Dns имя на основе guid не зарегистрировано на одном или нескольких dns серверах
Получилось передать роли 2012 через утилиту - ntdsutil.exe
После передачи ролей запустил dcdisg:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = SRV-DC
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\SRV-DC
Запуск проверки: Connectivity
. SRV-DC - пройдена проверка Connectivity
Выполнение основных проверок
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: mccholding
Запуск проверки: CheckSDRefDom
. mccholding - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. mccholding - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: mccholding.local
Запуск проверки: LocatorCheck
. mccholding.local - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
. mccholding.local - пройдена проверка
Intersite
Перерегистрация не помогла.
Временно удалил службу ДНС со второго КД, на который не идет репликация. Смотрю в лог, вижу ошибку от AD:
Так, ДНС я удалил с URAN.
Теперь там есть только АД. На сетевых интерфейсах обоих КД указал в качестве праймари ДНС айпишник первого КД - CORE. Альтернативный ДНС сделал пустым.
При этом Active Directory сообщает о следующих ошибках:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.
Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в сети, введя команду "net view \\" или "ping ".
4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1) Исходный КД функционирует
2) Через net view/ping/nslookup новый КД находит старый. URAN находит CORE и наоборот
3) dcdiag /test:dns на CORE выполняется с успехом
4) Аналогично.
Есть у кого-нибудь идеи?
PID 1304 соответствует службе DNS. Больше PID'ов, слушающих 53 порт я не вижу.
registerdns провел, через 15 минут будет результат.
К сожалению, вчера ответа не дождался, поэтому кое что предпринял сам
- удалил ДНС на новом КД (W2K8) и настроил интерфейсы на использование ДНСа на первом КД.
- Проверил CNAME и А-запись на ДНС
- выполнил еще раз registerdns на обоих серваках и еще раз проверил записи в ДНС
- Запустил репликацию вручную из Active Directory - сайты и службы. Выполнял в обе стороны и выполнялось без ошибок. Однако, я доверяю всегда больше консолям =)
- Запустил репликацию через repadmin. Получил ошибку:
C:\Windows\system32>repadmin /showreps core
Default-First-Site-Name\CORE
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 9119974d-4c8a-412a-a0ad-86b357a72fc1
DSA - код вызова: 52996fa3-c22f-4074-b5b1-27d051a87957
При этом, dcdiag на новом КД выполняется теперь БЕЗ ошибок:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = uran
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\URAN
Запуск проверки: Connectivity
. URAN - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\URAN
Запуск проверки: Advertising
. URAN - пройдена проверка Advertising
Запуск проверки: FrsEvent
. URAN - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
. URAN - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. URAN - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. URAN - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. URAN - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. URAN - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. URAN - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. URAN - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. URAN - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. URAN - пройдена проверка Replications
Запуск проверки: RidManager
. URAN - пройдена проверка RidManager
Запуск проверки: Services
. URAN - пройдена проверка Services
Запуск проверки: SystemLog
. URAN - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. URAN - пройдена проверка VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: faeton
Запуск проверки: CheckSDRefDom
. faeton - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. faeton - пройдена проверка CrossRefValidation
netdom query fsmo показывает, что все пять ролей принадлежат первому, старому КД - CORE.
Ошибки при репликации между двумя КД
В сети существовало два КД на Windows Server 2003.
Итак, я наконец то собрался с силами и, отбросив лень, сел плавненько переезжать на 2008 Server R2 с 2003 Server R2, где крутилась АД в режиме работы леса и домена 2003.
Выполнил adprep для леса и домена, все прошло успешно.
Взял один из этих двух КД и переставил на нем ОСь на Windows Server 2008 R2.
Добавил машинку в домен, поднял роль АД. ДНС добавился автоматически. Открываю AD, смотрю на данные - вроде бы все замечательно отреплицировалось, даные перенеслись, новый, только что установленный сервак отображается в списке Контроллеров Домена.
