYSVOL share, open a command prompt window and then type ""net share"". Дополнительные сведения:Additional Information: Имя реплицированной папки: Общий ресурс SYSVOLReplicated Folder Name: SYSVOL Share Идентификатор реплицированной папки:Replicated Folder ID: Имя группы репликации: Системный том доменаReplication Group Name: Domain System Volume Идентификатор группы репликации:Replication Group ID: КОД участника:Member ID: Партнер синхронизации:Sync partner:

Диагностика при безопасном восстановлении контроллера домена виртуализированныхTroubleshooting virtualized domain controller safe restore

Средства для диагностикиTools for Troubleshooting

Параметры ведения журналаLogging Options

Встроенные журналы представляют собой наиболее важное средство устранения неполадок, связанных с восстановлением моментального снимка безопасном контроллера домена.The built-in logs are the most important tool for troubleshooting issues with domain controller safe snapshot restore. Все эти журналы включены и настроена максимальная степень подробности по умолчанию.All of these logs are enabled and configured for maximum verbosity, by default.

ОперацияOperation	ЖурналLog
Создание моментального снимкаSnapshot creation	-Событие Просмотр событий\журналы приложений и служб служб\microsoft\windows\hyper V-Worker- Event viewer\Applications and services logs\Microsoft\Windows\Hyper-V-Worker
Восстановление моментального снимкаSnapshot restore	-Событие Просмотр событий\журналы приложений и Служб\служба каталогов- Event viewer\Applications and services logs\Directory Service-Просмотр событий\журналы windows\система событий- Event viewer\Windows logs\System-Просмотр событий\журналы windows\приложение событий- Event viewer\Windows logs\Application-Событие Просмотр событий\журналы приложений и служб\Служба репликации- Event viewer\Applications and services logs\File Replication Service-Событие Просмотр событий\журналы приложений и служб\репликация DFS- Event viewer\Applications and services logs\DFS Replication-Просмотр событий\журналы приложений и служб\dns событий- Event viewer\Applications and services logs\DNS-Событие Просмотр событий\журналы приложений и служб служб\microsoft\windows\hyper V-Worker- Event viewer\Applications and services logs\Microsoft\Windows\Hyper-V-Worker

Средства и команды для диагностики конфигурации контроллера доменаTools and Commands for Troubleshooting Domain Controller Configuration

Чтобы диагностировать не поясненные в журналах проблемы, используйте следующие средства в качестве отправной точки:To troubleshoot issues not explained by the logs, use the following tools as a starting point:

Общая методология диагностики при безопасном восстановлении контроллера доменаGeneral Methodology for Troubleshooting Domain Controller Safe Restore

1. Безопасное восстановление снимка ожидается, но у вас возникли проблемы?Is the safe snapshot restore expected, but having issues?

   1. Просмотрите журнал событий служб каталоговExamine the Directory Services event log

      1. Возникают ошибки восстановления моментального снимка?Are there snapshot restore errors?

      2. Возникают ошибки репликации AD?Are there AD replication errors?

   2. Изучите журнал событий системыExamine the System event log

      1. Возникают ошибки связи?Are there communication errors?

      2. Возникают ошибки AD?Are there AD errors?

2. Безопасное восстановление снимка является непредвиденным?Is the safe snapshot restore unexpected?

   1. Просмотрите журналы аудита низкоуровневой оболочки, чтобы определить причину откатаExamine the hypervisor audit logs to determine who or what caused a rollback

   2. Свяжитесь со всеми администраторами низкоуровневой оболочки и выясните, кто выполнил откат виртуальной Машины без уведомленияContact all administrators of the hypervisor and interrogate them as to who rolled back the VM without notification

3. Сервер реализует защита от отката USN и не выполняет безопасное восстановление?Is the server implementing USN rollback protection and not safely restoring?

   1. Просмотрите журнал событий служб каталогов для неподдерживаемой низкоуровневой оболочки или служб интеграцииExamine the Directory Services event log for an unsupported hypervisor or integration services

   2. Изучите операционной системы и убедитесь в под управлением Windows Server 2012?Examine the operating system and validate running Windows Server 2012?

Диагностика определенных проблемTroubleshooting Specific Problems

СобытияEvents

Все домена безопасного восстановления снимка виртуализированного контроллера события записываются в журнал событий служб каталогов виртуальной Машины контроллера домена, восстановление.All virtualized domain controller safe snapshot restore events write to the Directory Services event log of the restored domain controller VM. Журналы событий приложений, системы, службы репликации файлов и репликации DFS также могут содержать ценные диагностические данные по завершившемуся с ошибкой восстановлению.The Application, System, File Replication Service, and DFS Replication event logs may also contain useful troubleshooting information for failed restores.

Ниже перечислены события безопасного восстановления конкретных Windows Server 2012 в журнале событий служб каталогов.Below are the Windows Server 2012 safe restore-specific events in the Directory Services event log.

Код событияEvent ID	21702170
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ПредупреждениеWarning
СообщениеMessage	Обнаружено изменение ИД создания.A Generation ID change has been detected. ИД создания в доменных Службах (старое значение): %1Generation ID cached in DS (old value):%1 Текущий ИД создания в виртуальной Машине (новое значение): %2Generation ID currently in VM (new value):%2 ИД создания изменяется после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.The Generation ID change occurs after the application of a virtual machine snapshot, after a virtual machine import operation or after a live migration operation. создаст новый ИД вызова для восстановления контроллера домена. will create a new invocation ID to recover the domain controller. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, созданной с помощью доменных служб Active Directory приложение резервного копирования.The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services aware backup application.
Примечания и решениеNotes and resolution	Это событие успешного выполнения операции, если снимок был ожидаемым.This is a success event if the snapshot was expected. В противном случае Изучите журнал событий Hyper-V-Worker или свяжитесь с администратором низкоуровневой оболочки.If not, examine the Hyper-V-Worker event log or contact the hypervisor administrator.

Код событияEvent ID	21742174
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Контроллер домена не является восстановленные снимком виртуального контроллера домена ни клоном виртуального домена контроллера.The DC is neither a virtual domain controller clone nor a restored virtual domain controller snapshot.
Примечания и решениеNotes and resolution	Ожидаемое событие при запуске физических контроллеров домена или виртуализированных контроллеров домена не восстановленных из моментального снимка.Expected event when starting physical domain controllers or virtualized domain controllers not restored from snapshot

Код событияEvent ID	21812181
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Транзакция была прервана из-за была возвращена в предыдущее состояние виртуальной машины.The transaction was aborted due to the virtual machine being reverted to a previous state. Это происходит после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.This occurs after the application of a virtual machine snapshot, after a virtual machine import operation, or after a live migration operation.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Транзакции отслеживают изменение ИД создания виртуальной МашиныTransactions track the VM Generation ID changing

Код событияEvent ID	21852185
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	остановить службу FRS или DFSR, используемую для репликации папки SYSVOL. stopped the FRS or DFSR service used to replicate the SYSVOL folder. Имя службы: % 1Service name:%1 Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. необходимо инициализировать не заслуживающее доверия восстановление в локальной реплике SYSVOL. must initialize a non-authoritative restore on the local SYSVOL replica. Это выполняется путем остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а затем запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This is performed by stopping the FRS or DFSR service used to replicate the SYSVOL folder and starting it with the appropriate registry keys and values to trigger the restore. После перезапуска службы FRS или DFSR, будет зарегистрировано событие 2187.Event 2187 will be logged when FRS or DFSR service is restarted.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Все данные SYSVOL на этом контроллере домена заменяются копией с партнерского контроллера домена.All SYSVOL data on this domain controller is replaced with a partner DC's copy.
Код событияEvent ID	21862186
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось остановить службу FRS или DFSR, используемую для репликации папки SYSVOL. failed to stop the FRS or DFSR service used to replicate the SYSVOL folder. Имя службы: % 1Service name:%1 Код ошибки: % 2Error code:%2 Сообщение об ошибке: % 3Error message:%3 Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. необходимо инициализировать не заслуживающее доверия восстановление в локальной реплике SYSVOL. must initialize a non-authoritative restore on the local SYSVOL replica. Это делается остановки службу FRS или DFSR репликации, используемую для репликации папки SYSVOL, а затем запустить ее с помощью соответствующих разделов реестра и значения, чтобы инициализировать восстановление.This is done by stopping the FRS or DFSR replication service used to replicate the SYSVOL folder and then starting it with the appropriate registry keys and values to trigger the restore. не удалось остановить запущенную службу и завершить не заслуживающее доверия восстановление. failed to stop the current running service and cannot complete the non-authoritative restore. Выполните непринудительное восстановление вручную.Please perform a non-authoritative restore manually.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и служб FRS и DFSR для получения дополнительных сведений.Examine the System, FRS and DFSR event logs for further information.

Код событияEvent ID	21872187
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	запустить службу FRS или DFSR, используемую для репликации папки SYSVOL. started the FRS or DFSR service used to replicate the SYSVOL folder. Имя службы: % 1Service name:%1 Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. требовалось инициализировать не заслуживающее доверия восстановление в локальной реплике SYSVOL. needed to initialize a non-authoritative restore on the local SYSVOL replica. Это было сделано по остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а затем запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This was done by stopping the FRS or DFSR service used to replicate the SYSVOL folder and starting it with the appropriate registry keys and values to trigger the restore.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Все данные SYSVOL на этом контроллере домена заменяются копией с партнерского контроллера домена.All SYSVOL data on this domain controller is replaced with a partner DC's copy.

Код событияEvent ID	21882188
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось запустить службу FRS или DFSR, используемую для репликации папки SYSVOL. failed to start the FRS or DFSR service used to replicate the SYSVOL folder. Имя службы: % 1Service name:%1 Код ошибки: % 2Error code:%2 Сообщение об ошибке: % 3Error message:%3 Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. требуется инициализировать непринудительное восстановление в локальной реплике SYSVOL. needs to initialize a non-authoritative restore on the local SYSVOL replica. Для этого остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а также запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This is done by stopping the FRS or DFSR service used to replicate the SYSVOL and starting it with appropriate registry keys and values to trigger the restore. не удалось запустить службу FRS или DFSR, используемую для репликации папки SYSVOL и завершить не заслуживающее доверия восстановление. failed to start the FRS or DFSR service used to replicate the SYSVOL folder and cannot complete the non-authoritative restore. Выполните непринудительное восстановление вручную и перезапустите службу.Please perform a non-authoritative restore manually and restart the service.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и служб FRS и DFSR для получения дополнительных сведений.Examine the System, FRS and DFSR event logs for further information.

Код событияEvent ID	21892189
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Задайте следующие значения реестра для инициализации реплики SYSVOL во время непринудительного восстановления: set the following registry values to initialize SYSVOL replica during a non-authoritative restore: Раздел реестра: % 1Registry Key:%1 Значение реестра: %2Registry Value: %2 Значение параметра реестра: %3Registry Value data: %3 Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. требуется инициализировать непринудительное восстановление в локальной реплике SYSVOL. needs to initialize a non-authoritative restore on the local SYSVOL replica. Для этого необходимо остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а также запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This is done by stopping the FRS or DFSR service used to replicate the SYSVOL folder and starting it with the appropriate registry keys and values to trigger the restore.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Все данные SYSVOL на этом контроллере домена заменяются копией с партнерского контроллера домена.All SYSVOL data on this domain controller is replaced with a partner DC's copy.

Код событияEvent ID	21902190
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось задать следующие параметры реестра для инициализации реплики SYSVOL во время непринудительного восстановления: failed to set the following registry values to initialize the SYSVOL replica during a non-authoritative restore: Раздел реестра: % 1Registry Key:%1 Значение реестра: %2Registry Value: %2 Значение параметра реестра: %3Registry Value data: %3 Код ошибки: % 4Error code:%4 Сообщение об ошибке: % 5Error message:%5 Active Directory обнаружил, что виртуальную машину, на котором размещена роль контроллера домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller role was reverted to a previous state. требуется инициализировать непринудительное восстановление в локальной реплике SYSVOL. needs to initialize a non-authoritative restore on the local SYSVOL replica. Для этого необходимо остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а также запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This is done by stopping the FRS or DFSR service used to replicate the SYSVOL folder and starting it with the appropriate registry keys and values to trigger the restore. не удалось задать перечисленные выше параметры реестра и завершить не заслуживающее доверия восстановление. failed to set the above registry values and cannot complete the non-authoritative restore. Выполните непринудительное восстановление вручную.Please perform a non-authoritative restore manually.
Примечания и решениеNotes and resolution	Просмотрите журналы событий системы и приложений.Examine Application and System event logs. Выполните поиск приложений сторонних разработчиков, которые могли воспрепятствовать обновлениям реестра.Investigate third party applications that may be blocking registry updates.

Код событияEvent ID	22002200
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Инициализирует репликацию для обновления контроллера домена. initializes replication to bring the domain controller current. После завершения репликации, будет зарегистрировано событие 2201.Event 2201 will be logged when the replication is finished.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Отмечает начало входящей репликации AD.Marks the beginning of inbound AD replication.

Код событияEvent ID	22012201
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. завершил репликацию для обновления контроллера домена. has finished replication to bring the domain controller current.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Отмечает конец входящей репликации AD.Marks the end of inbound AD replication.

Код событияEvent ID	22022202
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Сбой репликацию для обновления контроллера домена. failed replication to bring the domain controller up-to-date. Контроллер домена будет обновлен после следующей репликации по расписанию.The domain controller will be updated after next periodic replication.
Примечания и решениеNotes and resolution	Просмотрите журналы событий служб каталогов и системы.Examine the Directory Services and System event logs. Используйте repadmin.exe, чтобы попытаться выполнить репликацию принудительно и отметьте произошедшие сбои.Use repadmin.exe to attempt forcing replication and note any failures.

