podbot
28-07-2009, 15:23
Всех приветствую, история моя такова:
Изначально существовал корневой домен (DC1) с тремя КД
dc1_1 (PDC,RID,Infrastructure), dc1_2 (Scheme master, Domain naming master), dc1_3 (без ролей).
Недавно установил второй домен (DC2) в этом лесу, отдельное дерево, на КД dc2_1,
в него мигрировал юзверей и компьютеры с третьего домена
и после этого поднял во втором домене дополнительный контроллер домена dc2_2
На всех КД ошибок в dcdiag нет, репликации проходят (repadmin -syncall проходит с 0 ошибок)
Но! на КД dc2_2 валится вот это:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: DC2\dc2_2
Starting test: Connectivity
......................... dc2_2 passed test Connectivity
Doing primary tests
Testing server: DC2\dc2_2
Starting test: Replications
......................... dc2_2 passed test Replications
Starting test: NCSecDesc
......................... dc2_2 passed test NCSecDesc
Starting test: NetLogons
......................... dc2_2 passed test NetLogons
Starting test: Advertising
......................... dc2_2 passed test Advertising
Starting test: KnowsOfRoleHolders
[dc1_2] DsBindWithSpnEx() failed with error -2146892976,
Win32 Error -2146892976.
Warning: dc1_2 is the Schema Owner, but is not responding to DS RPC Bin
d.
[dc1_2] LDAP bind failed with error 8341,
Win32 Error 8341.
Warning: dc1_2 is the Schema Owner, but is not responding to LDAP Bind.
[dc1_1] DsBindWithSpnEx() failed with error -2146892976,
Win32 Error -2146892976.
Warning: dc1_1 is the Domain Owner, but is not responding to DS RPC Bind.
[dc1_1] LDAP bind failed with error 8341,
Win32 Error 8341.
Warning: dc1_1 is the Domain Owner, but is not responding to LDAP Bind.
......................... dc2_2 failed test KnowsOfRoleHolders
Starting test: RidManager
......................... dc2_2 passed test RidManager
Starting test: MachineAccount
......................... dc2_2 passed test MachineAccount
Starting test: Services
......................... dc2_2 passed test Services
Starting test: ObjectsReplicated
......................... dc2_2 passed test ObjectsReplicated
Starting test: frssysvol
......................... dc2_2 passed test frssysvol
Starting test: frsevent
......................... dc2_2 passed test frsevent
Starting test: kccevent
......................... dc2_2 passed test kccevent
Starting test: systemlog
......................... dc2_2 passed test systemlog
Starting test: VerifyReferences
......................... dc2_2 passed test VerifyReferences
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : DC2
Starting test: CrossRefValidation
......................... DC2 passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DC2 passed test CheckSDRefDom
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running enterprise tests on : DC1
Starting test: Intersite
......................... DC1 passed test Intersite
Starting test: FsmoCheck
......................... DC1 passed test FsmoCheck
подумал, что ошибку 8341 устраню передав роли с DC1_2 на DC1_1, но не помогло, мало того, DC2_2 до сих пор считает, что Scheme Owner это DC1_2, хотя все 5 ролей FSMO сейчас на DC1_1.
Топология сети такая - все КД находятся в одной сети кроме DC2_2, между сетями настроена маршрутизация, порты 88, 389 не закрыты.
В общем то ошибки себя никак не проявляют, кроме того, что пользвоатели из DC1 не могут зайти по RDP на терминальный сервер в DC2, после 2 минутной паузы после ввода пароля получают ошибку access denied.
На DC2_2 в системлогах есть ошибки LsaSrv ID 40960
The Security System detected an authentication error for the server ldap/a023ac6c-79b2-4830-ad25-d5aad580358d._msdcs.core.ufanet.ru. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".
Изначально существовал корневой домен (DC1) с тремя КД
dc1_1 (PDC,RID,Infrastructure), dc1_2 (Scheme master, Domain naming master), dc1_3 (без ролей).
Недавно установил второй домен (DC2) в этом лесу, отдельное дерево, на КД dc2_1,
в него мигрировал юзверей и компьютеры с третьего домена
и после этого поднял во втором домене дополнительный контроллер домена dc2_2
На всех КД ошибок в dcdiag нет, репликации проходят (repadmin -syncall проходит с 0 ошибок)
Но! на КД dc2_2 валится вот это:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: DC2\dc2_2
Starting test: Connectivity
......................... dc2_2 passed test Connectivity
Doing primary tests
Testing server: DC2\dc2_2
Starting test: Replications
......................... dc2_2 passed test Replications
Starting test: NCSecDesc
......................... dc2_2 passed test NCSecDesc
Starting test: NetLogons
......................... dc2_2 passed test NetLogons
Starting test: Advertising
......................... dc2_2 passed test Advertising
Starting test: KnowsOfRoleHolders
[dc1_2] DsBindWithSpnEx() failed with error -2146892976,
Win32 Error -2146892976.
Warning: dc1_2 is the Schema Owner, but is not responding to DS RPC Bin
d.
[dc1_2] LDAP bind failed with error 8341,
Win32 Error 8341.
Warning: dc1_2 is the Schema Owner, but is not responding to LDAP Bind.
[dc1_1] DsBindWithSpnEx() failed with error -2146892976,
Win32 Error -2146892976.
Warning: dc1_1 is the Domain Owner, but is not responding to DS RPC Bind.
[dc1_1] LDAP bind failed with error 8341,
Win32 Error 8341.
Warning: dc1_1 is the Domain Owner, but is not responding to LDAP Bind.
......................... dc2_2 failed test KnowsOfRoleHolders
Starting test: RidManager
......................... dc2_2 passed test RidManager
Starting test: MachineAccount
......................... dc2_2 passed test MachineAccount
Starting test: Services
......................... dc2_2 passed test Services
Starting test: ObjectsReplicated
......................... dc2_2 passed test ObjectsReplicated
Starting test: frssysvol
......................... dc2_2 passed test frssysvol
Starting test: frsevent
......................... dc2_2 passed test frsevent
Starting test: kccevent
......................... dc2_2 passed test kccevent
Starting test: systemlog
......................... dc2_2 passed test systemlog
Starting test: VerifyReferences
......................... dc2_2 passed test VerifyReferences
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : DC2
Starting test: CrossRefValidation
......................... DC2 passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DC2 passed test CheckSDRefDom
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running enterprise tests on : DC1
Starting test: Intersite
......................... DC1 passed test Intersite
Starting test: FsmoCheck
......................... DC1 passed test FsmoCheck
подумал, что ошибку 8341 устраню передав роли с DC1_2 на DC1_1, но не помогло, мало того, DC2_2 до сих пор считает, что Scheme Owner это DC1_2, хотя все 5 ролей FSMO сейчас на DC1_1.
Топология сети такая - все КД находятся в одной сети кроме DC2_2, между сетями настроена маршрутизация, порты 88, 389 не закрыты.
В общем то ошибки себя никак не проявляют, кроме того, что пользвоатели из DC1 не могут зайти по RDP на терминальный сервер в DC2, после 2 минутной паузы после ввода пароля получают ошибку access denied.
На DC2_2 в системлогах есть ошибки LsaSrv ID 40960
The Security System detected an authentication error for the server ldap/a023ac6c-79b2-4830-ad25-d5aad580358d._msdcs.core.ufanet.ru. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".