Однако, решил прочитать журнал DNS на всякий пожарный и хорошо, что прочитал:
Тогда я занервничал и решил, что надо бы выполнить dcdiag, netdiag на только что полнятом КД. Не успел запустить dcdiag, как ошибки посыпались, первая из которых:
Как же тогда я вижу данные в АД все? и в ДНС?
Брандмауэр на серваке отлючен, пользователь обладает правами администратора.
Может быть я неверно указал настройки для ДНСов? Сейчас схема такая.
КД1 (с которого надо все стянуть на 2008 R2):
И вообще все, что связано с АД. я поднимаю только после установки и настройки DNS.
Правда не понятен откуда взят адрес 172.17.1.3?
И вообще все, что связано с АД. я поднимаю только после установки и настройки DNS.
Правда не понятен откуда взят адрес 172.17.1.3?
Хм. Как я только не пробовал выставлять айпишники, но так еще нет
Сделал так. Ошибки те же.
Отключил UAC, Брандмауэр отключил еще вчера. Антивирус/файрвол сторонний убил.
Проверил службу "Браузер Компьютеров" - была не запущена. Установил тип запуска - автоматом, саму службу запустил.
После всего этого ребутнул сервак. После ребута ошибки были те же. Открыл "AD - пользователи и компьютеры". Создал новую учетку. Кроме того изменил некоторые существующие записи - на КД1 изменения отобразились.
Запустил dcdiag на новом КД2, ниже привожу результат:
Дальше - больше. На КД1 dcdiag выплевывает исключительно ошибки репликации.
При этом оба сервака видят друг друга через nslookup.
Очень надеюсь на помощь.
А что у вас за сервер CORE это первое и второе на w2k3 все ли роли захвачены? Внимательнее просмотрите DNS, все записи, которые микрософтовские, т.е. зоны, начинающиеся с "_"и записи в них. ну и попробуйте снова зарегистрировать основной контроллер можно любым способом ipconfig /registersdns или перезапуском netlogon.
snorlov писал(а): А что у вас за сервер CORE это первое и второе на w2k3 все ли роли захвачены? Внимательнее просмотрите DNS, все записи, которые микрософтовские, т.е. зоны, начинающиеся с "_"и записи в них. ну и попробуйте снова зарегистрировать основной контроллер можно любым способом ipconfig /registersdns или перезапуском netlogon.
До этого было 2 КД, оба на w2k3. Один из них я понизил, переставил ОСь на 2008 Server и снова поднял АД, введя его в домен.
CORE - это старый КД на w2k3, все 5 ролей принадлежат ему.
NetLogOn перезапускал, эффект тот же. Сейчас попробую перезарегистрировать КД.
Имеет ли смысл переустановить службы AD на новом КД (W2K8)?
Еще в доке читал, что необходимо поднимать DNS !ДО! установки AD, если поднимается дополнительный КД. Однако, dcpromo выполнил сам эту функцию и установил ДНС вместе АД.
DNS у меня интегрирован в AD.
Блин, а роли то у кого остались, похоже, что у CORE, которого сейчас физически нет. Вот и стоит ругань. Этот CORE у вас наверное и в DNS'е имеется, вы сказали, что вы его не обновили, а переставили, так что у вас появился новый кд
snorlov писал(а): Блин, а роли то у кого остались, похоже, что у CORE, которого сейчас физически нет. Вот и стоит ругань.
Было два КД. Один Core с айпишником 192.168.0.1, второй URAN с айпишником 192.168.0.2.
Так вот, URAN я понизил до роли простого сервера. Все роли на себя принял CORE.
После этого URAN я вывел из домена и отключил физически.
Еще раз проверил роли на CORE - все ок. Запустил dcdiag и netdiag - все ок. Подготовил лес и домен для w2K8 через adprep.
Вычистил из АД всю информацию об URAN, - там еще сохранилась на тот момент запись типа А.