Код событияEvent ID	22042204
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	обнаружил изменение идентификатора создания виртуальной машины. has detected a change of virtual machine generation ID. Изменение означает, что виртуальный контроллер домена был возвращен в предыдущее состояние.The change means that the virtual domain controller has been reverted to a previous state. будет выполнять следующие операции для защиты возвращенного контроллера домена от возможного расхождения в данных и для предотвращения создания субъектов безопасности с одинаковыми идентификаторами безопасности: will perform the following operations to protect the reverted domain controller against possible data divergence and to protect creation of security principals with duplicate SIDs: Создание нового идентификатора вызоваCreate a new invocation ID Сделать недействительным текущий пул относительных ИДЕНТИФИКАТОРОВInvalidate current RID pool Владение ролями FSMO будет проверено при следующей входящей репликации.Ownership of the FSMO roles will be validated at next inbound replication. В течение этого периода Если контроллера домена была роль FSMO, она будет недоступна.During this window if the domain controller held a FSMO role, that role will be unavailable. Запуск операции восстановления службы репликации SYSVOL.Start SYSVOL replication service restore operation. Запуск репликации для перевода контроллера домена, возвращенного в актуальное состояние.Start replication to bring the reverted domain controller to the most current state. Запрос нового пула относительных ИДЕНТИФИКАТОРОВ.Request a new RID pool.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Здесь поясняются все различные операции сброса, которые будут выполнены в рамках процесса безопасного восстановления.This explains all the various reset operations that will occur as part of the safe restore process.

Код событияEvent ID	22052205
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	недействительным текущий пул относительных ИДЕНТИФИКАТОРОВ после виртуального контроллера домена был возвращен в предыдущее состояние. invalidated current RID pool after virtual domain controller was reverted to previous state.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Необходимо удалить локальный пул относительных ИДЕНТИФИКАТОРОВ, так как контроллер домена перенесся время, и они могут уже состоялся.The local RID pool must be destroyed as the domain controller has time travelled and they may have already been issued.

Код событияEvent ID	22062206
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОШИБКАERROR
СообщениеMessage	не удалось сделать недействительным текущий пул относительных ИДЕНТИФИКАТОРОВ после виртуального контроллера домена был возвращен в предыдущее состояние. failed to invalidate current RID pool after virtual domain controller was reverted to previous state. Дополнительные данные:Additional data: Код ошибки: %1Error code: %1 Значение ошибки: %2Error value: %2
Примечания и решениеNotes and resolution	Просмотрите журналы событий служб каталогов и системы.Examine the Directory Services and System event logs. Проверить, хозяин RID находится в оперативном режиме можно связаться с этим сервером с использованием Dcdiag.exe/Test: RidManagerValidate that the RID Master is online can be reached from this server using Dcdiag.exe /test:ridmanager

Код событияEvent ID	22072207
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОШИБКАERROR
СообщениеMessage	Ошибка при восстановлении после виртуального контроллера домена был возвращен в предыдущее состояние. failed to restore after virtual domain controller was reverted to previous state. Был запрошен перезапуск в режиме DSRM.A reboot into DSRM was requested. Проверьте предыдущие события Дополнительные сведения.Please check previous events for more information.
Примечания и решениеNotes and resolution	Просмотрите журналы событий служб каталогов и системы.Examine the Directory Services and System event logs.

Код событияEvent ID	22082208
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	Информационное сообщениеInformational
СообщениеMessage	удалить базы данных DFSR для инициализации реплики SYSVOL во время непринудительного восстановления. deleted DFSR databases to initialize SYSVOL replica during a non-authoritative restore.
Примечания и решениеNotes and resolution	Ожидается при восстановлении снимка.Expected when restoring a snapshot. Это гарантирует, что DFSR непринудительно синхронизирует SYSVOL с партнерского контроллера домена.This guarantees DFSR non-authoritatively synchronizes SYSVOL from a partner DC. Обратите внимание, что все другие реплицированные DFSR папки на одном томе с SYSVOL также непринудительно будут синхронизированы (не рекомендуется, чтобы контроллеры размещали настраиваемые наборы DFSR на одном томе с SYSVOL домена).Note that any other DFSR Replicated Folders on the same volume as SYSVOL will also non-authoritatively sync (domain controllers are not recommended to host custom DFSR sets on the same volume as SYSVOL).

Код событияEvent ID	22092209
ИсточникSource	Microsoft-Windows-ActiveDirectory_DomainServiceMicrosoft-Windows-ActiveDirectory_DomainService
Уровень серьезностиSeverity	ОшибкаError
СообщениеMessage	не удалось удалить базы данных DFSR. failed to delete DFSR databases. Дополнительные данные:Additional data: Код ошибки: %1Error code: %1 Значение ошибки: %2Error value: %2 Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. требуется инициализировать непринудительное восстановление в локальной реплике SYSVOL. needs to initialize a non-authoritative restore on the local SYSVOL replica. При использовании DFSR для этого необходимо остановить службу DFSR, удалить базы данных DFSR и перезапустить службу.For DFSR, this is done by stopping the DFSR service, deleting DFSR databases, and re-starting the service. После этого Служба DFSR перестроит базы данных и запустит начальную синхронизацию.Upon restarting DFSR will rebuild the databases and start the initial sync.
Примечания и решениеNotes and resolution	Просмотрите журнал событий DFSR.Examine the DFSR event log.

Сообщения об ошибкахError Messages

Нет никаких прямых интерактивный ошибок, не контроллера безопасном восстановлении снимка виртуализированного домена; все информация о клонировании регистрируется в журналах событий служб каталогов.There are no direct interactive errors for failed virtualized domain controller safe snapshot restore; all cloning information logs in the Directory Services event logs. Естественно все ошибки критически важной репликации или сервер рекламы проявляются в качестве симптомов в других местах.Naturally, any critical replication or server advertising errors manifest themselves as symptoms elsewhere.

Известные проблемы и сценарии поддержкиKnown Issues and Support Scenarios

Общая методология диагностики безопасном восстановлении контроллера домена обычно достаточно для диагностики большинства ошибок.The General Methodology for Troubleshooting Domain Controller Safe Restore are usually adequate to troubleshoot most issues.

ПроблемаIssue	Не удается создать новые субъекты безопасности на контроллере домена, недавно выполнялось безопасное восстановлениеCannot create new security principals on recently safe restored domain controller
СимптомыSymptoms	После восстановления снимка попытки создать новый субъект безопасности (пользователя, компьютер, группу) на этом контроллере домена завершаются ошибкой с:After restoring a snapshot, attempts to create a new security principal (user, computer, group) on that domain controller fail with: Ошибка 0x2010Error 0x2010 Службе каталогов не удалось выделить относительный идентификатор.The directory service was unable to allocate a relative identifier.
Решение и примечанияResolution and Notes	Эта проблема может быть вызвано восстановленный компьютер располагает устаревшими сведениями о роли FSMO хозяина RID.This issue is caused by the restored computer's stale knowledge of the RID Master FSMO role. Если роль перемещена на этот или другой контроллер домена после был выполнены и последующего восстановления моментального снимка, восстановленный контроллер домена не будет сведениями о хозяине RID до завершения начальной репликации.If the role moved to this or another domain controller after a snapshot was taken and then later restored, the restored domain controller will not have knowledge of the RID master until initial replication has completed. Чтобы устранить проблему, необходимо разрешить завершения репликации AD входящего трафика для восстановленного контроллера домена.To resolve the issue, allow AD replication to complete inbound to the restored domain controller. Если по-прежнему не работает, проверьте, все контроллеры домена располагают такими же достоверными сведениями, которые контроллере домена размещается хозяин RID.If still not working, validate that all domain controllers have the same correct knowledge of which DC hosts the RID Master.

ПроблемаIssue	Восстановленные контроллеры домена общий доступ к SYSVOL и не отправляют объявленияRestored domain controllers do not share SYSVOL, advertise
СимптомыSymptoms	После восстановления снимка один или несколько контроллеров домена не отправляют объявления, имеют sysvol и не имеют актуальным содержимым SYSVOLAfter restoring a snapshot, one or more DCs do not advertise, do not share sysvol, and do not have up to date SYSVOL contents
Решение и примечанияResolution and Notes	Восходящие партнеры контроллера домена не имеют рабочей реплики SYSVOL, которая правильно реплицируется с DFSR или FRS.The DC's upstream partners do not have a working SYSVOL replica that is correctly replicating with DFSR or FRS. Эта проблема не связана с безопасным восстановлением, однако, вероятнее всего манифеста как проблема с безопасным восстановлением, поскольку клиент не знал о другой проблеме репликации, затрагивающей невосстановленные контроллеры доменаThis issue is unrelated to safe restore but is likely to manifest as a safe restore issue, because the customer was unaware of the other replication issue affecting un-restored DCs

Дополнительные возможности устранения неполадокAdvanced Troubleshooting

В этом модуле рассматривается расширенная Диагностика с использованием работа журналов в качестве примеров с некоторыми пояснениями возникшей ситуации.This module seeks to teach advanced troubleshooting by using working logs as samples, with some explanation of what occurred. Если вы понимаете, как выглядит успешной работе виртуализированного контроллера домена, легко сможете выявить сбои в своей среде.If you understand what a successful virtualized domain controller operation looks like, failures become obvious in your environment. Эти журналы сгруппированы по источнику, упорядоченные по возрастанию ожидается события, связанные с клонированным контроллером домена в пределах каждого из журналов.These logs are presented by their source, with the ascending order of expected events related to a cloned domain controller within each log.

Восстановление контроллера домена, Реплицирующего SYSVOL с помощью DFSRRestoring a Domain Controller that Replicates SYSVOL Using DFSR

Журнал событий служб каталоговDirectory Services Event Log

Журнал службы каталогов содержит основную часть информации об операциях безопасного восстановления.The Directory Services log contains the majority of safe restore operational information. Низкоуровневая оболочка изменяет ИД создания Виртуальной машины и службы NTDS регистрирует это, делает пул RID недействительным и изменяет ИД вызова.The hypervisor changes the VM-Generation ID and the NTDS service notes it, then invalidates the RID pool and changes the invocation ID. Новый ИД создания Виртуальной машины, а серверы реплицируют входящие данные AD.The new VM-Generation ID is set and the servers replicates AD data inbound. Служба DFSR останавливается и его базы данных, где размещается SYSVOL, удаляется, что вызывает непринудительную синхронизацию входящего трафика.The DFSR service is stopped and its database that hosts SYSVOL is deleted, forcing a non-authoritative sync inbound. Выполняется корректировка верхнего предела номера последовательного обновления.The USN high watermark is adjusted.

