Ошибка (1825) a security package specific error occurred
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлой статье я вам показал, как вы сами можете узнать на каком движке работает нужный вам сайт, там были рассмотрены простые действия позволяющие получить данную информацию. Идем далее и сегодня поговорим про инфраструктурную тему связанную с интересной ошибкой на одном из моих новых контролеров домена, звучит она вот так "(1825) a security package specific error occurred". Информации по ней мало, так что моя шпаргалка окажется весьма полезной для других коллег.
Описание ошибки 1825
У меня идет процесс миграции с операционной системы Windows Server 2019 на Windows Server 2022, это обычный цикл жизни, все обновляется и не стоит на месте. После установки нового контроллера домена идет процесс репликации в рамках леса, для определения проблем с репликой используется команда:
в результате выполнения команды я увидел для себя новую ошибку с которой никогда ранее не встречался:
(1825) a security package specific error occurred
Если вы обратите внимание, то в fail не все 34 попытки, а только 9, это 26%. При попытке создать на таком контроллере домена любой объект компьютера или пользователя на других контроллерах он не появлялся, что говорит о проблемах с репликой. Другие контроллеры между собой нормально синхронизировались.
Как устранять ошибку security package specific error occurred
- 1️⃣Первым делом в любой ситуации всегда начинаем с изучения логов Windows, для этого открываем всеми известный планировщик событий. Там в журнале DFS Replication я обнаружил вот такую ошибку:
ID6104: The DFS Replication service failed to register the WMI providers. Replication is disabled until the problem is resolved. Additional Information: Error: 2147749902 (100e)
В журнале DNS Server была ошибка:
ID 7691: DNS service started with less privileges as KDC is unavailable at the moment. It is advisable to restart the service, otherwise some records from AD zones may not be accessible to the DNS service.
Обязательно проверьте статус службы DNS, через PowerShell выполнив команду: Get-Service dnscache и Get-Service dns. Везде должно быть Running
- 2️⃣ Из логов пока не понятно в чем дело, поэтому переходим дальше. Если на сервере используется антивирусное решение, то я на время советую его выключить согласовав это с вашим отделом ИБ.
- 3️⃣Мне отключение Касперского не помогло, поэтому разбираемся дальше. Зайдите на другие контроллеры домена и от них проверьте, что отвечают основные порты Activr Directory на новом контроллере домена, список можно найти по ссылке. Тестировать порты лучше всего через PowerShell, так как он идет под капотом без установки дополнительных компонентов. У меня все порты отвечали.
- 4️⃣Далее я вам советую проверить какие групповые политики применяются к вашему контроллеру домена. Для этого выполните в командной строке:
gpresult /r /scope:computer
В результате я увидел, что у меня не применилась политика, которая фильтровалась по группе безопасности
Подробнее, как диагностировать почему не применяется групповая политика к компьютеру или пользователю читайте по ссылке
Открыв оснастку ADUC и перейдя на вкладку списка групп, членом которых должен был быть данный DC, у него не хватало вот такой группы.
В результате изучения политики я понял, что у конкретного контроллера домена не хватало прав на то, чтобы записать в журналы безопасности и приложения. В GPO политике была фильтрация в разделах:
Windows Components/Event Log Service/Application и Windows Components/Event Log Service/Security по SID, где среди списка и фигурировала данная группа безопасности в которую контроллер домена просто не входил.
Я уже сталкивался с таким поведение, но тогда я не мог запускать службы SQL Agent получая ошибку "error 1069 the service did not start".
Через минут 5 все реплики успешно отработали, чему я был несказанно рад.
Так же может быть интересно - tid:OIP страницы в индексе
- 5️⃣ Попробуйте воспользоваться утилитой DCDiag, это очень крутое средство диагностики Active Directory.
dcdiag /c /v /e /q и dcdiag /test:DNS
Бывает, что DCOM не смог связаться с вашими DNS серверами, и /test:DNS покажет это. Еще можно попробовать:
net stop netlogon
net stop dns
ipconfig /flushdns
net start dns
net start netlogon
- 6️⃣Убедитесь, что все необходимые службы, такие как "Remote Procedure Call (RPC)", "Windows Management Instrumentation" и "DFS Replication", запущены и работают корректно.
Перерегистрация WMI библиотек
Если вы убедились, что никакая политика или антивирусное решение не блокирует ваши компоненты, то можно попробовать решить ошибку "ID6104: The DFS Replication service failed to register the WMI providers" попытавшись произвести повторную регистрацию DLL библиотеки связанные с DFS-R. Откройте командную строку в режиме администратора и выполните вот эти просты команды:
CD %windir%\system32\wbem
mofcomp dfsrprov.mof
mofcomp dfsrprov.mfl
wmiprvse /regserver
net stop dfsr
net start dfsr
- CD %windir%\system32\wbem - Эта команда изменяет текущую директорию на папку wbem, которая находится в каталоге Windows (обычно C:\Windows\System32\wbem). %windir% — это переменная среды, указывающая на каталог Windows.
- mofcomp dfsrprov.mof - Команда компилирует файл dfsrprov.mof, который содержит определения классов и свойств для Windows Management Instrumentation (WMI). MOF-файлы используются для описания структур данных, которые WMI может использовать.
- mofcomp dfsrprov.mfl - Аналогично предыдущей команде, эта команда компилирует файл dfsrprov.mfl, который обычно содержит информацию о зависимости и порядке компиляции для MOF-файлов.
- wmiprvse /regserver - Регистрирует WMI провайдер, который отвечает за управление взаимодействием с WMI. wmiprvse — это процесс, который обрабатывает запросы к WMI.
- net stop dfsr - Останавливает службу DFS Replication (Distributed File System Replication). Это необходимо, например, перед внесением изменений в конфигурацию службы.
- net start dfsr - Запускает службу DFS Replication снова после того, как она была остановлена. Это позволяет применить изменения или обновления конфигурации.
Если не помогло, то можно перерегистрировать все библиотеки в данной папке
CD %windir%\system32\wbem
For /f %s in (‘dir /b /s *.dll’) do regsvr32 /s %s
for /f %s in (‘dir /b *.mof *.mfl’) do mofcomp %s
wmiprvse /regserver
net stop dfsr
net start dfsr
Восстановление Windows Management Instrumentation (WMI)
Команда winmgmt используется для управления Windows Management Instrumentation (WMI) в операционных системах Windows. WMI предоставляет интерфейс для доступа к информации о системе, включая конфигурацию оборудования, состояние программ и другие данные.
Попробуйте восстановить WMI, выполнив команду:
winmgmt /salvagerepository
- Если это не поможет, вы можете попробовать перерегистрировать WMI:
winmgmt /resetrepository
Надеюсь, что вам помогли мои мысли и опыт и вы смогли починить репликацию между контроллерами домена. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.