Взял старый КД - URAN - переустановил там ОС на СЕРВЕР 2008. Ввел в домен. Запустил DCPROMO. Все прошло успешно. Поставил галочку глобального каталога и вуаля! Получил два КД:
Первый кд - это старый CORE на w2k3
Новый кд - URAN на w2k8
Между ними не работает репликация.
Но, физически у меня ДВА КД.
проблемы в DNS'е, останавливайте dns на uran, убивайте все записи об uran на core, затем на uran прописывайте первым dns'ом dns на core, регистрируйте uran в dns'e на core через registersdns, снова винмательно смотрим записи об uran, гоняем тесты и лишь затем поднимаем dns на uran, можно сначала его поднять как slave.
В смысле удалить саму службу DNS? Тогда же и АД придется затирать.
На CORE затирать записи в DNS, я так понимаю.
Еще дополнительную инфу кидаю, которую только что сделал.
Привожу ipconfig. Сначала с w2k3 - старый КД:
PID 1304 соответствует службе DNS. Больше PID'ов, слушающих 53 порт я не вижу.
registerdns провел, через 15 минут будет результат.
В смысле удалить саму службу DNS? Тогда же и АД придется затирать.
На CORE затирать записи в DNS, я так понимаю.
Кто тебе сказал такую ересь, что при удалении/остановке DNS удалиться АД, DNS для AD может быть и unix'совым, главное, что бы эта служба была доступна кд, ну и обладала некоторыми свойствами, одно из которых динамическое обновление зон. Большинство твоих проблем связано с тем, что ты понизил uran, а потом по существу его убил, но записи о нем в AD и DNS'е остались, и под тем же именем вы в AD втащили новый кд. Кстати обратная зона в DNS'е есть? Спрашиваю потому, что она нужна для работы, но автоматом она не создается.
Так, ДНС я удалил с URAN.
Теперь там есть только АД. На сетевых интерфейсах обоих КД указал в качестве праймари ДНС айпишник первого КД - CORE. Альтернативный ДНС сделал пустым.
При этом Active Directory сообщает о следующих ошибках:
1) Исходный КД функционирует
2) Через net view/ping/nslookup новый КД находит старый. URAN находит CORE и наоборот
3) dcdiag /test:dns на CORE выполняется с успехом
4) Аналогично.
5) С базой знаний знакомлюсь.
Вопрос. Что мне вычищать на CORE? Записи типа А и CNAME?
Все ссылки на uran и его ip, обратная зона (0.168.192.in.addr-arpa, на виндовом серваке через мастер вроде там надо писать 192.168.0. ) на core есть? если нет, добавить ручками, ОБЯЗАТЕЛЬНО
snorlov писал(а): Все ссылки на uran и его ip, обратная зона (0.168.192.in.addr-arpa, на виндовом серваке через мастер вроде там надо писать 192.168.0. ) на core есть? если нет, добавить ручками, ОБЯЗАТЕЛЬНО
Имена в айпишники и айпишники в имена разрешаются.
Попробовал выполнить репликацию через Active Directory - сайты и службы - выполнилась без ошибок.
Попробовал выполнить репликацию из cmd, через repadmin - тут получил ошибку:
mr. brightside писал(а): Попробовал выполнить репликацию из cmd, через repadmin - тут получил ошибку:
Я не понимаю, откуда вы сделали такой вывод?
Когда я понижал URAN, то все записи я вычищал и из АД и из ДНС. Вычищал как через оснастки, так и через консоли.
Но старый DSA - 9119974d-4c8a-412a-a0ad-86b357a72fc1 (CORE) - не менялся. Он как был, так и остался. Более того, за все время его работы я его не трогал ни разу.
По всему выходит, что именно запись старого КД - 9119974d-4c8a-412a-a0ad-86b357a72fc1 - и невозможно определить. Может быть, имеет смысл перекинуть роли на новый КД, перекинуть ДНС, переставить ОСь на стором КД ввести в домен и снова сделать КД? Тогда все должно грамотно перерегистрироваться?