Код событияEvent ID	ИсточникSource	СообщениеMessage
21702170	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Обнаружено изменение ИД создания.A Generation ID change has been detected. ИД создания в доменных Службах (старое значение):Generation ID cached in DS (old value): Текущий ИД создания в виртуальной Машине (новое значение):Generation ID currently in VM (new value): ИД создания изменяется после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.The Generation ID change occurs after the application of a virtual machine snapshot, after a virtual machine import operation or after a live migration operation. Доменные службы Active Directory создаст новый ИД вызова для восстановления контроллера домена.Active Directory Domain Services will create a new invocation ID to recover the domain controller. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, созданной с помощью доменных служб Active Directory приложение резервного копирования.»The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services aware backup application."
21812181	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Транзакция была прервана из-за была возвращена в предыдущее состояние виртуальной машины.The transaction was aborted due to the virtual machine being reverted to a previous state. Это происходит после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.This occurs after the application of a virtual machine snapshot, after a virtual machine import operation, or after a live migration operation.
22042204	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory обнаружили изменение идентификатора создания виртуальной машины.Active Directory Domain Services has detected a change of virtual machine generation ID. Изменение означает, что виртуальный контроллер домена был возвращен в предыдущее состояние.The change means that the virtual domain controller has been reverted to a previous state. Доменные службы Active Directory будет выполнять следующие операции для защиты возвращенного контроллера домена от возможного расхождения в данных и для предотвращения создания субъектов безопасности с одинаковыми идентификаторами безопасности:Active Directory Domain Services will perform the following operations to protect the reverted domain controller against possible data divergence and to protect creation of security principals with duplicate SIDs: Создание нового идентификатора вызоваCreate a new invocation ID Сделать недействительным текущий пул относительных ИДЕНТИФИКАТОРОВInvalidate current RID pool Владение ролями FSMO будет проверено при следующей входящей репликации.Ownership of the FSMO roles will be validated at next inbound replication. В течение этого периода Если контроллера домена была роль FSMO, она будет недоступна.During this window if the domain controller held a FSMO role, that role will be unavailable. Запуск операции восстановления службы репликации SYSVOL.Start SYSVOL replication service restore operation. Запуск репликации для перевода контроллера домена, возвращенного в актуальное состояние.Start replication to bring the reverted domain controller to the most current state. Запрос нового пула относительных ИДЕНТИФИКАТОРОВ.»Request a new RID pool."
21812181	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Транзакция была прервана из-за была возвращена в предыдущее состояние виртуальной машины.The transaction was aborted due to the virtual machine being reverted to a previous state. Это происходит после применения моментального снимка виртуальной машины, после операции импорта виртуальной машины или после операции динамической миграции.This occurs after the application of a virtual machine snapshot, after a virtual machine import operation, or after a live migration operation.
11091109	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Атрибут invocationID для данного сервера каталогов изменен.The invocationID attribute for this directory server has been changed. Наибольший номер последовательного обновления на момент создания резервной копии выглядит следующим образом:The highest update sequence number at the time the backup was created is as follows: Атрибут InvocationID (старое значение):InvocationID attribute (old value): Атрибут InvocationID (новое значение):InvocationID attribute (new value): Номер последовательного обновления:Update sequence number: Атрибут invocationID изменяется при восстановлении сервера каталогов с резервного носителя, настроен для хранения раздела каталога приложений для записи, возобновил моментальный снимок виртуальной машины после установки, после операции импорта виртуальной машины или после операции динамической миграции.The invocationID is changed when a directory server is restored from backup media, is configured to host a writeable application directory partition, has been resumed after a virtual machine snapshot has been applied, after a virtual machine import operation, or after a live migration operation. Виртуализированные контроллеры домена не должен быть восстановлен с помощью моментальных снимков виртуальной машины.Virtualized domain controllers should not be restored using virtual machine snapshots. Поддерживаемый метод восстановления или отката содержимого базы данных доменных служб Active Directory — восстановление резервной копии состояния системы, совершенные в домен Active Directory службы резервного копирования приложение, поддерживающее.»The supported method to restore or rollback the content of an Active Directory Domain Services database is to restore a system state backup made with an Active Directory Domain Services-aware backup application."
21792179	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Атрибут msDS-GenerationId объекта-компьютера контроллера домена задан следующий параметр:The msDS-GenerationId attribute of the Domain Controller's computer object has been set to the following parameter: Атрибут GenerationID:GenerationID attribute:
22002200	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Доменные службы Active Directory инициализируют репликацию для обновления контроллера домена.Active Directory Domain Services initializes replication to bring the domain controller current. После завершения репликации, будет зарегистрировано событие 2201.Event 2201 will be logged when the replication is finished.
22012201	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Доменные службы Active Directory завершили репликацию для обновления контроллера домена.Active Directory Domain Services has finished replication to bring the domain controller current.
21852185	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory остановить службу FRS или DFSR, используемую для репликации папки SYSVOL.Active Directory Domain Services stopped the FRS or DFSR service used to replicate the SYSVOL folder. Имя службы:Service name: DFSRDFSR Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Доменные службы Active Directory должны инициализировать не заслуживающее доверия восстановление в локальной реплике SYSVOL.Active Directory Domain Services must initialize a non-authoritative restore on the local SYSVOL replica. Это выполняется путем остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а затем запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This is performed by stopping the FRS or DFSR service used to replicate the SYSVOL folder and starting it with the appropriate registry keys and values to trigger the restore. Зарегистрировано событие 2187 будет после перезапуска службы FRS или DFSR.»Event 2187 will be logged when FRS or DFSR service is restarted."
22082208	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменных служб Active Directory удалили базы данных DFSR для инициализации реплики SYSVOL во время непринудительного восстановления.Active Directory Domain Services deleted DFSR databases to initialize SYSVOL replica during a non-authoritative restore. Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Доменные службы Active Directory требуется инициализировать непринудительное восстановление в локальной реплике SYSVOL.Active Directory Domain Services needs to initialize a non-authoritative restore on the local SYSVOL replica. При использовании DFSR для этого необходимо остановить службу DFSR, удалить базы данных DFSR и перезапустить службу.For DFSR, this is done by stopping the DFSR service, deleting DFSR databases, and re-starting the service. После этого Служба DFSR перестроит базы данных и запустит начальную синхронизацию. "Upon restarting DFSR will rebuild the databases and start the initial sync. "
21872187	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Доменные службы Active Directory запустить службу FRS или DFSR, используемую для репликации папки SYSVOL.Active Directory Domain Services started the FRS or DFSR service used to replicate the SYSVOL folder. Имя службы:Service name: DFSRDFSR Active Directory обнаружил, что виртуальную машину, на которой размещен контроллер домена был возвращен в предыдущее состояние.Active Directory detected that the virtual machine that hosts the domain controller was reverted to a previous state. Доменные службы Active Directory требовалось инициализировать не заслуживающее доверия восстановление в локальной реплике SYSVOL.Active Directory Domain Services needed to initialize a non-authoritative restore on the local SYSVOL replica. Это было сделано по остановить службу FRS или DFSR, используемую для репликации папки SYSVOL, а затем запустить ее с соответствующие разделы реестра и значения, чтобы инициализировать восстановление.This was done by stopping the FRS or DFSR service used to replicate the SYSVOL folder and starting it with the appropriate registry keys and values to trigger the restore. ""
15871587	ActiveDirectory_DomainServiceActiveDirectory_DomainService	Службе каталогов был восстановлен или настроен для размещения раздел каталога приложения.This directory service has been restored or has been configured to host an application directory partition. В результате его идентификатор репликации изменился.As a result, its replication identity has changed. Партнер запросил изменения репликации, используя его старый идентификатор.A partner has requested replication changes using our old identity. Начальный последовательный номер был изменен.The starting sequence number has been adjusted. Конечный сервер службы каталогов соответствующий следующего объекта GUID запросил изменения, начиная с USN, предшествующего USN, с которой локальной службы каталогов был восстановлен с архивного носителя.The destination directory service corresponding to the following object GUID has requested changes starting at a USN that precedes the USN at which the local directory service was restored from backup media. GUID объекта:Object GUID: ()() USN во время восстановления:USN at the time of restore: В результате вектор синхронизации конечного сервера службы каталогов имеет следующие параметры.As a result, the up-to-dateness vector of the destination directory service has been configured with the following settings. Предыдущий GUID базы данных:Previous database GUID: Предыдущий USN объекта:Previous object USN: Предыдущий USN свойства:Previous property USN: Новый GUID базы данных:New database GUID: Новый USN объекта:New object USN: Новый USN свойства:New property USN:

Журнал системных событийSystem Event Log

Журнал событий системы регистрирует, что прошло определенное машинное время при включении отключенной виртуальной машины обратно в оперативный режим и синхронизации с временем узла.The System event log notes that the machine time that occurs when bringing an offline virtual machine back online and synchronizing with host time. Пул относительных ИДЕНТИФИКАТОРОВ становится недействительным, а службы DFSR или FRS перезапускаются.The RID pool invalidates and the DFSR or FRS services are restarted.

Код событияEvent ID	ИсточникSource	СообщениеMessage
11	Общие ядраKernel-General	Системное время изменено с ?The system time has changed to ? из < время/Дата снимка >.from <snapshot time/date>. Причина изменения: Приложением или компонентом системы время изменено.Change Reason: An application or system component changed the time.
1665416654	Directory-Services-SAMDirectory-Services-SAM	Пул идентификаторов учетных записей (относительных идентификаторов) сделан недействительным.A pool of account-identifiers (RIDs) has been invalidated. Это может произойти в следующих ожидаемых случаях:This may occur in the following expected cases: 1. контроллер домена восстановлен из резервной копии.1. A domain controller is restored from backup. 2. контроллер домена работает на виртуальной машине, восстановлен из моментального снимка.2. A domain controller running on a virtual machine is restored from snapshot. 3. администратор вручную недействительным пул.3. An administrator has manually invalidated the pool. В разделе https://go.microsoft.com/fwlink/?LinkId=226247 Дополнительные сведения.See https://go.microsoft.com/fwlink/?LinkId=226247 for more information.
70367036	Диспетчер управления службамиService Control Manager	Служба репликации DFS находится в режиме остановки.The DFS Replication service entered the stopped state.
70367036	Диспетчер управления службамиService Control Manager	Служба репликации DFS запущена.The DFS Replication service entered the running state.

Журнал событий приложенийApplication Event Log

Журнал событий приложений регистрирует остановку и запуск базы данных DFSR.The Application event log notes the DFSR database stopping and starting.

Код событияEvent ID	ИсточникSource	СообщениеMessage
103103	ESENTESENT	\.\C:\System Volume Information\DFSR\database DFSRs (1360)_\dfsr.db: ядром СУБД остановлен экземпляр (0).DFSRs (1360) \\.\C:\System Volume Information\DFSR\database_\dfsr.db: The database engine stopped the instance (0). Неправильное отключение: 0Dirty Shutdown: 0 Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], 0.141 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.000 [9], 0.000 [10], 0.016 [11], 0.000 [12], [13] 0.000, 0.000 [14], [15] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.141, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.016, [12] 0.000, [13] 0.000, [14] 0.000, [15] 0.000.
102102	ESENTESENT	\.\C:\System Volume Information\DFSR\database DFSRs (532)_\dfsr.db: СУБД (6.02.8189.0000) запускает новый экземпляр (0).DFSRs (532) \\.\C:\System Volume Information\DFSR\database_\dfsr.db: The database engine (6.02.8189.0000) is starting a new instance (0).
105105	ESENTESENT	\.\C:\System Volume Information\DFSR\database DFSRs (532)_\dfsr.db: ядро СУБД запустило новый экземпляр (0).DFSRs (532) \\.\C:\System Volume Information\DFSR\database_\dfsr.db: The database engine started a new instance (0). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], [4] 0.000, 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.031 [9], 0.000 [10], 0.000 [11].Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.031, [10] 0.000, [11] 0.000.
		\.\C:\System Volume Information\DFSR\database DFSRs (532)_\dfsr.db: СУБД создана новая база данных (1, \.\C:\System Volume Information\DFSR\database_\dfsr.db).DFSRs (532) \\.\C:\System Volume Information\DFSR\database_\dfsr.db: The database engine created a new database (1, \\.\C:\System Volume Information\DFSR\database_\dfsr.db). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.016 [3], [4] 0.062, 0.000 [5], [6] 0.016, 0.000 [7], [8] 0.000, 0.015 [9], 0.000 [10], 0.000 [11].Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.016, [4] 0.062, [5] 0.000, [6] 0.016, [7] 0.000, [8] 0.000, [9] 0.015, [10] 0.000, [11] 0.000.

Журнал событий репликации DFSDFS Replication Event Log

Служба DFSR останавливается, а базы данных, которая содержит SYSVOL, удаляется, что вызывает непринудительную синхронизацию входящего трафика.The DFSR service is stopped and the database that contains SYSVOL is deleted, forcing a non-authoritative synchronization inbound.

Код событияEvent ID	ИсточникSource	СообщениеMessage
10061006	DFSRDFSR	Остановка службы репликации DFS.The DFS Replication service is stopping.
10081008	DFSRDFSR	Служба репликации DFS остановлена.The DFS Replication service has stopped.
10021002	DFSRDFSR	Запуск службы репликации DFS.The DFS Replication service is starting.
10041004	DFSRDFSR	Служба репликации DFS запущена.The DFS Replication service has started.
13141314	DFSRDFSR	Служба репликации DFS успешно настроила файлы журнала отладки.The DFS Replication service successfully configured the debug log files. Дополнительные сведения:Additional Information: Путь к файлу журнала отладки: C:\Windows\debugDebug Log File Path: C:\Windows\debug
61026102	DFSRDFSR	Служба репликации DFS успешно зарегистрировала поставщика WMI.The DFS Replication service has successfully registered the WMI provider.
12061206	DFSRDFSR	Репликация DFS служба успешно связалась с контроллером домена * * для получения сведений о конфигурации.The DFS Replication service successfully contacted domain controller to access configuration information.
12101210	DFSRDFSR	Служба репликации DFS успешно настроила прослушиватель RPC на принятие запросов на репликацию.The DFS Replication service successfully set up an RPC listener for incoming replication requests. Дополнительные сведения:Additional Information: Порт: 0Port: 0
46144614	DFSRDFSR	Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации.The DFS Replication service initialized SYSVOL at local path C:\Windows\SYSVOL\domain and is waiting to perform initial replication. Реплицированная папка останется в состоянии начальной синхронизации, до выполнения репликации со своим партнером.The replicated folder will remain in the initial synchronization state until it has replicated with its partner. Сервер не выполняет выдвинут на роль контроллера домена, контроллер домена не объявления и функционировать как контроллер домена, пока эта проблема не будет устранена.If the server was in the process of being promoted to a domain controller, the domain controller will not advertise and function as a domain controller until this issue is resolved. Это может произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации.This can occur if the specified partner is also in the initial synchronization state, or if sharing violations are encountered on this server or the synchronization partner. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться пока эта проблема не будет устранена.If this event occurred during the migration of SYSVOL from File Replication Service (FRS) to DFS Replication, changes will not replicate out until this issue is resolved. Это может привести к папке SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена.This can cause the SYSVOL folder on this server to become out of sync with other domain controllers. Дополнительные сведения:Additional Information: Имя реплицированной папки: Общий ресурс SYSVOLReplicated Folder Name: SYSVOL Share Идентификатор реплицированной папки:Replicated Folder ID: Имя группы репликации: Системный том доменаReplication Group Name: Domain System Volume Идентификатор группы репликации:Replication Group ID: КОД участника:Member ID: Только для чтения: 0Read-Only: 0
46044604	DFSRDFSR	Служба репликации DFS успешно инициализировала реплицированную папку SYSVOL по локальному пути C:\Windows\SYSVOL\domain.The DFS Replication service successfully initialized the SYSVOL replicated folder at local path C:\Windows\SYSVOL\domain. Этот участник завершил начальную синхронизацию SYSVOL с партнером dc1.corp.contoso.com. Чтобы проверить наличие общего ресурса SYSVOL, откройте окно командной строки и введите команду «net share».This member has completed initial synchronization of SYSVOL with partner dc1.corp.contoso.com. To check for the presence of the SYSVOL share, open a command prompt window and then type "net share". Дополнительные сведения:Additional Information: Имя реплицированной папки: Общий ресурс SYSVOLReplicated Folder Name: SYSVOL Share Идентификатор реплицированной папки:Replicated Folder ID: Имя группы репликации: Системный том доменаReplication Group Name: Domain System Volume Идентификатор группы репликации:Replication Group ID: КОД участника:Member ID: Партнер синхронизации:Sync partner:

Восстановление контроллера домена, Реплицирующего SYSVOL с помощью FRSRestoring a Domain Controller that Replicates SYSVOL Using FRS

Журнал событий репликации файлов используется в этом случае вместо журнала событий DFSR.The File Replication Event log is used instead of the DFSR event log in this case. Журнал событий приложений также регистрирует различные события, связанные с FRS.The Application event log also writes different FRS-related events. В противном случае, службы каталогов и журнале системных событий сообщений, обычно те же и в том же порядок, как было описано выше.Otherwise, the Directory Services and System Event log messages are generally the same and in the same order as previously described.

