В домене 2 контроллера. Один на базе Windows 2003, второй – Windows 2008 R2. Перед установкой второго контроллера лес и домен подготавливались в том числе и под установку RODC, как это описано здесь. На момент установки RODC роль PDC Emulator находилась на контроллере домена с Windows 2008 R2.
Пытаемся поставить RODC. Роль ADDS ставится без проблем. При запуске dcpromo получаем ошибку о том, что нет прав на репликацию раздела Configuration AD. На контроллере домена с ролью PDC Emulator при этом в логи падает ошибка 1699:
Log Name: Directory Service Source: ActiveDirectory_DomainService Event ID: 1699 Task Category: Replication Level: Error Description: This directory service failed to retrieve the changes requested for the following directory partition. As a result, it was unable to send change requests to the directory service at the following network address. Directory partition: CN=Configuration,DC=domain,DC=com Network address: xxx._msdcs.domain.com Extended request code: 0 Additional Data Error value: 8453 Replication access was denied.
На будущем RODC в лог dcpromo.log попадает следующее:
[INFO] Error - Active Directory Domain Services could not replicate the directory partition CN=Configuration,DC=domain,DC=com from the remote Active Directory Domain Controller dc.domain.com. (8453) [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1699 Internal error: An Active Directory Domain Services error has occurred. Additional Data Error value (decimal): -1073741790 Error value (hex): c0000022 Internal ID: 30014c7
Ошибка с0000022 указывает на отсутствие прав доступа:
D:Err>err c0000022
# for hex 0xc0000022 / decimal -1073741790 :
STATUS_ACCESS_DENIED ntstatus.h
# {Access Denied}
# A process has requested access to an object, but has not
# been granted those access rights.
Пробуем разобраться. В процессе работы adprep /rodcprep создаются ряд записей на права доступа к различным объектам. В частности, создаются права Replicate Directory Changes для группы Enterprise Read-Only Domain Controllers на корень домена, в который помещаем RODC, и на раздел конфигурации.
Следует помнить, что, группа Enterprise Read-Only Domain Controllers создается в следующих случаях:
- Первое перемещение роли PDC Emulator на контроллер домена на базе Windows 2008/2008 R2 в корневом домене леса.
- При попытке установки первого RODC.
Отсутствие прав на репликацию для группы Enterprise Read-Only Domain Controllers как раз и приводит к ошибке описанной выше. Проще всего удостовериться в этом используя утилиту ADSIEdit. Подключаемся к тому разделу AD, который не реплицируется на будущий RODC, на контроллер домена, который является PDC Emulator. Если нужных прав нет – добавляем их:
Статья, которая натолкнула на верное решение находится здесь.
Станислав, спасибо за статью, описанная проблема была одной из возникших и у меня при установке RODC.
Не за что!