Category: Active Directory


ในการทำระบบ Active Directory เรามักจะสร้าง domain controller อย่างน้อย 2 เครื่องเพื่อให้ระบบมี high availability ที่สูงขั้น เผื่อเครื่องหนึ่งหยุดทำงานระบบจะได้ไม่หยุดชะงัก และในบางครั้งที่หน่วยงานมีการทำ security ในคอนเซป least privilege คือไม่ยอมให้ account Administrator แต่ให้สร้างเป็น account ธรรมดาที่มีสิทธิ์ขั้นต่ำแค่ promote domain controller ได้เท่านั้น สามารถทำได้โดยเพิ่ม account ดังกล่าวเข้าในกรุ๊ปดังต่อไปนี้

  • Domain Admins
  • Enterprise Admins
  • Schema Admins

แต่อย่างไรก็ตาม account ดังกล่าวก็ยังไม่สามารถ login เข้าไปในเครื่อง domain controller เพื่อตรวจสอบการทำงานหลังจาก promote ได้ เพื่อให้ login ได้จำเป็นต้องเพิ่มอีก 1 กรุ๊ปคือ

  • Administrators

สังเกตุว่าถ้าเป็นกรุ๊ปจะมี “s” ต่อท้าย แต่ถ้าเป็นผู้ใช้งาน (คน) จะไม่มี “s” เช่น Administrators กับ Administrator

รูปข้างล่างแสดง tab Member Of ซึ่งจะบอกได้ว่าอยู่ในกรุ๊ปไหนบ้างMinimum_Privilege_to_Promote_Domain_Controller_1
สำหรับ Domain Users จะเป็นกรุ๊ปที่ถูกเพิ่มโดยอัตโนมัติเวลาสร้างผู้ใช้งานใหม่

Advertisement

ใครที่ดูแลระบบ Active Directory แล้วรันคำสั่ง dcdiag อาจจะเจอ error เกี่ยวกับ NCSsecDesc ตามตัวอย่างด้านล่าง

Starting test: NCSecDesc
  Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
      Replicating Directory Changes In Filtered Set
  access rights for the naming context:
  DC=ForestDnsZones,DC=company,DC=co,DC=th
  Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
      Replicating Directory Changes In Filtered Set
  access rights for the naming context:
  DC=DomainDnsZones,DC=company,DC=co,DC=th
  ......................... SERVER01 failed test NCSecDesc

อ้างอิงจาก Microsoft KB967482 ไม่ต้องตกใจนะครับ มันเป็น error ที่จะเกิดขึ้นเมื่อไม่ได้รัน adprep /rodcprep ซึ่งถ้าคุนไม่ได้ใช้ read only domain controller (RODC) ก็สามารถปล่อยข้าม error นี้ได้

แต่ถ้าไม่สบายใจอยากให้มันหายไปเลยก็สามารถทำได้โดย เพิ่ม permission ให้กับ ENTERPRISE DOMAIN CONTROLLERS ให้มีสิทธิ์ Replicating Directory Changes In Filtered Set ที่ DC=ForestDnsZones,DC=company,DC=co,DC=th และ DC=DomainDnsZones,DC=company,DC=co,DC=th ได้ตามรูปข้างล่างครับ

1) เปิด ADSI Edit แล้วใส่ Connection Point ไปที่ DC=ForestDnsZones,DC=company,DC=co,DC=th จากนั้นกด OK
DCDIAG_NCSecDesc_Fail_1

2) ขยาย แล้วคลิ๊กขวาที่ ForestDnsZones เลือก Properties
DCDIAG_NCSecDesc_Fail_2

3) ไปที่ tab Security เลื่อนกรุ๊ปลงมาจนเจอ ENTERPRISE DOMAIN CONTROLLERS แล้วเลื่อน permission ลงมาจนเจอ Replicating Directory Changes In Filtered Set ให้ติ๊กถูกด้านหน้า
DCDIAG_NCSecDesc_Fail_3

4) ทำซ้ำข้อ 1-3 กับ DC=DomainDnsZones,DC=company,DC=co,DC=th

5) เมื่อรัน dcdiag อีกครั้งก็จะไม่พบ error แล้ว

Starting test: NCSecDesc
  ......................... SERVER01 passed test NCSecDesc

Credit: Microsoft TechNet Social DCDIAG – NCSecDesc error