Журнал событий службы репликации файловFile Replication Service Event Log

Служба FRS останавливается и перезапускается со значением D2 BURFLAGS для выполнения непринудительной синхронизации SYSVOL.The FRS service is stopped and restarted with a D2 BURFLAGS value to non-authoritatively synchronize SYSVOL.

Код событияEvent ID	ИсточникSource	СообщениеMessage
1350213502	NTFRSNTFRS	Остановка службы репликации файлов.The File Replication Service is stopping.
1350313503	NTFRSNTFRS	Служба репликации файлов остановлена.The File Replication Service has stopped.
1350113501	NTFRSNTFRS	Запуск службы репликации файлов.The File Replication Service is starting
1351213512	NTFRSNTFRS	Служба репликации файлов обнаружила используемый кэш записи данных на диске, содержащем каталог c:\windows\ntfrs\jet на компьютере DC4.The File Replication Service has detected an enabled disk write cache on the drive containing the directory c:\windows\ntfrs\jet on the computer DC4. Служба репликации файлов может не суметь выполнить восстановление при диск питания и потери критических обновлений.The File Replication Service might not recover when power to the drive is interrupted and critical updates are lost.
1356513565	NTFRSNTFRS	Служба репликации файлов инициализирует системный том с данными с другого контроллера домена.File Replication Service is initializing the system volume with data from another domain controller. DC4 компьютер не может стать контроллером домена, до завершения этого процесса.Computer DC4 cannot become a domain controller until this process is complete. Системный том станет общим ресурсом под именем SYSVOL.The system volume will then be shared as SYSVOL. Чтобы проверить наличие общего ресурса SYSVOL, в командной строке введите:To check for the SYSVOL share, at the command prompt, type: команду net sharenet share После завершения процесса инициализации службой репликации файлов, должен появиться общий ресурс SYSVOL.When File Replication Service completes the initialization process, the SYSVOL share will appear. Для инициализации системного тома может занять некоторое время.The initialization of the system volume can take some time. Время зависит от объема системного тома доступности другие контроллеры домена и от частоты репликаций между контроллерами домена.»The time is dependent on the amount of data in the system volume, the availability of other domain controllers, and the replication interval between domain controllers."
1352013520	NTFRSNTFRS	Служба репликации файлов переместила ранее существовавшие файлы из * * для * \NtFrs_PreExisting___See_EventLog.The File Replication Service moved the preexisting files in * to \NtFrs_PreExisting___See_EventLog. Служба репликации файлов может удалить файлы в * \NtFrs_PreExisting___See_EventLog в любой момент.The File Replication Service may delete the files in *\NtFrs_PreExisting___See_EventLog at any time. Файлы можно сохранить от удаления копируя их из * \NtFrs_PreExisting___See_EventLog.Files can be saved from deletion by copying them out of *\NtFrs_PreExisting___See_EventLog. Копирование файлов в * * может привести к конфликту имен, если эти файлы уже существуют на другие партнером репликации.Copying the files into may lead to name conflicts if the files already exist on some other replicating partner. В некоторых случаях служба репликации файлов может скопировать файл из * \NtFrs_PreExisting___See_EventLog в * * вместо реплицировать его с другим партнером репликации.In some cases, the File Replication Service may copy a file from *\NtFrs_PreExisting___See_EventLog into instead of replicating the file from some other replicating partner. Можно освободить место на диске в любой момент, удалив файлы в * \NtFrs_PreExisting___See_EventLog.Space can be recovered at any time by deleting the files in *\NtFrs_PreExisting___See_EventLog.
1355313553	NTFRSNTFRS	Служба репликации файлов успешно добавила этот компьютер к следующему набору репликации:The File Replication Service successfully added this computer to the following replica set: «СИСТЕМНЫЙ ТОМ ДОМЕНА (ОБЩИЙ РЕСУРС SYSVOL)»"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" Ниже приводится информация, относящаяся к данному событию.Information related to this event is shown below: DNS-имя компьютера»»Computer DNS name is "" Имя набора репликации — "»Replica set member name is "" Корневой путь набора репликации — "»Replica set root path is "" Путь конечной папки репликации — "* * »Replica staging directory path is " " Путь рабочей папки репликации — "»Replica working directory path is ""
1355413554	NTFRSNTFRS	Служба репликации файлов успешно добавила перечисленные ниже подключения к набору репликации:The File Replication Service successfully added the connections shown below to the replica set: «СИСТЕМНЫЙ ТОМ ДОМЕНА (ОБЩИЙ РЕСУРС SYSVOL)»"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" Приходит от "»Inbound from "" Исходит на "»Outbound to "" Дополнительная информация может появиться в последующих сообщениях журнала событий.More information may appear in subsequent event log messages.
1351613516	NTFRSNTFRS	Служба репликации файлов больше не препятствует компьютеру DC4 стать контроллером домена.The File Replication Service is no longer preventing the computer DC4 from becoming a domain controller. Инициализация системного тома и службы Netlogon уведомление о том, что системный том теперь готов к общим ресурсом под именем SYSVOL.The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL. Введите команду «net share», чтобы проверить наличие общего ресурса SYSVOL.Type "net share" to check for the SYSVOL share.

Журнал событий приложенийApplication Event Log

База данных FRS останавливается и запускается и очищается операции D2 BURFLAGS.The FRS database stops and starts, and is purged due to the D2 BURFLAGS operation.

Код событияEvent ID	ИсточникSource	СообщениеMessage
327327	ESENTESENT	Служба NTFRS (1424) ядро СУБД отсоединенный базы данных (1, c:\windows\ntfrs\jet\ntfrs.jdb).ntfrs (1424) The database engine detached a database (1, c:\windows\ntfrs\jet\ntfrs.jdb). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.015 [2], 0.000 [3], 0.000 [4], [5] 0.000, 0.516 [6], 0.000 [7], [8] 0.000, 0.000 [9], [10] 0.000, 0.063 [11], [12] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.015, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.516, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.063, [12] 0.000. Восстановлена кэша: 0Revived Cache: 0
103103	ESENTESENT	Служба NTFRS (1424) ядром СУБД остановлен экземпляр (0).ntfrs (1424) The database engine stopped the instance (0). Неправильное отключение: 0Dirty Shutdown: 0 Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.031 [9], 0.000 [10], 0.016 [11], 0.000 [12], [13] 0.000, 0.047 [14], [15] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.031, [10] 0.000, [11] 0.016, [12] 0.000, [13] 0.000, [14] 0.047, [15] 0.000.
102102	ESENTESENT	Служба NTFRS (3000) СУБД (6.02.8189.0000) запускает новый экземпляр (0).ntfrs (3000) The database engine (6.02.8189.0000) is starting a new instance (0).
105105	ESENTESENT	Служба NTFRS (3000) ядро СУБД запустило новый экземпляр (0).ntfrs (3000) The database engine started a new instance (0). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], [4] 0.000, 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.062 [9], 0.000 [10], 0.141 [11].Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.062, [10] 0.000, [11] 0.141.
103103	ESENTESENT	Служба NTFRS (3000) ядром СУБД остановлен экземпляр (0).ntfrs (3000) The database engine stopped the instance (0). Неправильное отключение: 0Dirty Shutdown: 0 Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.000 [9], 0.000 [10], 0.000 [11], 0.000 [12], [13] 0.015, 0.000 [14], [15] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.000, [12] 0.000, [13] 0.015, [14] 0.000, [15] 0.000.
102102	ESENTESENT	Служба NTFRS (3000) СУБД (6.02.8189.0000) запускает новый экземпляр (0).ntfrs (3000) The database engine (6.02.8189.0000) is starting a new instance (0).
105105	ESENTESENT	Служба NTFRS (3000) ядро СУБД запустило новый экземпляр (0).ntfrs (3000) The database engine started a new instance (0). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], [4] 0.000, 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.078 [9], 0.000 [10], 0.109 [11].Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.078, [10] 0.000, [11] 0.109.
325325	ESENTESENT	Служба NTFRS (3000) СУБД создана новая база данных (1, c:\windows\ntfrs\jet\ntfrs.jdb).ntfrs (3000) The database engine created a new database (1, c:\windows\ntfrs\jet\ntfrs.jdb). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.016 [3], [4] 0.016, 0.000 [5], [6] 0.015, 0.000 [7], [8] 0.000, 0.078 [9], 0.016 [10], 0.000 [11].Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.016, [4] 0.016, [5] 0.000, [6] 0.015, [7] 0.000, [8] 0.000, [9] 0.078, [10] 0.016, [11] 0.000.
103103	ESENTESENT	Служба NTFRS (3000) ядром СУБД остановлен экземпляр (0).ntfrs (3000) The database engine stopped the instance (0). Неправильное отключение: 0Dirty Shutdown: 0 Последовательность внутренней синхронизации: 0.000 [1], 0.000 [2], 0.000 [3], 0.000 [4], 0.078 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0,125 [9], 0.016 [10], 0.000 [11], 0.000 [12], [13] 0.000, 0.000 [14], [15] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5] 0.078, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.125, [10] 0.016, [11] 0.000, [12] 0.000, [13] 0.000, [14] 0.000, [15] 0.000.
102102	ESENTESENT	Служба NTFRS (3000) СУБД (6.02.8189.0000) запускает новый экземпляр (0).ntfrs (3000) The database engine (6.02.8189.0000) is starting a new instance (0).
105105	ESENTESENT	Служба NTFRS (3000) ядро СУБД запустило новый экземпляр (0).ntfrs (3000) The database engine started a new instance (0). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.016 [1], 0.000 [2], 0.000 [3], [4] 0.094, 0.000 [5], [6] 0.000, 0.000 [7], [8] 0.000, 0.032 [9], 0.000 [10], 0.000 [11].Internal Timing Sequence: [1] 0.016, [2] 0.000, [3] 0.000, [4] 0.094, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.032, [10] 0.000, [11] 0.000.
326326	ESENTESENT	Служба NTFRS (3000) ядро СУБД присоединило базу данных (1, c:\windows\ntfrs\jet\ntfrs.jdb).ntfrs (3000) The database engine attached a database (1, c:\windows\ntfrs\jet\ntfrs.jdb). (Время = 0 с)(Time=0 seconds) Последовательность внутренней синхронизации: 0.000 [1], 0.015 [2], 0.000 [3], 0.000 [4], [5] 0.016, 0.015 [6], 0.000 [7], [8] 0.000, 0.000 [9], [10] 0.000, 0.000 [11], [12] 0.000.Internal Timing Sequence: [1] 0.000, [2] 0.015, [3] 0.000, [4] 0.000, [5] 0.016, [6] 0.015, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.000, [12] 0.000. Сохраненные кэша: 1Saved Cache: 1

docs.microsoft.com

Глава 5. Базовая политика контроллеров домена

Глава 5. Базовая политика контроллеров домена

Опубликовано 20 апреля 2007 г.

На этой странице

Обзор Параметры политики аудита Параметры назначения прав пользователя Параметры безопасности Параметры журнала событий Группы с ограниченным доступом Дополнительные параметры безопасности Создание политики с помощью мастера настройки безопасности Заключение

Обзор

Обеспечение безопасности серверной роли контроллера домена — одна из самых важных задач в любой среде с компьютерами с Microsoft® Windows Server™ 2003 с пакетом обновления 1 и службой каталогов Active Directory®. Любые сбои в работе контроллера домена и нарушения его защиты в такой среде могут серьезно повлиять на функционирование клиентских компьютеров, серверов и приложений, которые используют контроллеры домена для проверки подлинности, реализации групповой политики и как центральный каталог LDAP.

Ввиду важности контроллеров домена их всегда следует размещать в физически защищенных местах, доступных только квалифицированным сотрудникам административной службы. Если контроллеры домена находятся в незащищенных местах, таких как филиалы компаний, настроив некоторые параметры безопасности, можно уменьшить потенциальный ущерб от физических угроз.

Базовая политика контроллеров домена

В отличие от политик других серверных ролей, которые будут описаны позднее, групповая политика для серверной роли контроллера домена является базовой, как и базовая политика рядовых серверов, определенная в главе 4 «Базовая политика рядовых серверов». Базовая политика контроллеров домена связана с подразделением контроллеров домена и имеет более высокий приоритет, чем политика контроллеров домена по умолчанию. Параметры, входящие в базовую политику контроллеров домена, позволяют повысить общую безопасность всех контроллеров домена в любой среде.

Базовая политика контроллеров домена мало чем отличается от базовой политики рядовых серверов. Таким образом, чтобы полностью разобраться со многими параметрами базовой политики контроллеров домена, следует повторить материал, изложенный в главе 4 «Базовая политика рядовых серверов». В данной главе описываются только те параметры базовой политики контроллеров домена, которые отличаются от параметров базовой политики рядовых серверов.

Шаблоны контроллеров домена специально разработаны для удовлетворения требований, предъявляемых к безопасности в трех средах, определенных в данном руководстве. В таблице ниже указаны прилагаемые к данному руководству файлы INF для контроллеров домена в средах устаревших клиентов (LC), корпоративных клиентов (EC) и специальной безопасной среды с ограниченной функциональностью (SSLF). Например, файл шаблона безопасности для среды корпоративных клиентов называется EC-Domain Controller.inf.

Таблица 5.1. Базовые шаблоны безопасности контроллеров домена

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

LC-Domain Controller.inf	EC-Domain Controller.inf	SSLF-Domain Controller.inf

Примечание. Сопоставление неправильно настроенного объекта групповой политики (GPO) с подразделением контроллеров домена может крайне отрицательно сказаться на работе домена. Будьте очень внимательны при импорте этих шаблонов безопасности и проверяйте правильность настройки всех импортируемых параметров политики при сопоставлении объекта групповой политики с подразделением контроллеров домена.

Параметры политики аудита

Параметры политики аудита контроллеров домена почти не отличаются от параметров базовой политики рядовых северов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых серверов». Эти параметры в базовой политике контроллеров домена гарантируют, что на контроллерах домена будут сохраняться все необходимые сведения аудита безопасности.

