У Вас после проблем с DNS FQDN обоих контроллеров разрешаются в адреса? »
то были проблемы в другом домене msk.local, там один КД.
А сейчас речь идёт о домене BEST.

Глобальный каталог, должен ли быть отмечен фалажок на всех КД, в том числе и на доп. КД? »
это как вы захотите.
На второстепенном КД есть само собой эти же папки. Я принудительно их расшириваю и даю такие же права как и на PDC. »
вообще-то странно что вы их сами принудительно расшариваете. У меня два ДК, и папки расшаривались вместе с установкой обоих ДК.

вообще-то странно что вы их сами принудительно расшариваете. »
Это только на доп. КД. Мне тоже это кажется странным. Почему служба netlogon сбрасывает шары?

Цитата Akella2007:
Глобальный каталог, должен ли быть отмечен фалажок на всех КД, в том числе и на доп. КД? »
это как вы захотите. »

тогда спрошу по другому, а как порекомендуют более опытные специалисты, нежели я?

Глобальный каталог должен быть один в сайте, зачем Вам репликация контекста именования в одном сайте? Проблему позже рассмотрю подробнее. Порядок перезагрузки - первым должен прогружаться PDC.

После перезапуска DNS сервера появляются две записи описанные выше с номерами 4010

Глобальный каталог должен быть один в сайте, »
а по умолчанию сайт один в домене, правильно?

По умолчанию да. А вы проверьте через Active Directory Sites and Services

Вижу только один сайт: Default-First-Site-Name

Все правильно, ну и зачем Вам в нем второй глобальный каталог?
Плюс общая рекомендация выставить зависимость службы Netlogon от DNS. Чтобы первая не стартовала раньше второй. Часть ошибок исчезнет.

выставить зависимость службы Netlogon от DNS. Чтобы первая не стартовала раньше второй. »
Ну сразу и посоветовали способ, как это сделать. В настройках службы не могу найти.

В реестре ищите. Google в помощь

Порядок перезагрузки - первым должен прогружаться PDC. »
Точнее, первым должен прогружаться сервер, на котором висит DNS, дабы другие контроллеры подхватили его. Это, конечно, верно только в том случае, если добавочный контроллер является тоже глобальным каталогом :)
А вообще, ситуация, когда добавочный контроллер сбрасывает шары, говорит больше об ошибке в работе AD на данном контроллере, чем на DNS, ведь, когда DNS недоступен, шары же не сбрасываются на серверах :)
и зачем Вам в нем второй глобальный каталог? »
У меня тоже 2 глобальных каталога, очень удобно при остановке первого контроллера для логона пользователей.
Добавлю, что на доп. КД в сетевых настройках в качестве первичного ДНС сервера указано 127.0.0.1, это правильно? »
А на этом контроллере установлена служба DNS ? Если нет, то в корне неверно, надо выставлять DNS первичного контроллера.

addiag проводили?

Скажу даже больше, Microsoft рекомендует при наличии двух контроллеров, а это штатная конфигурация, иметь на обоих службу DNS интегрированную в AD. И в качестве DNS-серверов ервым указывается другой контроллер, вторым сам, но не по localhost, а просто его IP.

Спасибо. Так и сделаю.

Точнее, первым должен прогружаться сервер, на котором висит DNS, дабы другие контроллеры подхватили его. »
DNS может висеть на нескольких КД, не правда ли?


У меня тоже 2 глобальных каталога, очень удобно при остановке первого контроллера для логона пользователей. »
Т.е. одновременно 2 глобальных каталога? Или доп. КД Вы делаете ГК только после остановки PDC?

А на этом контроллере установлена служба DNS ? Если нет, то в корне неверно, надо выставлять DNS первичного контроллера. »
Ну конечно установлена.... иначе какой смысл ставить указывать адрес несуществующего DNS ;)
addiag проводили? »

нет ещё, Вас интересуют результаты?

GC назначается при работающем PDC. Чтобы контекст именования было откуда взять. А нужен для логона пользователей при недоступности PDC, чтобы проверить членство в универсальных группах.
Еще парни из Microsoft не ресомендуют делать глобальным каталогом сервер несущий роль Infrastructure Master. Но при установке первого контроллера обе роли на нем. Парадокс.

Еще парни из Microsoft не ресомендуют делать глобальным каталогом сервер несущий роль Infrastructure Master. »
получается что PDC не должен быть GC?

Или я Вас недопонял?

Да может конечно. в 2003 сервере все сервера являются PDC, вторичных нет. ПРосто если на контроллере не выставлена опция глобального каталога, то он является всего лишь репликацией AD, но авторизацию проводить не сможет. Ну и роли между ними можно разнести.
P.S. Знаю, что нельзя делать, как у меня сейчас, но у меня 2 контроллера, оба глобальные каталоги, на обоих DNS, а все роли только на одном сервере :) Главное, что работает... :)

Добавлю, что на доп. КД в сетевых настройках в качестве первичного ДНС сервера указано 127.0.0.1, это правильно? »
А на этом контроллере установлена служба DNS ? Если нет, то в корне неверно, надо выставлять DNS первичного контроллера. »
на форуме есть пару тем, где подробно описывается как настроить свойства TCP/IP с двумя ДК.
И, пожалуйста, забудьте о адресе 127.0.0.1. Грубо говоря, этот адрес нужен лишь системе для внутренних нужд! то что вы его использовали, как уже сказанно, в корне не правильно!
Просто если на контроллере не выставлена опция глобального каталога, то он является всего лишь репликацией AD, но авторизацию проводить не сможет. Ну и роли между ними можно разнести. »
а теперь представим у нас мульён пользователей!!! нагрузка на один ДК будет ооочень большая!
А если подразделения ещё находятся на разных этажах\зданиях?
Вот для этого и "заводим" второй глобальный каталог.
у меня тоже два ДК и два ГК и два ДНС и всё работает кроме ошибки
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 10.10.2008
Время: 9:05:13
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: ALEX-M
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domain,DC=local.
Этот файл должен находиться в <\\domain.local\sysvol\domain.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Отказано в доступе. ).
Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

exo, а ведь я как-то Вашу проблему победил. Не помню. Но очень постараюсь вспомнить.

Akella2007, статью KB257338 (http://support.microsoft.com/kb/257338/ru) читали?