Если честно, 1000 страниц читать просто лень Тем более, что я не виндовый админ, а юниксовый
Скажите, пожалуйста, просто, куда капнуть, а то ведь время, время.
в первом случае она идет от кд, где запускается, к его партнерам, а во втором от партнеров к нему.
А все 1000 страниц и не надо читать, я просто в более доступном виде не видел описания утилит для работы с AD на русском языке.
в первом случае она идет от кд, где запускается, к его партнерам, а во втором от партнеров к нему.
А все 1000 страниц и не надо читать, я просто в более доступном виде не видел описания утилит для работы с AD на русском языке.
Здесь запись 229137f9-6e82-4293-8ac-4e69d4a2c037, - она не встречается в DNS или AD у меня, а в логе есть.
Ошибка на НОВОМ КД - W2k8 в разделе "Служба каталогов":
Эта, вторая запись DSA - 9119974d-4c8a-412a-a0ad-86b357a72fc1 - записана в DNS и AD как имя CORE - старого КД.
По поводу repadmin сейчас отпишусь
P.S. большое спасибо за ответы!
P.P.S. Книжку уже скачал
Вроде бы, все замечательно.
Так, теперь, если я правильно понял, мне необходимо вычистить все записи на ДНСе относительно нового КД. Вопрос: какие именно записи? Абсолютно все?
- в зоне прямого просмотра "папку верхнего уровня" и запись А?
- в msdcs псевдоним?
- а также записи _kerberos, _kpasswd, _ldap и _gc в разделах dc/domains/gc/pdc?
И в зоне обратного просмотра айпишник/имя сервера?
Или достаточно удалить запись типа А и Псевдоним CNAME?
После удаление мне надо будет перерегистрироваться в ДНС и посмотреть, что будет, верно?
Я бы вычистил все записи и после этого дал команду регистрации в dns, ну а потом поднял бы DNS на новом кд.
Ну хорошо, проделал
Удалил все SRV-записи, установил ДНС, теперь мне ситуация еще более не понятна.
Ошибки остались все те же самые. В лог они валятся ИСКЛЮЧИТЕЛЬНО при загрузке ОСи на новом КД.
В процессе работы, если новый КД не перезагружать, все работает замечательно. Работает репликация. Ниже привожу репликацию из консоли и dcdiag на новом КД после усановки ДНСа. Также хочу отметить, что репликация из оснастки тоже работает и ошибок не выдает.
Repadmin:
Возможно, задержки в сети влияют на произведение репликации при загрузке? КД подключены в d-link des 3526. Он поддерживает STP, только он отключен:
Может, как-нибудь заставить запускаться DNS и AD с задержкой? Скажем, секунд в 30 или 60, пока все фоновые службы не стартанут.
Да, внимательно посмотрел логи и соотнес их со временем загрузки сетевой карты
DNS и AD пытаются начать работу сразу, как начинает грузиться ОСь, а сетевая карта ТОЛЬКО когда происходит ЛОГОН, т.е. на 2 с лишним минуты позже, чем вышеупомянутые службы уже пытаются начать работу.
Можно ли как-нибудь заставить сетевушку работать уже на этапе биоса?
Intel 82574L и 82578DM
Или, может, не в сетевушках дело, а в ОСи? Может, настройка какая?
А вот это странно, поскольку такого не может быть, старт сетевых сервисов должен происходить после поднятия карточек, посмотрите зависимость старта сервисов. Из вашей фразы можно предположить, что в сервере 2-е карты, может вся сложность именно из наличия 2-х карт?
snorlov писал(а): А вот это странно, поскольку такого не может быть, старт сетевых сервисов должен происходить после поднятия карточек, посмотрите зависимость старта сервисов. Из вашей фразы можно предположить, что в сервере 2-е карты, может вся сложность именно из наличия 2-х карт?