Таблица 5.2. Рекомендации по настройке параметров политики аудита

Параметр

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Аудит доступа к службе каталогов	Нет аудита	Нет аудита	Отказ

Аудит доступа к службе каталогов

Этот параметр политики определяет необходимость аудита доступа пользователей к объекту Active Directory, имеющему собственный системный список управления доступом (SACL). Определяя параметр Аудит доступа к службе каталогов, можно задать аудит успехов или неудач либо отключить аудит всех типов событий. При аудите успехов запись аудита создается, когда пользователь успешно получает доступ к объекту Active Directory с заданным списком SACL. При аудите неудач запись аудита создается, когда пользователь неудачно пытается получить доступ к объекту Active Directory с заданным списком SACL.

Если включить параметр Аудит доступа к службе каталогов в базовой политике контроллеров домена и настроить списки SACL для объектов каталога, в журналы безопасности на контроллерах домена может добавляться большое количество записей. Включать этот параметр следует только в том случае, если записываемые в журнал сведения действительно нужны.

В средах LC и EC параметру Аудит доступа к службе каталогов присваивается значение Нет аудита. В среде SSLF он настраивается для регистрации событий Отказ.

В таблице ниже указаны важные события безопасности, которые регистрируются в журнале безопасности при заданном параметре Аудит доступа к службе каталогов.

Таблица 5.3. События доступа к службе каталогов

Код события

Описание события

Код	Описание
566	Выполнена общая операция над объектом.

Параметры назначения прав пользователя

В базовой политике контроллеров домена им назначается ряд прав пользователя. Некоторые параметры прав пользователя по умолчанию в ней изменены для повышения безопасности контроллеров домена во всех трех средах, определенных в данном руководстве.

В этом разделе приводятся рекомендации по настройке прав пользователя в базовой политике контроллеров домена для тех случаев, когда она отличается от базовой политики рядовых серверов. Обзорные сведения о параметрах, рекомендованных в этом разделе, см. в рабочей книге Microsoft Excel® «Параметры безопасности Windows Server 2003», прилагаемой к версии данного руководства, которую можно загрузить из Интернета.

В следующей таблице приведены рекомендации по настройке прав пользователя в базовой политике контроллеров домена. Дополнительные сведения о каждом параметре приведены в подразделах, следующих за таблицей.

Таблица 5.4. Рекомендации по настройке прав пользователя

Параметр

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Доступ к компьютеру из сети	Не определен	Не определен	«Администраторы», «Прошедшие проверку», «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ»
Добавление рабочих станций к домену	Не определен	Не определен	«Администраторы»
Локальный вход в систему	«Администраторы», «Операторы сервера», «Операторы архива»	«Администраторы», «Операторы сервера», «Операторы архива»	«Администраторы»
Разрешать вход в систему через службу терминалов	«Администраторы»	«Администраторы»	«Администраторы»
Изменение системного времени	«Администраторы», «ЛОКАЛЬНАЯ СЛУЖБА»	«Администраторы», «ЛОКАЛЬНАЯ СЛУЖБА»	«Администраторы», «ЛОКАЛЬНАЯ СЛУЖБА»
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании	Не определен	Не определен	«Администраторы»
Загрузка и выгрузка драйверов устройств	«Администраторы»	«Администраторы»	«Администраторы»
Восстановление файлов и каталогов	«Администраторы»	«Администраторы»	«Администраторы»
Завершение работы системы	«Администраторы»	«Администраторы»	«Администраторы»

Доступ к компьютеру из сети

Этот параметр политики определяет пользователей и группы, которым разрешено подключаться к контроллеру домена по сети. Это необходимо для выполнения ряда сетевых операций, в том числе репликации Active Directory между контроллерами домена, отправки запросов проверки подлинности от пользователей и компьютеров контроллерам домена и доступа к общим папкам и принтерам.

Несмотря на то, что разрешения, назначенные группе безопасности Все в Windows Server 2003 с пакетом обновления 1, больше не предоставляют доступа к системе анонимным пользователям, его все же можно предоставить гостевым группам и учетным записям с помощьюэтой группы безопасности.

Поэтому в базовой политике контроллеров домена для среды SSLF группа безопасности Все лишена права пользователя Доступ к компьютеру из сети. Это обеспечивает дополнительную защиту от атак, направленных на получение гостевого доступа к домену. В средах LC и EC этому параметру политики присваивается значение Не определен.

Добавление рабочих станций к домену

Этот параметр политики определяет, какие пользователи могут добавлять рабочие станции к определенному домену. Чтобы он вступил в силу, его нужно назначить пользователю в политике контроллеров домена по умолчанию. Пользователь, которому назначено это право, может добавить к домену до 10 рабочих станций. Пользователи, которым назначено право Создание объектов-компьютеров для подразделения или контейнера компьютеров в Active Directory, могут добавить к домену неограниченное число компьютеров независимо от того, назначено ли им право Добавление рабочих станций к домену.

По умолчанию все пользователи из группы Прошедшие проверку могут добавить до 10 учетных записей компьютеров к домену Active Directory. Эти учетные записи компьютеров создаются в контейнере компьютеров.

В сетях Windows участниками безопасности называются пользователи, группы или компьютеры, которым автоматически назначаются идентификаторы безопасности для управления доступом к ресурсам. В домене Active Directory каждая учетная запись компьютера является полноценным участником безопасности, способным проверять подлинность ресурсов домена и получать к ним доступ. Однако в некоторых организациях иногда желательно ограничить количество компьютеров в среде Active Directory, чтобы можно было согласованно следить за ними, настраивать их и администрировать. Если пользователям разрешено добавлять компьютеры к домену, следить за компьютерами и управлять ими сложнее. Кроме того, при этом пользователи могут выполнять действия, которые труднее отслеживать из-за имеющейся у пользователей возможности несанкционированно создавать дополнительные компьютеры домена.

Поэтому в базовой политике контроллеров домена для среды SSLF право пользователя Добавление рабочих станций к домену назначается только группе Администраторы. В средах LC и EC этому параметру политики присваивается значение Не определен.

Локальный вход в систему

Этот параметр политики определяет пользователей, которым разрешается начинать интерактивные сеансы работы на контроллере домена. Пользователи, не имеющие этого права, могут удаленно начинать интерактивные сеансы работы на контроллере домена, если им назначено право Разрешать вход в систему через службу терминалов.

Число учетных записей, которым разрешается использовать консоли контроллера домена, следует ограничить ради предотвращения несанкционированного доступа к файловым системам и системным службам контроллера домена. Пользователь, которому предоставлен доступ к консоли контроллера домена, может злоупотребить уязвимостями компьютера и нарушить безопасность всего домена или леса.

По умолчанию на контроллерах домена право пользователя Локальный вход в систему назначается группам Операторы учета, Операторы архива, Операторы печати и Операторы сервера. Членам этих групп не нужна возможность входа в систему контроллера домена для выполнения задач управления, и они должны быть способны выполнять свои задачи с других рабочих станций. Выполнять задачи обслуживания на контроллерах домена должны только члены группы Администраторы.

Если право пользователя Локальный вход в систему назначено только группе Администраторы, физический и интерактивный доступ к контроллеру домена имеют только надежные компетентные пользователи, что повышает безопасность среды. Поэтому в базовой политике контроллеров домена для среды SSLF право пользователя Локальный вход в систему назначается только группе Администраторы. В средах LC и EC это право назначается группам Операторы сервера и Операторы архива.

Разрешать вход в систему через службу терминалов

Этот параметр политики определяет пользователей, которым разрешается входить в систему на контроллере домена с помощью подключения к удаленному рабочему столу.

Число учетных записей, которым разрешается получать доступ к консолям контроллера домена через службу терминалов, следует ограничить ради предотвращения несанкционированного доступа к файловым системам и системным службам контроллера домена. Пользователь, которому предоставлен доступ к консоли контроллера домена через службу терминалов, может злоупотребить уязвимостями компьютера и нарушить безопасность всего домена или леса.

Если право пользователя Разрешать вход в систему через службу терминалов назначено только группе Администраторы, интерактивный доступ к контроллеру домена имеют только надежные компетентные пользователи, что повышает безопасность среды. По этой причине в базовой политике контроллеров домена право пользователя Разрешать вход в систему через службу терминалов назначается только группе Администраторы во всех трех средах, определенных в данном руководстве. Хотя по умолчанию для входа в систему контроллера домена через службу терминалов необходим административный доступ, настроив этот параметр политики, можно улучшить защиту от случайных или умышленных действий, которые могут нарушить безопасность сети.

Ради дополнительного укрепления безопасности в базовой политике контроллеров домена учетная запись администратора по умолчанию лишена права Разрешать вход в систему через службу терминалов. Это блокирует попытки злоумышленников удаленно получить доступ к контроллеру домена с помощью учетной записи администратора по умолчанию. Дополнительные сведения об этом параметре политики см. в главе 4 «Базовая политика рядовых серверов».

Изменение системного времени

Этот параметр политики определяет, какие пользователи могут изменять время на внутренних часах компьютера. Однако для изменения часового пояса или других отображаемых характеристик системного времени это право не требуется.

Синхронизация системного времени крайне важна для работы службы Active Directory. Процессы репликации Active Directory и создания билетов проверки подлинности, используемые протоколом проверки подлинности Kerberos, требуют, чтобы время было синхронизировано во всей среде.

Несоответствие времени на разных контроллерах домена в среде может нарушить нормальную работу служб домена. Если изменять системное время могут только администраторы, вероятность того, что показания системных часов на контроллере домена окажутся неправильными, будет сведена к минимуму.

Право изменять системное время на контроллерах домена имеют по умолчанию только члены группы Операторы сервера. Из-за проблем, которые могут возникнуть после неправильного изменения показаний часов контроллера домена членами этой группы, в базовой политике контроллеров домена для всех трех сред, определенных в данном руководстве, право пользователя Изменение системного времени назначается только группе Администраторы и учетной записи Локальная служба.

Дополнительные сведения о службе времени Microsoft Windows® см. в Техническом руководстве по службе времени Windows, доступном по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx (на английском языке).

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Этот параметр политики определяет, кто из пользователей может изменять параметр Делегирование разрешено для объектов пользователей или компьютеров в Active Directory. Делегирование проверки подлинности используется многоуровневыми приложениями с архитектурой «клиент-сервер». Оно позволяет службе на внешнем сервере (например приложению) использовать учетные данные клиента при выполнении проверки подлинности для службы на внутреннем сервере (например, для базы данных). Чтобы такая проверка подлинности была возможна, и на клиенте, и на сервере должны использоваться учетные записи, доверие к которым при делегировании разрешено.

Неправильное применение этого права пользователя может позволить пользователям, не имеющим соответствующих полномочий, выдавать себя за других пользователей в сети. Злоумышленник может воспользоваться этим правом для получения доступа к сетевым ресурсам под видом другого пользователя, что может затруднить анализ происшествий в сфере безопасности.

На контроллерах домена в среде SSLF право пользователя Разрешение доверия к учетным записям компьютеров и пользователей при делегировании назначается только группе Администраторы. В средах LC и EC этому параметру политики присваивается значение Не определен.

Примечание. Хотя в политике контроллеров домена по умолчанию это право пользователя назначается группе Администраторы, в базовой политике контроллеров домена это право реализуется только в среде SSLF, потому что данная политика первоначально была основана на базовой политике рядовых серверов. В базовой политике рядовых серверов этому параметру присваивается значение NULL.

Загрузка и выгрузка драйверов устройств

Этот параметр политики определяет, какие пользователи могут загружать и выгружать драйверы устройств, и необходим для загрузки и выгрузки драйверов устройств, поддерживающих технологию Plug and Play.

Небрежное управление драйверами устройств на контроллерах домена повышает вероятность того, что нормальная работа контроллеров домена будет нарушена из-за ошибок или вредоносных программ. Если право загружать и выгружать драйверы устройств предоставить в базовой политике контроллеров домена только самым надежным пользователям, вероятность нарушения безопасности контроллеров домена с помощью драйверов устройств будет сведена к минимуму.

По умолчанию право пользователя Загрузка и выгрузка драйверов устройств назначается группе Операторы печати. Как уже говорилось, создавать общие принтеры на контроллерах домена не рекомендуется, поэтому членам группы Операторы печати возможность загрузки и выгрузки драйверов устройств не нужна. Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя Загрузка и выгрузка драйверов устройств назначается только группе Администраторы.

Восстановление файлов и каталогов

Этот параметр политики определяет пользователей, которые могут обойти разрешения на работу с файлами и каталогами при их восстановлении. Владельцем объекта может быть назначен любой действительный участник безопасности.

Учетная запись, которой разрешено восстанавливать файлы и каталоги в файловой системе контроллера домена, может легко изменять исполняемые файлы. Злоумышленники могут использовать это не только для нарушения работы контроллера домена, но и для взлома защиты домена или всего леса.

По умолчанию право пользователя Восстановление файлов и каталогов назначается группам Операторы сервера и Операторы архива. Если лишить эти группы данного права и назначить его только группе Администраторы, вероятность нарушения безопасности контроллера домена из-за неправильных изменений файловой системы будет снижена. Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя Восстановление файлов и каталогов назначается только группе Администраторы.

Завершение работы системы

Этот параметр политики определяет, какие пользователи могут завершать работу локального компьютера.

Злоумышленники, имеющие возможность завершать работу контроллеров домена, способны легко устроить атаку типа «отказ в обслуживании», которая может серьезно нарушить работу всего домена или леса. Хакер может использовать это право для повышения уровня прав учетной записи на контроллере домена при перезапуске служб. Успешное повышение уровня прав ставит под угрозу безопасность домена или всего леса.

По умолчанию право пользователя Завершение работы системы назначается группам Администраторы, Операторы сервера, Операторы печати и Операторы архива. В средах с высокими требованиями к безопасности ни одна из этих групп за исключением группы Администраторы не нуждается в данном праве для выполнения административных задач. Поэтому в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, право пользователя Завершение работы системы назначается только группе Администраторы.

