Приветствую сообщество!

Проблема в том, что после миграции, перестал подниматься домен AD и DNS на всех контроллерах домена после выключения и последующего включения всех контроллеров (что в моей местности практически каждую неделю, энергетики электричество выключают UPS не вытягивает), если включать и выключать по отдельности то проблем нет. причем если не включить в сеть старый PDC то новый не поднимется вообще. Чувствую что проблема в DNS, но не могу найти причину. Помогите.

Была схема

dc1 - win2003r2 - DNS, PDC, GC, хозяин всех ролей

dc2- win2003r2 - DNS, Контроллер домена, DHCP

После миграции контроллера домена с Windows 2003 R2 до Windows 2008 R2 и вывода из домена dc2 получилась схема

dc - win2008r2 - DNS, PDC, GC, хозяин всех ролей, DHCP


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DC
Основной DNS-суффикс . . . . . . : firma.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : firma.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Broadcom BCM5716C NetXtreme II GigE (клиент NDIS VBD Client)
Физический адрес. . . . . . . . . : 00-26-B9-87-40-C4
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.0.102(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.0.0.1
DNS-серверы. . . . . . . . . . . : 10.0.0.102
10.0.0.103
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен


dc1 - win2003r2 - DNS, Контроллер домена


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dc1
Основной DNS-суффикс . . . . . . : firma.ru
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : firma.ru

kgmu - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet
troller
Физический адрес. . . . . . . . . : 90-E6-BA-75-9C-53
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 10.0.0.102
10.0.0.103
127.0.0.1
Основной WINS-сервер . . . . . . : 192.168.1.10

dc2 - win2008r2 (переставлена OS и введен в домен) - DNS, Контроллер домена, GC


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dc2
Основной DNS-суффикс . . . . . . : firma.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : firma.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-50-56-92-00-05
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.0.103(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.0.0.1
DNS-серверы. . . . . . . . . . . : 10.0.0.103
10.0.0.102
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен


dcdiag с нового контроллера dc значимых ошибок не выдает.

результат dcdiag /test:dns

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Connectivity
......................... DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DC

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... DC - пройдена проверка DNS

Выполнение проверок разделов на: DomainDnsZones

Выполнение проверок разделов на: ForestDnsZones

Выполнение проверок разделов на: Schema

Выполнение проверок разделов на: Configuration

Выполнение проверок разделов на: firma

Выполнение проверок предприятия на: firma.ru
Запуск проверки: DNS
Результаты проверки контроллеров домена:

Контроллер домена: DC.firma.ru
Домен: firma.ru


TEST: Dynamic update (Dyn)
Warning: Failed to delete the test record dcdiag-test-record in zone firma.ru

DC PASS PASS PASS PASS WARN PASS n/a
......................... firma.ru - пройдена проверка DNS


netdom query fsmo


Хозяин схемы DC.firma.ru

Хозяин именования доменов DC.firma.ru

PDC DC.firma.ru

Диспетчер пула RID DC.firma.ru

Хозяин инфраструктуры DC.firma.ru

Команда выполнена успешно.

причем если не включить в сеть старый PDC то новый не поднимется вообще. »
А это какой сервер? Он, скорее всего, является глобальным каталогом, а остальные нет. ПОэтому и не поднимается.
127.0.0.1 »
Убери loopback-адрес из адресов DNS, это ни к чему.

И почему у тебя один контроллер в сети 192.168.1.*, а второй в 10.0.0.* ? Они вообще видят друг друга?

А это какой сервер? Он, скорее всего, является глобальным каталогом, а остальные нет. ПОэтому и не поднимается

Это старый сервер dc1. Глобальным каталогом он уже не является

C:\Program Files\Support Tools>nltest /server:dc1.firma.ru /dsgetdc:firma.ru
DC: \\dc1.firma.ru
Address: \\192.168.1.10
Dom Guid: 0e830877-9bc2-4a21-8d62-9d7306a23882
Dom Name: firma.ru
Forest Name: firma.ru
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_
SITE
The command completed successfully

Новый контроллер dc. Является глобальным каталогом

PS C:\Users\Администратор.FIRMA> nltest /server:dc.firma.ru /dsgetdc:firma.ru
Контроллер домена: \\DC.firma.ru
Адрес: \\10.0.0.102
GUID DOM: 0e830877-9bc2-4a21-8d62-9d7306a23882
Имя DOM: firma.ru
Имя леса: firma.ru
Имя сайта контроллера домена: Default-First-Site-Name
Имя нашего сайта: Default-First-Site-Name
Флаги: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS
Команда выполнена успешно.

лупбэк адрес убирал, не помогло.
Вместе с переездом контроллера решено было выделить отдельную подсеть для серверов. Контроллеры друг друга видят.

перестал подниматься домен AD и DNS на всех контроллерах домена »
Что значит не поднимается ?? не запусукаются службы ??? Что за ошибки в логах на КД?

Ошибка AD на сервере DC

Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.

Исходный контроллер домена:
dc2
Ошибочное имя узла DNS:
78bcfde3-4f4f-4084-a0da-2377a134b80b._msdcs.firma.ru

Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.

2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в сети, введя команду "net view \\<имя исходного DC>" или "ping <имя исходного DC>".

3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns

dcdiag /test:dns

4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:

dcdiag /test:dns

5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449:
http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

Oшибка DNS на сервере DC

DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

На сервере DC2 ошибки такие-же.

На сервере DC1 (Старый контроллер)

Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.

Исходный контроллер домена:
DC
Ошибочное имя узла DNS:
b1fd47b6-fda2-4ef6-89be-d77b23ac1393._msdcs.firma.ru

Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.

2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или "ping <source DC name>".

3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns

dcdiag /test:dns

4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:

dcdiag /test:dns

5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

В DNS на DC1 ошибок не нашел.

Что значит не поднимается ?? не запусукаются службы ??? »

Да, службы AD и DNS не запускаются.

Ошибка AD на сервере DC »
Покажите вывод команды repadmin /showrepl с данного КД. Зона DNS интегрированая в AD?

Кажется DNS не может запустится потому-что не может достучатся до AD, а AD не может потому что DNS не запустился. Как бы эту рекурсию разорвать?

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступ
Default-First-Site-Name\DC
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: b1fd47b6-fda2-4ef6-89be-d77b23ac1393
DSA - код вызова: cf00fea1-ee31-44b9-a269-1b0a180a0540

==== ВХОДЯЩИЕ СОСЕДИ ======================================

DC=firma,DC=ru
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 14:11:30 успешна.
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 14:12:16 успешна.

CN=Configuration,DC=firma,DC=ru
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 13:55:10 успешна.
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 13:55:10 успешна.

CN=Schema,CN=Configuration,DC=firma,DC=ru
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 13:55:10 успешна.
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 13:55:10 успешна.

DC=ForestDnsZones,DC=firma,DC=ru
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 13:55:10 успешна.
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 14:11:43 успешна.

DC=DomainDnsZones,DC=firma,DC=ru
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 14:10:01 успешна.
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 14:10:07 успешна.

зона DNS интегрирована