Есть DC1 win2k

ip192.168.0.4
msk 255.255.255.0
gate 192.168.0.8
dns 192.168.0.4

на нём глобальный каталог и все 5 ролей ДНС АД интегрированый ,



добавил DC2 win2k3 r2

ip192.168.0.2
msk 255.255.255.0
gate 192.168.0.8
dns 192.168.0.4
и перенёс на него ГК и все 5 ролей ,

TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес DC1 - тк он и есть DNS сервер.
запустил службу ДНС , зоны автоматически реплицировались с DC1

Вопрос в том что нужно избавиться от DC1 (в случии если наDC2 указан ДНС DC1 то ниодной ошибки невозникает и всё работает нормально), соответственно на DC2 в Предпочитаемом DNS нужно указать самого себя , а когда я это делаю после перезагрузки минут 10 идёт prepearing network conectionsа потом в эвент логе выдаются ошибки:



19.06.2008 19:06:52 LSASRV Warning SPNEGO (Negotiator) 40960 N/A DC2
"The Security System detected an authentication error for the server ldap/DC2.domain.local.
The failure code from authentication protocol Kerberos was ""There are currently no logon servers available to service the logon request.

19.06.2008 19:06:55 LSASRV Warning SPNEGO (Negotiator) 40960 N/A DC2
"The Security System detected an authentication error for the server LDAP/DC2.
The failure code from authentication protocol Kerberos was ""There are currently no logon servers available to service the logon request.

19.06.2008 19:07:17 W32Time Error None 17 N/A DC2
Time Provider NtpClient: An error occurred during DNS lookup of the manually configured peer 'timeserver.ru'.
NtpClient will try the DNS lookup again in 15 minutes. The error was: No such service is known. The service cannot be found in the specified name space. (0x8007277C)


Fix possible misconfiguration(s) specified above and initiate registration or deletion of the DNS records by running 'nltest.exe /dsregdns' from the command prompt or by restarting Net Logon service. Nltest.exe is available in the Microsoft Windows Server Resource Kit CD."
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
19.06.2008 19:10:03 Print Error None 33 NT AUTHORITY\SYSTEM DC2 The PrintQueue Container could not be found because the DNS Domain name could not be retrieved. Error: 54b
(0xc000005e)""."
(0xc000005e)""."



19.06.2008 19:12:19 NETLOGON Warning None 5781 N/A DC2 "Dynamic registration or deletion of one or more DNS records associated with DNS domain 'domain.local.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).

Possible causes of failure include:
- TCP/IP properties of the network connections of this computer contain wrong IP address(es) of the preferred and alternate DNS servers
- Specified preferred and alternate DNS servers are not running
- DNS server(s) primary for the records to be registered is not running
- Preferred or alternate DNS servers are configured with wrong root hints
- Parent DNS zone contains incorrect delegation to the child zone authoritative for the DNS records that failed registration

http://search.microsoft.com/results.aspx?q=event+id+40960&qsc0=0&FORM=QBMH1&l=1&mkt=en-US&PageType=0
http://eventid.net/display.asp?eventid=40960&eventno=787&source=LsaSrv&phase=1

по ссылкам про эвент этот написано вот это , но тем нимение мне кажется не нормальным что DC2 грузится каждый раз по 10 минут на prepearing network conections, и когда я возвращаю назад в настройках TCP/IP днс DC1 192.168.0.4 а не свой собственный ,то всё сново работает нормально.

Проблема
Если роль компьютера под управлением Windows Server 2003 была повышена до роли контроллера домена с помощью программы Dcpromo.exe, то после перезагрузки компьютера в журнале событий могут появиться записи о следующих событиях:
Тип: Предупреждение
Источник: LSASRV
Категория: SPNEGO (Negotiator)
Код (ID): 40960
Описание:
Система безопасности обнаружила ошибку проверки подлинности для сервера ldap/dca.acc.local. От протокола проверки подлинности Kerberos получен следующий код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. (0xc000005e)".



Тип: Предупреждение
Источник: LSASRV
Категория: SPNEGO (Negotiator)
Код (ID): 40961
Описание:
Системе безопасности не удалось установить защищенное подключение к серверу ldap/dca.acc.local. Отсутствуют доступные протоколы проверки подлинности.

Причина
Это происходит после перезагрузки компьютера, роль которого была повышена до роли контроллера домена. При этом служба времени Windows (W32Time) пытается выполнить проверку подлинности до запуска службы каталогов. Появление данных сообщений не является признаком сбоев в работе компьютера.




