Issue ===== When running dcdiag after joining a Win2k12r2 DC to a Samba-AD 4.11.4, dcdiag is complaining that it is missing an attribute msDS-SD-Reference-Domain. DCDiag output (sorry, in French...): Exécution de tests de partitions sur ForestDnsZones Démarrage du test : CheckSDRefDom Un domaine de référence du descripteur de sécurité est manquant dans la partition de l'annuaire d'applications DC=ForestDnsZones,DC=testing,DC=lan. L'administrateur doit définir l'attribut msDS-SD-Reference-Domain de l'objet de référence croisée CN=9f1266fd-c713-4ebe-8e04-85f06008c5a7,CN=Partitions,CN=Configuration,DC=testing,DC=lan sur le nom unique d'un domaine. ......................... Le test CheckSDRefDom de ForestDnsZones a échoué Démarrage du test : CrossRefValidation ......................... Le test CrossRefValidation de ForestDnsZones a réussi Exécution de tests de partitions sur DomainDnsZones Démarrage du test : CheckSDRefDom Un domaine de référence du descripteur de sécurité est manquant dans la partition de l'annuaire d'applications DC=DomainDnsZones,DC=testing,DC=lan. L'administrateur doit définir l'attribut msDS-SD-Reference-Domain de l'objet de référence croisée CN=7fe9de7e-38f9-4af7-aa92-0eb8537deecd,CN=Partitions,CN=Configuration,DC=testing,DC=lan sur le nom unique d'un domaine. ......................... Le test CheckSDRefDom Fixing ====== Adding msDS-SD-Reference-Domain attribute with the baseDN (here dc=testing,dc=lan) on the following two entries fix the issue: ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs '(dnsroot=ForestDnsZones.testing.lan)' dn # record 1 dn: CN=9f1266fd-c713-4ebe-8e04-85f06008c5a7,CN=Partitions,CN=Configuration,DC=testing,DC=lan ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs '(dnsroot=DomainDnsZones.testing.lan)' dn # record 1 dn: CN=7fe9de7e-38f9-4af7-aa92-0eb8537deecd,CN=Partitions,CN=Configuration,DC=testing,DC=lan After adding the two attributes, DCDiag is no more complaining about the CheckSDRefDom test.