В том то и дело, что такого не должно происходить.
Эти сетевые карточки идут вместе с какой то управляющей утилитой, которая загружается исключительно при логоне пользователя в систему/домен. До этого они мертвые и никакого коннекта по сети нет.
я проанализировал логи, сверял время запуска AD/DNS/RDP с моментом старта сетевушек.
Сеть поднималась только когда я залогинивался в домене. Это абсолютно неприемлемо даже с точки зрения возможного отключения электричества - вот вырубится свет, УПС продержит сервак, потом тот уйдет в офф. Boot on power есть, но если сервак загрузится, то еще необходимо залогиниться, чтобы он стал в сети доступен
Обидно, жалко и непонятно, но я просто вставил Realtek в сервак и все проблемы сразу решились. Те ошибки, которые постил ушли, остались предупреждения про сертификаты Kerberos (RDP) и SASL аутентификация (AD). Но, это меня уже почти не волнует.
Точно также не поленился и опробовал Acorp - грузится замечательно. Сетевая карта оживает сразу после загрузки биоса.
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = dc
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site\DC
Запуск проверки: Connectivity
. DC - пройдена проверка Connectivity
Выполнение основных проверок
Сбой возник в 2014-07-07 15:53:06.
Последняя успешная операция была в 2013-12-06 10:30:31. После
последней успешной операции было
5120 сбоев.
[DC1] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC1 в DC
Контекст именования: DC=DomainDnsZones,DC=DOMAIN,DC=local
При репликации возникла ошибка (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
Сбой возник в 2014-07-07 15:53:06.
Последняя успешная операция была в 2013-12-06 09:57:39. После
последней успешной операции было
5120 сбоев.
[Replications Check,DC] Сбой при последней попытке репликации:
Из DC1 в DC
Контекст именования: CN=Schema,CN=Configuration,DC=DOMAIN,DC=local
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
в DNS.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DOMAIN
Запуск проверки: CheckSDRefDom
. DOMAIN - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DOMAIN - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: DOMAIN.local
Запуск проверки: LocatorCheck
. DOMAIN.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
. DOMAIN.local - пройдена проверка Intersite
Ответы
Насчет того, как убрать DC1: запустите adsiedit.msc, найдите объект CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site,CN
=Sites,CN=Configuration,DC=domain,DC=local и посмотрите его разрешения на предмет почему у администратора нет разрешения на его удаление (там в окошке по кнопке Дополнительно можно посмотреть более подробно - в т.ч. и на каком уровне разрешения назначены).
Насчет остальных ошибок репликации: посмотрите, идёт ли репликация между DC и BDC0 сейчас, репликация восстанавливается далеко не мгновенно.
И еще раз повторяю - выясните причину, почему у администратора нет разрешения на вход на DC по сети. Если это разрешение не определено на уровне доменных политик, смотрите локальную политику через gpedit.msc
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 14 июля 2014 г. 7:45
Все ответы
У вас есть ошибка, в проверке NetLogons - учетная запись администратора не имеет права входа на КД по сети Подозреваю, что в групповой политике стоит явный запрет для нее на вход по сети. Если так, то это неправильно: из-за этого не будут работать групповые политики. И это же может служить причиной вашей проблемы.
А ещё проверьте в AD Users and Computers, не стоит ли галочка защиты от удаления на объекте учетной записи КД.
metadata cleanup: connections
server connections: connect to server dc1.domain.local
Привязка к dc1.domain.local .
DsBindWithSpnExW ошибка 0x5(Отказано в доступе.)
server connections: connect to server dc.domain.local
Привязка к dc.domain.local .
Подключен к dc.domain.local с помощью учетных данных локального пользователя.