Параметры безопасности

Большинство параметров безопасности контроллеров домена не отличаются от аналогичных параметров в базовой политике рядовых серверов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых серверов». Различия параметров базовой политики рядовых серверов и базовой политики контроллеров домена описаны в следующих разделах.

Параметры контроллеров домена

Таблица 5.5. Параметры безопасности: рекомендации по настройке параметров контроллеров домена

Параметр

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Разрешить операторам сервера задавать выполнение заданий по расписанию	Отключен	Отключен	Отключен
Требование цифровой подписи для LDAP-сервера	Не определен	Не определен	Требуется цифровая подпись
Запретить изменение пароля учетных записей компьютера	Отключен	Отключен	Отключен

Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию

Этот параметр политики определяет, разрешено ли членам группы Операторы сервера запускать задания при помощи средства создания расписаний «AT».

Параметру Контроллер домена: разрешить операторам сервера задавать выполнение заданий по расписанию присваивается значение Отключен в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве. В большинстве организаций настройка этого параметра политики не приводит к значительным изменениям. Пользователи, в том числе члены группы Операторы сервера, все равно могут создавать задания с помощью мастера планирования заданий, но они будут выполняться в контексте учетной записи, с которой пользователь прошел проверку подлинности при настройке задания.

Примечание. Учетную запись службы «AT» можно изменить таким образом, чтобы выбиралась учетная запись, отличная от учетной записи «ЛОКАЛЬНАЯ СИСТЕМА». Для изменения учетной записи выберите в меню «Служебные» пункт Назначенные задания и щелкните папку Стандартные. Затем выберите в меню Дополнительно пункт Учетная запись службы «AT».

Контроллер домена: требование цифровой подписи для LDAP-сервера

Этот параметр политики определяет, требует ли LDAP-сервер подпись до ее согласования с LDAP-клиентами. Неподписанный и незашифрованный сетевой трафик уязвим для атак «злоумышленник в середине», при которых хакер перехватывает пакеты, передаваемые сервером клиенту, изменяет их и отправляет измененные пакеты клиенту. На LDAP-сервере это позволяет злоумышленнику заставить LDAP-клиент принимать решения, основанные на ложных записях каталога LDAP.

Если все контроллеры домена работают под управлением Windows 2000 или Windows Server 2003, присвойте параметру Контроллер домена: требование цифровой подписи для LDAP-сервера значение Требуется цифровая подпись. В противном случае оставьте значение Не определен, которое присваивается данному параметру в базовой политике контроллеров домена для сред LC и EC. В базовой политике контроллеров домена для среды SSLF этому параметру политики присваивается значение Требуется цифровая подпись, потому что все компьютеры в этой среде работают под управлением Windows 2000 или Windows Server 2003.

Контроллер домена: запретить изменение пароля учетных записей компьютера

Этот параметр политики определяет, будут ли контроллеры домена отклонять запросы компьютеров, входящих в домен, на изменение паролей их учетных записей. Если включить этот параметр политики на всех контроллерах домена в домене, пароли учетных записей компьютеров на членах домена нельзя будет изменить, из-за чего они будут более уязвимы для атак.

Таким образом, в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, параметру Контроллер домена: запретить изменение пароля учетных записей компьютера присваивается значение Отключен.

Параметры сетевой безопасности

Таблица 5.6. Параметры безопасности: рекомендации по настройке параметров сетевой безопасности

Параметр

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Не хранить хэш-значения LAN Manager при следующей смене пароля	Включен	Включен	Включен

Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля

Этот параметр политики определяет, будут ли храниться хэш-значения LAN Manager (LM) для новых паролей при изменении пароля. Хэш LM относительно ненадежен и уязвим для атак в сравнении с более криптостойким хэшем Windows NT®.

По этой причине в базовой политике контроллеров домена во всех трех средах, определенных в данном руководстве, параметр Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля включен.

Примечание. Включение этого параметра может привести к ошибкам в работе старых операционных систем и некоторых приложений сторонних разработчиков. Например, в системах Windows 95 и Windows 98 будут происходить ошибки, если в них не установлено расширение клиента Active Directory. Кроме того, при включении данного параметра политики нужно изменить пароли всех учетных записей.

Параметры журнала событий

Параметры журнала событий на контроллерах домена не отличаются от аналогичных параметров в базовой политике рядовых серверов. Дополнительные сведения см. в главе 4 «Базовая политика рядовых серверов». Базовые параметры в базовой политике контроллеров домена гарантируют, что на контроллерах домена будут сохраняться все необходимые сведения аудита безопасности, включая сведения о доступе к службе каталогов.

Группы с ограниченным доступом

Как было сказано в предыдущей главе, параметр Группы с ограниченным доступом позволяет управлять членством групп в Windows Server 2003 с пакетом обновления 1 (SP1) с помощью групповой политики Active Directory. При определении групп, для которых следует ограничить доступ, прежде всего нужно проанализировать требования организации. Во всех трех средах, описанных в данном руководстве, группы Операторы сервера и Операторы архива являются на контроллерах домена группами с ограниченным доступом. Хотя члены групп Операторы сервера и Операторы архива имеют более ограниченные права, чем члены группы Администраторы, они все равно обладают широкими возможностями.

Примечание. Если в организации используются какие-либо из этих групп, следует тщательно контролировать членство в них и отказаться от выполнения рекомендаций по настройкегрупп с ограниченным доступом. Если организация добавляет пользователей в группу «Пользователи сервера», можно реализовать необязательные разрешения на работу с файловой системой, описанные в предыдущей главе в разделе «Защита файловой системы».

Таблица 5.7. Рекомендации по настройке групп с ограниченным доступом

Локальная группа

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Операторы архива	Нет членов	Нет членов	Нет членов
Операторы сервера	Нет членов	Нет членов	Нет членов

В Windows Server 2003 с пакетом обновления 1 (SP1) параметр Группы с ограниченным доступом можно настроить в следующем разделе редактора объектов групповой политики:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом\

Чтобы настроить группы с ограниченным доступом для объекта групповой политики, администраторы могут добавить нужные группы непосредственно в узел Группы с ограниченным доступом пространства имен объекта групповой политики.

Если для группы ограничен доступ, можно определить ее членов и любые другие группы, к которым она относится. Если члены группы не указаны, группа остается полностью закрытой. Доступ для групп можно ограничить только с помощью шаблонов безопасности.

Просмотр или изменение групп с ограниченным доступом

1. Откройте консоль управления шаблонами безопасности.

   Примечание. По умолчанию консоль управления шаблонами безопасности не добавляется в меню «Администрирование». Чтобы добавить ее, запустите консоль управления (mmc.exe) и добавьте надстройку «Шаблоны безопасности».

2. Дважды щелкните каталог с конфигурационным файлом, а затем — конфигурационный файл.

3. Дважды щелкните элемент Группы с ограниченным доступом.

4. Щелкните элемент Группы с ограниченным доступом правой кнопкой мыши.

5. Выберите пункт Добавить группу.

6. Нажмите кнопку Обзор, а затем Размещение, выберите места, которые нужно просмотреть, и нажмите кнопку ОК.

   Примечание. Как правило, после этого локальный компьютер отображается в начале списка.

7. Введите имя группы в поле Введите имена объектов для выбора и нажмите кнопку Проверить имена.

   — или —

   Нажмите кнопку Дополнительно, а затем Найти, чтобы просмотреть список всех доступных групп.

8. Выберите группы, для которых нужно ограничить доступ, и нажмите кнопку ОК.

9. Нажмите кнопку ОК в диалоговом окне Добавление групп, чтобы закрыть его.

В средах LC и EC все члены — пользователи и группы — удалены из групп Операторы сервера и Операторы архива, чтобы полностью закрыть для них доступ. В среде SSLF все члены удалены также из группы Пользователи удаленного рабочего стола. Корпорация Майкрософт рекомендует ограничивать доступ для всех встроенных групп, которые не предполагается использовать в организации.

Примечание. Конфигурация групп с ограниченным доступом, описанная в данном разделе, очень проста. Системы Windows XP с пакетом обновления 1 и 2 и Windows Server 2003 поддерживают более сложные схемы. Дополнительные сведения см. в статье базы знаний Майкрософт Изменения работы пользовательских локальных групп в контексте групп с ограниченным доступом по адресу http://support.microsoft.com/default.aspx?kbid=810076 (на английском языке).

Дополнительные параметры безопасности

В этом разделе описаны изменения, которые необходимо вручную внести в базовую политику контроллеров домена, а также дополнительные параметры и защитные меры, которые нельзя реализовать через групповую политику.

Сопоставление уникальных групп безопасности с правами пользователя вручную

Большинство прав пользователя, назначаемых с помощью базовой политики контроллеров домена, настроены в шаблонах безопасности, прилагаемых к данному руководству. Однако некоторые учетные записи и группы безопасности нельзя включить в эти шаблоны, так как их идентификаторы безопасности (SID) различаются для каждого домена Windows Server 2003. Права пользователей, которые следует настроить вручную, указаны в таблице ниже.

Внимание! Таблица ниже содержит значения для встроенной учетной записи администратора. Не следует путать эту учетную запись со встроенной группой безопасности Администраторы. Если с какими-либо из следующих прав запрета доступа, будет сопоставлена группа безопасности Администраторы, для исправления этой ошибки нужно будет выполнить локальный вход в систему. Кроме того, если встроенная учетная запись администратора была переименована в соответствии с рекомендациями, приведенными в главе 4, при ее сопоставлении со следующими правами пользователя нужно убедиться в том, что выбрана действительно переименованная учетная запись.

Таблица 5.8. Права пользователя, назначаемые вручную

Параметр

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Отказ в доступе к компьютеру из сети	Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе	Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе	Встроенная учетная запись администратора, Support_388945a0, Учетная запись гостя, все учетные записи служб, не относящихся к операционной системе
Отказ во входе в систему в качестве пакетного задания	Support_388945a0 и учетная запись гостя	Support_388945a0 и учетная запись гостя	Support_388945a0 и учетная запись гостя
Запретить вход в систему через службу терминалов	Встроенная учетная запись администратора; все учетные записи служб, не относящихся к операционной системе	Встроенная учетная запись администратора; все учетные записи служб, не относящихся к операционной системе	Встроенная учетная запись администратора; все учетные записи служб, не относящихся к операционной системе

Внимание! К понятию «все учетные записи служб, не относящихся к операционной системе» относятся учетные записи служб, используемые на предприятии для определенных приложений, КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ СЛУЖБА». Эти встроенные учетные записи используются операционной системой.

Службы каталогов

Контроллеры домена с Windows Server 2003 с пакетом обновления 1 (SP1) хранят данные каталогов и управляют взаимодействием пользователей и доменов, в том числе процессами входа пользователей в систему, проверки подлинности и поиска данных в каталогах.

Перемещение файлов баз данных и журналов Active Directory

Для поддержания целостности и надежности каталогов необходимо защищать базу данных Active Directory и ее файлы журналов.

Файлы Ntds.dit, Edb.log и Temp.edb можно переместить из папки по умолчанию в другое место. Это помогает скрыть их от злоумышленника на тот случай, если безопасность контроллера домена будет нарушена. Если переместить их с системного тома на отдельный физический диск, это к тому же повысит производительность контроллера домена.

Поэтому на контроллерах домена рекомендуется перемещать файлы базы данных и журналов Active Directory на чередующийся или чередующийся зеркальный том диска, не содержащий операционной системы. Это относится ко всем трем средам, рассматриваемым в данном руководстве.

Изменение размера файлов журналов Active Directory

Для эффективного контроля и поддержания целостности, надежности и готовности среды Active Directory необходимо собирать релевантные сведения в адекватном объеме на всех контроллерах домена в среде.

Выполнение этой задачи можно облегчить, увеличив максимальный размер файлов журналов. Дополнительные сведения в журналах могут помочь администраторам в проведении аудита при реагировании на атаки хакеров.

Во всех трех средах, рассматриваемых в данном руководстве, максимальный размер файлов журналов службы каталогов и службы репликации файлов рекомендуется увеличить на контроллерах домена со значения по умолчанию (512 КБ) до 16 МБ.

Использование программы Syskey

На контроллерах домена сведения о паролях хранятся в службе Active Directory. Программы взлома паролей часто используются для проведения атак на базу данных диспетчера учетных записей безопасности (SAM) или службы каталогов с целью получения паролей учетных записей пользователей.

Программа System Key (Syskey) обеспечивает дополнительную защиту от таких программ, работающих в автономном режиме. Для защиты паролей учетных записей, хранящихся в базе данных SAM на контроллере домена, программа Syskey использует алгоритмы надежного шифрования данных.

Таблица 5.9. Режимы работы программы Syskey

Параметр программы System Key

Уровень безопасности

Описание

Режим 1. Создаваемый системой пароль, хранить ключ запуска на локальном диске	Высокий	В качестве системного ключа используется создаваемый компьютером случайный ключ, зашифрованная версия которого сохраняется на локальном компьютере. Этот вариант обеспечивает надежное шифрование паролей в реестре и позволяет пользователям перезапускать компьютер без обращения к администратору с тем, чтобы он ввел пароль или вставил дискету.
Режим 2. Создаваемый администратором пароль, пароль запуска	Более высокий	В качестве системного ключа используется создаваемый компьютером случайный ключ, зашифрованная версия которого сохраняется на локальном компьютере. Кроме того, ключ защищается паролем, который выбирает администратор. Пароль системного ключа запрашивается у пользователя в ходе запуска компьютера. На компьютере этот пароль не хранится.
Режим 3. Создаваемый системой пароль, хранить ключ запуска на дискете	Самый высокий	Используется создаваемый компьютером случайный ключ, который сохраняется на дискете. Дискета с системным ключом необходима для запуска компьютера и должна быть вставлена в дисковод при отображении соответствующего приглашения в ходе запуска компьютера. На компьютере системный ключ не хранится.

Программа Syskey используется на всех серверах Windows Server 2003 с пакетом обновления 1 (SP1) в режиме 1 (зашифрованный ключ). С точки зрения безопасности это на первый взгляд кажется благоразумным. Однако при работе в режиме 1 программа Syskey позволяет злоумышленникам читать и изменять содержимое каталога, что делает контроллер домена легкой мишенью для злоумышленников, имеющих физический доступ к нему.

Есть много причин рекомендовать использовать программу Syskey в режиме 2 (консольный пароль) или режиме 3 (хранение пароля Syskey на дискете) на всех контроллерах домена, подвергающихся физическим угрозам. Однако необходимость перезапускать контроллеры домена затрудняет использование программы Syskey в режиме 2 или 3. Чтобы можно было воспользоваться преимуществами дополнительной защиты, обеспечиваемой этими режимами, в среде необходимо реализовать соответствующие операционные процессы для удовлетворения конкретных требований к доступности контроллеров домена.

Управление паролями Syskey или дискетами может быть довольно сложным, особенно в филиалах компаний. Например, если менеджерам филиала или локальным администраторам раз за разом приходится приезжать ночью в офис, чтобы ввести пароли или вставить дискету в дисковод для предоставления пользователям доступа к системе, связанные с этим расходы могут оказаться неприемлемо высокими. Такие строгие требования могут значительно затруднить выполнение соглашений об уровне обслуживания в контексте доступности систем.

С другой стороны, чтобы централизованное ИТ-отделение могло предоставлять пароли Syskey удаленно, необходимо дополнительное оборудование. Некоторые изготовители оборудования предлагают дополнительные решения, обеспечивающие удаленный доступ к консолям сервера.

Наконец, при утрате пароля Syskey или дискеты перезапустить контроллер домена будет невозможно. Нет никакого способа, позволяющего восстановить контроллер домена в такой ситуации. При утрате пароля Syskey или дискеты контроллер домена необходимо настраивать заново.

Тем не менее, если реализованы соответствующие операционные процедуры, программа Syskey позволяет надежнее защитить важные данные каталогов на контроллерах домена. По этим причинам на контроллерах домена без надежной физической защиты рекомендуется использовать программу Syskey в режиме 2 или 3. Это относится к контроллерам доменов во всех трех средах, описанных в данном руководстве.

Чтобы создать или обновить системный ключ, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите syskey и нажмите кнопку ОК.

2. Установите переключатель в положение Шифрование включено и нажмите кнопку Обновить.

3. Выберите в появившемся окне нужный вариант и нажмите кнопку ОК.

Служба DNS, интегрированная в Active Directory

Рекомендуется использовать во всех трех средах, описанных в данном руководстве, службу DNS, интегрированную в Active Directory. Одной из причин этого является то, что интеграция зон Active Directory упрощает обеспечение безопасности DNS-инфраструктуры в среде со службой DNS, интегрированной в Active Directory, в сравнении со средой, в которой служба DNS, интегрированная в Active Directory, не используется.

Защита DNS-серверов

В любой среде Active Directory крайне важно обеспечить безопасность DNS-серверов. В следующих разделах приводятся рекомендации и указания по поводу того, как это сделать.

При проведении атаки на DNS-сервер одной из целей злоумышленника может быть получение контроля над данными DNS, возвращаемыми в ответ на запросы DNS-клиентов. Если хакер контролирует эти данные, он может тайно перенаправить клиентские системы на неавторизованные компьютеры. Примерами атак этого типа могут служить подделка IP-адресов и заброс ложных данных в кэш.

При подделке IP-адресов пересылаемому пакету назначается IP-адрес авторизованного пользователя ради получения доступа к компьютеру или сети. Заброс ложных данных в кэш — это атака, при которой неавторизованный узел передает ложные сведения о другом узле, записываемые в кэш DNS-сервера. В результате клиенты перенаправляются к неавторизованным компьютерам.

Если клиентам разрешено взаимодействовать с неавторизованными компьютерами, пользователи этих компьютеров могут попытаться получить доступ к сведениям, хранящимся на клиентских системах.

Не все атаки направлены на подделку DNS-серверов. При некоторых атаках типа «отказ в обслуживании» злоумышленники могут попытаться изменить записи DNS на подлинных DNS-серверах, чтобы клиентам в ответ на их запросы предоставлялись неверные адреса. Если DNS-сервер будет возвращать неверные адреса, клиенты и серверы не смогут обнаружить ресурсы, нужные для их работы, такие как контроллеры домена, веб-серверы или общие папки.

Поэтому маршрутизаторы, используемые в трех средах, определенных в данном руководстве, настраиваются для отбрасывания поддельных IP-пакетов. Это помогает бороться с подделкой IP-адресов DNS-серверов другими компьютерами.

Настройка безопасных динамических обновлений

Клиентская служба DNS в Windows Server 2003 с пакетом обновления 1 поддерживает динамические обновления DNS, что позволяет клиентским компьютерам добавлять записи DNS непосредственно в базу данных. Если сервер динамической службы DNS настроен для приема незащищенных обновлений, злоумышленник может отправить ему вредоносные или несанкционированные обновления с клиентского компьютера, поддерживающего протокол динамического обновления DNS.

Как минимум, злоумышленник может добавить ложные записи в базу данных DNS. В худшем случае злоумышленник может перезаписать или удалить подлинные записи в базе данных DNS. Такой злоумышленник может добиться следующих результатов:

• Направить клиентские системы на неавторизованные контроллеры доменов. Когда клиент отправляет запрос DNS, чтобы определить адрес контроллера домена, DNS-сервер с нарушенной защитой может в соответствии с указаниями злоумышленника возвратить ему адрес неавторизованного сервера. Затем при помощи других атак, не связанных с DNS, злоумышленник может добиться передачи клиентом конфиденциальных сведений на неавторизованный сервер.

• Отправить в ответ на запрос DNS неверный адрес. В этом случае клиенты и серверы не смогут найти друг друга. Если клиент не может найти сервер, ему не удается получить доступ к каталогу. Если контроллер домена не может найти другой контроллер домена, репликация каталогов останавливается, что приводит к отказу в обслуживании, влияющему на пользователей во всем лесу.

• Создать условия для отказа в обслуживании. Хранение на сервере крупного файла зоны, заполненного бессмысленными записями или включающего большое количество записей, замедляющих репликацию, может привести к исчерпанию свободного места на диске сервера.

Использование безопасных динамических обновлений DNS гарантирует, что запросы на регистрацию будут обрабатываться только в том случае, если они получены от настоящих клиентов в лесу Active Directory. Это значительно затрудняет злоумышленнику нарушение целостности DNS-сервера.

По этим причинам во всех трех средах, определенных в данном руководстве, DNS-серверы Active Directory настраиваются так, чтобы принимать только безопасные динамические обновления.

Ограничение передач зоны авторизованными системами

Зоны имеют большое значение в DNS, поэтому они должны быть доступны более чем с одного DNS-сервера в сети. Это необходимо для обеспечения адекватной доступности и отказоустойчивости системы, обслуживающей запросы разрешения имен. Если зону обслуживают дополнительные серверы, для репликации и синхронизации всех копий зоны для каждого сервера, обслуживающего зону, необходимо выполнить передачу зоны.

Кроме того, DNS-сервер, который не ограничивает число узлов, способных запросить передачу зоны, уязвим перед передачей всей зоны DNS любому, кто ее запросит. Это можно легко сделать с помощью таких программ, как Nslookup.exe. Подобные средства могут предоставить доступ к набору данных DNS всего домена, в том числе к сведениям о том, какие узлы выполняют функции контроллеров домена или веб-серверов, интегрированных в каталог, либо обслуживают базы данных Microsoft SQL Server™.

Поэтому во всех трех средах, определенных в данном руководстве, для DNS-серверов, интегрированных в Active Directory, разрешается передача зон, но ограничивается диапазон компьютеров, которые могут запрашивать передачу зоны.

Изменение размера журнала событий и журнала службы DNS

Для эффективного контроля и обслуживания службы DNS необходимо собирать сведения в адекватном объеме на всех контроллерах домена в среде.

Чтобы администраторы могли эффективно проводить аудит в случае атаки, можно увеличить максимальный размер файла журнала службы DNS.

Во всех трех средах, описанных в данном руководстве, максимальный размер файла журнала службы DNS рекомендуется увеличить на контроллерах домена по меньшей мере до 16 МБ. Кроме того, следует убедиться в том, что для службы DNS задан параметр Затирать старые события по необходимости; это позволяет хранить в журнале больше записей.

Обеспечение безопасности известных учетных записей

Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».

На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов злоумышленниками, пытающимися использовать эту широко известную учетную запись.

Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя.

Чтобы защитить известные учетные записи в доменах и на серверах, выполняйте приведенные ниже рекомендации.

• Переименуйте учетные записи администратора и гостя в каждом домене и на каждом сервере, используйте длинные и сложные пароли.

• Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из рядовых серверов, сможет получить доступ и к остальным системам, где используется то же сочетание имени и пароля.

• Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.

• Храните записи сделанных изменений в безопасном месте.

Примечание. Встроенную учетную запись администратора можно переименовать с помощью групповой политики. Данный параметр политики не был реализован ни в одном из шаблонов безопасности, содержащихся в настоящем руководстве, так как каждая организация должна сама выбрать уникальное имя для данной учетной записи. Однако во всех трех средах, описанных в данном руководстве, параметр Учетные записи: переименование учетной записи администратора можно настроить так, чтобы учетным записям администраторов были присвоены другие имена. Этот параметр политики является одним из параметров безопасности объекта групповой политики.

Защита учетных записей служб

Без необходимости не настраивайте службы на запуск в контексте безопасности учетной записи домена. Имея физический доступ к серверу, пароли учетной записи домена очень просто получить, выгрузив секретные данные из LSA. Дополнительные сведения об укреплении безопасности учетных записей служб см. в руководстве по планированию обеспечения безопасности служб и служебных учетных записей по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (на английском языке).

Параметры служб терминалов

Таблица 5.10. Рекомендации по настройке параметров служб терминалов

Параметр по умолчанию

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Установить уровень шифрования для клиентских подключений	Высокий	Высокий	Высокий

Параметр Установить уровень шифрования для клиентских подключений определяет уровень шифрования клиентских подключений служб терминалов в среде. Значение Высокий, при котором используется 128-разрядное шифрование, предотвращает прослушивание сеансов служб терминалов с помощью анализатора пакетов. Некоторые старые версии клиентов служб терминалов не поддерживают этот уровень шифрования. Если сеть содержит такие клиенты, задайте для отправляемых и принимаемых данных самый высокий уровень шифрования, поддерживаемый клиентом.

В базовой политике контроллеров домена во всех трех средах, рассматриваемых в данном руководстве, параметру Установить уровень шифрования для клиентских подключений присваивается значение Включен и выбирается Высокий уровень шифрования.

В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе редактора объектов групповой политики:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\ Службы терминалов\Шифрование и безопасность

Три возможных уровня шифрования описаны в таблице ниже.

Таблица 5.11. Уровни шифрования подключений служб терминалов

Уровень шифрования

Описание

Высокий	Данные, отправляемые клиентом серверу и сервером клиенту, шифруются с использованием надежного 128-разрядного алгоритма. Используйте этот уровень, если сервер терминалов работает в среде, содержащей только 128-разрядные клиенты (такие как клиенты удаленного рабочего стола). Клиенты, не поддерживающие этот уровень шифрования, не смогут подключаться к серверу терминалов.
Совместимый с клиентским	Данные, пересылаемые между клиентом и сервером, шифруются с максимальной разрядностью ключа, поддерживаемой клиентом. Используйте этот уровень, если сервер терминалов работает в среде, в состав которой входят разные или устаревшие клиенты.
Низкий	Данные, отправляемые клиентом серверу, шифруются с использованием 56-разрядного алгоритма. Внимание! Данные, отправляемые сервером клиенту, не шифруются.

Отчеты об ошибках

Таблица 5.12. Рекомендации по настройке параметров отчетов об ошибках

Параметр

Среда устаревших клиентов

Среда корпоративных клиентов

Специальная безопасная среда с ограниченной функциональностью

Отключить отчеты об ошибках Windows	Включен	Включен	Включен

Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно настроить на создание отчетов об ошибках операционной системы, компонентов Windows или программ. Она имеется только в системах Windows XP Professional и Windows Server 2003.

Служба отчетов об ошибках может уведомить корпорацию Майкрософт об ошибках через Интернет или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом. Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по протоколу HTTP открытым текстом.

Параметр Отключить отчеты об ошибках Windows позволяет разрешить или запретить службе отчетов об ошибках передавать какие-либо данные.

В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе редактора объектов групповой политики:

Конфигурация компьютера\Административные шаблоны\Система\Управление связью через Интернет\Параметры связи через Интернет

Присвойте параметру Отключить отчеты об ошибках Windows значение Включен в базовой политике контроллеров домена для всех трех сред, определенных в данном руководстве.

Создание политики с помощью мастера настройки безопасности

Для развертывания необходимых параметров безопасности нужно создать базовую политику контроллеров домена с помощью мастера настройки безопасности и шаблонов безопасности, прилагаемых к версии данного руководства, которую можно загрузить из Интернета.

При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры политики будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности.

Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. При возможности, следует установить операционную систему на компьютер, оборудование которого соответствует использовавшемуся для внедрения, чтобы обеспечить максимальную совместимость. Компьютер с заново установленной операционной системой называется контрольным компьютером.

Создание базовой политики контроллеров домена

Для создания базовой политики контроллеров домена необходимо использовать компьютер, настроенный как контроллер домена. Можно использовать существующий контроллер домена или создать компьютер-образец и сделать его контроллером домена с помощью средства Dcpromo. Однако большинство организаций предпочитают не добавлять контроллер домена в рабочую среду, потому что это может нарушить политику безопасности. Если принято решение использовать существующий контроллер домена, не применяйте к нему никакие параметры с помощью мастера настройки безопасности и не изменяйте его конфигурацию.

1. Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows».

2. Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт Создать новую политику и укажите контрольный компьютер.

3. Убедитесь в том, что обнаруженные роли сервера подходят для среды. Не удаляйте роль файлового сервера, потому что она необходима для правильной работы контроллеров домена.

4. Убедитесь в том, что обнаруженные функции клиента подходят для среды.

5. Убедитесь в том, что обнаруженные административные возможности подходят для среды.

   Примечание. Если среда содержит контроллеры домена на разных сайтах, убедитесь в том, что задан параметр Почтовая репликация Active Directory.

6. Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы.

7. Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере.

8. Убедитесь в том, что в разделе «Безопасность сети» снят флажок Пропустить этот раздел, затем нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows.

   Примечание. Убедитесь в том, что задан параметр Порты, используемые системными RPC-приложениями.

9. В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.

10. В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.

11. Включите в политику подходящий шаблон безопасности (например EC-Domain Controller.inf).

12. Сохраните политику с подходящим именем (например Domain Controller.xml).

Проверка политики с помощью мастера настройки безопасности

После создания и сохранения политики, настоятельно рекомендуется развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами.

Для тестирования политики используются два способа. Можно воспользоваться встроенными функциями развертывания мастера настройки безопасности или развернуть политики с помощью объекта групповой политики.

Приступая к созданию политик, следует рассмотреть возможность использования встроенных средств развертывания мастера настройки безопасности. Принудительно отправить политику на отдельный сервер можно с помощью мастера настройки безопасности, для группы серверов можно использовать средство Scwcmd. Встроенный метод развертывания делает возможным откат примененных политик с помощью мастера настройки безопасности. Данная функция может быть очень полезна при внесении множественных изменений в политики в ходе тестирования.

Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д.

По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики.

Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве по развертыванию для мастера настройки безопасности по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx (на английском языке) и в документации по мастеру настройки безопасности по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).

Преобразование и развертывание политики

После всестороннего тестирования политики выполните следующие действия для ее преобразования в объект групповой политики и последующего развертывания.

1. введите в командной строке команду

   scwcmd transform /p:<путь_к_политике.xml> /g:<отображаемое_имя_GPO>

   и нажмите клавишу ВВОД. Пример.

   Примечание. Строка разбита на несколько строк для удобства чтения. Однако при использовании в системе необходимо ввести команды одной строкой без разрывов.

   scwcmd transform /p:"C:\Windows\Security\msscw\Policies\ Domain Controller.xml" /g:"Domain Controller Policy"

   Примечание. В приведенном примере текст, который необходимо ввести в командную строку, разбит на две части в связи с ограничениями экрана. Этот текст следует вводить одной строкой.

2. Свяжите с помощью консоли управления групповыми политиками созданный объект групповой политики с подразделением контроллеров домена и переместите его выше политики контроллеров домена по умолчанию, чтобы назначить ему наивысший приоритет.

Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт Брандмауэр Windows.

Помните, что для репликации созданного объекта групповой политики на все контроллеры доменов может потребоваться некоторое время, особенно если контроллеры доменов расположены на нескольких сайтах. Проверив, что репликация объекта групповой политики прошла успешно, выполните последнюю проверку: убедитесь в том, что нужные параметры политики вступили в силу, а функциональность систем не пострадала.

Заключение

В этой главе рассказано о том, как усилить защиту серверов контроллеров домена под управлением Windows Server 2003 с пакетом обновления 1 (SP1) в каждой из трех сред, описанных в данном руководстве. Большинство описанных в ней параметров политики настраиваются и применяются с помощью групповой политики. В этой главе также приведены сведения о том, как связать базовую политику контроллеров домена, дополняющую политику контроллеров домена по умолчанию, с подразделением контроллеров домена.

Параметры базовой политики контроллеров домена позволяют повысить общую надежность защиты контроллеров домена в любой среде. Использование двух объектов групповой политики для обеспечения безопасности контроллеров домена позволяет оставить среду по умолчанию без изменений и упрощает устранение неполадок.

Некоторые из описываемых в этой главе параметров нельзя применить с помощью групповой политики. Для этих параметров приведены инструкции по их настройке вручную.

После настройки параметров безопасности контроллеров домена можно позаботиться об обеспечении безопасности других ролей сервера. Именно этому и посвящены следующие главы данного руководства.

Дополнительные сведения

Следующие ссылки указывают на материалы с дополнительными сведениями об усилении защиты контроллеров домена с Windows Server 2003 с пакетом обновления 1 (SP1).

Загрузить

Загрузить руководство по безопасности Windows Server 2003 (на английском языке)

Уведомления об обновлении

Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках

Обратная связь

Присылайте свои комментарии и предложения

technet.microsoft.com

Восстановление службы репликации файлов NTFRS

ПРОБЛЕМА

Если на контроллере домена по каким-то причинам пропал общий ресурс SYSVOL и в журнале пишется предупреждение: ----Служба репликации файлов просматривает данные на системном томе. Компьютер SERVER1 не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL.  Для проверки ресурса SYSVOL введите в командной строке: net share  Когда служба репликации файлов завершит процесс сканирования, на экране появится общий ресурс SYSVOL.  Инициализация системного тома может занять некоторое время. Это время зависит от объема системного тома.----

или

-------Служба репликации файлов обнаружила, что набор реплик "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" находится в JRNL_WRAP_ERROR. Имя набора реплик : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"Путь к корню реплики : "C:\winnt\sysvol\domain"Том корня реплики : "\\.\C:"Набор реплик попадает в JRNL_WRAP_ERROR, когда запись, которую пытаются прочесть из USN-журнала NTFS, не найдена. Это может произойти по одной из следующих причин. [1] Том "\\.\C:" был отформатирован.[2] Удален USN-журнал NTFS на томе"\\.\C:".[3] USN-журнал NTFS на томе"\\.\C:" был урезан. Программа Chkdsk может урезать журнал, если она находит поврежденные записи в конце журнала.[4] Служба репликации файлов в течение долгого времени не работала на этом компьютере.[5] Службе репликации файлов не удалось сохранить уровень активности дискового ввода/вывода на "\\.\C:". Присвоение параметру системного реестра "Enable Journal Wrap Automatic Restore" значения 1 приведет к выполнению следующих автоматических шагов по восстановлению из данного ошибочного состояния.[1] Во время первого опроса, который происходит в течение 5 минут, этот компьютер будет удален из набора реплик. Если вы не хотите ждать 5 минут, выполните последовательно команды "net stop ntfrs" и "net start ntfrs" для перезапуска службы репликации файлов.[2] Во время следующего опроса, этот компьютер будет вновь добавлен к набору реплик. Повторное добавление компьютера инициирует полную синхронизацию дерева для данного набора реплик. ПРЕДУПРЕЖДЕНИЕ: В процессе восстановления данные в дереве реплик могут быть недоступны. Для предотвращения неожиданного прекращения доступа к данным службой автоматического восстановления в подобной ошибочной ситуации необходимо задать значение 0 для параметра системного реестра, описанного ранее. -------

или

-------Службе репликации файлов не удалось добавить этот компьютер к следующему набору репликации:     "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"  Это может быть вызвано следующими причинами:   --  недопустимый корневой путь,   --  отсутствующая папка,   --  отсутствующий дисковый том,   --  файловая система на этом томе не поддерживает NTFS 5.0,  Следующая информация может помочь при устранении проблем: DNS-имя компьютера - "server1.local" Имя набора репликации - "server1" Корневой путь набора репликации - "c:\windows\sysvol\domain" Путь конечной папки репликации - "c:\windows\sysvol\staging\domain" Путь рабочей папки репликации - "c:\windows\ntfrs\jet" Код ошибки Windows -  Код ошибки службы FRS - FrsErrorMismatchedJournalId  Другие сообщения журнала событий также могут помочь обнаружить неполадку. Устраните проблемы, и в последствии служба повторит попытку репликации автоматически.-------

или-------Служба репликации файлов находится неработоспособном состоянии. Файлы не будут реплицироваться из или в наборы репликации на этом компьютере до тех пор, пока не будут выполнены следующие шаги для ее восстановления: -------

то надо переходить к восстановлению службы NTFRS. РЕШЕНИЕ

Оригинальная статья на английском языкеhttp://support.microsoft.com/default.aspx?scid=kb;en-us;315457

Итак, чтобы восстановить SYSVOL службы NTFRS нужно проделать следующие шаги:

1.    Остановить службу репликации файлов.

Выполняем команду на всех контроллерах домена:

net stop ntfrs

2.    Выбрать главный контроллер домена.

Выберите из всех контроллеров какой-нибудь один, где меньше всего глюков, где мощнее сервер и широкий канал связи. Для нас он будет главным (reference domain controller). Он будет содержать все реплики, которые впоследствии распространятся на подчинённые контроллеры.

3.    Проверить структуру папок службы репликации файлов.

Проверяем структуру папок на всех контроллерах домена. \SYSVOL\SYSVOL\domain\SYSVOL\staging\domain\SYSVOL\staging areas\SYSVOL\domain\Policies\SYSVOL\domain\scripts\SYSVOL\SYSVOL Если каких-то папок нет, то создайте их вручную.

4.    Переместить реплики на главном контроллере.

На главном (авторитетном, опорном, эталонном, как больше нравится) контроллере домена переносим содержимое папок в укромное место на том же логическом разделе диска, чтобы не нарушить права и наследие прав в этих папках. Не удаляйте сами эти папки. Они должны остаться на месте и быть пустыми. Вот эти папки:

C:\WINDOWS\SYSVOL\domain C:\WINDOWS\SYSVOL\staging\domain

5.    Установить авторитетный режим главного контроллера домена. Для главного контроллера домена редактируем ключ в реестре типа DWord с именем BurFlags. Устанавливаем его значение равным D4 в разделе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID где GUID такой же как GUID в разделе:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

6.    Установить НЕ авторитетный режим вспомогательных контроллеров домена.

Для каждого из вспомогательных контроллеров домена редактируем ключ в реестре типа DWord с именем BurFlags. Устанавливаем его значение равным D2 в разделах:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUIDHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\

где GUID такой же как GUID в разделе:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

7.    Определить пути для сопряженных точек (junction points).

Определяем root и stage пути для точек сопряжения реплик на каждом контроллере домена.

ntfrsutl ds |findstr /i "root stage"

В ответ получаем 2 пути для сопряжения точек:

Root      : c:\windows\sysvol\domainStage     : c:\windows\sysvol\staging\domain

8.    Выполнить сопряжение root-точки.

Утилита linkd входит в комплект утилит Windows Resource Kit Tools.http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd

выполняем без кавычек

linkd C:\WINDOWS\sysvol\sysvol\domain.local source

где вместо domain.local нужно подставить имя вашего домена, а вместо source root-путь c:\windows\sysvol\domain, который выдала команда ntfrsutl.

В ответ получим:

Source  C:\WINDOWS\SYSVOL\SYSVOL\domain.local is linked toC:\WINDOWS\sysvol\domain

9.    Выполнить сопряжение stage-точки.

Утилита linkd входит в комплект утилит Windows Resource Kit Tools.http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd

выполняем с кавычками

linkd “C:\WINDOWS\sysvol\staging areas\domain.local” source

где вместо domain.local нужно подставить имя вашего домена, а вместо source stage-путь c:\windows\sysvol\staging\domain, который выдала команда ntfrsutl.

В ответ получим:

Source  C:\WINDOWS\SYSVOL\staging areas\domain.local is linked toC:\WINDOWS\sysvol\staging\domain

10.    Запустить службу репликации на главном контроллере домена. net start ntfrs

11.    Запустить службу репликации файлов на вспомогательных контроллерах домена. net start ntfrs12.    Вернуть реплики на главном контроллере.

Переместите содержимое папок, сохранённое на шаге №3, обратно в корневую папку службы репликации на главном контроллере.

C:\WINDOWS\SYSVOL\domain\ C:\WINDOWS\SYSVOL\staging\domain

13.    Проверяем в журнале событий Windows в разделе «Служба репликации файлов» на наличие событий:----Служба репликации файлов успешно добавила этот компьютер к следующему набору репликации:     "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"----

----Служба репликации файлов успешно добавила перечисленные ниже подключения к набору репликации:     "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"----

----Служба репликации файлов разрешила репликацию с <server1> на <server2> для c:\windows\sysvol\domain после нескольких повторных попыток.----

----Служба репликации файлов больше не препятствует компьютеру <server2> стать контроллером домена. Системный том был успешно инициализирован и служба NetLogon была уведомлена о том, что системный том подготовлен и к нему может быть открыт общий доступ как к общему ресурсу SYSVOL.  Введите команду "net share" чтобы проверить наличие общего ресурса SYSVOL.----14.    Проверяем результат на всех контроллерах домена. net share

Если в результате выполнения команды net share видно наличие расшаренных папок Netlogon и Sysvol, значит восстановление NTFRS успешно завершено.

15.    Мониторинг состояния службы NTFRS.

Установите программу Ultrasound и периодически мониторьте состояние службы на своих контроллерах домена.http://www.microsoft.com/downloads/en/details.aspx?FamilyID=61acb9b9-c354-4f98-a823-24cc0da73b50&amp;displaylang=en

diflyon.livejournal.com

---

Смотрите также

• 
  Журнал готовим в мультиварке
• 
  Как нумеруется журнал регистрации
• 
  Вак журнал фундаментальные исследования
• 
  Журналы юбиляры 2018 года
• 
  Читать журнал онлайн джульетта
• 
  Журнал вера и разум
• 
  Электронный журнал пушкиногорская школа
• 
  Живой журнал как удалить
• 
  Интернет журнал как открыть
• 
  Журнал корея северная корея
• 
  Ндс статьи в журналах