В какой момент на DC2 нужно сменить в настройках TCPIP primary dns с 192.168.0.4 на свой собственный 192.168.0.2 ? и прикаких условиях новый ДНС DC2 будет работать корректно (что в этот момент делать с настройками ДНС на DC1 или можно оставить работающим)? если можно поподробней а не просто ссылку на гоголь с ивентом.

Вопрос первый: на втором контроллере домена, надеюсь, выставлена опция глобального каталога?
Второй: и когда я возвращаю назад в настройках TCP/IP днс DC1 192.168.0.4 а не свой собственный ,то всё сново работает нормально. »
А если выставить 127.0.0.1 ?Dynamic registration or deletion of one or more DNS records associated with DNS domain 'domain.local.' failed. »
Динамическое обновление на DNS включено?
Файрволы не стоят на 1 и 2-ом серверах?

Delirium,



GC перенесён на DC2 a на DC1 удалён , 127.0.0.1 пробовал - тоже самое.


на обеих ДНС выставлено dynamic updates - secure only


фаерволов нет.

DNS сервер тесты проходит? Хотя бы простой? что пишет nslookup на клиентах? Стоит ли DHCP? МОжет в нем забыл сменить адрес DNS сервера?
Еще не помешал бы ipconfig /all со второго контроллера и рабочей станции, ну и addiag, dcdiag, netdiag.
Результаты в студию.

DHCP непереносил пока на новый DC2 и в нём неуказывал новый ДНС , так как от DHCP независит локальная загрузка и работа DC2

DC1

Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : DC1
Primary DNS Suffix . . . . . . . : domain.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.local

Ethernet adapter Local Area Connection :

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E
Physical Address. . . . . . . . . : 00-11-09-62-AE-5F
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.4
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.8
DNS Servers . . . . . . . . . . . : 192.168.0.4
Primary WINS Server . . . . . . . : 192.168.0.4

DC2



Windows IP Configuration

Host Name . . . . . . . . . . . . : DC2
Primary Dns Suffix . . . . . . . : domain.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.local

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection
ith I/O Acceleration
Physical Address. . . . . . . . . : 00-15-17-5F-20-78
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.8
DNS Servers . . . . . . . . . . . : 192.168.0.4 <------------ если стоит этот ДНС(DC1) то всё работает нормально
Primary WINS Server . . . . . . . : 192.168.0.4


на DC2 если стоит DNS Servers . . . . . . . . . . . : 192.168.0.4(DC1) то нет ошибок ни в addiag, dcdiag, netdiag.

а если выставить DC2 DNS Servers . . . . . . . . . . . : 192.168.0.2 или 127.0.0.1 или оставить пустым то происходит всё что я описал выше .

но если выставить в Dns Servers на DC2- 192.168.0.2 и неперезагружать компьютер то всё тоже работает ......

После перезагрузки DCDIAG:


C:\Documents and Settings\Administrator.domain>dcdiag /test:dns

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\DC2
Starting test: Connectivity
......................... DC2 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\DC2

DNS Tests are running and not hung. Please wait a few minutes...

Running partition tests on : ForestDnsZones

Running partition tests on : DomainDnsZones

Running partition tests on : Schema

Running partition tests on : Configuration

Running partition tests on : domain

Running enterprise tests on : domain.local
Starting test: DNS
Test results for domain controllers:

DC: DC2.DOMAIN.local
Domain: DOMAIN.local


TEST: Records registration (RReg)
Network Adapter [00000007] Intel(R) PRO/1000 EB Network Connec
tion with I/O Acceleration:
Error: Missing GC SRV record at DNS server 192.168.0.2 :
_ldap._tcp.gc._msdcs.DOMAIN.local

Error: Record registrations cannot be found for all the network a
dapters

Summary of DNS test results:

Auth Basc Forw Del Dyn RReg Ext
________________________________________________________________
Domain: DOMAIN.local
dc2 PASS PASS PASS PASS PASS FAIL n/a

......................... DOMAIN.local failed test DNS

Missing GC SRV record at DNS server 192.168.0.2 »
Нет записи о глобальном каталоге на данном сервере - вот и ищите ее. Попробуйте захватить роли PDC и т.д. на DC2

Missing GC SRV record at DNS server 192.168.0.2 »


эта запись есть на DC2 если в ДНС на DC2 указан 192.168.0.4 тоесть DC1

http://support.microsoft.com/kb/824217
http://support.microsoft.com/kb/823712
Вообще-то здесь говорится, что ошибки 40960 и 40961 допустимы до полной репликации.

Попробуйте захватить роли PDC и т.д. на DC2 »

роли переданы