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
Найдено доменов: 1
0 - DC=domain,DC=local
select operation target: select domain 0
Нет текущего сайта
Домен - DC=domain,DC=local
Нет текущего сервера
Нет текущего контекста именования
select operation target: list sites
Найдено сайтов: 1
0 - CN=Default-First-Site,CN=Sites,CN=Configuration,DC=domain,DC=local
select operation target: select site 0
Сайт - CN=Default-First-Site,CN=Sites,CN=Configuration,DC=domain,DC=local
Домен - DC=domain,DC=local
Нет текущего сервера
Нет текущего контекста именования
select operation target: list servers in site
Найдено серверов: 3
0 - CN=DC1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=domain,D
C=local
1 - CN=BDC0,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=domain,
DC=local
2 - CN=DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=domain,DC
=local
select operation target: select server 0
Сайт - CN=Default-First-Site,CN=Sites,CN=Configuration,DC=domain,DC=local
Домен - DC=domain,DC=local
Сервер - CN=DC1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=ka
mss,DC=local
Объект DSA - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site,CN
=Sites,CN=Configuration,DC=domain,DC=local
Имя DNS-узла - dc1.domain.local
Нет текущего контекста именования
select operation target: quit
metadata cleanup: remove selected server
Передача или захват ролей FSMO от выбранного сервера.
DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)
metadata cleanup:
dcdiag на втором рабочем DC:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = BDC0
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site\BDC0
Запуск проверки: Connectivity
Узел 6c6e254b-ebbd-4dae-b890-a2f77b26a325._msdcs.DOMAIN.local не
удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
. BDC0 - не пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site\BDC0
Пропуск всех проверок, поскольку сервер BDC0 не отвечает на запросы
службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DOMAIN
Запуск проверки: CheckSDRefDom
. DOMAIN - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DOMAIN - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: DOMAIN.local
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
10054
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции
DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 10054
Не удается найти сервер точного времени.
. DOMAIN.local - не пройдена проверка
LocatorCheck
Запуск проверки: Intersite
. DOMAIN.local - пройдена проверка Intersite
Функция SyncAll сообщает о следующих ошибках:
Ошибка обращения к серверу 5211c46a-7820-405a-ab64-0438dc0f982a._msdcs.DOMAIN.loc
al (сетевая ошибка): 1722 (0x6ba):
Сервер RPC недоступен.
Ошибка обращения к серверу 6c6e254b-ebbd-4dae-b890-a2f77b26a325._msdcs.DOMAIN.loc
al (сетевая ошибка): 1722 (0x6ba):
Сервер RPC недоступен.
Пинг доходит до сервера?5211c46a-7820-405a-ab64-0438dc0f982a._msdcs.DOMAIN.local
запись в А хотя бы резолвится?
ping 5211c46a-7820-405a-ab64-0438dc0f982a._msdcs.DOMAIN.lo
cal
При проверке связи не удалось обнаружить узел 5211c46a-7820-405a-ab64-0438dc0f98
2a._msdcs.DOMAIN.local.
Проверьте имя узла и повторите попытку.
записи только такие
Это должны быть записи CNAME, которые ссылаются на записей типа A или AAAA dc.DOMAIN.local и bdc0.DOMAIN.local соотвественно. У вас так?
Тогда проверьте наличие самих записей типа A или AAAA dc.DOMAIN.local и bdc0.DOMAIN.local. Если их нет - выполните динамическую регистрацию (ipconfig /registerdns) на обоих КД. Или, в крайнем случае - создайте их вручную. Имейте в виду, что создавать запись для КД надо не на нем самом, а на другом КД.
И проверьте (командой ipconfig /all), что серверы DNS для сетевых подключений на КД настроены у вас так, чтобы в их списке были оба этих КД и только эти два КД (никаких шлюзов, DNS провайдера, "8.8.8.8" и т.п.).
