Добрый день.

Есть домен контроллер под управлением Windows Server 2000 (AD, DNS, DHCP). Вчера пытался ввести дополнительный ДК под управлением Windows Server 2008 R2.
Сначала все шло ок, adprep /forestprep /domainprep прошли на ура. Вторичный ДК был успешно добавлен, DNS и данные с AD первичного успешно среплицировались. Но после рестарта вторичного ДК началась какая-то фигня..
Во первых перестал пинговаться первичный ДК , имею вот такую ошибку : PING: transmit failed. General Failure. Так же не пингуется ни одна машина из нашей сети. Хотя через сетевое окружение можно подключиться к любой машине.
Второе что я заметил, это не работающий фаервол, а точнее остановленый сервис. При старте сервиса Windows Firewall, имею вот такую ошибку : Error 1068 : The Dependency service or group failed to start.

Мои догадки из-за чего это началось, это функциональный уровень домена, который сейчас является Windows 2000 Native. А так же возможно груповая политика. Откуда начинать копать незнаю. Гугл по моей проблеме неочень информативен.

Need help !

По вашей проблеме помог бы:
- анализ журналов;
- зависимости службы Firewall;
- утилита dcdiag (в случае рабочей сети).

Как Вы пытаетесь подключитсья к машине? Расшаренные папки конкретных ПК Вы видите?
Если нет - возможно проблема в протоколе TCP\IP или самой сетевой карте.

После попытки ping в базе ARP (arp -a) какие-нибудь записи касаемо указанного IP появляются?
Интересно увидеть ipconfig /all.

Нет ли активных политик IPSec?

Начнем по порядку :

- анализ журналов; »

В Event Viewer'e присутствуют вот такие ошибки. В закладке Application :

8197

License Activation Scheduler (sppuinotify.dll) logged the following information:
0x8007042C
Failure initializing Network Profile Services. This may prevent activation from succeeding.

В закладке System :

7024

The Network Location Awareness service terminated with service-specific error %%-1073741288.

7001

The Network List Service service depends on the Network Location Awareness service which failed to start because of the following error:
The operation completed successfully.

Все ошибки так или иначе связаны с сетевыми службами.

- зависимости службы Firewall; »

Для того чтобы Windows Firewall успешно работал, должны быть запущены следующие сервисы (Инфо от MS)

* Application Layer Gateway Service
* Network Connections
* Network Location Awareness (NLA)
* Plug and Play
* Remote Access Auto Connection Manager
* Remote Access Connection Manager
* Remote Procedure Call (RPC)
* Telephony
В моем случае не работают два сервиса.
* Network Location Awareness (NLA) - При старте выкидывает ошибку 7024, которую указал выше
* Remote Access Auto Connection Manager - Тоже ругаеться что не может стартануть, и какая-то там белеберда в стиле 0x80000048

- утилита dcdiag (в случае рабочей сети). »
dcdiag /a

C:\Users\admin>dcdiag /a

Directory Server Diagnosis

Performing initial setup:
Trying to find home server...
Home Server = dc1
* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: RENESOURCE\ROOT
Starting test: Connectivity
Server ROOT resolved to these IP addresses: 192.168.114.2, but none of
the addresses could be reached (pinged). Please check the network.
Error: 0x5 "Access is denied."
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
......................... ROOT failed test Connectivity

Testing server: RENESOURCE\DC1
Starting test: Connectivity
Server DC1 resolved to these IP addresses: 192.168.114.3, but none of
the addresses could be reached (pinged). Please check the network.
Error: 0x5 "Access is denied."
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
......................... DC1 failed test Connectivity

Doing primary tests

Testing server: RENESOURCE\ROOT
Skipping all tests, because server ROOT is not responding to directory
service requests.

Testing server: RENESOURCE\DC1
Skipping all tests, because server DC1 is not responding to directory
service requests.



Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation

Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation

Running partition tests on : renesource
Starting test: CheckSDRefDom
......................... renesource passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... renesource passed test CrossRefValidation

Running enterprise tests on : renesource.com
Starting test: LocatorCheck
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
......................... renesource.com failed test LocatorCheck
Starting test: Intersite
......................... renesource.com passed test Intersite

C:\Users\admin>

Что и следовало ожидать. Ping по имени или IP адресу не проходит : PING: transmit failed. General Failure.

Как Вы пытаетесь подключитсья к машине? Расшаренные папки конкретных ПК Вы видите?
Если нет - возможно проблема в протоколе TCP\IP или самой сетевой карте. »

Через \\имя_машины, \\IP_машины, а также через сетевое окружение. Расшареные папки вижу, а также могу делать любую манипуляцию с ними (copy,paste,read,write).
Насчет проблемы с сетевой картой, исключено. Проблема началась после добавления DC1 как вторичный ДК. Да и машина новая.

После попытки ping в базе ARP (arp -a) какие-нибудь записи касаемо указанного IP появляются? »

Очень даже появляются :

C:\Users\admin>arp -a

Interface: 192.168.114.3 --- 0xb
Internet Address Physical Address Type
192.168.114.1 00-0c-42-37-4f-b1 dynamic
192.168.114.2 00-02-55-9c-5b-66 dynamic и т.д

Интересно увидеть ipconfig /all. »

C:\Users\admin>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : dc1
Primary Dns Suffix . . . . . . . : renesource.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : renesource.com

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physical Address. . . . . . . . . : 20-CF-30-28-7B-C0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::5ce8:fa96:1599:9d5c%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.114.3(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.114.1
DNS Servers . . . . . . . . . . . : ::1
192.168.114.3
192.168.114.2

NetBIOS over Tcpip. . . . . . . . : Enabled

Нет ли активных политик IPSec? »

Нет, активных политик нету.

Вот такая вот история.

Дело было в групповой политике. Default Domain Controller Policy. Какие точно настройки блокировали, не разбирался. Создал новую политику и применил ее, старой политике назначил ALL SETTINGS DISABLED.
После рестарта все заработало.