ใครที่ดูแลระบบ Active Directory แล้วรันคำสั่ง dcdiag อาจจะเจอ error เกี่ยวกับ NCSsecDesc ตามตัวอย่างด้านล่าง

Starting test: NCSecDesc
  Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
      Replicating Directory Changes In Filtered Set
  access rights for the naming context:
  DC=ForestDnsZones,DC=company,DC=co,DC=th
  Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
      Replicating Directory Changes In Filtered Set
  access rights for the naming context:
  DC=DomainDnsZones,DC=company,DC=co,DC=th
  ......................... SERVER01 failed test NCSecDesc

อ้างอิงจาก Microsoft KB967482 ไม่ต้องตกใจนะครับ มันเป็น error ที่จะเกิดขึ้นเมื่อไม่ได้รัน adprep /rodcprep ซึ่งถ้าคุนไม่ได้ใช้ read only domain controller (RODC) ก็สามารถปล่อยข้าม error นี้ได้

แต่ถ้าไม่สบายใจอยากให้มันหายไปเลยก็สามารถทำได้โดย เพิ่ม permission ให้กับ ENTERPRISE DOMAIN CONTROLLERS ให้มีสิทธิ์ Replicating Directory Changes In Filtered Set ที่ DC=ForestDnsZones,DC=company,DC=co,DC=th และ DC=DomainDnsZones,DC=company,DC=co,DC=th ได้ตามรูปข้างล่างครับ

1) เปิด ADSI Edit แล้วใส่ Connection Point ไปที่ DC=ForestDnsZones,DC=company,DC=co,DC=th จากนั้นกด OK
DCDIAG_NCSecDesc_Fail_1

2) ขยาย แล้วคลิ๊กขวาที่ ForestDnsZones เลือก Properties
DCDIAG_NCSecDesc_Fail_2

3) ไปที่ tab Security เลื่อนกรุ๊ปลงมาจนเจอ ENTERPRISE DOMAIN CONTROLLERS แล้วเลื่อน permission ลงมาจนเจอ Replicating Directory Changes In Filtered Set ให้ติ๊กถูกด้านหน้า
DCDIAG_NCSecDesc_Fail_3

4) ทำซ้ำข้อ 1-3 กับ DC=DomainDnsZones,DC=company,DC=co,DC=th

5) เมื่อรัน dcdiag อีกครั้งก็จะไม่พบ error แล้ว

Starting test: NCSecDesc
  ......................... SERVER01 passed test NCSecDesc

Credit: Microsoft TechNet Social DCDIAG – NCSecDesc error

Advertisement