DC узел А - адрес 192.168.1.1 статический
есть cname dc и bdc0
DC узел А - адрес 192.168.1.1 статический
bdc0 - адрес 192.168.10.2 статический
есть cname dc и bdc0
на dc в качестве днс не указано ничено:
вот конфиг bdc0:
на dc в качестве днс не указано ничено:
прописал на dc днс 192.168.1.1, сделал registrdns
Насчет того, как убрать DC1: запустите adsiedit.msc, найдите объект CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site,CN
=Sites,CN=Configuration,DC=domain,DC=local и посмотрите его разрешения на предмет почему у администратора нет разрешения на его удаление (там в окошке по кнопке Дополнительно можно посмотреть более подробно - в т.ч. и на каком уровне разрешения назначены).
Насчет остальных ошибок репликации: посмотрите, идёт ли репликация между DC и BDC0 сейчас, репликация восстанавливается далеко не мгновенно.
И еще раз повторяю - выясните причину, почему у администратора нет разрешения на вход на DC по сети. Если это разрешение не определено на уровне доменных политик, смотрите локальную политику через gpedit.msc
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 14 июля 2014 г. 7:45
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = dc
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: DOMAIN\DC
Запуск проверки: Connectivity
. DC - пройдена проверка Connectivity
Выполнение основных проверок
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DOMAIN
Запуск проверки: CheckSDRefDom
. DOMAIN - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DOMAIN - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: DOMAIN.local
Запуск проверки: LocatorCheck
. DOMAIN.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
. DOMAIN.local - пройдена проверка Intersite
Перерегистрация не помогла.
Временно удалил службу ДНС со второго КД, на который не идет репликация. Смотрю в лог, вижу ошибку от AD:
Так, ДНС я удалил с URAN.
Теперь там есть только АД. На сетевых интерфейсах обоих КД указал в качестве праймари ДНС айпишник первого КД - CORE. Альтернативный ДНС сделал пустым.
При этом Active Directory сообщает о следующих ошибках:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.
Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в сети, введя команду "net view \\" или "ping ".
4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1) Исходный КД функционирует
2) Через net view/ping/nslookup новый КД находит старый. URAN находит CORE и наоборот
3) dcdiag /test:dns на CORE выполняется с успехом
4) Аналогично.
Есть у кого-нибудь идеи?
PID 1304 соответствует службе DNS. Больше PID'ов, слушающих 53 порт я не вижу.
registerdns провел, через 15 минут будет результат.
К сожалению, вчера ответа не дождался, поэтому кое что предпринял сам
- удалил ДНС на новом КД (W2K8) и настроил интерфейсы на использование ДНСа на первом КД.
- Проверил CNAME и А-запись на ДНС
- выполнил еще раз registerdns на обоих серваках и еще раз проверил записи в ДНС
- Запустил репликацию вручную из Active Directory - сайты и службы. Выполнял в обе стороны и выполнялось без ошибок. Однако, я доверяю всегда больше консолям =)
- Запустил репликацию через repadmin. Получил ошибку:
C:\Windows\system32>repadmin /showreps core
Default-First-Site-Name\CORE
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 9119974d-4c8a-412a-a0ad-86b357a72fc1
DSA - код вызова: 52996fa3-c22f-4074-b5b1-27d051a87957
При этом, dcdiag на новом КД выполняется теперь БЕЗ ошибок:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = uran
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\URAN
Запуск проверки: Connectivity
. URAN - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\URAN
Запуск проверки: Advertising
. URAN - пройдена проверка Advertising
Запуск проверки: FrsEvent
. URAN - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
. URAN - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. URAN - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. URAN - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. URAN - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. URAN - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. URAN - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. URAN - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. URAN - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. URAN - пройдена проверка Replications
Запуск проверки: RidManager
. URAN - пройдена проверка RidManager
Запуск проверки: Services
. URAN - пройдена проверка Services
Запуск проверки: SystemLog
. URAN - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. URAN - пройдена проверка VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: faeton
Запуск проверки: CheckSDRefDom
. faeton - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. faeton - пройдена проверка CrossRefValidation
netdom query fsmo показывает, что все пять ролей принадлежат первому, старому КД - CORE.
Читайте также: