web-dev-qa-db-ja.com

Windows Server2008R2ドメインコントローラー-失敗したテストVerifyReferences

Windows Server 2008R2エンタープライズドメインコントローラーでDCDIAGを実行しているときに、両方のDCで次のエラーメッセージが表示されました。

これらのドメインコントローラーは、Windows Server2003からWindowsServer 2008R2に移行され、SYSVOLは1年以上前にFRSからDFSRに正常に移行されました。

Share name   Resource                        Remark

-------------------------------------------------------------------------------
C$           C:\                             Default share
IPC$                                         Remote IPC
ADMIN$       C:\Windows                      Remote Admin
NETLOGON     C:\Windows\SYSVOL_DFSR\sysvol\xxx.local\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL_DFSR\sysvol   Logon server share
The command completed successfully.

2か月以上前に読み取り専用のドメインコントローラーが追加されましたが、このエラーメッセージが検出されたのは今だけです。

Virtual Domain Controller

 Starting test: VerifyReferences
    Some objects relating to the DC EDISON-DC0 have problems:
       [1] Problem: Missing Expected Value
        Base Object: CN=EDISON-DC0,OU=Domain_ControllersOU_(WSUS_Notify),OU=Domain Controllers,DC=xxx,DC=local
        Base Object Description: "DC Account Object"
        Value Object Attribute Name: frsComputerReferenceBL
        Value Object Description: "SYSVOL FRS Member Object"
        Recommended Action: See Knowledge Base Article: Q312862

    ......................... EDISON-DC0 failed test VerifyReferences

Physical Domain Controller

 Starting test: VerifyReferences
    Some objects relating to the DC BABBAGE have problems:
       [1] Problem: Missing Expected Value
        Base Object: CN=BABBAGE,OU=Domain_ControllersOU_(WSUS_Notify),OU=Domain Controllers,DC=xxx,DC=local
        Base Object Description: "DC Account Object"
        Value Object Attribute Name: frsComputerReferenceBL
        Value Object Description: "SYSVOL FRS Member Object"
        Recommended Action: See Knowledge Base Article: Q312862

    ......................... BABBAGE failed test VerifyReferences

Windows Server2012標準の読み取り専用ドメインコントローラー

Windows PowerShell Copyright(C)2012 MicrosoftCorporation。全著作権所有。

PS C:\ Windows\system32> dcdiag

ディレクトリサーバーの診断

初期設定の実行:ホームサーバーを検索しようとしています...ホームサーバー= xxx-RODC0 *識別されたADフォレスト。初期情報の収集が完了しました。

最初に必要なテストを行う

テストサーバー:xxx\xxx-RODC0テストの開始:接続性......................... xxx-RODC0はテストに合格しました接続性

一次テストを行う

テストサーバー:xxx\xxx-RODC0開始テスト:Advertising ......................... xxx-RODC0合格テストAdvertising開始テスト:FrsEvent .. .. ...................... xxx-RODC0がテストに合格しましたFrsEventテストの開始:DFSREvent................。 ....... xxx-RODC0合格テストDFSREvent開始テスト:SysVolCheck ......................... xxx-RODC0合格テストSysVolCheck開始テスト:KccEvent ......................... xxx-RODC0合格テストKccEvent開始テスト:KnowsOfRoleHolders...........。 ............ xxx-RODC0合格テストKnowsOfRoleHoldersテスト開始:MachineAccount ......................... xxx-RODC0合格テストMachineAccount開始テスト:NCSecDesc ......................... xxx-RODC0合格テストNCSecDesc開始テスト:NetLogons......。 ................. xxx-RODC0はテストに合格しましたNetLogonsテストの開始:ObjectsReplicated.....................。 .. xxx-RODC0合格テストObjectsReplicatedテストの開始:レプリケーション......................... xxx-RODC0合格テストReplicationsSta .. rtingテスト:サービス......................... xxx-RODC0合格テストサービス開始テスト:SystemLog.........。 .............. xxx-RODC0がテストに合格しましたSystemLogテストの開始:VerifyReferences ......................... xxx -RODC0はテストVerifyReferencesに合格しました

パーティションテストの実行:ForestDnsZonesテストの開始:CheckSDRefDom ......................... ForestDnsZonesはテストに合格しましたCheckSDRefDomテストの開始:CrossRefValidation.....。 .................. ForestDnsZonesはテストCrossRefValidationに合格しました

パーティションテストの実行:DomainDnsZonesテストの開始:CheckSDRefDom ......................... DomainDnsZonesはテストに合格しましたCheckSDRefDomテストの開始:CrossRefValidation.....。 .................. DomainDnsZonesはテストCrossRefValidationに合格しました

パーティションテストの実行:スキーマ開始テスト:CheckSDRefDom .........................スキーマ合格テストCheckSDRefDom開始テスト:CrossRefValidation.....。 ..................スキーマはテストCrossRefValidationに合格しました

パーティションテストの実行:構成開始テスト:CheckSDRefDom .........................構成に合格したテストCheckSDRefDom開始テスト:CrossRefValidation.....。 ..................構成はテストCrossRefValidationに合格しました

パーティションテストの実行:xxx開始テスト:CheckSDRefDom ......................... xxx合格テストCheckSDRefDom開始テスト:CrossRefValidation.....。 .................. xxxはテストCrossRefValidationに合格しました

エンタープライズテストの実行:xxx.local開始テスト:LocatorCheck ......................... xxx.local合格テストLocatorCheck開始テスト:サイト間.。 ...................... xxx.local合格テストIntersitePS C:\ Windows\system32>

エラーメッセージは、Windows Server2008R2ドメインコントローラーにのみ表示されます。

そこで、Domain_ControllersOU_(WSUS_Notify)OUからBABBAGEとEDISON-DC0を削除し、それらをDomain Controllers OUに戻し、DCDIAGコマンドを再実行することにしました。今回は、BABBAGEまたはEDISON-DC0のいずれかで失敗したテストVerifyReferencesに問題はありませんでした。

この問題は、ドメインコントローラーOU内で追加のOUを使用して、ドメインコントローラー用にWSUSを構成することに関連しているようです。

ドメインコントローラーOU内に2つのOUがありました

Domain_ControllersOU_(WSUS_Notify)-BABBAGE&EDISON-DC0 Domain_ControllersOU_(WSUS_Schedule)-RODC

これを解決して、2つの別々のWSUSポリシーを使用してDCとRODCにスケジュール@ 03:00でパッチを適用できるようにする方法について、ご意見をお聞かせください。

active-directorywindows-server-2008-r2windows-server-2012domain-controllerwsus
2
user216380

これは、2008 R2 RODCおよび関連するホットフィックスの既知のバグです ここにあります

昇格時に、RODCは自身のコンピューターアカウントのDFSR設定オブジェクトを作成できません(読み取り専用であるため)。そのため、別のDC)に作成を依頼する必要があります。

その後、RODCが新しく作成されたオブジェクトに属性値を書き込もうとしたが、(サーバーレスバインディングを使用して)最初から新しく作成されたDFSR設定オブジェクトをまだ複製していない別の書き込み可能なDC書き込み可能なDCを使用すると、バックリンクが欠落するなどの不整合が発生します。

3
Mathias R. Jessen