Всем добрый день.
Помогите найти ответ на вопос.
Вначале предыстория.
Стоял контроллер домена на Win2003 Standart Edition Eng+Mui (номер SP не помню). Назовем его PC1. Держал все роли, полюс DNS и DHCP.
В один прекрасный момент наступила необходимость перейти на Win2003 Enterpise Edition SP1 R2 Rus.
Поднял поднял еще один контроллер домена (на PC2), передал на него все роли, перенес DNS, старый контроллер домена понизил и снес. В какой-то момент на новом контроллере домена стала вылезать в журнале приложений ошибка:
Код:
Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 01.12.2007
Время: 20:30:47
Пользователь: Н/Д
Компьютер: PC2
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 :
Именам пользователей не сопоставлены коды защиты данных.
Справка по данному вопросу размещена на веб-узле http://support.microsoft.com.
Запросите "troubleshooting 1202 events".
Ошибка 0x534 происходит, когда учетная запись пользователя в одном или
нескольких объектах групповой политики (GPOs) не может быть разрешена в SID.
Данная ошибка могла возникнуть в результате опечатки или удаления учетной
записи из раздела объектов групповой политики. Чтобы разрешить данное
событие, обратитесь к администратору домена для выполнения следующего:
1. Определить учетные записи, которые не могут быть разрешены в SID:
В командной строке введите:
FIND /I "Не удается найти" %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за "Не удается найти" в результирующей информации
FIND определяет проблемные имена учетных записей.
Пример: Не удается найти JohnDough.
In this case, the SID for username "JohnDough" could not be determined.
This most likely occurs because the account was deleted, renamed, or is
spelled differently (e.g. "JohnDoe").
2. Используйте RSoP для определения специальных прав пользователя,
групп ограничений и источника GPO, содержащих проблемные учетные записи:
a. Пуск -> Выполнить -> RSoP.msc
b. Просмотрите результаты Конфигурация компьютера\Конфигурация Windows\
\Параметры безопасности\Локальные политики\Назначение прав пользователя и
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные
политики\Группы с ограниченным доступом на наличие ошибок. помеченных красным X.
c. Для каждого помеченного красным Х ресурса из Прав пользователей или Групп
с ограниченным доступом будет выведена соответствующая GPO, содержащая параметры
проблемной политики, в столбце с названием "Источник GPO". Обратите внимание на
специальные Права пользователей, Группы с ограниченным доступом и содержащие
and Источник GPO, которые создают ошибки.
3. Чтобы удалить неразрешенные учетные записи из групповой политики
a. Пуск -> Выполнить -> MMC.Exe
b. В меню Файл выберите команду "Добавить или удалить оснастку..."
c. В диалоге "Добавить или удалить оснастку" выберите "Добавить..."
d. В диалоге "Добавить изолированную оснастку" выберите "Групповая политика
(RSoP)"и нажмите "Добавить"
d. В диалоге "Выбрать объект групповой политики" нажмите кнопку "Обзор".
d. В диалоге "Поиск объекта групповой политики" выберите вкладку "Все"
g. Для каждого исходного объекта GPO, определенного в шаге 2, исправьте Права
пользователей или Группы с ограниченным доступом, отмеченные красным Х. Данные
Права пользователя или Группы с ограниченным доступом можно исправить, удалив или
исправив проблемные учетные записи, обнаруженные в шаге 1.
Дополнительные сведения можно найти в центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".
Заметил я ее в тот момент, когда пытался поднять новый контроллер домена на PC1_new (PC1 с новой ОС)
Даже скорее не заметил, а ткнулся в нее с разбега - при попытке поднять контроллер домена (при уже существующем на PC2) мне вдруг было отказано в правах на добавление нового экземпляра Active Directory (вроде так было сказано).
При этом на PC1 появилась ошибка в журнале службы каталогов:
Код:
Тип события: Ошибка
Источник события: NTDS General
Категория события: Внутренняя обработка
Код события: 1168
Дата: 01.12.2007
Время: 21:02:15
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: PC1_new
Описание:
Внутренняя ошибка. Возникла ошибка Active Directory.
Дополнительные данные
Значение ошибки (десятичное):
-1073741823
Значение ошибки (шестнадцатеричное):
c0000001
Внутренний ID:
3000e54
Дополнительные сведения можно найти в центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".
или
Код:
Тип события: Ошибка
Источник события: NTDS General
Категория события: Внутренняя обработка
Код события: 1168
Дата: 01.12.2007
Время: 20:41:25
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: PC1_new
Описание:
Внутренняя ошибка. Возникла ошибка Active Directory.
Дополнительные данные
Значение ошибки (десятичное):
183
Значение ошибки (шестнадцатеричное):
b7
Внутренний ID:
3001183
Дополнительные сведения можно найти в центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".
Т.е. менялись только дополнительные данные
По ошибке с источником события: SceCli, кодом 1202 и описанием 0x534 нашел вот
это. Правда не понял как именно решать проблему. Проблемные учетные записи локализовал - это группы Администраторы и Операторы архива. В оснастке AD пользователи и компьютеры они отсутствовали.
Так как решения проблемы не нашел, то решил действовать по методу "А что будет если..."
Исходя из того, что изначально контроллер домена крутился на англоязычной оси, а затем был переведен на русскоязычную с сохранением англоязычных названий системных учетных записей и групп, решил переименовать проблемные записи. В соответствии с исходными англоязычными данными, на новом контроллере домена были группы Administrators и Backup operators. В свойствах этох групп изменил "Имя группы (Пред-Windows 2000)" на Администраторы и Операторы архива. Сразу после этого указанные ошибки в логах пропали и я без проблем ввел в домен еще один контролер домена, передал на него все роли, понизил и удалили из домена старый контроллер домена. В данный момент все работает нормально, критичных систематических ошибок в логах нет.
А теперь собственно сам вопрос - правильно ли я решил проблему? Если нет, и системные группы переименовывать нельзя, то как надо было действовать?
