Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?

Question

[dan13lz]

Добрый день, коллеги. Настраиваем сбор логов по типу события Security с DC2 на DС1.
DC1 будет связываться с DC2 и забирать нужные события в логе Security по типу подписки "Инициировано сборщиком". В подписке устанавливаем "Учетная запись компьютера" или пробуем доменную учетку с админскими правами с добавлением учеток в группу "Читатели журнала событий" (S-1-5-32-573).
Столкнулись с ошибкой 0x138c. Интернет говорит, что ошибка вызвана отсутствием прав у учётки "NETWORK SERVICE" и должна исправляться добавлением прав через команду, где S-1-5-20 идентификатор учётки сетевой службы, однако это не помогает.
Команда:
wevtutil sl security /ca:O:BAG:SYD:"(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)"

Текст ошибки:
"[DC1.stroyterminal.local] - Ошибка - Время последнего повтора: 07.04.2024 20:43:38. Код (0x138C): Windows Event Forward plugin can't read any event from the query since the query returns no active channel. Please check channels in the query and make sure they exist and you have access to them. Время следующей попытки: 07.04.2024 21:43:38. "

Ссылка на рекомендации по устранению ошибки от Microsoft: "https://learn.microsoft.com/ru-ru/troubleshoot/win..."

Comments

[MaxKozlov]

Так 5004 на исходном компе есть ?

на исходном компе

Get-Acl HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security

показывает в Access разрешения для "NETWORK SERVICE" ?

пробуем доменную учетку с админскими правами с добавлением учеток в группу "Читатели журнала событий" (S-1-5-32-573)

Это на каком из компов делалось ?

[Роман Безруков]

все нужные порты открыты между контроллерами?
вот еще почитать - Создание подписки на события

[dan13lz]

MaxKozlov, 5004 ошибки нет.

Добавляли права на обоих DC.
Повторяю команду:

wevtutil sl security /ca:O:BAG:SYD:"(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)"

-никаких ошибок не выдаёт, в powershell как будто всё отработало успешно, но сейчас вижу в выводе "wevtutil gl security" - отсутствуют права на учётку сетевой службы:

PS C:\Windows\system32> wevtutil gl security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)

Что любопытно, "S-1-5-32-573" идентификатор группы "Читатели журнала событий", т.е. по идеи у членов этой группы должен быть доступ к данному логу, добавил в группу NETWORK SERVICE, но не помогло :(

[dan13lz]

Роман Безруков,
Вроде всё открыто, проблема похоже действительно в channelAccess.

DC1

spoiler

PS C:\Windows\system32> Get-Service -Name 'Wecsvc' | fl *
Name                : Wecsvc
RequiredServices    : {Eventlog, HTTP}
CanPauseAndContinue : False
CanShutdown         : True
CanStop             : True
DisplayName         : Сборщик событий Windows
DependentServices   : {}
MachineName         : .
ServiceName         : Wecsvc
ServicesDependedOn  : {Eventlog, HTTP}
ServiceHandle       : SafeServiceHandle
Status              : Running
ServiceType         : Win32OwnProcess, Win32ShareProcess
StartType           : Automatic
Site                :
Container           :

PS C:\Windows\system32> Test-NetConnection -ComputerName 'localhost' -Port 5985
ComputerName     : localhost
RemoteAddress    : ::1
RemotePort       : 5985
InterfaceAlias   : Loopback Pseudo-Interface 1
SourceAddress    : ::1
TcpTestSucceeded : True

DC2

spoiler

PS C:\Windows\system32> Get-Service -Name 'Wecsvc' | fl *
Name                : Wecsvc
RequiredServices    : {Eventlog, HTTP}
CanPauseAndContinue : False
CanShutdown         : True
CanStop             : True
DisplayName         : Сборщик событий Windows
DependentServices   : {}
MachineName         : .
ServiceName         : Wecsvc
ServicesDependedOn  : {Eventlog, HTTP}
ServiceHandle       : SafeServiceHandle
Status              : Running
ServiceType         : Win32ShareProcess
StartType           : Automatic
Site                :
Container           :

PS C:\Windows\system32> Test-NetConnection -ComputerName 'localhost' -Port 5985
ComputerName           : localhost
RemoteAddress          : ::1
RemotePort             : 5985
InterfaceAlias         : Loopback Pseudo-Interface 1
SourceAddress          : ::1
PingSucceeded          : True
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded       : True

[Роман Безруков]

dan13lz, c DC2 потыкайте DC1 с помощью Test-NetConnection -ComputerName 'DC1' -Port 5985
и наоборот - с DC1 потыкайте DC2...
результаты какие?

[Роман Безруков]

dan13lz, а у вас групповыми политиками ничего не отменяется? это же контроллеры домена, и у них отдельная политика (Default Domain Controller Policy)...

[MaxKozlov]

dan13lz, Надеюсь, вы из под администратора выполняете "wevtutil sl security" ?
"NETWORK SERVICE" добавлять в группу бесполезно, насколько я знаю (могу ошибаться, конечно)

а проверять доступ надо не самого себя(тут файрвол не влияет), а с другого компа

DC1> Test-NetConnection -ComputerName 'dc2' -Port 5985
DC2> Test-NetConnection -ComputerName 'dc1' -Port 5985

На странице от Роман Безруков в тексте почему-то localhost, но на скриншотах именно удалённый комп

Отсутствие же 5004 говорит, что скорее проблема не на отправляющем, а на принимающем компе